СИСТЕМОТ ЗА ФИНАНСИИ КАКО КУЌА БЕЗ ВРАТА Не мора да си хакер за да влезеш во него и да користиш податоци

Ако не се преземат мерки за правно регулирање и подобрување на безбедноста на Системот за интегрирано планирање на ресурсите (ИПР) кој го користи Службата за општи и заеднички работи на Владата за извршување сметководствено-финансиски услуги за 31 државна институција можно е да се случи неовластен пристап во податоците, велат во последниот извештај ревизорите ревизорите кои извршија ИТ провверка на  работењето на системот во 2023 година.

Системот кој е воведен во 2016 година е без законска подлога е димензиониран за 50 институции, но активно го користат 31 институција, со повеќе од 40 активни бази, а клиентскиот дел е инсталиран на околу 150 работни станици.

Со овој систем се обработуваат податоци за 40 правни субјекти односно вкупно обработени приходи во износ од 49.383.352.000 денари (802,9 милиони евра) што е 18,98% од Буџетот на државата и расходи во износ од 45.704.654.000 денари (741,2 милиони евра) или 18,33% од Буџетот на државата за 2023 година.

Системот за интегрално планирање на ресурсите нема правен акт кој ги регулира правата и обврските на Министерството за информатичко општество како сопственик и на Службата за општи и заеднички работи на Владата како корисник на системот што, според ревизорите, создава ризик од несоодветно управување со податоците.

Дополнителен проблем за лесен пристап до информациите од неовластени лица е и тоа што се користи застарен оперативен систем, а пристапот во него е со заеднички лозинки кои не се проверуваат двојно. Нема ниту воспоставен систем на резервни копии, а модулите не се доволно интегрирани.

„Отсуствуваат дефинирани процедури за управување со пристапи и заштита на податоците, и ажурирана документација која ја покрива конфигурацијата на системот. Не се преземени активности за редовна проверка на резервната копија (бекап) на податоците, и не постојат соодветни контроли за надгледување на безбедноста на системот“, се вели во Извештајот.

Ревизорите утврдиле и дека Системот за интегрирано планирање на ресурсите не се ажурира навремено, бидејќи нема план за тоа. Така се случило 15 месеци да не биде ажуриран, што само по себе води кон нарушување на неговата безбедност.

„Ваквата состојба влијае на безбедноста, достапноста и точноста на податоците, како и до тешкотии во изготвувањето на финансиските извештаи за соодветните известувачки периоди. Во периодот на одржување не се преземени активности за редовна проверка на резервната копија (бекап) на податоците, а со тоа се зголемува ризикот од поврат на податоците, наведуваат ревизорите“, се наведува во извештајот.

Како посебен проблем, ревизорите, го посочуваат тоа што институциите користат застарен оперативен систем без безбедносни ажурирања и поддршка од производителот, што го зголемува ризикот од безбедносни напади и неовластен пристап.

Конфигурацијата на Виртуелната приватна мрежа (ВПН пристап), без повеќе факторска автентикација односно потврда на идентитет преку два или повеќе независни фактори и со заедничка лозинка, ја зголемува веројатноста за компромитирање на системот.

Посебно загрижува одливот на кадар кој работи во системот, што доведува до тоа што има недостигаат работници со соодветни вештини и знаење. Сето то влијае на навремено и ефикасно извршување на задачите.

„Ваквите состојби како и неинтегрираноста на сите модули во системот укажуваат дека утврдените и имплементираните мерки не се доволни за ефикасна и целосна заштита на податоците во ИПР системот, што го изложува системот на потенцијални безбедносни ризици и компромитирање на доверливоста на податоците“, се наведува во извештајот.

Во Службата за општи и заеднички работи, како што се посочува во ревизорскиот извештај, недостигаат стратешки документи кои ги дефинираат насоките за развој, одржување и надградба на информатичките системи, како и политики и процедури за управување со податоци што, според ревизорите, може да доведе до неефикасно управување и до ранливост од безбедносни закани.

Ревизорите утврдиле и повторување на исти надградбени активности и надградби што не се засноваат на потребите и не ги опфаќаат сите корисници, недостиг од поврзување со Централниот регистар преку интероперабилност, како и високи трошоци и забавување на процесите поради недостиг на интеграција.