აუდიტმა საჯარო სექტორში დისტანციური მუშაობისათვის ეფექტიანი და უსაფრთხო გარემოს უზრუნველყოფის ანგარიში გამოაქვეყნა. აუდიტის პერიოდი 2019-2021 წლებს მოიცავს. აუდიტის ობიექტებად კი შემდეგი საჯარო უწყებები განისაზღვრა:
საქართველოს ეკონომიკისა და მდგრადი განვითარების სამინისტრო;
საქართველოს გარემოს დაცვისა და სოფლის მეურნეობის სამინისტრო;
სსიპ − საჯარო რეესტრის ეროვნული სააგენტო;
დოკუმენტის თანახმად აუდიტის ობიექტებს არ შეუმუშავებიათ ბიზნესის უწყვეტობისა და კატასტროფიდან აღდგენის გეგმები, რომლებიც დაეხმარებოდა მათ პანდემიაზე დროულ რეაგირებაში.
ამასთანავე, არ იყო შემუშავებული დისტანციური მუშაობის პოლიტიკა, ინფორმაციული უსაფრთხოების მინიმალური მოთხოვნების შესაბამისად. კერძოდ, დისტანციური მუშაობისათვის, უწყებებს უნდა შეემუშავებინათ პოლიტიკა, რომელიც განსაზღვრავდა დისტანციურ მუშაობასთან დაკავშირებულ პირობებსა და შეზღუდვებს.
"აღნიშნული პოლიტიკა აუდიტის ობიექტებს ხელს შეუწყობდა დისტანციურ რეჟიმზე გადასვლისას აქტივების უკეთ გამოყენებასა და ინფორმაციული უსაფრთხოების პრინციპების დაცვაში. ამ მხრივ გამონაკლისი იყო საჯარო რეესტრის ეროვნული სააგენტო, რომელსაც შემუშავებული ჰქონდა დისტანციური წვდომის/ მუშაობის პოლიტიკა, თუმცა დოკუმენტი არ იყო ფორმალიზებული/დამტკიცებული.
აღნიშნულ საკითხთან მიმართებით, უწყებებმა სახელმძღვანელო მითითებები თანამშრომლებს სხვადასხვა ფორმით მიაწოდეს (ელექტრონული ფოსტა, ინტრანეტი); დისტანციურ სამუშაო რეჟიმზე გადასვლის პროცესში აუდიტის ობიექტების თანამშრომელთა დიდი ნაწილი ვერ იქნა უზრუნველყოფილი შესაბამისი კომპიუტერული ტექნიკით. შედეგად, თანამშრომლებს დისტანციურად მუშაობისას მოუხდათ საკუთარი მოწყობილობების სამსახურებრივი მიზნებისათვის გამოყენება.
ამასთანავე, ზოგიერთ შემთხვევაში უწყებების მიერ კომპიუტერული ტექნიკის მიწოდების მიუხედავად, თანამშრომლების ნაწილი მაინც იყენებდა პირად მოწყობილობებს, სამსახურის მიერ მოწოდებული დაბალი წარმადობის ან/და მოძველებული მოწყობილობების გამო.
აღნიშნული მიმართულებით საყურადღებოა შემდეგი გარემოებები:
- შემოწმებული ორგანიზაციებიდან ეკონომიკისა და სოფლის მეურნეობის სამინისტროებს არ აქვთ აღრიცხული და კლასიფიცირებული ორგანიზაციის ფარგლებში არსებული ინფორმაციული აქტივები, ხოლო სსიპ − საჯარო რეესტრის ეროვნულ სააგენტოში მიმდინარეობს არსებულ ბიზნესპროცესებთან მიმართებით აქტივების გამოვლენა და შესაბამისი რეესტრის წარმოება.
-თანამშრომლის მიერ პირადი კომპიუტერული მოწყობილობების გამოყენებისას არ განხორციელებულა ინფორმაციული უსაფრთხოების მინიმალური მოთხოვნების შესაბამისი აქტივობები შესაბამისად, აუდიტის ობიექტები მოკლებულნი იყვნენ შესაძლებლობას, შეეფასებინათ მათ საკუთრებაში არსებული აქტივები კრიტიკულობის მიხედვით და მიეღოთ ოპტიმალური გადაწყვეტილებები ტექნიკის გადანაწილებაზე ან/და უსაფრთხოების შესაბამისი დონის განსაზღვრასთან მიმართებით.
-დისტანციურად მუშაობის პირობებში უწყებების თანამშრომლებს დასჭირდათ სამსახურისაგან დამოუკიდებელი/გარე ქსელების გამოყენება, რომლებიც არ კონტროლდება აუდიტის ობიექტების IT სამსახურების მიერ და შესაბამისად, ნაკლებად არის დაცული. აღნიშნული პრობლემის გადაჭრის ერთ-ერთ საუკეთესო პრაქტიკად მიჩნეულია ვირტუალური კერძო ქსელის (VPN) გამოყენება.
სამივე ობიექტმა უზრუნველყო თანამშრომელთა კომპიუტერების დაშიფრულ (VPN) ქსელში ჩართვა, თუმცა თანამშრომლები შესაბამის აპლიკაციას ძირითადად ააქტიურებდნენ სამსახურში არსებულ პირად კომპიუტერსა ან სასერვერო ინფრასტრუქტურაზე განთავსებულ ინფორმაციაზე წვდომის საჭიროების შემთხვევაში. აღნიშნულის გათვალისწინებით, თანამშრომლებს დაუცველ გარე ქსელთან შეუზღუდავი წვდომა ჰქონდათ, რაც ინფორმაციული უსაფრთხოების თვალსაზრისით მნიშვნელოვანი რისკების შემცველია", - ნათქვამია აუდიტის ანგარიშში.
რაც შეეხება აუდიტის რეკომენდაციებს, შემდეგნაირია:
აუდიტის ობიექტებმა IT მმართველობის სისტემური გაუმჯობესების მიზნით( IT სერვისების უწყვეტობის პროცესის გაუმჯობესების მიზნით), COVID-19-ის პანდემიის პერიოდში შეძენილი გამოცდილების გათვალისწინებით, უზრუნველყონ შემდეგი:
- შეიქმნას მმართველობითი სისტემა სათანადო უფლებამოსილების, კვალიფიკაციისა და კომპეტენციის მქონე პერსონალით, რომელიც პასუხისმგებელი იქნება სერვისების უწყვეტობის მართვის პროცესში შესაბამისი აქტივობების დაგეგმვაზე, განხორციელებასა და რეაგირებაზე;
- გადაიდგას საწყისი ნაბიჯები სერვისის უწყვეტობის გეგმების შესამუშავებლად, რომლებიც ხელს შეუწყობს ორგანიზაციაში კრიტიკული ბიზნესპროცესების განგრძობად მუშაობას;
- განხორციელდეს რეგულარულად (სულ მცირე − ყოველწლიურად) შეუსაბამობების ანალიზი (gap analysis) IT სერვისების უწყვეტობასთან მიმართებით, რათა განისაზღვროს ორგანიზაციის მიმდინარე და სასურველი მდგომარეობა.
-ინფორმაციული უსაფრთხოების რისკების დასაზღვევად შემუშავდეს პოლიტიკა/ პროცედურა, რომლის საშუალებითაც უზრუნველყოფილი იქნება ოპერაციული სისტემებისა და პროგრამული უზრუნველყოფების დროული ლიცენზირება/განახლება.