Audit Menemukan Kekurangan Keamanan TI di Texas VA Health Center – Departemen Urusan Veteran Kantor Inspektur Jenderal Pusat Perawatan Kesehatan Harlingen VA di Texas mengidentifikasi beberapa kekurangan keamanan TI dalam manajemen konfigurasi, perencanaan kontinjensi, dan kontrol akses. Untuk menentukan kepatuhan terhadap Federal Information Security Modernization Act (FISMA) tahun 2014, Office of Inspector General (OIG) VA melakukan audit tahunan terhadap program dan praktik keamanan informasi VA.
Audit Menemukan Kekurangan Keamanan TI di Texas VA Health Center
txsafeguard – Audit FISMA tahun fiskal 2021, yang dilakukan oleh CliftonLarsonAllen LLP, sebuah kantor akuntan publik independen, menilai program keamanan informasi VA melalui pertanyaan, pengamatan, dan pengujian kontrol terpilih yang mendukung 50 aplikasi utama dan sistem pendukung umum di fasilitas 24 VA dan di VA Enterprise Cloud, termasuk pengujian manajemen, teknis, dan kontrol operasional yang dipilih yang digariskan oleh NIST. CliftonLarsonAllen LLP membuat 26 rekomendasi, yang semuanya diulang dari audit tahunan sebelumnya, yang menunjukkan bahwa VA terus menghadapi tantangan signifikan dalam mematuhi persyaratan FISMA. Rekomendasi ini termasuk mengatasi kekurangan dalam manajemen konfigurasi, perencanaan kontinjensi, manajemen keamanan, dan kontrol akses.
OIG memilih untuk mengaudit Harlingen VA karena itu bukan bagian dari audit FISMA baru-baru ini. Dalam laporan yang diterbitkan 27 September 2022, OIG mengidentifikasi kekurangan dengan manajemen konfigurasi, perencanaan kontinjensi, dan kontrol akses di Harlingen. Tim inspeksi tidak mengidentifikasi kekurangan dengan manajemen keamanan. Pusat Perawatan Kesehatan Harlingen VA memiliki kekurangan keamanan dalam kontrol manajemen konfigurasi berikut:
Inventaris komponen adalah catatan deskriptif aset TI dalam organisasi hingga ke tingkat sistem.
Manajemen kerentanan adalah proses di mana Office of Information and Technology (OIT) mengidentifikasi dan memperbaiki kerusakan perangkat lunak dan sering kali menyertakan pembaruan sistem, seperti patch keamanan.
Siklus hidup sistem adalah proses memulai, mengembangkan, menerapkan, memelihara, dan mengganti atau membuang sistem.
Pusat tersebut tidak memiliki daftar akurat perangkat keras sistem informasi di Layanan Dukungan Jaminan Misi Perusahaan VA, meskipun OIT dan VA menggunakan inventaris otomatis sistemnya. Inventaris yang lengkap, akurat, dan terkini diperlukan untuk menerapkan program keamanan yang efektif. Inventaris komponen yang tidak akurat membuat manajemen kerentanan tidak efektif. OIG menetapkan bahwa proses identifikasi kerentanan dan pemindaian OIT efektif, namun proses untuk memulihkan kerentanan yang teridentifikasi perlu ditingkatkan. OIT memindai kerentanan secara rutin, acak, dan ketika kerentanan baru diidentifikasi dan dilaporkan.
Baca Juga : 10 Liburan Akhir Pekan Terbaik Di Texas
Tim inspeksi dan OIT menggunakan alat pemindaian kerentanan yang sama. Tim inspeksi mengidentifikasi 16 kerentanan lima kerentanan kritis pada kurang dari 1 persen komputer, yang juga memiliki sistem operasi yang tidak didukung, dan 11 kerentanan berisiko tinggi pada 20 persen komputer yang sebelumnya diidentifikasi oleh OIT tetapi tidak dimitigasi dalam Kerangka waktu yang ditetapkan OIT. VA mengharuskan kerentanan kritis diperbaiki dalam waktu 30 hari dan kerentanan berisiko tinggi diperbaiki dalam 60 hari. Kerentanan tertua diidentifikasi pada jaringan pada tahun 2013. OIG menemukan satu kerentanan kritis pada sekitar 1 persen komputer dan enam kerentanan berisiko tinggi pada 32 persen komputer yang terdeteksi tetapi tidak termasuk dalam hasil pemindaian OIT sebelumnya.
