감사관 : 미국 SEC의 사이버 보안 개선 필요성

미국의 어려움을 겪고있는 SEC 2008 년 2 월 미국 정부 회계 감사원 (GAO)이 발견 한 34 건의 정보 보안 취약성 중 18 건을 수정했으며 GAO는 23 건의 새로운 약점을 확인했다고 새로운 보고서에서 지적했다.

새로운 약점은 재무 및 민감한 정보의 기밀성, 무결성 및 가용성을 계속 위협하는 데이터 및 시스템에 대한 액세스 및 기타 통제 "라고 GAO는 보고서에서 밝혔다.

[추가 읽기: Windows PC에서 악성 코드를 제거하는 방법]

약점의 주된 이유는 SEC가 정보 보안 프로그램을 완전히 배포하지 않고 선임 정보 보안 담당자를 공석으로 채우고 정보 보안 통제의 효과를 완전히 테스트했기 때문입니다. GAO는 말했다. GAO의 보고서에 따르면, SEC는 엔터프라이즈 데이터베이스 서버에 강력한 암호 설정을 강요하지는 않았으며 여러 사용자가 사용자를 공유했다. GAO 보고서는 주요 SEC 엔터프라이즈 데이터 애플리케이션에 대한 시스템 정보를 입력 할 수 있다고 밝혔다.

일반 텍스트로 된 암호는 인증되지 않은 사용자가 사용할 수 있었을 수도 있다고 덧붙였다.

또한 SEC는 항상 민감한 정보, 클라이언트 컴퓨터와 주요 재무 애플리케이션의 데이터베이스 서버 간의 통신을 포함하여, 보고서는 말했다. 주요 엔터프라이즈 데이터베이스 애플리케이션을 인증하는 사용자는 네트워크를 통해 암호화되지 않은 암호도 전송했습니다.

SEC는 엔터프라이즈 데이터베이스에 대한 적절한 감사 및 모니터링을 항상 제공하지는 못했지만 데이터베이스의 사용자 및 애플리케이션에 의한 완전한 감사 추적을 유지하지 못했습니다. GAO 보고서에 따르면 회계 감사원 보고서에 따르면 이러한 약점이 수정 될 때까지 SEC의 "재무 정보는 권한이없는 공개, 변경 또는 파기의 위험이 증가 할 것이며 관리 결정은 신뢰할 수 없거나 부정확 한 정보 "라고 말한 바있다.

SEC 의장 인 Mary Schapiro는이 보고서에 대해 GAO의 권고 사항에 일반적으로 동의한다고 말했다. 그러나 Schapiro는 SEC가 정보 개선에 대해"계속 진전 "했다고 말했다. 보안. GAO 보고서에 따르면 응답자는 "지난 몇 년 동안 SEC는보다 일반적인 정보 보안 취약점을 많이 다루었 기 때문에 회계 감사원은 상대적으로 낮은 수준의 통제 범위를 좁히는 데 점점 더 집중했다" SEC는 인증과 암호화에 초점을 맞출 것이라고 샤피로는 썼다.