ديوان المراقبة”: خلل أمني وتنظيمي في مركز تقنية المعلومات بوزارة النقل

كشف تقرير من ديوان المراقبة الأسبوع الماضي عن مخالفات متعددة وخلل في النواحي الأمنية والتنظيمية في مركز تقنية المعلومات بوزارة النقل، من خلال دراسة النواحي التشغيلية والأمنية لمركز المعلومات بالوزارة، وذلك بهدف التحقق من سلامة الإجراءات المتبعة لحماية المركز والرقابة على استخداماته وحسن استغلاله وفي حدود أنظمة الرقابة الداخلية والمستندات والبيانات التي أمكن الحصول عليها. وقام فريق من الإدارة العامة لرقابة عمليات الحاسب الآلي بديوان المراقبة العامة الشهر الماضي بدراسة النواحي الأمنية لمركز تقنية المعلومات وتوصل الفريق إلى عدد من الملاحظات أهمها عدم تقييم ومراجعة وتحديث الخطة الاستراتيجية لتقنية المعلومات من فترة لأخرى وتبين أن الخطة الاستراتيجية وضعت قبل 6 سنوات ولم يتم تحديثها ومراجعتها طوال تلك الفترة وان ذلك يؤدي لضعف مواكبتها للمتغيرات الحاصلة في تقنية المعلومات . وأشار تقرير الفريق الذى جاء في 13 صفحة كاملة وتضمن كلمة عدم 62 مرة إلى ضعف وخلل في اتخاذ القرارات المهمة المتعلقة بتقنية المعلومات وصعوبة تحديد الاحتياجات المستقبلية بالنسبة لإدارة تقنية المعلومات، وبالتالي لم يتم اخضاع انجاز هذه المشروعات إلى الرقابة مما يؤدي إلى تطوير واقتناء نظم غير مخطط لها ولا تتطابق مع أنظمة الوزارة.
عدم وضوح الرؤية
وانتقد الفريق غياب اى دراسات بإمكانيات البنية التحتية الحالية لتقنية المعلومات مما يؤدي إلى عدم تحديد إمكانيات تقنية المعلومات الحالية والمطلوب توفرها ،مما يؤدي أيضا إلى غياب التخطيط السليم والقيام بالخطط القصيرة والطويلة المدى بالشكل المطلوب وعدم اتخاذ قرارات سليمة بالنسبة لتقنية المعلومات. واشار التقرير الى ضعف تطابق الهيكل التنظيمي على أرض الواقع مع الهيكل التنظيمي المعتمد لإدارة تقنية المعلومات، مما يؤدي إلى ضعف تحقيق الهدف الذي وضع من أجله الهيكل التنظيمي نتيجة لوجود اختلاف في عدد وعلاقات وحدات الإدارة العامة وتحديد الإدارات ومراكز اتخاذ القرار.
وتبين للفريق تجاهل تأسيس لجنة للتخطيط والتوجيه والإشراف على تقنية المعلومات مشيرا الى ان ذلك يؤدي إلى عدم القدرة على تحقيق الأهداف بفاعلية في حالة وجود أي انحراف في تحقيق الأهداف. وأشار الفريق إلى أن إدارة الرقابة الداخلية بالوزارة لا تقوم بعملية مراجعة الأدوار والمسؤوليات والتأكد من صحة العمليات المتعلقة بأعمال تقنية المعلومات، مما يؤدي إلى حصول أشخاص غير مخولين لادوار ومسؤوليات ليست من اختصاصهم و زيادة المخاطر المحتملة على مراكز تقنية المعلومات، وانتقد غياب إجراءات واضحة ومتبعة لدى الوزارة من اجل التأكد من فهم الموظفين للسياسات والإجراءات الخاصة بإدارة تقنية المعلومات، مما يؤدي إلى احتمالية فهم الموظفين لتلك السياسات بالشكل الخاطئ مما يؤدي لضعف في تحقيق أهداف واتجاهات الوزارة بالشكل المطلوب.
