Kur ir vājais posms?

Ir pamatoti informācijas sistēmu drošību dalīt divās daļās – tehnoloģiskajos risinājumos un cilvēku loģistikā, stāsta M.Bičevskis. Viņš uzskata, ka valsts informācijas sistēmu drošībā vājais posms ir saistīts ar personāla atlasi, klasifikāciju, kādām personām kādus pienākumus ļauj veikt, kā arī ar sistēmu attīstību un kontroli. „Tur bankas gan ir soli priekšā,” viņš atzīst, piebilstot, ka ir iespējams uzlabot prasības un atlases sistēmu tam personālam, kam ir ļoti atbildīgi pienākumi. Atšķirības starp valsts un privāto sektoru M.Bičevskis saskata tieši šajā jomā, proti, valsts sektorā pieejamie resursi personāla apmācībai un attīstībai ne tuvu neesot tik lieli kā privātajā sektorā. Viņš atklāj, ka drošības jautājumu personāla komponente visā pēdējā desmitgadē procentuāli ir dabūjusi vismazāk resursu. „Mēs koncentrējāmies uz IT risinājumiem.”

J.Režais piekrīt, ka personāla uzticamas darbības nodrošināšana ir tā joma, kur varētu piestrādāt, taču viņš to vairāk saista ar stingriem noteikumiem, kurš ko var darīt. „Es nedomāju, ka valsts iestādēs strādā blēži un bankās – godīgi cilvēki. Bet organizatoriskie pasākumi un procedūras var nodrošināt to, ka negodīgiem cilvēkiem nav iespējas veikt noziedzīgus nodarījumus.” IT eksperts domā, ka jāstrādā pie noteikumiem, darba instrukcijām, pārbaudes metodēm.

Mainīt uzņēmuma kultūru var tikai ilgstošā laikā

AS „Hansabanka” valdes loceklis un Produktu attīstības un IT pārvaldes vadītājs Dainis Bērziņš skaidro, ka nevar salīdzināt informācijas sistēmu drošības līmeni valsts un privātajā sektorā. Viņš stāsta, ka „Hansabanka” atlasē vērtē darbinieku atbilstību uzņēmuma korporatīvajām vērtībām. „Mēs veidojam tādu uzņēmuma kultūru, kur cilvēki vēlas justies piederīgi „Hansabankai”. Tas, ka jūti piederību, mazina varbūtību, ka savai saimei gribētu pāri darīt,” saka D.Bērziņš. Viņš pieļauj, ka privātajā sektorā to izdarīt varbūt ir vieglāk, taču nevis resursu dēļ, bet uzņēmuma vadības nostājas dēļ. Tai pašā laikā viņš arī atzīst, ka ar piederības sajūtu nepietiek. „Mums, dabīgi, nav paļaušanās, ka viss notiks tikai godprātīgi,” saka D.Bērziņš. Bankā ir definētas skaidras vadlīnijas, ko darbinieks drīkst vai nedrīkst darīt, un drošības pasākumi tiek piemēroti atkarībā no riska pakāpes, piemēram, ja notiek darbības ar lielākām naudas summām, viens darbinieks pārbaudot otru.

D.Bērziņš nedomā, ka izveidot stingrus un pārdomātus drošības noteikumus ir vienkāršs process, un arī ar tādiem nekad nebūšot iespējams pilnībā izslēgt visus riskus. Taču tieši pie organizatoriskās shēmas esot jāķeras vispirms, ja ir notikuši pārkāpumi, jo „mainīt uzņēmuma kultūru – tas ir ilgstošs jautājums”. J.Režais uzskata, ka valsts iestādēm vajadzētu skatīties, kā instrukcijas veido privātā sektora pārstāvji, un veikt uzlabojumus. Viņš nepieņem atbildi par resursu trūkumu un skaidro, ka situācija ir atkarīga arī no tā, kā saliktas prioritātes. M.Bičevskis tam piekrīt un skaidro, ka jaunajai prioritātei saistībā ar informācijas sistēmām būtu jābūt – koncentrēties uz spēju pielaist pie sistēmām un ļaut ar tām darboties „tādam skaitam cilvēku, ko mēs varam kontrolēt”.

Video: Tieslietu ministrijas valsts sekretārs Mārtiņš Bičevskis par personu grupu vēlmi izdarīt noziegumu un IT eksperts Jānis Režais par risku samazināšanu līdz minimumam, banku sistēmām un resursiem attīstībai (fragments no „Kas notiek Latvijā?”, 09.01.2008.)