Kontrolli i Lartë i Shtetit i ka rekomanduar Agjencisë së Prokurimit Publik që të ngrejë një qendër të ofrimit të shërbimit në rastet kur sistemi mund të pësojë probleme. Një sistem i tillë sipas KLSH nuk disponohet edhe pse APP dhe Agjencia Kombëtare e Shërbimit të Informacionit (AKSHI) kanë pranuar se kjo hallkë është në proces.
Konkretisht audituesit kanë nënvizuar se APP nuk disponon një infrastrukturë BCC (Business Continuity, center) për garantimin e vazhdimësisë së ofrimit të shërbimit, si dhe nuk është kryer azhurnimi i planit mbi vazhdimësinë e punës dhe rimëkëmbjet nga katastrofat.
“Agjencia e Prokurimit Publik, si institucion që posedon sistem informacioni që ruan të dhëna me rëndësi për realizimin e procedurave të Prokurimit, nuk disponon një infrastrukturë BCC (Business Continuity Center), në kundërshtim me VKM Nr.673 datë 22.11.2017 pika 6k.
APP disponon politika të shkruara mbi rimëkëmbjet nga katastrofat (disaster recovery plan). Plani i fundit i rikuperimit nga katastrofa i vënë në dispozicion të grupit të auditimit është i vitit 2017 . APP nuk disponon dokumentacion për ngritjen e grupit të punës apo të testimeve zhvilluara për funksionimin e këtyre politikave të rëndësishme për Sistemin e Prokurimit Publik . Këto testime nuk kryhen në mënyrë periodike me qëllim dhënien e sigurisë së arsyeshme se sistemi do të funksionojë në të gjitha situatat hipotetike “thuhet në raportin auditues të KLSH.
Ky i fundit nënvizon se risku që paraqitet në këtë rast është humbja e të dhënave në rast të fatkeqësive natyrore dhe ka nevojë për marrjen e masave sa më shpejt duke e cilësuar si një prioritet me rëndësi të lartë.
KLSH ka rekomanduar që AKSHI bazuar në VKM Nr.673 datë 22.11.2017 pika 6k për rëndësinë që ka ofrimi i shërbimit pas një fatkeqësie, të ndërmarrin hapat e nevojshëm për ndërtimin e qendre Business Continuity si dhe të azhurnojnë dhe të testojnë planin e rikuperimit nga katastrofa (disaster recovery plan) me qëllim dhënien e sigurisë së arsyeshme se do të funksionojë në të gjitha situatat hipotetike dhe se burimet njerëzore janë të mirënjohura me zbatimin e hapave që duhen ndjekur.
AKSHI në një korrespondencë për këtë situatë i ka konfirmuar KLSH-së se Disaster Recovery (Qendra e Vazhdimësisë se Biznesit) është në fazë implementimi aktualisht dhe ky projekt do të adresojë këto problematika, ndërsa dokumentacioni përkatës mbi planin e rikuperimit është pjesë integrale e ISO 27001.
Një tjetër gjetje e audituesve është edhe ajo se AKSHI nuk ka marrë masat e nevojshme për rritjen e sigurisë së informacionit në “Sistemin e Prokurimit Publik” dhe nuk ka përcaktuar, pikën e kontaktit si person përgjegjës në AKCESK.
“Në listën e infrastrukturës kritike të informacionit në sektorin qeveritar është përfshirë operatori administrues Agjencia e Prokurimit Publik me sistemin kritik “Sistemi prokurimit Publik” i cili nuk ka përcaktuar, pikën e kontaktit, person përgjegjës për infrastrukturat kritike dhe të rëndësishme të informacionit, dhe t’ia komunikojnë Autoritetit Kombëtar për Certifikimin Elektronik dhe Sigurinë Kibernetike” thuhet në auditim.
Sipas KLSH mos marrja e masave të sigurisë cenon sigurinë e informacionit në sistemet e informacionit dhe disponueshmërinë e besueshmërinë e shërbimeve në sistemin kritik “Sistemi prokurimit Publik”.
Auditimi në fjalë mbulon aktivitetin e institucionit në vitet 2020 dhe 2021. Ky raport u publikua së fundmi dhe lidhet me auditimet e teknologjisë së informacionit të kryera nga KLSH. Ndjeshmëria ndaj sigurisë së sistemeve dhe infrastrukturave kritike është rritur javëve të fundit pas një sulmi hakerash ndaj e-Albania çka nxori jashtë funksioni shërbimet për ditë të tëra.
/Monitor.al/