Dos tercios de las agencias gubernamentales de Nueva Gales del Sur no protegen los datos privilegiados, lo que deja la información confidencial vulnerable y pone al público en riesgo de identificar el fraude.

Revisión de los departamentos gubernamentales

Una revisión de docenas de departamentos gubernamentales de NSW por el auditor general del estado encontró que el 68% de las agencias como salud, educación y policía "no administran adecuadamente el acceso privilegiado a sus sistemas", dejando los datos personales abiertos al "uso incorrecto" incluyendo fraude y robo de identidad.

"La información personal recopilada por las agencias del sector público [VIDEO]sobre los miembros del público es de gran valor para los ciberdelincuentes, ya que puede utilizarse para crear identidades falsas para cometer otros delitos", escribió en el informe la auditora general de NSW, Margaret Crawford.

Una de las principales preocupaciones para el auditor general era la gestión de "cuentas privilegiadas" con acceso a datos confidenciales, que según Crawford no fueron manejados adecuadamente por la mayoría de los departamentos. El informe también encontró que el 31% de las agencias no "limitan o restringen" los datos privilegiados al personal apropiado.

"A pesar de estos riesgos, encontramos que una agencia tenía 37 cuentas de usuarios privilegiados, incluidas 33 que estaban inactivas", dijo en el informe.

"La agencia no tenía un proceso formal para crear, modificar o desactivar usuarios privilegiados. También encontramos que el 61% de las agencias no monitorean regularmente la actividad de la cuenta de los usuarios con privilegios.

"Esto coloca a esas agencias en mayor riesgo de no detectar sistemas comprometidos, violaciones de datos y uso indebido".

EL informe de las agencias gubernamentales

El informe del auditor encontró que casi un tercio de las agencias gubernamentales de NSW son culpables de incumplir sus propias políticas de seguridad, la mayoría relacionadas con "controles débiles o faltantes" en el acceso del personal a los sistemas financieros y la eliminación del acceso una vez que el personal ha dejado un departamento.

La falta de estándares podría dejar a los departamentos abiertos a infracciones de la ley de Nueva Gales del Sur, incluida la Ley de Auditoría y Finanzas Públicas, que dice que las agencias deben tener sistemas de control interno efectivos.

"Si las agencias no implementan estos controles, también pueden infringir las leyes y políticas de NSW y los estándares internacionales a los que hacen referencia", descubrió Crawford.

En un informe que incluyó 17 recomendaciones, Crawford descubrió que era imposible conocer el alcance de la amenaza a la seguridad cibernética planteada por la falta de controles debido a que diferentes departamentos definen lo que constituye un ataque cibernético de manera diferente.

En un comunicado, un portavoz del ministro de finanzas, servicios y propiedad, Víctor Dominello, reconoció el informe y dijo que actualmente está en curso una revisión de la política de seguridad de la información digital del Gobierno, con una nueva estrategia "que debe completarse en 2018".

"La revisión está siendo dirigida por la oficial de seguridad de la información del gobierno, la Dra. Maria Milosavljevic, cuya posición se estableció en mayo para reforzar la capacidad del gobierno para prevenir, detectar y responder a amenazas cibernéticas", dijo el portavoz.

La protección de la masa de datos privados en manos de las agencias gubernamentales se ha convertido en una preocupación creciente.

En 2017, una investigación de Guardian Australia reveló que un comerciante de darknet estaba vendiendo ilegalmente detalles de pacientes de Medicare de cualquier australiano que lo solicitara mediante la "explotación de una vulnerabilidad" en un sistema gubernamental.

La violación provocó una investigación del Senado y el gobierno anunció una revisión de la seguridad de Medicare en línea.

Sin embargo, un ex detective que encabezó las investigaciones de la policía federal australiana sobre el crimen de alta tecnología dijo que la respuesta del gobierno a la violación había sido "decepcionante, confusa y a menudo despreciable”.