Vienots datu apmaiņas mehānisms par e-pakalpojumu pieejamību ļautu operatīvi noskaidrot “vājos posmus” un tos preventīvi uzlabot – gan tehniski, gan drošības aspektā.
ĪSUMĀ
- Pēdējos piecos gados valsts pārvaldes izdevumi informācijas tehnoloģiju pakalpojumiem (informācijas sistēmu (IS) un ar to darbību saistītās informācijas un komunikācijas tehnoloģiju (IKT) infrastruktūras uzturēšanai) pieauguši no 41 līdz 64 milj. eiro gadā. Vienlaikus aplēses par IS un e-pakalpojumu nepieejamības izmaksām nav veiktas.
- Normatīvajos aktos ir noteikts sasniedzamais pieejamības līmenis, tomēr iestādēm nav skaidrs, kā to nodrošināt, ko uzraudzīt un kā mērīt.
- Arī organizatoriskie priekšnoteikumi (piem., iestādē jābūt veiktam IS drošības risku novērtējumam, izstrādātam IS darbības atjaunošanas plānam) normatīvajos aktos ir noteikti, tomēr iestādēs nav pilnībā ieviesti.
- Vienkopus netiek uzkrāta un analizēta informācija par sasniegto pakalpojumu pieejamību (vai tā tiek sasniegta un kuros posmos netiek sasniegta). Līdz ar to nav nosakāms, kur visvairāk nepieciešams veikt mērķtiecīgus uzlabojumus.
- Lai gan valsts IS un IKT resursu uzskaites sistēma (VIRSIS) ir izstrādāta un ir ieviesta kopš 01.01.2020., tajā uzskaitītie dati ir nepilnīgi.
- Revīzijas laikā gan VARAM, gan AiM ir spērusi soļus problemātisko jautājumu sakārtošanai.
Vai Latvijas iedzīvotāji un uzņēmumi var paļauties uz IS pieejamību un e-pakalpojumu saņemšanu? Diemžēl revīzijā Valsts kontrole neguva konkrētu atbildi: konstatētas vairākas problēmas saistībā ar to, kā valsts iestādes novērtē IS pieejamību un kā tās kopumā pārvalda IS. “Pirmkārt, iestāžu sniegtā informācija par IS un e-pakalpojumu pieejamības līmeni lielākoties ir viedokļos, nevis faktos balstīta, jo nav skaidrības, kā pieejamību izmērīt – nav aprēķina metodikas un netiek uzkrāti rādītāji, lai to mērītu. Otrkārt, valstiskā līmenī informācija par sasniegto IS un e-pakalpojumu pieejamības līmeni netiek apkopota. Novēršot šīs nepilnības, valsts pārvalde finanšu resursus un cilvēkresursus varētu izmantot efektīvāk. Tāpat būtu zināmi konkrēti “vājie posmi”, kuros uzlabojumi ir visnepieciešamākie,” skaidro Ilze Bādere, Valsts kontroles padomes locekle.
Lai arī valstiskā līmenī ir apzināts IS pieejamības nozīmīgums, t.sk. e-pakalpojumu nodrošināšanai, un normatīvajos aktos ir izvirzīti ieviešamie organizatoriskie priekšnoteikumi, lai sekmētu IS pieejamību un ar to saistītās IKT infrastruktūras darbības nepārtrauktību, iestādes šos priekšnoteikumus nesteidz ieviest, kā arī nesteidz pārliecināties, vai ieviestie organizatoriskie un tehniskie pasākumi nodrošina IKT darbības nepārtrauktību, IS un e-pakalpojumu pieejamību un vai incidenta gadījumā IS pieejamību var atjaunot iespējami īsā laikā. Šie jautājumi kļūst arvien aktuālāki, gan paaugstinoties kiberdrošības riskiem, gan Covid-19 pandēmijas ietekmē pieaugot e-pakalpojumu izmantošanai. Piem., saskaņā ar Pakalpojumu sniegšanas un pārvaldības platformas datiem par 2020.gadu e-pakalpojumi izmantoti četras reizes vairāk nekā klātienes pakalpojumi.