عدم الرقابة على المتجاوزين
واشار التقرير إلى غياب الرقابة على تجاوز المستخدمين لسياسات العمل وعدم رفع تقارير بذلك مما يؤدي لعدم معرفة الأشخاص المتجاوزين للسياسات و الأسباب والحلول لذلك وغياب تطبيق مبدأ المحاسبة، وتبين للفريق من خلال عملية الفحص أن إدارة تقنية المعلومات لا تحتفظ بسياسة تتعلق بعملية إجراء مناوبة أو تدوير بين موظفيها مما يؤدي الى غياب التناوب على المراكز الحساسة أو إبقاء نفس الموظف لفترة طويلة في نفس المركز موضحا ان ذلك من شأنه أن يضر بمصالح الوزارة وقدرتها على الكشف عن التجاوزات ، علاوة على صعوبة قيام وانجاز الاعمال الموكلة له في حالة غيابه أو مغادرته للوزارة بصورة مفاجأة مما قد يعطل سير اعمالها، وقد يؤدي ذلك إلى الاعتماد بشكل كبير على أشخاص محددين في أداء وظائف معينة، وصعوبة اكتشاف حالات التلاعب التي قد يرتكبها بعض الموظفين.
كما لاحظ الفريق أن مركز المعلومات بالوزارة لا يحتوي على خطة مكتوبة للطوارئ شاملة لمواجهة كل الاخطار المحتملة سواء كانت طبيعية كالزلازل أو الفيضانات أو نتيجة أسباب فنية كتعطل الأجهزة أو اعمال تخريبية كالحريق أو تدمير المركز مما يؤدي إلى إتلاف الأجهزة والبرامج، كما لم يتم تدريب الموظفين حول آلية التصرف في حال حدوث أي كوارث أو طوارئ لا سمح الله، وانتقد غياب اجهزة للإطفاء والتنبيه من الحريق في مركز تقنية المعلومات، مشيرًا إلى أن الوزارة لم تدرب الموظفين حول آلية التصرف في حال حدوث كوارث أو حوادث غير متوقعة قد تؤدي إلى تعطيل الأجهزة وفقدان المعلومات في بعض الأحيان في حال وجود حريق أو أي كارثة لا سمح الله وبالتالي توقف أنشطة الوزارة وتحمل خسائر مادية كبيرة.
وتبين للفريق ان الوزارة لم تضع سياسات واضحة وإجراءات موثقة تتعلق بالعبور المادي والمنطقي لكل المرافق المتعلقة بتقنية المعلومات، وعدم توفر سجل للزوار لمركز تقنية المعلومات،وعدم وجود النسخ الاحتياطية في مكان آمن. وكما تبين للفريق من الإدارة العامة لرقابة عمليات الحاسب الآلي بديوان المراقبة العامة من خلال الفحص غياب اتفاقية مستوى الخدمة مثلما نصت عليه المعايير الدولية ووفق أفضل الممارسات ذات العلاقة بمجال تقنية المعلومات، علما بأن هذه الاتفاقية تبرم بين وحدة تقنية المعلومات بصفتها مزود للخدمات وبقية الوحدات التابعة للوزارة بصفتها المستفيد من هذه الموارد، ويمكن أن تشتمل أي اتفاقية مستوى خدمة على العناصر التالية: البنود العامة (التي تشتمل على نطاق الاتفاقية، والموقعين عليها، وتاريخ المراجعة التالي)، وصف مختصر للخدمات (تطبيقات الوظائف وأنواع المعاملات المهمة)، ساعات الخدمة (ساعات العمل العادية والمناسبات الخاصة التي يتم العمل فيها مثل أيام الإجازات والعطل)، توفر الخدمة (النسبة المئوية للإتاحة، الحد الأقصى لحالات الفشل في الخدمة، والحد الأقصى لعدد مرات التعطيل