Şayıştay Hazine'yi güvensiz buldu

Sayıştay, devletin borç stokuna ilişkin verilerin bulunduğu, kamu kesiminin yükümlülüklerini gösteren, hangi tarihte ne kadar borç ödeneceğini belirleyen bütün bilgilerin yer aldığı Hazine’nin bilişim sistemlerini “güvensiz” buldu. Sayıştay, halen kullanılan sistemdeki zaaflar nedeniyle, “sistemin çıktısı olan raporların doğru ve güvenilir olmamasına yol açabilecek riskler doğurduğuna” karar verdi. ANKA’nın edindiği bilgiye göre Sayıştay’ın, Devletin hesaplarını tutan Hazine’nin bilgisayar sisteminin güvenilir olup olmadığını araştırarak “Hazine Bilişim Sistemleri Denetim Raporu” hazırladı. Sayıştay Genel Kurulu’nda kabul edilen 100 sayfalık raporda, Hazine hesaplarına ilişkin verilerin üretilmesinde kullanılan Hazine bilişim sistemlerinde bir çok güvenlik açığı bulunduğu kaydedildi. Raporda, “Kurumda şu anda kullanılmakta olan bilişim sisteminde yer alan zaaflar, bu sistemin çıktısı olan raporların doğru ve güvenilir olmamasına yol açabilecek önemli riskler doğurmaktadır. 2003 yılında yürütülen denetim çalışmalarında elde edilen bulgular, bu risklerin gerçekleştiğini ve Sayıştay’a verilen dış borç cetvellerinde hesabın reddedilmesine sebep olacak önemli hatalar bulunduğunu göstermektedir.” denildi. Hazine Müsteşarlığının mevcut sorunları çözmek amacıyla yürüttüğü çalışmaları henüz tamamlayamadığı ve hazırlanan yeni sistemin uygulamaya geçirilemediği belirtilen raporda, Hazine’nin karşı karşıya bulunduğu risklerin belirlenmesinde ve bunlara karşı bir güvenlik planı hazırlanmasına ilişkin bir çalışma yapılmadığını bildirildi. Hazine’de bilgi güvenliği ile ilgili standartların belirlenmediği, Kurumun bir “Acil Durum Eylem Planı” ve Kriz Yönetim Planı” olmadığı belirtilen raporda, saptanan eksiklikler şöyle sıralandı: “Hazine’de kullanılan, üretilen ve muhafaza edilen kaynaklar önemlerine ve gizliliklerine bağlı olarak sınıflandırılmamıştır. Hazine bilişim sistemlerinin şifreleme ve güvenlikle ilgili standartları belirlenmemiştir ve uygulamadaki ayarlar yeterli güvence sağlamamaktadır. Görev yeri değişen veya işten ayrılan personelin sistemlere erişim yetkilerinin derhal kaldırılması sağlanmamaktadır. Kullanıcı bilgisayarlarının açık bırakılarak belirli bir süre kullanılmadığı durumlarda başkaları tarafından kullanılmasını önleyecek kontroller bulunmamaktadır. Kullanıcıların sisteme, aynı anda, aynı kullanıcı adı ve şifresiyle değişik bilgisayarlardan bağlanması mümkündür. Kuruma dışarıdan yetkisiz erişimi kontrol etmek için kullanılan kontrol mekanimzaları tarafından belirlenen ve engellenen saldırılar yönetime raporlanmamaktadır. Sisteme uzaktan çevirimli bağlantı kurulmak suretiyle sağlanabilecek erişimlerle ilgili güvenlik önlemleri bulunmamaktadır.” Raporda ayrıca, hazine bilişim donanımlarının yer aldığı bina girişlerinin kontrol edilmesi için kurulan sistemlerin etkin çalıştırılmadığı, bu nedenle fiziki ulaşımın da mümkün olduğu bildirildi. Sayıştay raporunda, sistemde yer alan Hazine verileri üzerinde yapılan değişikliklerin belgelenmediği ve yeterli şekilde kontrol edilmediği, sisteme kaydedilecek veriler için standart veri giriş formları kullanılmadığı, kaynak niteliğinde olmayan belgelerle kayıt yapılmasını engelleyecek prosedürler geliştirilmediği, aynı verinin sisteme mükerrer kaydedilmesini önleyecek otomatik uyarı mekanizmalarının kurulmadığı da kaydedildi. Raporun sonuç bölümünde ise şöyle denildi: “-Hazine Müsteşarlığında şu anda kullanılmakta olan bilişim sisteminin hesaplara esas olan cetvelleri güvenilir bir şekilde üretmeye yeterli olmadığı tespit edilmiştir. -Yeniden tanzim edilerek Sayıştay’a verilen 1995-2002 yıllarına ait dış borç hesapları, tam, doğru ve uygun olmadıkları gerekçesiyle Sayıştay Genel Kurulunun 6.10.2003 tarihli kararıyla reddedilmiştir. -Reddedilen Hazine hesaplarına uygunluk verilebilmesi için; .Hazine bilişim sistemlerinin yeniden yapılandırılması çalışmaları tamamlanmalıdır. .Yeni sistemde, güvenilirliği zedeleyen kontrol zaafları giderilmelidir. .Sistem tarafından üretilen cetvel ve bilgiler, 2003 yılı uygunluk bildirimi çalışmalarından önce, Hazine Müsteşarlığının da görüşü alınmak suretiyle Sayıştay Genel Kurulu tarafından belirlenecek esaslar çerçevesinde, Devlet Borçları Saymanlığına intikal ettirilerek Sayıştay’a verilmelidir.”