Būtiskākās konstatētās problēmas, kuru risināšanai #PēcRevīzijas sniegti ieteikumi
Iestādēm nav skaidrs, kā nodrošināt un ko uzraudzīt, lai sasniegtu normatīvajos aktos noteikto pieejamības līmeni (integrētajām valsts IS 98%, savietotājam 99% un
e-pakalpojumiem 98%). Iestādēs izmantotajām IS (ja vien tās nav integrētās valsts IS vai savietotājs) normatīvajos aktos nav noteikti tehniskie risinājumi, kurus ieviešot iestāde nodrošina savu IS darbību un sekmē noteiktu IS pieejamības līmeņa sasniegšanu. Atbilstošu tehnisko risinājumu IS pieejamības izvēle un rādītāji IS darbības nepārtrauktības uzraudzībai ir katras iestādes pārziņā. Iestādes lielākoties uzrauga un vērtē kādu no komponentiem, piemēram, IS datubāzes pieejamību vai servera darbību, bet nemēra un nevērtē citu komponentu, piemēram, funkcionalitātes, pieejamību IS lietotājiem.
Attīstības plānošanas dokumentos nav noteikti konkrēti sasniedzamie mērķi un uzdevumi, lai nodrošinātu IS pieejamību. Tāpat nav izvirzīti rezultatīvie rādītāji, pēc kuriem novērtēt sasniegto IS pieejamību. Nesaprotama ir situācija, ka e-pakalpojuma pieejamība, kas revidentu ieskatā ir viens no būtiskākajiem rādītājiem pakalpojuma kvalitātei, nav izvirzīta kā kvalitātes rādītājs valsts pārvaldes pakalpojumiem. Tas ir pretrunā valsts pārvaldes principam – pastāvīgi pārbaudīt un uzlabot sabiedrībai sniegto pakalpojumu kvalitāti (noteikti rādītāji, kas jāmēra un jāpublicē Pakalpojumu sniegšanas un pārvaldības platformā). Pašlaik tas, vai iestāde nodrošina/nenodrošina e-pakalpojumus un to atbalstošo IS darbību, ir tikai iestādes darba kārtības jautājums, bet ne centralizēta datos balstīta pieeja nacionālā mērogā.
Vienkopus netiek uzkrāta un analizēta informācija par sasniegto e-pakalpojumu un to atbalstošo IS pieejamības līmeni. Lai gan atsevišķi informācijas vienumi, kas attiecas uz IS pieejamību, valsts pārvaldē tiek uzkrāti (piem., VARAM par valsts IS un tehniskajiem resursiem, CERT.LV par IT drošības incidentiem, VRAA par e-pakalpojumu darbības traucējumiem un nepieejamību portālā Latvija.lv), centralizētā veidā valstī informācija par pieejamību apkopota un analizēta netiek, tāpat nav analizēti problēmu cēloņi un sekas. Neapzinot problēmas un nevērtējot to cēloņus, nevar sniegt pamatotus priekšlikumus uzlabojumiem, un iestādes turpina ilgtermiņā uzturēt e-pakalpojumus, nevērtējot nepieciešamos uzlabojumus.
