图片源于:https://rdnewsnow.com/2024/07/10/auditor-general-improvements-needed-to-strengthen-management-of-alberta-ca-accounts/
根据审计长的报告,亚省技术与创新部使用了自动化流程来一致地注册用户并获得他们的同意。
从机动车辆系统向亚省账户传输身份信息是安全的。
然而,自动化身份验证和账户管理控制有时会出现故障,但部门未能发现这些控制失效。
建议部门定期测试其自动化控制,以确保其按预期运行。
未采取行动的后果是,当自动化控制未经审查且未能正常工作时,可能出现验证流程和账户管理的错误,导致用户维持验证账户的时间过长或者未使用时未停用账户。这可能会增加身份盗用的风险,因为这些不活跃的账户可能被利用,最终损害对服务的信任。
另一项建议是,亚省技术与创新部应加强其数据加密控制。
未采取行动的后果是,未加密存储信息或使用弱加密方法会增加数据泄露和未经授权访问信息的影响。
在身份验证方面,部门有效地管理登录凭据并通过其控制措施规避认证器威胁。
为了安全地共享用户数据和建立信任关系,部门使用安全协议来保护与程序交换的用户数据,但却有着不完善的接纳和治理流程。
建议是,亚省技术与创新部改进接纳和治理实践,确保完成并正式审查接纳文件,开发服务整合的风险评估流程,并界定角色和责任。
未采取行动的后果是,对程序的不充分审查可能导致更大的安全漏洞和系统功能减少,降低系统和用户体验。这也可能会破坏对服务的信任,并在问题出现时导致责任缺失。
在监控方面,部门生成身份相关事件的审计日志,但并未全面监控一些系统。
建议是,亚省技术与创新部加强对所有亚省账户系统的监控实践。
未采取行动的后果是,网络安全事件和系统错误可能长时间不被发现,这可能导致机密数据暴露和系统故障,使得使用该服务的亚省账户和政府程序不可用。
整个报告都可以在线查阅。
技术与创新部部长内特·格卢比什周三发布了一份声明,回应审计长的报告:
“亚省旨在成为加拿大最具创新性的司法管辖区;我们一直在不断升级我们的技术系统,以向阿尔伯塔人提供更好、更快、更智能的服务。我们同意审计长的建议,并已采取措施确保我们达到或超过他们的建议。”