في كل حالة فشل)، مستويات دعم المستخدمين (تفاصيل فريق الدعم)، الأداء (أوقات الاستجابة وأوقات الإصلاح)، خطة استمرارية العمل (وصف مختصر للخطط)، الأمن (بما في ذلك التوافق مع سياسة امن تقنيات المعلومات في الوزارة)، القيود (الحد الأقصى للمعاملات، وللمستخدمين)، وتحدد هذه الاتفاقية مستوى الخدمة المطلوبة وكيفية قياس الأداء باعتماد مؤشرات متفق عليها مسبقا، كما تمكن هذه الوثيقة من تحديد ادوار ومسؤوليات جميع الاطراف المعنية، موضحًا الفريق أن غياب هذه الاتفاقية تمنع الوزارة من تحديد مستوى كل من الخدمات المطلوبة والمقدمة من قبل إدارة تقنية المعلومات ومدى استجابتها لاحتياجات مختلف الوحدات الأخرى، كما أنها تمنع الوزارة من قياس الأداء الفعلي لوحدة تقنية المعلومات ومقارنته بالمعايير المتفق عليها وتحليل الفوارق وتحديد الأسباب والمسؤوليات والارتقاء بنوعية الخدمات إلى مستوى تمكن الوزارة من بلوغ أهدافها الرئيسية في أفضل الظروف وأقل كلفة.
لا تصور لمواجهة الكوارث
وأشار الفريق إلى غياب خطة لاستمرارية خدمات تقنية المعلومات معتمدة وموثقة لأعمال إدارة تقنية المعلومات والتي تشتمل على تصورات لموجهة الكوارث المحتملة وتحدد الإجراءات الواجب اتباعها على كل الاطراف المعنية في حالة حدوث كارثة طبيعية أو تدخل طرف آخر من شأنه أن يلحق الضرر بالأجهزة والمعدات وتلف كل المعطيات والبيانات وبالتالي عدم القدرة على مواصلة العمل على مستوى وحدة تقنية المعلومات والوزارة ككل، مشيرًا إلى أن غياب خطة استمرارية اعمال تقنية المعلومات تزيد من نسبة المخاطر المترتبة على خسارة الموارد المتاحة في حالة حدوث كارثة طبيعية أو أي حادث آخر من شأنه إلحاق أضرار بالأرواح البشرية وبالمعدات والنظم والمعطيات والبيانات وبالتالي عدم قدرة وحدة تقنية المعلومات من مواصلة نشاطها ومساندة الوحدات الأخرى بوصفها المزود الرئيسي للخدمات، كما لا تمكن هذه الوضعية من استرجاع العمليات وإعادة تشغيل الأنظمة والتطبيقات في أحسن الظروف واستئناف النشاط على مستوى وحدة تقنية المعلومات بصفة خاصة والوزارة بصفة عامة وفي اقرب وقت كما يؤدي غياب خطة استمرارية الخدمة لمركز تقنية المعلومات إلى زيادة نسبة مواجهة المخاطر التالية: خسائر مالية، وفقدان البيانات والأنظمة والمعدات، وفقدان المصداقية، وفقدان الأرواح البشرية، وزيادة في تكاليف العمل.
وبين الفريق أن عدم توفر إدارة أو لجنة للمشكلات وسياسات وإجراءات موثقة لإدارتها لغرض تعريف جميع الحوادث وتسجيلها ومتابعتها المتعلقة بنظم المعلومات والتطبيقات والخوادم، مضيفًا أن من شأن غياب مثل هذه الإدارة والسياسات والإجراءات الواضحة وموثقة ألا تمكن إدارة تقنية المعلومات من معالجة ومتابعة كل المشكلات والصعوبات الفنية التي تعترض المستخدمين بالصفة المرجوة كما لا تمكن من توزيع الأدوار وتحديد المسؤوليات.