Latvijā līdz šim nav veiktas aplēses, cik daudz izmaksā IS nepieejamība un kādas sekas tas rada privātpersonām, iestādēm vai tautsaimniecībai kopumā. Revidentu ieskatā sekas varētu būt ievērojamas, jo tiek radīts administratīvais slogs gan pakalpojuma saņēmējam (jāmeklē alternatīvs risinājums; jātērē laiks, pārbaudot, vai atjaunota pieejamība), gan valsts pārvaldei (klientu apkalpošana mazāk automatizētā pakalpojumu sniegšanas kanālā). Pēc revīzijā veiktās aplēses e-pakalpojuma saņemšana citā, nevis attālinātā veidā pakalpojuma saņēmējam var radīt izmaksas 15,40 eiro apmērā un var nākties patērēt vidēji 1,5 stundu tā saņemšanai klātienē. Pakalpojuma nepieejamības gadījumā arī iestādes ir spiestas tērēt resursus (1,83 eiro par vienu pakalpojumu), ko tās varētu izmantot citu, mazāk automatizētu funkciju nodrošināšanai. Revidentu aplēses liecina: ja diennakti nav pieejams portāls Latvija.lv, pakalpojumu saņēmēji var nesaņemt vismaz 22 500 e-pakalpojumus. Analizējot Latvija.lv publicētos paziņojumus par portāla un e-pakalpojumu darbības traucējumiem četru mēnešu periodā, konstatēts, ka kopumā par 21 e-pakalpojumu (17% no visiem) ir bijuši paziņojumi, ka tas nedarbojas; no tiem astoņi nedarbojās no vienas līdz 23 dienām. Secināms, ka tie konkrētajā mēnesī bijuši pieejami robežās no 26% līdz 96,8%, kas ir mazāk nekā normatīvajā aktā noteiktais 98% sasniedzamais e-pakalpojuma līmenis.
Netiek salāgots IS izvirzītais darbības laiks un sasniedzamais pieejamības līmenis starp visām e-pakalpojuma nodrošināšanā iesaistītajām komponentēm, t.i., atbalstošo IS, IKT infrastruktūru, integrētajām IS un arī attiecībā uz vietu, kur e-pakalpojums ir izvietots – iestādes tīmekļvietne vai portāls Latvija.lv.
“Kopumā e-pakalpojumu un to atbalstošo IS pieejamība netiek labi pārvaldīta un uzraudzīta – ir gan problēmas, gan daudz neatbildētu jautājumu par pareizu pieejamības organizēšanu. Rīcībai jābūt savstarpēji koordinētai starp iestādēm, jo ļoti bieži, lai e-pakalpojums darbotos, tā izpildē ir iesaistītas vairākas iestādes un to uzturētās IS. Tātad visiem komponentiem ir jābūt pieejamiem, jo pat vienas komponentes darbības traucējumi ietekmēs e-pakalpojuma saņemšanu,” norāda I.Bādere.
Piemēram, lai iedzīvotājs saņemtu e-pakalpojumu portālā Latvija.lv, nepieciešams, lai darbotos: (1) portāls Latvija.lv, kuru uztur VRAA; (2) lietotāja autentifikācijas mehānisms, kuru nodrošina LVRTC vai kāda no komercbankām; (3) pati IS un e-pakalpojumu izpildošie servisi, kurus uztur iestāde; (4) saistītās IS un servisi, kas nepieciešami, piem., personas datu pārbaudei Iedzīvotāju reģistrā, kuru uztur PMLP; (5) datu apmaiņas kanāli, kurus uztur dažādi telekomunikāciju pakalpojumu sniedzēji, un 6) savietotājs, kuru uztur VRAA.
Nav noteikts, kāds ir e-pakalpojuma darba laiks, t.i., vai var sagaidīt e-pakalpojuma pieejamību iestādes darba laikā vai 24/7 darbības režīmā. Piem., izvietojot e-pakalpojumu portālā Latvija.lv, tā pieejamība iespējama vienīgi tā uzturētāja VRAA noteiktajos un nodrošinātajos laikos. Tas rada risku, ka iestādes, izvietojot e-pakalpojumus portālā Latvija.lv, nenodrošinās e‑pakalpojumiem noteikto sasniedzamo pieejamības līmeni (98% mēnesī). Pēc revidentu aprēķiniem tā iestādes e-pakalpojums teorētiski var būt pieejams par teju četrām stundām mēnesī mazākā apjomā, nekā to paredz e-pakalpojuma pieejamības regulējums. Nesaskaņoto prasību e-pakalpojumu un portāla Latvija.lv pieejamībai rezultātā, iespējams, katru mēnesi valstī var tikt radīts administratīvais slogs līdz pat 64 tūkst. eiro, un kopumā piecu gadu laikā (kopš 2017.gada), iespējams, kopumā ir radīts administratīvais slogs 3,84 milj. eiro, ko varēja izmantot efektīvāk.
