DOCUMENT Registru Matricol Unic în care sunt înregistrați toți studenții din România a funcționat fără politici antivirus, fără proceduri de recuperare în caz de dezastru și fără strategie IT – raport al Curții de Conturi / Asemenea politici au început să fie elaborate abia în timpul auditului Curții

Foto: Unsplash.com

Registrul Matricol Unic al Universităților din România, în care sunt înregistrați toți studenții și care „ar trebui să asigure un control riguros al diplomelor din învățământul universitar”, până când va fi înlocuit cu un nou sistem, a funcționat fără o strategie IT, „fără proceduri elaborate formalizat” și cu probleme serioase în domeniul securității – fără politici antivirus sau de recuperare în caz de dezastru. Acestea sunt câteva dintre concluziile unui raport de audit realizat de Curtea de Conturi, prezentat joi. Potrivit documentului, asemenea politici au început să fie elaborate în timpul auditului, desfășurat în a doua jumătate a anului trecut.

În aceste condiții s-a desfășurat și auditul Curții de Conturi, care a urmărit evaluarea guvernanței IT, a modului în care au fost identificate riscurile de securitate, precum și evaluarea măsurii în care platforma își îndeplinește scopul de colectare și prelucrare a informațiilor. 

Iar verificările au dus la trei probleme scoase în evidență de Curtea de Conturi:

Raportul detaliat semnalează, însă, probleme considerabile la nivel IT / de securitate. Între altele:

În ceea ce privește securitatea, documentul notează că „UEFISCDI nu a avut o politică de securitate și drept consecință nici măsuri de implementare a unor controale IT”, iar singurele proceduri operaționale în zona IT „conțin doar definiții și enumeră câteva principii generale privind securitatea IT”.

Fără politici antivirus. Back-up limitat și cu neajunsuri

Raportul avertizează că „UEFISCDI nu are o politică antivirus, politică de back-up și politică de recuperare în caz de dezastru care să asigure cadrul pentru integritatea și protecția datelor, în condițiile în care, potrivit ROF, elaborarea acestor politici revenea Serviciului informatică și infrastructură suport”. Documentul notează însă că „în timpul auditului, au fost luate măsuri de elaborare și aprobare a acestor politici”.

Se precizează, totodată, că „inexistența unor politici pentru securitatea informațiilor a fost determinată de subestimarea necesității acestor politici, motivat de percepția că UEFISCDI este o entitate de dimensiuni reduse, ceea ce a condus la nealocarea resurselor necesare pentru dezvoltarea și implementarea acestor politici.”

Raportul Curții de Conturi atrage atenția asupra riscurilor cu care s-a confruntat platforma în lipsa unor politici IT:

„Absența politicilor IT la nivelul entității a condus la lipsa procedurilor sau instrucțiunilor adecvate, expunând entitatea la vulnerabilități. De exemplu, lipsa unei politici de securitate putea sa faca entitatea vulnerabilă la:

▪ atacuri cibernetice (cum ar fi: furtul de date, ransomware și malware), ce pot avea un impact semnificativ asupra funcționării REI/RMUR, inclusiv pierderi financiare și de date;

▪ pierderi de date, ce ar putea duce la furturi de identitate (sistemul stocând date personale) ce pot atrage sancțiuni legale, costuri financiare și afectarea imaginii UEFISCDI;

▪ incidente de securitate (cum ar fi: acces neautorizat, coruperea datelor sau întreruperi ale serviciilor) ce pot perturba operațiunile REI/RMUR și pot atrage pierderi financiare”

Alte probleme sau neajunsuri semnalate de Curtea de Conturi:

„În concluzie, RMUR permite verificarea autenticităţii actelor de studii, a documentelor şcolare şi a parcursului şcolar în vederea aplicării vizei Ministerului Educaţiei prin Centrul Naţional de Recunoaştere şi Echivalare a Diplomelor (CNRED). Totuși, RMUR nu este utilizat la capacitatea sa deplină pentru vizualizarea traseului educațional al studenţilor şi cursanţilor din instituţiile de învăţământ superior din România şi Academia Română în vederea fundamentării, formulării şi implementării politicilor publice în domeniu şi, implicit, corelării ofertei educaţionale cu cerinţele pieţei muncii”, arată raportul.

Recomandările Curții de Conturi

Raportul include și un set de recomandări privind securitatea și administrarea datelor din Registrul Matricol Unic. Printre acestea:

Vezi integral raportul prezentat de Curtea de Conturi:

Exit mobile version