Οι υπηρεσίες της ομοσπονδιακής κυβέρνησης πρέπει να κάνουν περισσότερα για να διασφαλίσουν τα προσωπικά δεδομένα των Καναδών που είναι αποθηκευμένα στο cloud, προειδοποιεί η γενικός ελεγκτής, σε νέα έκθεση που δόθηκε στη δημοσιότητα την Τρίτη 15 Νοεμβρίου.
Αντιμέτωπη με ολοένα και συχνότερες επιθέσεις στον κυβερνοχώρο, η γενική ελεγκτής Karen Hogan (φωτ.), λέει σε μια έκθεση που κατατέθηκε στη Βουλή των Κοινοτήτων, ότι οι κυβερνητικές απαιτήσεις που τέθηκαν σε εφαρμογή για τη μείωση των κινδύνων «δεν ήταν πάντα σαφώς καθορισμένες». Ως εκ τούτου, «αυτά τα κενά αντιπροσωπεύουν αυξημένο κίνδυνο παραβιάσεων της ασφάλειας», σημειώνει, προσθέτοντας ότι «οι κυβερνοεπιθέσεις γίνονται πιο συχνές και περίπλοκες». Ενθαρρύνει την κυβέρνηση να δράσει τώρα για να ενισχύσει τους ελέγχους της, ώστε να μπορεί να αποτρέψει, να εντοπίσει και να ανταποκριθεί σε κυβερνοεπιθέσεις.
Η Karen Hogan επιμένει στη σημασία της δράσης χωρίς καθυστέρηση, καθώς τα διάφορα τμήματα βρίσκονται μόνο «στα πρώτα στάδια της μετάβασης στο cloud computing». Οι συνιστώμενες ενέργειες περιλαμβάνουν «ενίσχυση βασικών ελέγχων ασφαλείας για την πρόληψη, τον εντοπισμό και την αντιμετώπιση παραβιάσεων ασφάλειας». Προτείνεται επίσης να καθοριστούν «σαφείς κοινοί ρόλοι και αρμοδιότητες στην κυβερνοασφάλεια», ώστε όλα τα τμήματα να γνωρίζουν τι πρέπει να κάνουν.
Η έκθεση αποκαλύπτει επίσης, ότι η Γραμματεία του Υπουργείου Οικονομικών του Καναδά έδωσε στα διάφορα τμήματα εντολή πριν από τέσσερα χρόνια, να προετοιμαστούν για τη μετεγκατάσταση των βάσεων δεδομένων τους στο cloud, πράγμα που σημαίνει ότι θα βρεθούν πολλές περισσότερες προσωπικές πληροφορίες των Καναδών. Ωστόσο, κατά τη διάρκεια αυτών των τεσσάρων ετών, η Γραμματεία του Συμβουλίου Οικονομικών δεν έχει ακόμη παράσχει ένα μακροπρόθεσμο σχέδιο χρηματοδότησης για την υιοθέτηση του cloud computing.
«Τα τμήματα χρειάζονται μια μεθοδολογία χρηματοδότησης και εργαλεία κοστολόγησης για να διασφαλίσουν ότι διαθέτουν το ανθρώπινο δυναμικό, την τεχνογνωσία, τις δεξιότητες, την κατάρτιση, τη χρηματοδότηση και άλλους πόρους που χρειάζονται, για να εξασφαλίσουν πληροφορίες που είναι αποθηκευμένες στο cloud με τρόπο που να αποτρέπει και να ανταποκρίνεται στις πιο σημαντικές απειλές και κινδύνους», έγραψε ο Γενικός Ελεγκτής.
Η κυβέρνηση βασίζεται σε πολλές υπηρεσίες που πρέπει να συνεργαστούν για να εξασφαλίσουν την προστασία των πληροφοριών που είναι αποθηκευμένες στο cloud. Σύμφωνα με τη Γενικό Ελεγκτή, η Γραμματεία του Υπουργείου Οικονομικών του Καναδά, η Shared Services Canada, η Public Services and Procurement Canada, το Communications Security Establishment του Καναδά και πολλά τμήματα, εφαρμόζουν τους δικούς τους ελέγχους κυβερνοασφάλειας, αλλά δεν «εφάρμοσαν αποτελεσματικά αυτούς τους ελέγχους, ούτε καθόρισαν και κοινοποίησαν σαφώς ρόλους και αρμοδιότητες που σχετίζονται με την εφαρμογή τους».
Η ομάδα ελεγκτών της κας Hogan βρήκε επίσης ελαττώματα στον τρόπο με τον οποίο διεξάγονται οι επιθεωρήσεις ασφαλείας στους παρόχους αποθήκευσης cloud. Ωστόσο, αυτές οι παρατηρήσεις δεν μπορούν να δημοσιοποιηθούν για να μη βλάψουν την εθνική ασφάλεια.
Οι συμβάσεις που συνήφθησαν από τη Shared Services Canada και οι συμφωνίες που συνήφθησαν από τις Public Services and Procurement Canada «περιείχαν λίγες λεπτομέρειες σχετικά με τις υποχρεώσεις των παρόχων υπηρεσιών σε περίπτωση συμβάντων ασφαλείας, ιδίως τους χρόνους απόκρισης στόχου και τους υπεύθυνους για την παρέμβαση», αναφέρει η έκθεση.
Η Γενικός Ελεγκτής αποκαλύπτει επίσης, ότι οι ρόλοι και οι ευθύνες καθενός εκτίθενται σε πολλαπλά έγγραφα. Έτσι, πολλά υπουργεία βρίσκονται σε σύγχυση σχετικά με ορισμένες από τις αρμοδιότητές τους. Για παράδειγμα, σημειώνεται ότι τα τμήματα πρέπει να διασφαλίζουν ότι τα δεδομένα που είναι αποθηκευμένα στο cloud διατηρούνται στον Καναδά. Ωστόσο, φαίνεται ότι τα μέρη που εμπλέκονται σε διάφορες συμφωνίες παροχής υπηρεσιών «δεν κατάλαβαν όλα αυτήν την απαίτηση». / © TANEA.CA