كشف تقرير ديوان الرقابة المالية والإدارية لعام 2012-2013، أن فريق الديوان تمكن من اختراق نظام عمليات وزارة المالية وبصلاحيات واسعة مستغلاً إحدى الثغرات الأمنية بالنظام، لافتاً إلى أن كشوفات الرواتب مثلاً تنقل باستخدام بروتوكولات غير مشفرة.وأظهر التقرير عدم وجود ضوابط تضمن التزام الوزارة بإجراءات وجدول الصلاحيات المتعلق باعتماد فواتير الشراء، حيث يمكن لبعض الموظفين في مستوى وظيفي دون رئيس قسم الحسابات، اعتماد فواتير الشراء مهما كان مبلغها، ما يضعف الرقابة على عملية اعتماد وتمرير الفواتير للدفع آلياً. وقال إن عدم وجود ضوابط آلية لاعتماد فواتير الشراء، وعدم تحديد جدول صلاحيات بالنظام، يؤدي إلى تمرير فواتير من قبل موظفين لا يسمح لهم المستوى الوظيفي بذلك ودون أن يتم اكتشافها.ومنحت «المالية» بحسب التقرير صلاحيات إدارة النظام إلى عدد من موظفي إدارة نظم المعلومات المالية، ما ينتج عنه تكليف موظفين بأعمال لا تدخل ضمن مسؤولياتهم الوظيفية وفقاً للتدابير الأمنية المعتمدة. وبين مشاركة حساب «مسؤول النظام» المستخدم لغرض إدارة نظام الأوراكل بين الفريق المسؤول عن قاعدة البيانات، لافتاً إلى أن منح الصلاحيات أو مشاركتها بين المستخدمين بما يفوق المسؤوليات الوظيفية، خصوصاً فيما يتعلق بحساب «مسؤول نظام» حيث إن لديه أعلى مستوى من الامتيازات والصلاحيات، يؤدي إلى إساءة استخدام الصلاحيات وتنفيذ إجراء غير مصرح به أو إتلاف بيانات الوزارة. وأشار التقرير إلى عدم تفعيل الوزارة إجراءات تطوير مجالات الأمن المعتمدة للنظام، لضمان وجود ضوابط الحماية المناسبة، واعتماد وكيل وزارة المالية منذ أبريل 2011 إجراءات تطوير التدابير الأمنية، ولم يتم تفعيلها منذ سنتين، ما يؤدي إلى وجود ثغرات أمنية ورقابية، وجاء رد «المالية» بأنها تدابير مؤقتة واستثنائية تلك المعتمدة منذ عامين.وكشف التقرير عدم تطبيق الوزارة إجراءات موحدة ومعتمدة للمتابعة والتحقق من إلغاء تصاريح دخول المستخدمين المستقلين أو المتقاعدين بالجهات الحكومية إلى النظام، حيث تعتمد إدارة نظم المعلومات المالية بالوزارة على التقييم الدوري فقط من قبل مدير ترخيص المستخدمين لمن لم يستخدم البرنامج لفترة 3 أشهر. وأوضح عدم إجراء الوزارة تقييماً لمخاطر تقنية المعلومات والضوابط بشكل منفصل للأعمال الخاصة بالنظام، رغم وجود دليل لمستخدمي النظام، كما لم تراجع الوزارة أو تحدث الدليل منذ بدء العمل به عام 2004. وكشف التقرير عدم تحديد هيكل جدار حماية النظام بصورة صحيحة في قاعدة البيانات، ما يؤدي إلى إمكانية الوصول إلى القاعدة بشكل مباشر من قبل أشخاص غير مصرح لهم، منبهاً إلى عدم وجود نموذج طلب معتمد وإجراءات رسمية للتغييرات في جدار الحماية، ما ينتج عنه مخاطر تنفيذ التغييرات بصورة غير مؤقتة. وتستخدم «المالية» كما أشار التقرير، نسخة قديمة من برنامج الحماية على خوادم تطوير التطبيقات، ومن المعروف أن هذا البرنامج ينطوي على العديد من نقاط الضعف والثغرات يمكن من خلالها اختراق النظام، لافتاً إلى أن فريق ديوان الرقابة استغل واحدة من هذه الثغرات الأمنية، وتمكن من الوصول الكامل إلى نظام العمليات مع صلاحيات أساسية وواسعة.وذكر التقرير أن العديد من عمليات إدخال ونقل الملفات والبيانات في الأنظمة، ومنها بيانات كشوف الرواتب -رغم أهميتها- تتم باستخدام بعض البروتوكولات غير المشفرة، ما يؤدي إلى خطر الاطلاع عليها وتسريبها لأشخاص غير مخولين.وأوضح التقرير عدم اعتماد «المالية» سياسات وإجراءات أمن المعلومات، فغياب مثل تلك السياسات المتعلقة بتنقية المعلومات بالنظام من شأنه أن يؤدي إلى عدم دراية المستخدمين بها، كما لا يمكن بذلك ضمان الالتزام بها أو تحديد المسؤولية في حالة حدوث خرق لأمن المعلومات بالنظام.وأظهر عدم وجود وحدة خاصة بإدارة المشاريع في النظام، حيث تعمد الإدارة في متابعة سير عمل المشاريع على التقارير الفنية المقدمة إليها من قبل الجهات الحكومية المعنية، ما يؤدي إلى عدم القدرة على متابعه المشاريع بالكفاءة والفاعلية اللازمة.ولفت التقرير إلى أن قدرة النظام على تتبع الأنشطة المنفذة من قبل المستخدمين محدودة، حيث لا يوفر معلومات شاملة حول تلك الأنشطة كوقت وتاريخ النشاط، وبيانات المستخدم المنفذ، والأمور المعدلة في النظام، ما يؤدي إلى صعوبة اكتشاف حالات الدخول غير المصرح به، وعدم القدرة على تعقب أسباب الأخطاء أو التغييرات غير المصرح بها.وذكر التقرير أن الوزارة لم تخضع مشروع تحديث النظام لمراجعة مستقلة، إما عن طريق المدقق الداخلي أو من قبل أي شركة متخصصة، ما قد لا يمكن الوزارة من الحصول على ضمان تطبيق النظام بما يتلاءم مع متطلباتها، والتأكد من أن الضوابط الأمنية تم إعدادها بشكل مناسب.وبين أن الوزارة شرعت خلال عام 2003 في الربط الآلي بين وحدة الحسابات الدائنة ووحدة الأصول الثابتة في النظام، لنقل البيانات المتعلقة بشراء الأصول الثابتة، بينما لاتزال عملية نقل البيانات تتم بصورة قيود يدوية في النظام، تزيد من مخاطر وقوع الأخطاء عند إدخالها.وبين التقرير إجراء فريق الدعم الفني ومدراء المشاريع لكل وحدة في النظام، الاختبارات على جميع التغيرات والتطورات في البرامج الخاصة بتلك المشاريع دون مشاركة المستخدم النهائي، وبذلك يكون من الصعب إثبات أنه تم إجراء اختبارات كافية لقبول المستخدمين قبل أن يتم تفعيل التغييرات والتحديثات. وأوضح التقرير أن بعض المستخدمين لم يغيروا كلمات المرور الافتراضية الممنوحة لهم مع بداية فتح الحساب أو استخدام كلمات مرور ضعيفة، يسهل تقديرها ودخول غير المصرح لهم من خلالها.