TBMM Plan ve Bütçe Komisyonu’nun onayıyla müsteşarlığı denetleyen Sayıştay’ın, Başkan Mehmet Damar imzasıyla hazırladığı rapora göre olası bir veri tabanı ve bilgisayar altyapısını derinden etkileyecek tehlikeye karşı hemen uygulamaya koyacağı bir ''Acil Eylem Planı'' hazırlanmadı.
Kurumun www.sayistay.gov.tr web adresinde de yayınlanan rapora göre sistem odalarına giriş çıkışlar kontrol edilmiyor. Şifrelerin kolay tahmin edilmesini engelleyen sistem devre dışı bırakıldı.
Aynı verinin sisteme mükerrer (tekrar) kaydedilmesini önleyecek otomatik uyarı mekanizmaları kurulmadı.
Deprem verileri yok edebilir
Hazine’de müsteşarlık yetkilileriyle beraber ve uluslararası denetim firmalarından Price Waterhouse Coopers’ın danışmanlığında günlerce inceleme gerçekleştiren Sayıştay, hazırladığı raporda kurumun internet sitesine düzenlenen hack saldırılarının yönetime bildirilmediğini belirledi. İşten ayrılan personelin şifrelerinin de hemen iptal edilmediği belirtilen raporda, bilgisayar sistemine bina dışından erişimin de yeterli derecede güvenlik altına alınmadığına dikkat çekildi.
Deprem, yangın veya benzeri bir afetin meydana gelmesi ve Hazine Müsteşarlığı binasının zarar görmesi durumunda, sistem ve veri tabani yedeklerine zamanında ulaşılamaması, hatta bunların tamamen kaybedilmesi söz konusu olabilir'' ifadesi yer aldı.
Şifreler tahmin edilebilir
TBMM’ye gönderilen raporda Hazine’nin önemini ''Kamu kesiminin borçlarını ve diğer mali risklerini yöneten, nakit akışını idare eden bir kurum konumundadır. Kurumun yönetmekte olduğu risk portföyü yüzmilyarlarca dolarlık bir meblağa ulaşmaktadır'' cümleleriyle anlatan Sayıştay, kurumun bilişim sistemlerinin şifreleme ve güvenlikle ilgili standartları belirlenmediğini bildirdi.
Sayıştay incelediği bulguların yüzde 35’inin yüksek risk, yüzde 44’ünün normal risk ve yüzde 21’inin de düşük risk grubunda yer aldığını kaydetti.
Şüphe üzerine İncelendİ
SayIŞtay’In Hazine Müsteşarlığı’nın bilgisayar sistemlerini masaya yatırma ve korkunç gerçeği ortaya çıkarmasıyla sonuçlanan süreç şöyle gelişti: Sayıştay Genel Kurulu, daha önceki raporlarında Hazine’nin iç denetim mekanizmasının çalışmadığını TBMM’ye bildirdi. Plan ve Bütçe Komisyonu da bunun üzerine Sayıştay’a kurumu inceleme yetkisi verdi. Sayıştay, Hazine’nin 1983’ten buyana devletin borç stokuna ilişkin tüm bilgilerin bilgisayarlara aktarmak yoluyla faaliyet gösterdiğini göz önüne alarak çalışmalarını bu yöne kaydırdı. Sayıştay, Hazine’nin bilgisayar sistemini güvenlik yönetimi, mantıksal ve Fiziksel erişim, yazılım geliştirme, girdi kontrolleri, personel ve eğitim politikaları ile iç denetim açısından inceledi. Sayıştay sonuçları da Başkan Mehmet Damar imzasıyla 20 Ekim 2003 tarihinde TBMM’ye gönderdi.
Acil eylem planı yok
Hazine Müsteşarlığı’nın karşı karşıya bulunduğu risklerin belirlenmesine ve bunlara karşı bir güvenlik planı hazırlanmasına ilişkin herhangi bir çalışma yapılmamaktadır.
Kurumda bilgi güvenliği ile ilgili standartlar belirlenmemiştir.
Kurumun bir ''Acil Durum Eylem Planı'' ve ''Kriz Yönetimi Planı'' bulunmamaktadır.
Kurumun bir ''İş Sürekliliği Planı'' bulunmamaktadır.
Güvenlik önlemi
Görev yeri değişen veya işten ayrılan personelin sistemlere erişim yetkilerinin derhal kaldırılması sağlanamamaktadır.
Kullanıcı bilgisayarlarının açık bırakılarak belirli bir süre kullanılmadığı durumlarda başkaları tarafından kullanılmasını
önleyecek kontroller kullanılmamaktadır.
Kullanıcıların sisteme, aynı anda, aynı kullanıcı adı ve şifresiyle değişik bilgisayarlardan bağlanması mümkündür.
Sisteme uzaktan çevirmeli bağlantı kullanılmak suretiyle sağlanabilecek erişimlerle ilgili yeterli güvenlik önlemleri bulunmamaktadır.
H.O.Tercüman
Güncellenme Tarihi : 16.3.2016 20:57