Terlepas dari langkah-langkah manajemen tambalan yang signifikan dari VA, tim inspeksi OIG mengidentifikasi beberapa perangkat yang tidak memiliki tambalan yang tersedia. Beberapa dari kerentanan ini telah ada di jaringan selama sembilan tahun setelah penemuan awal oleh VA. Tanpa patch, VA dapat menempatkan sistem kritis pada risiko yang tidak perlu dari akses, perubahan, atau penghancuran yang tidak sah. Lebih dari setengah sakelar jaringan pusat menggunakan sistem operasi melewati tanggal dukungan vendor mereka, yang berarti mereka tidak akan menerima dukungan pemeliharaan atau kerentanan. Selanjutnya, perangkat yang kekurangan tidak memenuhi konfigurasi dasar VA. Perangkat ini seharusnya telah di refresh ke sistem yang didukung vendor sebelum vendor menghentikan dukungan. Perangkat jaringan dan sistem TI adalah infrastruktur organisasi yang paling penting. Upgrade bukan hanya strategi defensif tetapi juga strategi proaktif yang melindungi stabilitas jaringan. Konfigurasi dasar untuk peralatan jaringan diamanatkan oleh VA OIT Configuration Control Board.
Selain itu, tim inspeksi mengidentifikasi kekurangan dalam mencatat tindakan administratif, menyimpan log, dan meninjau log untuk database di pusat. Misalnya, log peristiwa database akses administratif ditimpa dalam beberapa menit, yang melanggar kebijakan VA. Pusat tidak menerapkan mekanisme untuk menyalin file log database ke penyimpanan jangka panjang atau mencegahnya ditimpa. Log sering kali memberikan nilai selama analisis insiden keamanan dengan mencatat akun mana yang diakses dan tindakan apa yang dilakukan. Tanpa informasi ini, penyelidikan mungkin terbatas atau tidak berhasil dalam menentukan penggunaan yang tidak sah atau modifikasi informasi pusat.
Tim inspeksi menemukan bahwa pusat tidak memiliki sistem deteksi kebakaran di dua ruang komputer dan lima lemari komunikasi. Tanpa sistem ini, pusat mungkin tidak dapat dengan mudah merespons kebakaran sebelum aktivasi sistem sprinkler. Hal ini dapat merusak aset organisasi dan mengakibatkan kerugian finansial atau kerugian bagi para veteran. Tim inspeksi juga mencatat bahwa salah satu ruang komputer tidak menggunakan log akses pengunjung. Akibatnya, petugas keamanan informasi dan pemilik sistem tidak dapat memverifikasi bahwa langkah-langkah keamanan fisik yang sesuai telah diterapkan dan berfungsi sebagaimana mestinya. Tanpa log akses pengunjung, tidak ada catatan pengunjung yang memasuki ruang komputer. Akibatnya, penelitian akan terhambat jika terjadi kerusakan yang disengaja atau tidak disengaja pada peralatan atau ruangan.
Pejabat pusat menerapkan log akses pengunjung di ruang komputer setelah OIG membawa masalah ini menjadi perhatian mereka. OIG merekomendasikan agar asisten sekretaris untuk informasi dan teknologi dan chief information officer menerapkan:
Proses yang lebih efektif untuk menjaga informasi inventaris yang konsisten untuk semua segmen jaringan.
Program manajemen kerentanan yang memastikan perubahan sistem terjadi dalam jadwal organisasi.
Proses siklus hidup sistem yang efektif untuk memastikan perangkat jaringan memenuhi standar yang diamanatkan oleh Dewan Kontrol Konfigurasi OIT VA.
Proses untuk menyimpan log basis data untuk jangka waktu yang konsisten dengan kebijakan penyimpanan catatan VA.
OIG membuat rekomendasi ini kepada asisten sekretaris karena mereka terkait dengan masalah keamanan TI di seluruh perusahaan yang serupa dengan yang diidentifikasi selama audit FISMA dan tinjauan keamanan TI sebelumnya. OIG juga merekomendasikan agar direktur Pusat Perawatan Kesehatan Harlingen VA memvalidasi bahwa langkah-langkah keamanan fisik dan lingkungan yang sesuai diterapkan dan berfungsi sebagaimana dimaksud.