Wirtschaftsprüfer: US SEC muss Cybersecurity verbessern

Die Securities and Exchange Commission (SEC) hat Schritte unternommen, um ihre Informationssicherheit zu verbessern, aber sie hat nach einem Bericht des Wirtschaftsprüfers im Februar 2008 noch immer nicht mehrere Schwachstellen behoben.

Die SEC, die Agentur, die die sich abmühenden USA beaufsichtigt Finanzindustrie, hat 18 von 34 Informationssicherheitsschwächen korrigiert, die von der Regierungsverantwortlichkeitsbehörde der Regierung im Februar 2008 gefunden wurden, und das GAO hat 23 neue Schwächen identifiziert, sagte es in einem neuen Bericht.

Die neuen Schwächen sind in den Kontrollen einzuschränken Zugang zu Daten und Systemen sowie zu anderen Kontrollen ", die weiterhin die Vertraulichkeit, Integrität und Verfügbarkeit der finanziellen und sensiblen Informationen der SEC gefährden", sagte das GAO in seinem am Dienstag veröffentlichten Bericht.

[Weitere Informationen: Wie? Entfernen von Malware von Ihrem Windows-PC]

Der Hauptgrund für die Schwachstellen ist, dass die SEC ihr Informationssicherheitsprogramm noch nicht vollständig eingeführt hat, eine Stelle für einen leitenden Informationssicherheitsbeauftragten besetzt und die Wirksamkeit ihrer Informationssicherheitskontrollen umfassend getestet hat, Das GAO sagte. "Diese Schwachstellen stellen einen erheblichen Mangel an internen Kontrollen über die Informationssysteme und Daten für die Finanzberichterstattung dar", heißt es in dem Bericht des GAO.

Die SEC hat auf ihren Unternehmensdatenbankservern nicht immer strenge Kennworteinstellungen erzwungen, und mehrere Benutzer haben den Benutzer freigegeben Accounts zur Eingabe von Systeminformationen zu einer Schlüssel-SEC-Unternehmensdatenanwendung, so der GAO-Bericht.

Passwörter im Klartext könnten für nicht berechtigte Benutzer verfügbar gewesen sein, der Bericht wurde hinzugefügt.

Außerdem verschlüsselt die SEC nicht immer sensibel Informationen, einschließlich der Kommunikation zwischen Client-Computern und den Datenbankservern einer wichtigen Finanzanwendung, heißt es in dem Bericht. Benutzer, die sich bei einer wichtigen Enterprise-Datenbankanwendung authentifizieren, haben auch unverschlüsselte Kennwörter über das Netzwerk gesendet.

Die SEC bot außerdem nicht immer eine angemessene Überwachung und Überwachung von Unternehmensdatenbanken und führte keine vollständigen Prüfberichte über Aktivitäten von Benutzern und Anwendungen in der Datenbank Anwendungen, die für die Sicherheit relevant waren, sagte der GAO-Bericht.

Bis diese Schwächen behoben sind, werden die "Finanzinformationen" der SEC weiterhin einem erhöhten Risiko der unbefugten Offenlegung, Änderung oder Zerstörung unterliegen, und ihre Managemententscheidungen können auf unzuverlässigen oder unzuverlässigen Daten beruhen ungenaue Informationen ", sagte der GAO-Bericht.

Als Reaktion auf den Bericht sagte SEC-Vorsitzende Mary Schapiro, dass die Agentur im Allgemeinen mit den Empfehlungen des GAO einverstanden ist.

Aber Schapiro sagte auch, die SEC habe" kontinuierliche Fortschritte "zur Verbesserung der Information gemacht Sicherheit. "Da die SEC in den vergangenen Jahren viele der häufigeren Informationssicherheitsschwächen behoben hatte, konzentrierten sich die Prüfer zunehmend auf eine engere Gruppe von Kontrollen auf niedrigerer Ebene", schrieb sie in einer Antwort, die im GAO-Bericht enthalten war.

Die SEC wird sich künftig auf die Authentifizierung und Verschlüsselung konzentrieren, schrieb Schapiro.