Android

Auditeur: la SEC des États-Unis doit améliorer la cybersécurité

Question Period: MMIWG inquiry final report, media bailout panel — June 3, 2019

Question Period: MMIWG inquiry final report, media bailout panel — June 3, 2019
Anonim

La SEC, l'agence qui supervise les États-Unis l'industrie financière a corrigé 18 des 34 faiblesses de la sécurité de l'information relevées par le Government Accountability Office des États-Unis en février 2008, et le GAO a identifié 23 nouvelles faiblesses, selon un nouveau rapport.

Les nouvelles faiblesses sont dans les contrôles destinés à restreindre l'accès aux données et aux systèmes, ainsi que d'autres contrôles "qui continuent de compromettre la confidentialité, l'intégrité et la disponibilité des informations financières et sensibles de la SEC", a déclaré le GAO dans son rapport publié mardi.

pour supprimer les logiciels malveillants de votre PC Windows]

La principale raison de ces faiblesses est que la SEC n'a pas entièrement déployé son programme de sécurité de l'information, a comblé un poste vacant de responsable de la sécurité informatique et a testé l'efficacité de ses contrôles de sécurité. le GAO a dit. "Ces faiblesses représentent une déficience significative des contrôles internes sur les systèmes d'information et les données utilisées pour les rapports financiers", indique le rapport du GAO.

La SEC n'appliquait pas toujours des paramètres de mot de passe forts sur ses serveurs de base de données d'entreprise.

Les mots de passe en texte clair étaient peut-être disponibles pour les utilisateurs non autorisés, ajoute le rapport.

En outre, la SEC ne chiffrait pas toujours les informations sensibles sur une application clé de l'entreprise. informations, y compris les communications entre les ordinateurs clients et les serveurs de bases de données d'une application financière clé, indique le rapport. Les utilisateurs s'authentifiant auprès d'une application de base de données clé envoyaient également des mots de passe non cryptés sur le réseau.

SEC ne fournissait pas toujours un audit et une surveillance adéquats des bases de données d'entreprise.

Tant que ces faiblesses n'auront pas été corrigées, les informations financières de la SEC continueront à être exposées à un risque accru de divulgation, de modification ou de destruction non autorisées, et ses décisions de gestion pourraient être fondées sur des informations non fiables ou non fiables.

En réponse au rapport, la présidente de la SEC, Mary Schapiro, a déclaré que l'agence était globalement d'accord avec les recommandations du GAO.

Mais Schapiro a également déclaré que la SEC avait fait des progrès constants Sécurité. "Parce que les années précédentes, la SEC avait traité plusieurs des faiblesses les plus communes de la sécurité de l'information, les auditeurs ont de plus en plus centré leurs examens sur un ensemble plus restreint de contrôles de niveau relativement inférieur". La SEC se concentrera sur l'authentification et le cryptage à l'avenir, a écrit Schapiro.