საჯარო სექტორში დისტანციური მუშაობისათვის ეფექტიანი და უსაფრთხო გარემოს უზრუნველყოფის აუდიტის ანგარიში

საჯარო სექტორის გაციფრულების პირობებში ორგანიზაციების ინფორმაციულ ტექნოლოგიებზე დამოკიდებულება სწრაფი ტემპით იზრდება. აღნიშნული განაპირობებს ორგანიზაციებში ქმედითი და ეფექტიანი IT მმართველობის არსებობის აუცილებლობას, რაც მიიღწევა მაღალი და საშუალო რგოლის მენეჯმენტის კოორდინირებული ქმედებებით. კერძოდ, სტრატეგიულ და საოპერაციო დონეებზე IT პროცესებთან მიმართებით მიღებული გადაწყვეტილებები ხელს უნდა უწყობდეს ორგანიზაციას ძირითადი მიზნის მიღწევასა (ბიზნესპროცესის ეფექტიანად წარმართვა) და ინფორმაციული უსაფრთხოების უზრუნველყოფაში. შესაბამისად, წინასწარგანსაზღვრული სტრატეგია, პოლიტიკა, პროცედურები და სამოქმედო გეგმების არსებობა ქმედითი IT მმართველობის წინაპირობაა.

ეფექტიანი IT მმართველობის მნიშვნელობა განსაკუთრებით ცხადი გახდა COVID-19-ის პანდემიის დაწყების შემდგომ, როდესაც სოციალური დისტანცირების მოთხოვნის თანახმად, საჯარო ორგანიზაციები დისტანციურ სამუშაო რეჟიმზე გადავიდნენ. დისტანციური მუშაობის რეჟიმზე გადასვლა უწყებებისათვის ფორსმაჟორულ სიტუაციას ქმნიდა და ხელმძღვანელობის მხრიდან ეფექტიანი გადაწყვეტილებების მიღებასთან ერთად, აუცილებელი მატერიალურ-ტექნიკური რესურსის არსებობას მოითხოვდა. უკეთესი პრაქტიკის მიხედვით, ფორსმაჟორულ სიტუაციაში სამუშაოს შესრულების საერთო წესებისა და სტანდარტული პირობების არსებობა ორგანიზაციას ხელს უწყობს ოპტიმალური გადაწყვეტილებების მიღებაში.

სახელმწიფო აუდიტის სამსახურმა შეისწავლა დისტანციურ სამუშაო რეჟიმზე გადასვლის მიზნით მიღებული მმართველობითი გადაწყვეტილებები და მათი განხორციელების ეფექტიანობა პანდემიის პერიოდში.

აუდიტის შედეგად გამოვლინდა შემდეგი მიგნებები:

აუდიტის ობიექტებს არ შეუმუშავებიათ ბიზნესის უწყვეტობისა და კატასტროფიდან აღდგენის გეგმები, რომლებიც დაეხმარებოდა მათ პანდემიაზე დროულ რეაგირებაში. ამასთანავე, არ იყო შემუშავებული დისტანციური მუშაობის პოლიტიკა, ინფორმაციული უსაფრთხოების მინიმალური მოთხოვნების შესაბამისად. კერძოდ, დისტანციური მუშაობისათვის, უწყებებს უნდა შეემუშავებინათ პოლიტიკა, რომელიც განსაზღვრავდა დისტანციურ მუშაობასთან დაკავშირებულ პირობებსა და შეზღუდვებს. აღნიშნული პოლიტიკა აუდიტის ობიექტებს ხელს შეუწყობდა დისტანციურ რეჟიმზე გადასვლისას აქტივების უკეთ გამოყენებასა და ინფორმაციული უსაფრთხოების პრინციპების დაცვაში. ამ მხრივ გამონაკლისი იყო საჯარო რეესტრის ეროვნული სააგენტო, რომელსაც შემუშავებული ჰქონდა დისტანციური წვდომის/მუშაობის პოლიტიკა, თუმცა დოკუმენტი არ იყო ფორმალიზებული/დამტკიცებული. აღნიშნულ საკითხთან მიმართებით, უწყებებმა სახელმძღვანელო მითითებები თანამშრომლებს სხვადასხვა ფორმით მიაწოდეს (ელექტრონული ფოსტა, ინტრანეტი);
დისტანციურ სამუშაო რეჟიმზე გადასვლის პროცესში აუდიტის ობიექტების თანამშრომელთა დიდი ნაწილი ვერ იქნა უზრუნველყოფილი შესაბამისი კომპიუტერული ტექნიკით. შედეგად, თანამშრომლებს დისტანციურად მუშაობისას მოუხდათ საკუთარი მოწყობილობების სამსახურებრივი მიზნებისათვის გამოყენება. ამასთანავე, ზოგიერთ შემთხვევაში უწყებების მიერ კომპიუტერული ტექნიკის მიწოდების მიუხედავად, თანამშრომლების ნაწილი მაინც იყენებდა პირად მოწყობილობებს, სამსახურის მიერ მოწოდებული დაბალი წარმადობის ან/და მოძველებული მოწყობილობების გამო. აღნიშნული მიმართულებით საყურადღებოა შემდეგი გარემოებები:
- შემოწმებული ორგანიზაციებიდან ეკონომიკისა და სოფლის მეურნეობის სამინისტროებს არ აქვთ აღრიცხული და კლასიფიცირებული ორგანიზაციის ფარგლებში არსებული ინფორმაციული აქტივები, ხოლო სსიპ − საჯარო რეესტრის ეროვნულ სააგენტოში მიმდინარეობს არსებულ ბიზნესპროცესებთან მიმართებით აქტივების გამოვლენა და შესაბამისი რეესტრის წარმოება;
- თანამშრომლის მიერ პირადი კომპიუტერული მოწყობილობების გამოყენებისას არ განხორციელებულა ინფორმაციული უსაფრთხოების მინიმალური მოთხოვნების შესაბამისი აქტივობები.