واشار الفريق إلى عدم وجود إجراءات مكتوبة ومعتمدة فيما يخص عمليات تصويب الأخطاء وكيفية قبولها دون أن يؤثر ذلك في عمليات التنفيذ، موضحًا أن عدم وجود إجراءات واضحة لكيفية تصحيح الأخطاء في حال حدوثها قد يؤدي إلى معالجة الأخطاء بشكل غير صحيح وبالتالي على سلامة المعلومات الموجودة، وأيضا عدم وجود إجراءات قد يؤدي إلى عدم إمكانية تحديد المسؤوليات بما يخص البيانات وسلامتها، ومشيرًا إلى عدم وجود إجراءات آلية لإغلاق الوصول المؤقت والطارئ بعد انتهاء المشكلة مما يؤدي إلى مخاطر كبيرة نتيجة وصول غير المخول لهم بالوصول. وكشف الفريق أن الوزارة لم تضع سياسات واضحة وإجراءات موثقة تتعلق بالعبور المادي والمنطقي لكل المرافق المتعلقة بتقنية المعلومات مما قد يعرضها إلى استخدام غير مرخص لها، حيث لا توجد بالوزارة إجراءات موثقة ومحدثة بخصوص دخول الأشخاص غير التابعين لإدارة تقنية المعلومات مثل موظفي التنظيف والصيانة وغيرهم، مضيفًا أن غياب سياسة وإجراءات واضحة ودقيقة تتعلق بتنظيم عمليات الدخول والعبور إلى وسائل تقنية المعدات وكذلك عدم تعميم وتفعيل كل وسائل الأمن، تؤدي إلى عدم تمكن الوزارة من المحافظة على ممتلكاتها وانعدام ضمان آمن البيانات والمعلومات، كما لا يمنع كل محاولات الدخول غير المرخص فيها والى ضعف الرقابة على المرافق وزيادة المخاطر لضياع أو سرقة أو تخريب الموارد كما يؤدي أيضا إلى غياب التنظيم. وأشار الفريق إلى ان غياب أجهزة للإطفاء والتنبيه من الحريق واجهزة موانع للرطوبة داخل مركز المعلومات يؤدي إلى زيادة المخاطر على الأجهزة داخل المركز وتعرضها للضرر والتلف بسبب الحريق والرطوبة الزائدة لا سمح الله. ولاحظ الفريق في زيارة لمركز المعلومات أن بابًا من الخشب والذراع من الهيدروليكي لإغلاق الباب بشكل أوتوماتيكي لا يعمل بشكل صحيح، موضحًا أن عدم وجود باب لمركز المعلومات مكون من المواد المضادة للحريق يساعد على انتشار الحريق في حالة حدوثه لا سمح الله، وبالتالي يؤدي إلى إتلاف جميع أجهزة الحاسب الآلي وما تحتويه من برامج وأنظمة كما ان عدم عمل الذراع الهيدروليكي الذي يعمل على إغلاق الباب بشكل أوتوماتيكي يؤدي إلى احتمالية عدم إحكام إغلاق الباب في حال نسيان الموظف إغلاقه بنفسه مما يؤدي إلى إمكانية دخول غير المصرح لهم بالدخول وبالتالي زيادة المخاطر الأمنية والرقابة والمساءلة وغيرها.
واشار التقرير الى غياب توفر سجل للزوار يوضح أسماء الموظفين الذين دخلوا للمركز والهدف من ذلك وساعة المغادرة من المركز وبالأخص للإدارات التي لها علاقة بخدمة العملاء يساهم في: ضعف الرقابة على المرافق، وسهولة دخول أشخاص غير مصرح لهم بالدخول إلى مركز المعلومات، وزيادة المخاطر لضياع أو سرقة أو تخريب الموارد، وغياب التنظيم. وتبين للفريق من خلال الفحص العام عدم وجود النسخ الاحتياطية في مكان آمن مما يؤدي إلى تلف النسخ الاحتياطية نتيجة حدوث حريق لا سمح الله كما يؤدي إلى سهولة سرقتها أو فقدانها وتلفها.