Државниот завод за ревизија алармираше дека сајбер безбедноста на државните институции и органи е на ниско ниво. Тоа го утврдила нивната ревизија во 2023 година, испитувајќи ја ефективноста на преземените мерки на надлежните органи за заштита на критичните информациски системи.
Иако за нивна информациска безбедност, Северна Македонија во период од четири години (2020-2023) потрошила над 6,1 милион евра, не вклучувајќи ги инвестициите спроведени преку меѓународни проекти и грантови од институциите.
Ревизијата на ДЗР покажува дека во 20023 сите институции склучиле вкупно 69.504 договори за јавни набавки во вредност од три милијади евра, од кои само за тендери за информациска безбедност се склучени 283 договори со 61 компанија во вредност од 6,130,081 евро во 2023 година.
Потрошените шест милиони евра го опфаќаат и временскиот период кога државните институции и училиштата во Северна Македонија беа мета на сајбер напади и закани, за кои државата немаше соодветен одговор.
Институциите и органите не обезбедуваат ефикасна и целосна заштита на критичните информациски системи, а само една институција поседува сертификат за информациска безбедност.
Кадровската екипираност за заштита на критични информациски системи, е на незавидно ниво. Од извршените анализи на добиените одговори од страна на сите институции, констатирано е дека кај сите институции недостасуваат човечки ресурси за превенирање и справување со ИКТ (Информациско комуникациска технологија ) безбедносни инциденти, додека кај 40% од институциите воопшто не е назначено лице одговорно за информациска безбедност.
Во однос на оперативни тимови за справување на компјутерски безбедносни инциденти со ревизијата се утврди дека 67% од институциите немаат формирано тимови за одговор на компјутерски инциденти, додека кај 60% не се склучени договори со надворешни компании за пренесување на ризикот од безбедносен инцидент. Во однос на вработените ИТ лица во институциите, 87% воопшто немаат утврдено обврска за нивно ангажирање во случај на потреба надвор од работното време, состојба која носи висок ризик од успешен одговор при соодветен сајбер напад или ИКТ безбедносен инцидент.
Ваквата констатација на Државниот завод за ревизија е наведена како резултат на повеќе причини - недостаток на закони за безбедноста на информациските системи, неусогласеност со европските директиви, недостаток на стратешки документи, нефункционирање на Националниот совет за сајбер безбедност и недоволна кадровска екипираност.
„Во 2019 година подготвен e предлог закон за безбедност на мрежи и информациски системи кој не е донесен, а во 2023 година подготвен е нов предлог закон кој се наоѓа во собраниска процедура. И незавршениот процес на меѓуинституционално усогласување за Националната ИКТ стратегија, со важност до 2017 година и Националната стратегија за сајбер безбедност, со важност до 2022 година, доведува до отсуство на стратешки документи како сет на активности и мерки, односно не обезбедува безбедна и доверлива дигитална средина која ќе влијае државата да биде безбедно место за он-лине делување“, утврди ДЗР во ревизијата.
Ревизорите утврдиле дека не се пропишани ниту минимални безбедносни мерки и стандарди за заштита на информациските системи, а истите не се усогласени со ЕУ директивите, што може да предизвика ризик од одложување на мерки за подобра заштита.
Понатаму, констатирано е дека Националниот совет за сајбер безбедност, формиран во 2019 година за спроведување на Националната стратегија за сајбер безбедност не функционира според очекуваното. Според ДЗР, неговата нефункционалност ја доведува во прашање ефикасноста во справувањето со современите и идните предизвици за сајбер безбедноста.
