Tilintarkastaja: US SEC: n on parannettava tietoverkkoturvaa

SEC, toimisto, joka valvoo kamppailevaa USA: ta rahoitusalalla, on korjannut Yhdysvaltojen hallituksen vastuullisuutta käsittelevän toimiston helmikuussa 2008 löydettyjä 34 tietoturvan heikkoutta, ja GAO on havainnut 23 uutta heikkoutta, se totesi uudessa mietinnössä.

Uudet heikkoudet ovat hallinnassa, joiden tarkoituksena on rajoittaa pääsy tietoihin ja järjestelmiin ja muihin valvontatoimiin ", jotka edelleen vaarantavat SEC: n taloudellisten ja arkaluonteisten tietojen luottamuksellisuuden, eheyden ja saatavuuden", GAO totesi tiistaina julkaistussa raportissa.

[Lue lisää: Miten poistaa haittaohjelmat Windows-tietokoneelta]

Heikkouksien pääasiallinen syy on se, että SEC ei ole täysin selvittänyt tietoturvaohjelmaansa, täyttänyt avoimen tietoturvaohjaajan viran ja testannut täysin tietoturvavalvontansa tehokkuutta, GAO sanoi. "Nämä heikkoudet merkitsevät huomattavaa puutetta tietojärjestelmissä ja taloudellisessa raportoinnissa käytetyissä tiedoissa", GAO: n raportti totesi.

SEC ei aina noudattanut vahvoja salasanasuojauksia yrityksen tietokantapalvelimissaan ja useat ihmiset jakoivat käyttäjän tilit antavat järjestelmän tietoja SEC-yrityksen tietosovellukselle, GAO-raportti kertoo.

Salasanat pelkkänä tekstinä ovat saattaneet olla luvattomien käyttäjien käytettävissä, raportti lisätty.

Lisäksi SEC ei aina salaa herkkiä mukaan lukien tietoliikenne asiakkaiden tietokoneiden ja avainrahoituksen tietokantojen välillä, raportti kertoi.

SEC ei myöskään aina tarjoa riittävästi yritystietokantojen tilintarkastusta ja seurantaa, eikä se ylläpitänyt tietokantojen käyttäjien ja sovellusten täydellisiä tarkastuspolkuja.

jotka ovat olleet turvallisuuden kannalta tärkeitä, GAO: n raportti totesi.

Sikäli kun nämä heikkoudet ovat kiinteitä, SEC: n "taloudelliset tiedot pysyvät yhä suuremmassa vaarassa luvattomasta paljastamisesta, muuttamisesta tai tuhoamisesta ja sen hallintopäätökset voivat perustua epäluotettaviin tai epäselviä tietoja ", GAO-raportti totesi.

Raportin mukaan SEC: n puheenjohtaja Mary Schapiro totesi, että virasto on yleisesti ottaen samaa mieltä GAO: n suosituksista.

Mutta Schapiro sanoi myös, että SEC on tehnyt" jatkuvaa edistystä " turvallisuus. "Koska edellisinä vuosina SEC oli puuttunut useisiin yleisempiin tietoturvaheikkoihin, tilintarkastajat ovat yhä enemmän keskittyneet tarkasteluihinsa kapeammille suhteellisen alemman tason kontrolleille", hän kirjoitti vastauksessaan GAO-raporttiin.

SEC keskittyy autentikointiin ja salaukseen, Schapiro kirjoitti.