Auditor: SEC AS Perlu Meningkatkan Cybersecurity

US Securities and Exchange Commission (SEC) telah mengambil langkah-langkah untuk meningkatkan keamanan informasinya, tetapi masih belum dikoreksi beberapa kerentanan yang ditemukan pada Februari 2008, menurut laporan auditor.

SEC, lembaga yang mengawasi AS yang mengalami kesulitan industri keuangan, telah mengoreksi 18 dari 34 kelemahan keamanan informasi yang ditemukan oleh Kantor Akuntabilitas Pemerintah AS pada Februari 2008, dan GAO telah mengidentifikasi 23 kelemahan baru, katanya dalam sebuah laporan baru.

Kelemahan baru dalam kontrol dimaksudkan untuk membatasi akses ke data dan sistem, dan dalam kontrol lain "yang terus membahayakan kerahasiaan, integritas, dan ketersediaan informasi keuangan dan sensitif SEC," kata GAO dalam laporannya, yang dirilis Selasa.

[Bacaan lebih lanjut: Bagaimana untuk menghapus malware dari PC Windows Anda]

Alasan utama untuk kelemahan adalah bahwa SEC belum sepenuhnya meluncurkan program keamanan informasinya, mengisi lowongan untuk petugas keamanan informasi senior dan sepenuhnya menguji efektivitas kontrol keamanan informasinya, kata GAO. "Kelemahan ini merupakan kekurangan yang signifikan dalam pengendalian internal atas sistem informasi dan data yang digunakan untuk pelaporan keuangan," kata laporan GAO.

SEC tidak selalu menegakkan pengaturan kata sandi yang kuat pada server basis data perusahaannya, dan beberapa orang berbagi pengguna akun untuk memasukkan informasi sistem pada aplikasi data perusahaan SEC kunci, laporan GAO mengatakan.

Kata sandi dalam teks biasa mungkin telah tersedia untuk pengguna yang tidak sah, tambah laporan.

Selain itu, SEC tidak selalu mengenkripsi sensitif informasi, termasuk komunikasi antara komputer klien dan server database aplikasi keuangan kunci, kata laporan itu. Pengguna yang mengautentikasi ke aplikasi basis data perusahaan juga mengirimkan kata sandi yang tidak terenkripsi di seluruh jaringan.

SEC juga tidak selalu menyediakan pengauditan dan pemantauan yang memadai atas basis data perusahaan, dan tidak mempertahankan jejak aktivitas audit oleh pengguna dan aplikasi dalam database aplikasi yang relevan dengan keamanan, laporan GAO mengatakan.

Sampai kelemahan itu diperbaiki, "informasi keuangan SEC akan tetap pada peningkatan risiko pengungkapan yang tidak sah, modifikasi, atau perusakan, dan keputusan manajemennya mungkin didasarkan pada tidak dapat diandalkan atau informasi yang tidak akurat, "kata laporan GAO.

Sebagai tanggapan atas laporan itu, Ketua SEC Mary Schapiro mengatakan bahwa agensi umumnya setuju dengan rekomendasi GAO.

Tapi Schapiro juga mengatakan bahwa SEC telah membuat" kemajuan berkelanjutan "terhadap peningkatan informasi. keamanan. "Karena pada tahun-tahun sebelumnya, SEC telah menangani banyak kelemahan keamanan informasi yang lebih umum, auditor semakin memfokuskan ulasan mereka pada set yang lebih sempit dari kontrol tingkat yang relatif lebih rendah," tulisnya dalam respons yang dimasukkan dalam laporan GAO.

SEC akan fokus pada otentikasi dan enkripsi maju, Schapiro menulis.