Lai gan valsts IS un IKT resursu uzskaites sistēma – VIRSIS – ir izstrādāta un ir ieviesta kopš 01.01.2020., tajā uzskaitītie dati ir nepilnīgi. Piemēram, iestādes ir reģistrējušas datus tikai par 127 no 181 valsts IS, kas bija reģistrēta iepriekš uzturētajā “Valsts informācijas sistēmu reģistrā”. Tāpat tikai 19 IS pārziņi ir norādījuši, ka IS tiek izmantota, lai nodrošinātu iestādes pamatdarbību. Par lielāko daļu IS (123 IS) to pārziņi norāda, ka IS paredzētas tikai iestādes iekšējo vajadzību nodrošināšanai – tātad nenodrošina datu apmaiņu ar citām sistēmām vai pakalpojumu sniegšanu, kas, savukārt, liek domāt, ka sistēmas nav korekti klasificētas u.tml. Revidentu ieskatā trūkumi VIRSIS informācijas uzskaitē ietekmē VARAM spēju sekmīgi plānot vienotu valsts politiku IS un to darbībai nepieciešamo IKT resursu un pakalpojumu attīstībai un uzturēšanai, kā arī iedibināt uz pierādījumiem balstītu rīcībpolitiku IKT pārvaldībā. Piem., nevar identificēt tās IS, kas nodrošina pakalpojumus privātpersonām un datu apmaiņu ar citām IS, un attiecīgi tieši šīm IS un to darbību atbalstošajai IKT infrastruktūrai būtu jāsasniedz atbilstoša līmeņa pieejamība un jāplāno resursi tās nodrošināšanai. Pilnvērtīgi dati par valsts IS un ar tām saistīto IKT infrastruktūru ir priekšnoteikums vienotai IS pieejamības un IKT darbības nepārtrauktības pārvaldībai.
Pamatojoties uz revīzijā secināto, Valsts kontrole #PēcRevīzijas sniegusi deviņus ieteikumus VARAM un AiM e-pakalpojumu un tos atbalstošo IS pieejamības uzlabošanai. Ieteikumi jāievieš sadarbībā ar CERT.LV. Termiņš Valsts kontroles ieteikumu ieviešanai ir 2026.gada vidus, bet atsevišķu ieteikumu ieviešana ir paredzēta jau līdz 2023.gada aprīlim.
Jāmin, ka jau revīzijas laikā gan VARAM, gan AiM spēra soļus problemātisko jautājumu sakārtošanai. VARAM sākusi valsts pakalpojumu pārvaldības reformu, kuras ietvaros paredzēs arī precīzu un pamatotu pieejamības prasību izvirzīšanu valsts pakalpojumiem. AiM, identificējot nepietiekamo valsts pārvaldes iestāžu kiberdrošības līmeni un trūkumus kiberdrošības pārvaldības modelī, lūdza Ministru kabinetu atbalstīt Nacionālā kiberdrošības centra izveidi no 2023. gada 1. janvāra – MK to atbalstīja š.g. 7.jūnijā.
Papildu informācija: revīzijas ziņojums, infografika, grafiks ieteikumu ieviešanai VARAM un AiM #PēcRevīzijas u.c.
Plašākai informācijai
Signe Znotiņa-Znota
Sabiedrisko attiecību un iekšējās komunikācijas daļas vadītāja
T. 67017671 | M. 26440185 | E-pasts: signe.znotina-znota@lrvk.gov.lv