11 августа 2021 года представители Государственного контрольного управления США (ВОА США) провели очередной вебинар рабочей группы ИНТОСАИ по аудиту информационных технологий в рамках ее рабочего плана на 2020–22 годы. В мероприятии приняли участие более 240 представителей международного аудиторского сообщества.

Тема веб-семинара «Аудит устаревших ИТ-систем». Цель мероприятия – повышение уровня осведомленности аудиторского сообщества в области аудита информационных систем посредством распространения информации в рамках ежеквартальных веб-семинаров. ВОА Индии и США являются соруководителями проекта.

Вебинар провели сотрудники отдела по информационным технологиям и кибербезопасности ВОА США:

• Кевин Уолш, директор,
• Джессика Васелкоу, помощник директора,
• Мередит Рэймонд, старший ИТ-аналитик.

Во время сессии они представили отчет ВОА США об информационных системах, которые используют устаревшие языки программирования, неподдерживаемое оборудование и программное обеспечение, и/или в которых могут быть обнаружены уязвимости в сфере безопасности.

В отчете, подготовленном в 2019 году, определены наиболее важные устаревшие системы США, нуждающиеся в модернизации, даны оценки планов агентств по их модернизации, а также отмечены примеры инициатив по модернизации устаревших систем за предыдущие 5 лет, которые используемые их агентства сочли успешными.

В 2019 финансовом году правительство США планировало потратить более 90 млрд долл. США на информационные технологии, большая часть из которых предназначалась для эксплуатации и обслуживания как существующих, так и устаревших систем безопасности. Эти системы могут быть более дорогостоящими в обслуживании и уязвимыми для хакеров. Кроме того, они могут затруднить работу использующих их агентств, так как им придется столкнуться с проблемами по поиску сотрудников, которые знают, как использовать старую технологию и соответствующие коды системы.

ВОА США проанализировал актуальность систем 65 федеральных ведомств и определил 10 наиболее важных систем из 10 проанализированных ведомств, от Министерства обороны до Казначейства. Этим системам было от 8 лет до 51 года, и они были жизненно важны для предоставления основных услуг, таких как управление чрезвычайными ситуациями, здравоохранение и оборона. У трех агентств не было задокументированных планов модернизации. У двух были планы по обновлению. Некоторые из них также использовали устаревший код, полагались на оборудование и программное обеспечение, которые больше не поддерживаются производителями, или имели серьезные риски безопасности.

Тем не менее, агентства выявили не менее 94 примеров успешной модернизации устаревших систем за предыдущие 5 лет. Пять примеров успешных инициатив по модернизации информационных технологий, отобранных ВОА, включали преобразование устаревшего кода в более современный язык программирования и перенос устаревшего программного обеспечения в облако. Это позволило агентствам использовать информационные технологии для успешного выполнения своих задач и получения широкого спектра преимуществ, включая экономию средств.

В отчете ВОА дается в общей сложности восемь рекомендаций для разработки ведомственных планов по модернизации устаревших систем. Восемь агентств согласились с выводами и рекомендациями ВОА, а семь из агентств подготовили планы по выполнению рекомендаций.

Презентация отчета вызвала большой интерес у участников вебинара. Количество вопросов было настолько велико, что, учитывая ограниченное время встречи, представители ВОА пообещали ответить на них в письменной форме после вебинара.