შესაბამისად, აუდიტის ობიექტები მოკლებულნი იყვნენ შესაძლებლობას, შეეფასებინათ მათ საკუთრებაში არსებული აქტივები კრიტიკულობის მიხედვით და მიეღოთ ოპტიმალური გადაწყვეტილებები ტექნიკის გადანაწილებაზე ან/და უსაფრთხოების შესაბამისი დონის განსაზღვრასთან მიმართებით.

დისტანციურად მუშაობის პირობებში უწყებების თანამშრომლებს დასჭირდათ სამსახურისაგან დამოუკიდებელი/გარე ქსელების გამოყენება, რომლებიც არ კონტროლდება აუდიტის ობიექტების IT სამსახურების მიერ და შესაბამისად, ნაკლებად არის დაცული. აღნიშნული პრობლემის გადაჭრის ერთ-ერთ საუკეთესო პრაქტიკად მიჩნეულია ვირტუალური კერძო ქსელის (VPN) გამოყენება. სამივე ობიექტმა უზრუნველყო თანამშრომელთა კომპიუტერების დაშიფრულ (VPN) ქსელში ჩართვა, თუმცა თანამშრომლები შესაბამის აპლიკაციას ძირითადად ააქტიურებდნენ სამსახურში არსებულ პირად კომპიუტერსა ან სასერვერო ინფრასტრუქტურაზე განთავსებულ ინფორმაციაზე წვდომის საჭიროების შემთხვევაში. აღნიშნულის გათვალისწინებით, თანამშრომლებს დაუცველ გარე ქსელთან შეუზღუდავი წვდომა ჰქონდათ, რაც ინფორმაციული უსაფრთხოების თვალსაზრისით მნიშვნელოვანი რისკების შემცველია.

საქართველოს ეკონომიკისა და მდგრადი განვითარების სამინისტროს;
საქართველოს გარემოს დაცვისა და სოფლის მეურნეობის სამინისტროს;
სსიპ − საჯარო რეესტრის ეროვნული სააგენტოს:

IT სერვისების უწყვეტობის პროცესის გაუმჯობესების მიზნით:
- შეიქმნას მმართველობითი სისტემა სათანადო უფლებამოსილების, კვალიფიკაციისა და კომპეტენციის მქონე პერსონალით, რომელიც პასუხისმგებელი იქნება სერვისების უწყვეტობის მართვის პროცესში შესაბამისი აქტივობების დაგეგმვაზე, განხორციელებასა და რეაგირებაზე;
- გადაიდგას საწყისი ნაბიჯები სერვისის უწყვეტობის გეგმების შესამუშავებლად, რომლებიც ხელს შეუწყობს ორგანიზაციაში კრიტიკული ბიზნესპროცესების განგრძობად მუშაობას;
- განხორციელდეს რეგულარულად (სულ მცირე − ყოველწლიურად) შეუსაბამობების ანალიზი (gap analysis) IT სერვისების უწყვეტობასთან მიმართებით, რათა განისაზღვროს ორგანიზაციის მიმდინარე და სასურველი მდგომარეობა;
ინფორმაციული უსაფრთხოების რისკების დასაზღვევად შემუშავდეს პოლიტიკა/პროცედურა, რომლის საშუალებითაც უზრუნველყოფილი იქნება ოპერაციული სისტემებისა და პროგრამული უზრუნველყოფების დროული ლიცენზირება/განახლება.