600 tūkstančių žmonių duomenų nutekėjimas iš Registrų centro – ne tik incidentas. Tai yra ženklas, kad valstybės informacinių technologijų ūkyje nesilaikoma net bazinės saugumo higienos.
Su informacinėmis sistemomis dirbu daugiau nei 20 metų. Tokie dinozaurai kaip aš galimai dar prisimena ir tokį 2002 metų Sarbaneso-Oxley aktą. To dokumento esmė buvo įvairių procedūrų ir sistemų diegimas į įmonių procesus po didelių kompanijų finansinių skandalų, kai išlaidos buvo apskaitomos kaip pelnas ir pan. Tos procedūros ir sistemos apsunkina sukčiavimo galimybes nesąžiningiems įmonių vadovams ar darbuotojams.
IT sistemoms braunantis į mūsų gyvenimus ir verslus aktyviau, įvairių sukčiavimo prevencijos procedūrų diegimas ir raportavimas tapo kasdieniniu gyvenimu – higiena. Su bendrųjų informacinių sistemų kontrolės priemonių (angl. IT general controls) sąvoka susipažinau ir pradėjau įgyvendinti savo darbe dar 2008 metais. Trumpai tariant, tai yra standartizuotos rekomendacijos IT sprendimų diegimui ir reguliariam raportavimui.
Pavyzdžiui, tai apima prieigos kontrolę (kas, kur ir kokiu vaidmeniu gali jungtis prie sistemos), pokyčių valdymą (kas gali daryti pokyčius per aplikaciją ar iš DB/kodo pusės; ar yra patvirtinimo procedūros ir tai įrodantys įrašai), sistemos operacijas (atsarginės kopijos, atstatymas, stebėsena), teisių paskirstymą (vienas vartotojas neturi galėti inicijuoti, patvirtinti, paleisti procesą, įrašyti rezultato į duomenų bazę), žurnalų (įrašų apie įvykius) kaupimą ir analizę, reguliarų šių funkcijų testavimą ir reguliarų rezultatų tikrinimą.
