Dar/Arusha. Taasisi 78 za umma ziko hatarini kukumbana na mashambulizi ya kimtandao, kuhatarisha taarifa nyeti pamoja na ufanisi wa utendaji kazi wa taasisi husika endapo zisiporekebisha usalama wao wa mtandao.
Hayo yanajiri baada ya ukaguzi uliofanywa na Ofisi ya Mdhibiti na Mkaguzi Mkuu wa Hesabu za Serikali (CAG) mwaka wa ukaguzi wa mifumo ya teknolojia za habari na mawasiliano (Tehama) mwaka wa fedha 2023/24 iliyowasilishwa jana Jumatano, Aprili 16, 2025 bungeni.
CAG Charles Kichere amesema matokeo ya ukaguzi yalibaini upungufu na mianya ya kiusalama ambayo, endapo hayatarekebishwa, yanaweza kuhatarisha taasisi kwa mashambulizi ya kimtandao na kuhatarisha taarifa nyeti na ufanisi wa utendaji kazi.
CAG Kichere amesema udhibiti wa usalama wa Tehama ni muhimu katika kulinda uadilifu, usiri, na upatikanaji wa taarifa na mifumo ya taasisi.
Sababu za kukosa usalama
“Kutofanyika kwa Tathmini ya udhaifu wa Mifumo na Majaribio ya Usalama (VaPT) kwenye taasisi 42 zilizokaguliwa, ilibainika tathmini za mara kwa mara za udhaifu wa mifumo na majaribio ya usalama hazikufanyika, hali iliyosababisha mifumo kuwa hatarini kwa mashambulizi ya wadukuzi.
“Udhibiti hafifu wa utoaji haki za kuingia kwenye mifumo ya Taasisi kwa watuamiaji wakiwa nje ya mtandao wa taasisi ukaguzi, katika taasisi 39 ukaguzi ulibaini udhaifu katika udhibiti wa utoaji haki za kuingia kwenye mifumo ya taasisi kwa watumiaji wakiwa nje ya mifumo, jambo lililoongeza hatari ya watu wasio na idhini kuingia na kutumia mifumo hiyo bila idhini,” amesema.
Aidha amesema taasisi 43 hazikufanya tathmini za mara kwa mara za usalama wa mtandao, hali iliyosababisha udhaifu wa usalama kubakia bila kugunduliwa. Kutopitiwa kwa haki za watumiaji na shughuli zinazofanywa na watumiaji kwenye mfumo.
Akieleza zaidi amesema taasisi 56 hazikufanya mapitio ya mara kwa mara ya haki za watumiaji wa mifumo, hali iliyoongeza uwezekano wa watu wasiopaswa kuwa na haki kutumia mfumo bila idhini.
Kutofanyika kwa Majaribio ya Ufanisi wa Mfumo (UAT) na majaribio ya usalama katika taasisi 35, mifumo mipya ilianzishwa bila kufanyiwa majaribio ya kukubalika, ufanisi na usalama, hali iliyoongeza hatari za utendaji usioridhisha na mashambulizi ya mtandao.
Utekelezaji wa mabadiliko ya mifumo bila kufanya tathmini ya usalama katika taasisi 33, mabadiliko ya mifumo yalitekelezwa bila kufanyika kwa tathmini ya usalama kabla ya utekelezaji. Utaratibu huu uliongeza kwa kiasi kikubwa, uwezekano wa mifumo kuwa na udhaifu wa kiusalama, hali iliyohatarisha uadilifu wa mifumo na usiri wa taarifa.
Kutotenganisha mazingira ya utengenezaji, majaribio, na matumizi ya mifumo katika taasisi 22, ilibainika kuwa mazingira ya ujenzi wa mifumo, majaribio, na matumizi halisi hayakutenganishwa ipasavyo. Kutotenganisha mazingira haya kulihatarisha utulivu wa mifumo, uwezekano wa uvunjifu wa usalama, na kupunguza ufanisi wa uendeshaji wa mifumo ya Tehama.
Matumizi ya matoleo ya hifadhidata yasiyopatiwa msaada wa kiufundi na wauzaji katika taasisi 19 kati ya 78 zilizokaguliwa, mifumo ilikuwa bado inatumia matoleo ya zamani ya hifadhidata, ambayo hayakuwa na msaada wa kiufundi kutoka kwa wauzaji wa hifadhidata hizo.
Matumizi ya matoleo hayo ya hifadhidata yaliziweka taasisi katika hatari ya kushambuliwa na wadukuzi, kupunguza utendaji wa mifumo, na kuathiri usahihi wa taarifa.
Kutoondolewa kwa akaunti za mwanzo za watumiaji za hifadhidata tatizo hili lilibainika katika taasisi 47, ambapo akaunti za watumiaji wa hifadhidata bado zilikuwapo na zilitumika. Akaunti hizo, ambazo zinajulikana kwa urahisi, zinaweza kurahisisha uingiliaji wa mifumo bila idhini, hali inayoweza kuhujumu hatua za usalama na kuwezesha upatikanaji wa taarifa kwenye mifumo kwa njia zisizo halali.
Ukosefu wa taratibu za usimamizi wa matukio ya majanga ya Tehama na ucheleweshaji wa kushughulikia matukio ukaguzi ulibaini kuwa taasisi 60 hazikuwa na taratibu rasmi za kusimamia matukio ya majanga ya Tehama, huku baadhi ya taasisi zikionesha ucheleweshaji mkubwa katika kushughulikia matukio ya kiusalama.
CAG amesema ukosefu wa taratibu hizo unachelewesha mwitikio wa taasisi katika kushughulikia matukio ya usalama wa mtandao, hali inayoongeza athari za matukio hayo kwa mifumo na taarifa za serikali.
Mapendekezo ya CAG
Ili kupunguza hatari zilizobainishwa na kuimarisha uthabiti wa usalama wa mtandao na mifumo, CAG Kichere amependekeza kutekeleza tathmini ya mara kwa mara ya udhaifu wa mifumo na majaribio ya usalama kwa taasisi zote.
Kuweka mifumo thabiti ya kudhibiti wa utoaji haki za kuingia kwenye mifumo ya taasisi kwa watuamiaji wakiwa nje ya mitandao ya taasisi.
“Kuhakikisha tathmini za usalama wa mtandao zinafanyika mara kwa mara ili kutambua na kurekebisha mapema udhaifu wa usalama. Kufanya mapitio ya mara kwa mara ya haki za watumiaji wa mifumo, shughuli zao, na kumbukumbu za mifumo ili kuimarisha usimamizi wa usalama,” amesema.
Aidha kuhakikisha majaribio ya ukubalifu na ufanisi wa mfumo (UAT) na tathmini za usalama zinafanyika kikamilifu kabla ya mifumo mipya kuanza kutumika au kufanya mabadiliko makubwa kwenye mifumo iliyopo.
Amesema inapaswa kutenganisha mazingira ya ujenzi, majaribio, na matumizi ya mifumo ili kuboresha uthabiti wa mifumo na usalama wa taarifa. Kuboresha au kubadilisha matoleo ya zamani ya hifadhidata ili kuhakikisha viwango vya usalama vinazingatiwa.
Mwisho, kutoa au kubadilisha akaunti za awali za watumiaji wa hifadhidata ili kuzuia uingiaji na utumiaji usioidhinishwa wa mifumo. Kuandaa na kutekeleza taratibu thabiti za usimamizi wa matukio ya Tehama ili kuhakikisha utambuzi wa haraka wa matukio, mwitikio wa haraka, na urejeshaji kwa wakati wa huduma.
