Su informacinėmis sistemomis dirbu daugiau nei 20 metų. Tokie dinozaurai kaip aš galimai dar prisimena ir tokį Sarbaneso-Oxley aktą iš 2002 metų. To dokumento esmė buvo įvairių procedūrų ir sistemų diegimas į įmonių procesus po didelių kompanijų finansinių skandalų, kai išlaidos buvo apskaitomos kaip pelnas ir pan. Tos procedūros ir sistemos apsunkina sukčiavimo galimybes nesąžiningiems įmonių vadovams ar darbuotojams.
IT sistemoms braunantis į mūsų gyvenimus ir verslus aktyviau, įvairių sukčiavimo prevencijos procedūrų diegimas ir raportavimas tapo kasdieniniu gyvenimu – higiena. Su bendrųjų informacinių sistemų kontrolės priemonių (angl. IT general controls) sąvoka susipažinau ir pradėjau įgyvendinti savo darbe dar 2008 metais. Trumpai tariant, tai yra standartizuotos rekomendacijos IT sprendimų diegimui ir reguliariam raportavimui.
Pavyzdžiui, tai apima prieigos kontrolę (kas, kur ir kokiu vaidmeniu gali jungtis prie sistemos), pokyčių valdymą (kas gali daryti pokyčius per aplikaciją ar iš DB/kodo pusės; ar yra patvirtinimo procedūros ir tai įrodantys įrašai), sistemos operacijas (atsarginės kopijos, atstatymas, stebėsena), teisių paskirstymą (vienas vartotojas neturi galėti inicijuoti, patvirtinti, paleisti procesą, įrašyti rezultato į duomenų bazę), žurnalų (įrašų apie įvykius) kaupimą ir analizę, reguliarų šių funkcijų testavimą ir reguliarų rezultatų tikrinimą.
Registrų centro incidentas leidžia daryti prielaidą, kad dalis šių dvidešimties metų senumo kontrolės mechanizmų neveikia arba yra taikomi formaliai. 600 tūkstančių duomenų įrašų vagystės skandalas atskleidė, kad vartotojai jungdamiesi prie Registrų centro sistemos gauna perteklines prieigas prie ištisų registrų. Ar galime būti atsparūs kibernetinėms grėsmėms, kai net svarbiausių higienos taisyklių nesilaikoma?
Žinoma, kiekvieną potencialiai įtartiną veiksmą susekti ir atpažinti nėra lengva. Net ir su dirbtiniu intelektu. Bet juk galima įdiegti tokią funkciją, kai duomenų savininkui pranešama apie jo asmeninių duomenų nuskaitymo ar pakeitimo faktą. Tokią funkciją, pavyzdžiui, turi mano e-bankas – gaunu SMS, kai mano sąskaitoje įvyksta pasikeitimai.
Būtina pasakyti, kad žmonės turi turėti paprastą ir aiškų būdą matyti, kas ir kada naudojo jų duomenis bei kokiu pagrindu tai darė. Valstybė turi sukurti nemokamą ir patogią sistemą, kuri leistų kiekvienam gyventojui lengvai pasitikrinti jo duomenų užklausų istoriją ir perspėtų apie neįprastus ar įtartinus veiksmus. Ir tai nėra raketų mokslas: tokie sprendimai jau veikia kai kuriose užsienio valstybėse, pavyzdžiui, Estijoje. Lietuvoje taip pat turi būti sukurtas aiškus, paprastas ir visiems prieinamas duomenų naudojimo sekimo įrankis, automatiškai siunčiantis mėnesinius pranešimus apie tokius asmeninių duomenų užklausos veiksmus.
Taigi, švelniai tariant, yra kur tobulėti. Kol valstybės informacinėse sistemose IT saugumo kontrolė bus traktuojama kaip formalumas, o ne būtinybė, panašūs incidentai kartosis. Klausimas turėtų būti ne „ar“, o „kada“.
