ВОА США провел вебинар рабочей группы ИНТОСАИ по аудиту информационных технологий

11 августа 2021 года представители Государственного контрольного управления США (ВОА США) провели очередной вебинар рабочей группы ИНТОСАИ по аудиту информационных технологий в рамках ее рабочего плана на 2020–22 годы. В мероприятии приняли участие более 240 представителей международного аудиторского сообщества.

Тема веб-семинара «Аудит устаревших ИТ-систем». Цель мероприятия – повышение уровня осведомленности аудиторского сообщества в области аудита информационных систем посредством распространения информации в рамках ежеквартальных веб-семинаров. ВОА Индии и США являются соруководителями проекта.

Вебинар провели сотрудники отдела по информационным технологиям и кибербезопасности ВОА США:

• Кевин Уолш, директор,
• Джессика Васелкоу, помощник директора,
• Мередит Рэймонд, старший ИТ-аналитик.

Во время сессии они представили отчет ВОА США об информационных системах, которые используют устаревшие языки программирования, неподдерживаемое оборудование и программное обеспечение, и/или в которых могут быть обнаружены уязвимости в сфере безопасности.

В отчете, подготовленном в 2019 году, определены наиболее важные устаревшие системы США, нуждающиеся в модернизации, даны оценки планов агентств по их модернизации, а также отмечены примеры инициатив по модернизации устаревших систем за предыдущие 5 лет, которые используемые их агентства сочли успешными.

В 2019 финансовом году правительство США планировало потратить более 90 млрд долл. США на информационные технологии, большая часть из которых предназначалась для эксплуатации и обслуживания как существующих, так и устаревших систем безопасности. Эти системы могут быть более дорогостоящими в обслуживании и уязвимыми для хакеров. Кроме того, они могут затруднить работу использующих их агентств, так как им придется столкнуться с проблемами по поиску сотрудников, которые знают, как использовать старую технологию и соответствующие коды системы.

ВОА США проанализировал актуальность систем 65 федеральных ведомств и определил 10 наиболее важных систем из 10 проанализированных ведомств, от Министерства обороны до Казначейства. Этим системам было от 8 лет до 51 года, и они были жизненно важны для предоставления основных услуг, таких как управление чрезвычайными ситуациями, здравоохранение и оборона. У трех агентств не было задокументированных планов модернизации. У двух были планы по обновлению. Некоторые из них также использовали устаревший код, полагались на оборудование и программное обеспечение, которые больше не поддерживаются производителями, или имели серьезные риски безопасности.

Тем не менее, агентства выявили не менее 94 примеров успешной модернизации устаревших систем за предыдущие 5 лет. Пять примеров успешных инициатив по модернизации информационных технологий, отобранных ВОА, включали преобразование устаревшего кода в более современный язык программирования и перенос устаревшего программного обеспечения в облако. Это позволило агентствам использовать информационные технологии для успешного выполнения своих задач и получения широкого спектра преимуществ, включая экономию средств.

В отчете ВОА дается в общей сложности восемь рекомендаций для разработки ведомственных планов по модернизации устаревших систем. Восемь агентств согласились с выводами и рекомендациями ВОА, а семь из агентств подготовили планы по выполнению рекомендаций.

Презентация отчета вызвала большой интерес у участников вебинара. Количество вопросов было настолько велико, что, учитывая ограниченное время встречи, представители ВОА пообещали ответить на них в письменной форме после вебинара.