Ngademin Pegiat Teknologi

Kesehatan WA: Data COVID yang tidak terenkripsi tidak terganggu berarti sistem yang dikelola dengan baik dan aman

2 min read

kota-perth.jpg

Kota Perth

Gambar: Getty Images

Auditor jenderal Australia Barat telah menyerang lagi otoritas negara bagian atas pelanggaran keamanan dalam sistem TI yang digunakan negara bagian, dengan laporan tentang Sistem Terpadu COVID Kesehatan Masyarakat (PHOCUS) pada hari Rabu.

PHOCUS digunakan di Australia Barat untuk merekam, melacak, dan melacak kasus positif COVID di negara bagian dan dapat berisi informasi pribadi seperti wawancara kasus, panggilan telepon, pesan teks, email, dokumen hukum, hasil patologi, riwayat kontak, gejala, Medis yang ada kondisi, dan rincian obat. Sistem cloud juga dapat menarik informasi dari aplikasi SafeWA – yang sebelumnya ditemukan oleh Auditor Jenderal WA yang dapat diakses oleh Polisi WA – serta manifes penerbangan, kartu transportasi, catatan karyawan dan pelanggan bisnis, data pass transit G2G, dan rekaman CCTV.

Laporan tersebut menemukan bahwa WA Health hanya menggunakan enkripsi di lingkungan pengujiannya, tidak dapat mengetahui apakah aktivitas jahat sedang terjadi, dan tidak memiliki rencana manajemen kontrak dengan pemasoknya.

“WA Health tidak mencatat akses ‘view’ pengguna ke informasi PHOCUS. Hanya ‘edit’ (perubahan atau penghapusan) informasi dalam sistem yang dicatat, tetapi WA Health tidak memantau log ini untuk aktivitas yang tidak pantas,” kata laporan itu.

“WA Health tidak akan mengetahui apakah informasi pribadi atau medis telah diakses secara tidak benar (dilihat atau diedit oleh staf WA Health atau pemasok pihak ketiganya).

“Menyusul penyelidikan audit kami, WA Health memberi tahu kami bahwa mereka sekarang telah menerapkan proses untuk memantau akses editorial (perubahan data), tetapi belum menerapkan proses untuk merekam akses melihat (untuk mendeteksi pengintaian) karena masalah kinerja sistem yang dirasakan.”

Departemen juga mengenkripsi informasi pribadi dan medis pasca-audit, meningkatkan penyembunyian data dari semua informasi di lingkungan pengujiannya, dan menerapkan daftar penolakan pengunggahan file, yang akan dikeluarkan setelah auditor jenderal menemukan file yang berpotensi berbahaya dapat diunggah ke sistem. Pemindai malware sedang online.

“Tidak ada kontrol pencegahan kehilangan data untuk mencegah pembagian informasi pribadi dan medis yang tidak sah di PHOCUS, dan WA Health tidak memantau file yang dibagikan dengan pihak eksternal dan tidak diautentikasi. Kontrol yang buruk dapat menyebabkan pengungkapan informasi sensitif yang tidak sah dan merusak reputasi untuk WA Kesehatan,” kata laporan itu.

Selain itu, laporan tersebut mengatakan vendor pihak ketiga WA Health memiliki akses penuh ke informasi di lingkungan produksi, yang menurut WA Health telah dinilai dan diseimbangkan dengan kebutuhan untuk membangun sistem dengan cepat; vendor sebelumnya tertinggal Dua akun admin; kontrak vendor kurang ” persyaratan keamanan yang signifikan”.

Menanggapi audit tersebut, WA Health mengatakan bahwa karena implementasi simultan dari empat sistem terkait COVID lainnya, masalah tersebut dikelola dengan baik dan menyeimbangkan kecepatan, kualitas, dan kebutuhan sumber daya.

“Tidak ada pelanggaran privasi dalam sistem, dan pembersihan data dan pemeriksaan kualitas yang sedang berlangsung tidak menemukan ketidakakuratan yang memengaruhi manajemen dan tidak ada catatan penggunaan sistem yang tidak tepat,” kata departemen itu.

“Ini adalah bukti kekokohan PHOCUS dan bahwa data dikelola dan diamankan dengan baik.”

Laporan terkait

Pemerintah WA mengalokasikan $25,5 juta untuk memperluas layanan keamanan siber

Unit keamanan siber dari Kantor Pemerintah Digital akan mencetak staf tambahan berdasarkan pendanaan.

Auditor menemukan polisi WA mengakses data SafeWA tiga kali, aplikasi cacat saat diluncurkan

WA Health telah merilis informasi pendaftaran SafeWA untuk tujuan selain pelacakan kontak COVID-19, dan polisi telah mengajukan enam permintaan meskipun sumber pemerintah mengatakan informasi tersebut hanya akan digunakan untuk mendukung pelacakan kontak.

Auditor Jenderal WA menyeret pemerintah daerah ke dalam manajemen risiko dunia maya yang mengerikan

Auditor jenderal Australia Barat telah memberikan perlakuan khusus terhadap penggunaan perangkat lunak usang, dengan satu entitas rentan terhadap kerentanan berusia 15 tahun.

WA menetapkan daftar tugas digital dalam rilis peta jalan pertama

Negara perbatasan sedang menjalankan 22 proyek di 12 lembaga pemerintah untuk mendekatkannya dalam mewujudkan strategi digitalisasi seluruh pemerintahannya.

Auditor Jenderal WA menemukan 328 kelemahan di 50 sistem pemerintahan daerah

Investigasi terhadap sistem komputer dari 50 entitas pemerintah lokal Australia Barat menemukan 328 celah kendali, 33 di antaranya dianggap kritis oleh Auditor Jenderal.

Ngademin Pegiat Teknologi

Google menyediakan Earth Engine untuk semua bisnis dan pemerintah

Selama dekade terakhir, para peneliti di akademisi dan organisasi nirlaba telah memperoleh akses ke informasi yang semakin kompleks tentang permukaan bumi melalui Google Earth...
Ngademin
1 min read

Google menyediakan Earth Engine untuk semua bisnis dan pemerintah

Selama dekade terakhir, para peneliti di akademisi dan organisasi nirlaba telah memperoleh akses ke informasi yang semakin kompleks tentang permukaan bumi melalui Google Earth...
Ngademin
1 min read