De Grønne skylden outsourcing for brudd, noe som har påvirket 8,500 nåværende og tidligere ansatte avdelinger

Data og datasikkerhet

Sosiale tjenester statsråd bestillinger gransking kredittkort system data brudd

De Grønne skylden outsourcing for brudd, noe som har påvirket 8,500 nåværende og tidligere ansatte avdelinger

@Paul_Karp

Fredag 24. November 2017 21.30 GMT

Sist endret på fredag 24. November 2017 21.32 GMT

Den sosiale tjenester statsminister, Christian Porter, har beordret en granskning av et datainnbrudd som påvirker 8,500 nåværende og tidligere Avdeling av Sosiale Tjenester ansatte, som personlige informasjon er venstre åpne for mer enn et år.

Flyttingen kommer etter Greener skylden outsourcing for brudd i Business Information Services system som holdt utgifter og kreditt-kort informasjon som stammer fra 2004 til 2015.

Opposisjonen sosiale tjenester talskvinne, Jenny Macklin, og cybersecurity talskvinne, Gai Brodtmann, sa Arbeidskraft var “dypt bekymret” ved brudd fordi myndighetene hadde et ansvar for å holde sine ansatte ” data trygt.

Data brudd treff Avdeling for Sosiale Tjenester kredittkort system

Les mer

Kompromittert data inkludert kredittkortinformasjon, ansattes navn, brukernavn, arbeid telefonnumre, arbeid, e-poster, system passord, Australian government services tall, public service-klassifikasjoner og organisasjonsenheter.

“Statsråden nå må skissere hva blir gjort for å undersøke dette bruddet, forklarer ansatte nøyaktig hvordan deres data ble utsatt, for hvor lenge og om det er nå trygt, og bekreft om hans avdeling er i samsvar med mandat cybersecurity standarder,” sa de.

“Det er regjeringens ansvar å sørge for cyber-elastisitet av offentlige etater, og dette ansvaret strekker seg til entreprenørene at statlige virksomheter benytter.”

I brev sendt for å varsle ansatte, DSS skylden sin tredje-parts leverandør og sa bruddet var “ikke et resultat av noen av instituttets interne systemer”.

De Grønne sosiale tjenester talskvinne, Rachel Siewert, sa brudd “viser risiko for outsourcing arbeid på et sensitivt materiale til private entreprenører”.

AMP blant selskaper som er berørt av data brudd på 50 000 ansatte poster

Les mer

“Den føderale regjeringen er hele tiden på jakt etter å outsource og booke avdeling og Centrelink tjenester, og her er et annet eksempel på den tilhørende risiko,” sa hun, og siterer en fersk avgjørelse å benytte arbeidskraft ansette stab til å gjenopprette velferd gjeld.

“Innlevering av sensitivt materiale til private entreprenører som ikke har de samme sjekker og balanserer betyr at bruddene er mer sannsynlig å skje.”

Porter sa: “regjeringen tar hendelser som dette svært alvorlig, og avdelingen har jobbet raskt å inneholde problemet.”

Business Information Services har hatt kontrakt på plass med avdelingen, og har siden 2007 under Arbeid. It-tjenester med en rekke offentlige etater og “det er vanlig praksis å nærme markedet for å anskaffe disse tjenestene”, sa han.

“Jeg har bedt om en full etterforskning av saken for å finne ut hvordan bruddet skjedde.”

Leder av den Australske Privacy Foundation, David Vaile, sa avdelingen hadde ikke erkjent at outsourcing funksjoner til en ekstern leverandør “representerer økt risiko, og i dette tilfellet har det kommet hjem til hønsehus”.

Vaile sa outsourcing var skadelig “fra et governance-perspektiv” fordi “du kan nekte du er en del av problemet, du tror du har kontrakt ut av ansvar”.

Medicare data brudd: regjeringen respons ‘sleipe’, sier tidligere AFP-offiser

Les mer

En DSS-talsmann sa brudd, som var åpent fra juni 2016 til oktober 2017, ble stengt i løpet av timer etter den Australske Signaler Direktoratet varslet departementet.

Avdelingen fortalte personalet at det var “ingen bevis” på uriktig bruk av opplysninger eller av instituttets kredittkort.

En talskvinne for Business Information Services sa at som et resultat av en “kontroll sårbarhet” noen historiske opplysninger om de ansattes arbeid utgifter “ble utsatt for mulig cyber-brudd”.

“Det er ingen bevis for en cyber-angrep, bare at det var mulig,” sa hun.

Den talskvinne sa at informasjonen som er inkludert “delvis anonym arbeid-relaterte kostnader” inkluderer “kostnadsbærere, corporate kredittkort uten CCV og utløpsdato, og passord som ble kryptert og derfor ikke synlig”.

“Hovedtyngden av kredittkortinformasjon i dataene hadde utløpt.”

BIS talskvinne sa sårbarheten var “sikret seg innen fire timer”, er dataene ikke lenger var offentlig tilgjengelig og det hadde foretatt en sikkerhetsgjennomgang. Hun sa sårbarheten var “merket lav risiko”.

Men Vaile sa brudd påvirket et “betydelig antall” og at de ansattes brukernavn, fullt navn og system passord ble “materiale som kan være ganske nyttig for identitetstyveri, svindel og maskert”, der en angriper utgir seg for å være en autorisert bruker.