Керівник проекту ПРООН: Ми не розуміємо, що відбувається навколо е-декларування
Керівник проекту «Прозорість та доброчесність публічного сектору» Іван Пресняков про події навколо запуску електронного декларування
15 серпня відкрився електронний реєстр декларацій, розроблений за фінансової та адміністративної підтримки Програми розвитку ООН. Проте, довгоочікуваний запуск не приніс задоволення кураторам проекту. Старт кампанії з електронного декларування чиновниками своїх статків відбувся на тлі гучного скандалу. Конфлікт спровокувала відмова Держспецзв`язку сертифікувати комплексну систему захисту відповідного програмного забезпечення. Без сертифікату дані з реєстру декларацій не враховуватимуться судами, і будь-який можновладець зможе уникнути відповідальності при поданні неправдивої інформації.
Держспецзв`язок вже назвав «винного» у фальшстарті електронного декларування – фірму-розробника «Міранду». Проте в офісі Програми розвитку ООН в Україні дотримуються іншої думки та дають зрозуміти, що причину зриву е-декларування варто шукати в іншому.
Керівник проекту «Прозорість та доброчесність публічного сектору» Програми розвитку ООН в Україні Іван Пресняков виклав «Главкому» свою точку зору на події, що відбуваються навколо запуску електронного декларування.
Як ПРООН оцінює ситуацію, яка склалася навколо запуску системи електронного декларування без сертифікації?
ПРООН – це провайдер технічної допомоги для країн, де вона працює. Якщо уряд країни звертається до нас за допомогою, наприклад, щодо створення системи електронного декларування, Програма розвитку ООН допомагає. У вересні 2015 року Мінюст України був відповідальний за запуск Національного агентства з питань запобігання корупції (НАЗК) та реєстру електронних декларацій. Вже тоді було зрозуміло, що створення НАЗК може затягнутися на невизначений час і було прийняте рішення на рівні міністра юстиції (Павла Петренка) і прем’єр-міністра (на той час Арсенія Яценюка), що не варто чекати запуску Агентства, натомість, слід невідкладно розпочати розробку реєстру електронного декларування. Рішення було вірним, оскільки на найскорішому створенні цифрової системи декларування наполягали Євросоюз та МВФ.
Тому, коли до нас звернулось міністерство юстиції з проханням допомогти, ми погодились. На основі технічного завдання, що було розроблене Світовим банком, ми взяли на себе фінансування та повне супроводження проекту розробки програмного забезпечення реєстру.
З самого початку нами було обрано підхід, відповідно до якого процес контролю та схвалення роботи зі створення системи декларування відбувався за участі всіх зацікавлених сторін.
Задля цього було створена група з оцінювання якості. До неї увійшли Мінюст, МВФ, Світовий банк (як організація, що розробляла технічне завдання), PricewaterhouseCoopers.
Повертаючись до вашого питання щодо оцінки теперішньої ситуації… Я не можу висловлювати позицію всієї організації, але можу поділитися власними відчуттями. Ми фіксуємо, що роботи зі створення реєстру були виконані. