მოძველებული IT ინფრასტრუქტურა მზარდ რისკს უქმნის გაერთიანებული სამეფოს უსაფრთხოების შემოწმებას

ეროვნული აუდიტის სამსახურის (NAO) თანახმად, ქრონიკული არასრულფასოვნების ნიმუში, რომელიც ნაწილობრივ წარმოიქმნება მემკვიდრეობითი IT ქონებისგან, რომელსაც უკიდურესად სჭირდება მოდერნიზაცია, დატოვა კაბინეტის ოფისის მიერ მხარდაჭერილი გაერთიანებული სამეფოს უსაფრთხოების შემოწმების (UKSV) სერვისი სამუშაოს შეფერხებისა და გაშვებული მიზნების წინაშე. ანგარიში დღეს გამოქვეყნდა.

UKSV, რომელიც შეიქმნა 2017 წელს, აქვს უფლება შეამოწმოს სამუშაო განაცხადები იმ როლებზე, რომლებსაც აქვთ წვდომა სენსიტიურ სამთავრობო ინფორმაციაზე, ადგილებზე ან აღჭურვილობაზე. ის ყველაზე ხშირად ახორციელებს შემოწმებას სამ კატეგორიაში – კონტრტერორისტული შემოწმებები (CTC), უსაფრთხოების შემოწმება (SC) და განვითარებული შემოწმება (DV), რაც გაძლიერებული პროცედურაა უფრო მგრძნობიარე აქტივებისთვის. მისი უმსხვილესი მომხმარებელი თავდაცვის სამინისტროა, თუმცა მან ასევე ცოტა ხნის წინ დაიწყო შემოწმებების ჩატარება კომერციული ავიაციის სექტორისთვის.

თუმცა, NAO-ს თანახმად, UKSV ვერ მიაღწია თავის მიზნებს CTC და SC კლირენსებისთვის 2021 წლის აგვისტოდან, ხოლო DV კლირენსებისთვის მიზნები გამოტოვებულია 2021 წლის მაისიდან. შემთხვევების შემთხვევაში, მაგრამ 2022 წლის სექტემბერში მან მიაღწია ამ მიზანს შემთხვევების მხოლოდ 15%-ში. DV-ის დამუშავებას შემთხვევების 85%-ში უნდა დასჭირდეს 95 დღე, მაგრამ ეს მიღწეული იქნა შემთხვევების მხოლოდ 7%-ში 2022 წლის აპრილში.

NAO-მ თქვა, რომ ის ასევე ვერ ასრულებდა მიზნებს DV კლირენსების შემდგომი შემოწმებისთვის, რომელიც ტარდება თავდაპირველ კლირენსსა და სრულ განახლებას შორის შვიდი წლის შემდეგ და შექმნილია იმისთვის, რომ აღბეჭდოს და ასახოს ცვლილებები პირად გარემოებებში, რომლებიც შეიძლება მოხდეს. კიდევ ერთხელ, ეს უნდა გაკეთდეს 95 დღის განმავლობაში 85% დროში, მაგრამ ეს არ მომხდარა ხუთი წლის განმავლობაში.

„ჩვენმა გამოძიებამ დაადგინა, რომ მიუღებელი შეფერხებები კვლავ აფერხებს უსაფრთხოების შემოწმებას, რაც სასიცოცხლო მნიშვნელობისაა მთავრობის ეფექტური ფუნქციონირებისთვის და, კერძოდ, ეროვნული უსაფრთხოების მუშაობისთვის“, – თქვა NAO-ს ხელმძღვანელმა გარეტ დევისმა.

„UKSV უნდა დაეყრდნოს ინიციატივებს მისი სტაბილიზაციის გეგმიდან, რათა უზრუნველყოს, რომ ის მდგრადი გზაზეა, რათა დააკმაყოფილოს მზარდი მოთხოვნა ვეტინგზე. და მნიშვნელოვანია, რომ კაბინეტის ოფისმა განსაზღვროს მკაფიო გზა მნიშვნელოვანი რეფორმისთვის, მათ შორის ნიჭის დაქირავება და შენარჩუნება მდგრადი გაუმჯობესების განსახორციელებლად და მართვისთვის.”

NAO-მ თქვა, რომ UKSV უკვე უკან იყო, რადგან მის სერვისებზე ფაქტობრივმა მოთხოვნამ გადააჭარბა პროგნოზულ მოთხოვნას 60%-ით (57% DV კლირენსებისთვის) 2021-22 წლებში, და ერთეული დარჩა ნაკლებ რესურსზე ამ პერიოდის განმავლობაში, მისი საჭირო რაოდენობის დეფიციტი 250-ზე მეტია.

სტაბილიზაციის გეგმა დაეხმარა მას 2022-23 წლებში მეტი კლირენსების გატარებაში – ეს იყო ორიენტირებული ახალი DV კლირენსების პრიორიტეტიზაციაზე ვიდრე განახლებაზე, პროდუქტიულობის გაუმჯობესებაზე და არსებული IT სისტემების ავტომატიზაციასა და გაუმჯობესებაზე. შედეგად, მან გაზარდა DV კლირენსები 49%-ით 2022 წლის აპრილიდან ნოემბრამდე, ხოლო CTC/SC კლირენსები 12%-ით.

NAO-მ იტყობინება, რომ საერთო ვითარებას, როგორც ჩანს, აფერხებს UKSV-ის „საკვანძო IT ინფრასტრუქტურის“ მოდერნიზების ჯერ კიდევ შეუსრულებელი დაპირება, რომელიც ნამდვილად არ მოიტანს ნაყოფს 2024-2025 წლამდე.

მან თქვა, რომ კაბინეტის ოფისის თავდაპირველი მცდელობები მისი IT-ის მოდერნიზაციისთვის 50%-ით აჭარბებდა ბიუჯეტს და რომ გადასახადის გადამხდელთა ფულის 2,5 მილიონი ფუნტი უნდა ჩამოეწერათ. შედეგად, UKSV კვლავ იყენებს IT სისტემას, რომლის მიტოვებაც პირველად 2018 წელს სურდა, რადგან მას აკლდა სიმძლავრე, იყო ძალიან ნელი და სჭირდებოდა ძალიან ბევრი მექანიკური გამოსავალი მისი შესანარჩუნებლად.

NAO-ს სრული ანგარიში, რომელიც შეგიძლიათ წაიკითხოთ აქ, მოუწოდებს კაბინეტის ოფისს სასწრაფოდ გააძლიეროს UKSV-ის მოდერნიზაცია და განახორციელოს ტრანსფორმაციის ადრე შეთანხმებული გეგმა. ის ასევე ხაზს უსვამს შესრულების უფრო გამჭვირვალე მეტრიკის საჭიროებას და UKSV-ში მეტი გამძლეობის ჩამოყალიბების აუცილებლობას, რათა მან შეძლოს რეაგირება მოვლენებზე, რომლებიც მის კონტროლს არ ექვემდებარება, რამაც შეიძლება გაზარდოს მისი დატვირთვა.

მარკ გიბსმა, EMEA-ს პრეზიდენტმა UiPath-ში, პროცესის ავტომატიზაციის პროგრამული უზრუნველყოფის მიმწოდებელმა, თქვა, რომ ასეთ სასიცოცხლო მნიშვნელობის სერვისის წარუმატებლობამ შესაძლოა დიდი ბრიტანეთის ეროვნული უსაფრთხოება რისკის ქვეშ დააყენოს.

”უსაფრთხოების შემოწმება არის სასიცოცხლო მნიშვნელობის სერვისი და მნიშვნელოვანი გადაწყვეტილებების ქვაკუთხედი, რომელსაც უდიდესი გავლენა აქვს”, – თქვა მან. „აუცილებელია, რომ შესაბამისმა სამთავრობო უწყებებმა უზრუნველყონ ტექნოლოგიური დავალიანების დაკმაყოფილება, ისევე როგორც საჯარო მოხელეების კვალიფიკაციის ამაღლება, რომლებიც მუშაობენ ყველაზე მეტად დაზარალებულ დეპარტამენტებში.

„ტექნოლოგიური თვალსაზრისით, ავტომატიზაცია არის გამოსავალი, რომელიც ხელს შეუწყობს არსებული ნარჩენების გასუფთავებას. ავტომატიზაცია მუშაობს თანამშრომლებთან ერთად ეფექტურობის გასაუმჯობესებლად და აქვს ამ გამოწვევის გამკლავების მყარი გამოცდილება. ამრიგად, ავტომატიზაციის განხორციელებას შეუძლია დაეხმაროს მთავრობას გაზარდოს პროდუქტიულობა, რაც საშუალებას მისცემს უფრო მეტ რეაგირებას და გაუმჯობესებულ სერვისებს. ”