De Gröna skylla outsourcing för brott, vilket har påverkat 8,500 nuvarande och tidigare tjänstepersonal

Data-och datorsäkerhet

Sociala tjänster minister order utredning kreditkort system dataintrång

De Gröna skylla outsourcing för brott, vilket har påverkat 8,500 nuvarande och tidigare tjänstepersonal

@Paul_Karp

Fredag 24 November 2017 21.30 GMT

Senast ändrad fredagen den 24 November 2017 21.32 GMT

Den sociala tjänster minister, Christian Porter, har beställt en utredning av ett dataintrång som påverkar 8,500 nuvarande och före detta Institutionen för Sociala Tjänster, anställda, vars personliga information var öppen för mer än ett år.

Flytten kommer efter de Gröna skyllde outsourcing för brott i Business Information Services system som höll kostnader och kredit-kort information anor från 2004 till 2015.

Oppositionen sociala tjänster taleskvinna, Jenny Macklin, och cybersäkerhet taleskvinna, Gai Brodtmann, sade Arbete var “djupt oroad” av brottet på grund av att regeringen hade ett ansvar att hålla sina anställda data säkra.

Dataintrång träffar Department of Social Services-kreditkort-system

Läs mer

Äventyras uppgifter ingår kreditkortsuppgifter, arbetstagarnas namn, användarnamn, arbete telefonnummer, arbete e-post, lösenord, Australiska regeringen tjänster nummer, public service klassificeringar och organisation enheter.

“Ministern ska nu redogöra för vad som görs för att utreda detta brott, förklara för personalen exakt hur deras data var utsatt, hur länge och om det är nu säkert, och bekräfta om hans avdelning överensstämmer med de föreskrivna standarder för it-säkerhet”, sade de.

“Det är regeringens ansvar att se till att it-motståndskraft myndigheter och detta ansvar sträcker sig till de entreprenörer som statliga myndigheter använder.”

I brev som sänts för att varna personal, DSS skyllde sin tredje parts leverantör och sade: “brottet var “inte ett resultat av någon av institutionens interna system”.

De Gröna sociala tjänster taleskvinna, Rachel Siewert, sade brott “visar på riskerna med att lägga ut arbete på känsliga material till privata entreprenörer”.

AMP bland företag som drabbats av dataintrång 50 000 personal poster

Läs mer

“Den federala regeringen är ständigt ute efter att lägga ut och privatisera institutionen och Centrelink tjänster, och här är ett annat exempel på risker”, sade hon, med hänvisning till ett beslut nyligen att använda arbetskraft anställa personal för att återställa välfärd skulder.

“Du lämnar känsliga material till privata entreprenörer som inte har samma kontroll och balans innebär att brott är mer sannolikt att inträffa.”

Porter sa: “regeringen tar incidenter som denna mycket allvarligt, och institutionen har arbetat snabbt för att innehålla den frågan.”

Business Information Services har haft kontrakt på plats med institutionen sedan 2007 under Arbete. It-tjänster för ett antal statliga myndigheter och att “det är praxis att närma sig marknaden för att upphandla dessa tjänster”, sade han.

“Jag har begärt en fullständig utredning av frågan för att avgöra hur överträdelsen inträffade.”

Ordförande i den Australiska Privacy Foundation, David Vaile, sa institutionen hade inte erkänt att outsourcing funktioner till en extern leverantör “innebär en ökad risk, och i det här fallet har det kommit hem till hönshuset”.

Vaile sade outsourcing var skadligt “från ett governance-perspektiv” eftersom “du kan förneka att du är en del av problemet du tror att du har ådragit sig ansvar”.

Medicare dataintrång: regeringens svar ‘avskyvärda’, säger före detta officer AFP

Läs mer

En DSS-talesman sade att den strid, som var öppen från juni 2016 till och med oktober 2017, var stängt inom några timmar efter att den Australiska Signaler Direktoratet anmälda institutionen.

Institutionen berättade personalen att det var “inga bevis” av felaktig användning av data eller av institutionens kreditkort.

En taleskvinna för Business Information Services sade att som en följd av en “kontroll sårbarhet” några historiska uppgifter om anställdas arbete kostnader “var utsatta för möjliga it-brott”.

“Det finns inga bevis för en cyber-attack, bara att det var möjligt,” sade hon.

Den taleskvinna sade den information som ingår “delvis anonym arbetsrelaterade kostnader”, inklusive “cost center företagens kreditkort utan CCV -, förfallodagar och lösenord som hashas och därför inte synliga.

“Huvuddelen av kredit-kort information inom data hade gått ut.”

BIS taleskvinna sade sårbarheten var “säkrad inom fyra timmar”, den var inte längre tillgänglig för allmänheten och det hade åtagit sig en säkerhetsgranskning. Hon sa att sårbarheten var “märkta med låg risk”.

Men Vaile sade brott påverkas av ett “betydande antal” och att de anställdas användarnamn, fullständiga namn och lösenord för var “material som kan vara ganska användbart för att identitetsstölder, bedrägerier och maskerad”, där en angripare utger sig för att vara en auktoriserad användare.