STA novice / Ministrstvo s popravljalnimi ukrepi glede računalniškega oblaka delno zadovoljilo revizorje

Ministrstvo za javno upravo ni zagotovilo učinkovite in uspešne vzpostavitve ter delovanja državnega računalniškega oblaka, so v reviziji, ki se nanaša na obdobje od 1. januarja 2014 do 30. junija 2020, računsko sodišče pa jo je objavilo konec lanskega leta, ugotovili revizorji. Med drugim postopki javnega naročanja niso bili skladni z zakonodajo, nabavljena oprema pa ni bila dana v uporabo.

Ministrstvo je pripravilo popravljalne ukrepe, ki pa so po oceni računskega sodišča le delno zadovoljivi.

Med drugim so revizorji ugotovili, da je ministrstvo nabavilo sistem za upravljanje varnostnih dogodkov in varnostnih tveganj za izvajanje analiz podatkov. Sistem naj bi zbiral podatke dnevniških zapisov vključene strojne in programske opreme, a ministrstvo v obdobju, na katerega se nanaša revizija, ni zagotavljalo vključene revizijske sledi za vso v državni računalniški oblak vključeno opremo, pač pa le za okolje, ki ga upravlja ministrstvo samo.

Ministrstvo je moralo v odzivnem poročilu izkazati, da je pripravilo načrt aktivnosti z odgovornimi osebami, ki bo vseboval navedbo aktivnosti, potrebnih za vključitev revizijske sledi za opremo, ki še ni vključena v informacijsko opremo varnostno-operativnega centra, in njihovo časovno opredelitev oziroma pojasnilo o razlogih za nevključitev posamezne opreme.

V odzivnem poročilu so na ministrstvu zapisali, da je že med izvedbo revizijskega postopka predložilo seznam opreme, katere dnevniki so in še bodo vključeni v SIEM. Ministrstvo je pojasnilo, da je marca letos v okviru spremljanja in načrtovanja dela sektorja za informacijsko varnost revidiralo načrt vključevanja virov v SIEM in ga dopolnilo z viri, ki so še preostali za vključitev. Rok so zastavili 30. aprila.

So pa pojasnili, da v SIEM ne bodo vključevali strežniških dnevnikov, aplikacijskih dnevnikov in revizijskih sledi, saj naj bi bilo teh sistemov preveč in bi to povzročilo nesorazmerno veliko porabo virov in dokup potrebnih licenc.

Ministrstvo za javno upravo po oceni računskega sodišča ni v celoti izkazalo zadovoljivih popravljalnih ukrepov za odpravo nesmotrnosti in je tako kršilo obveznost dobrega poslovanja.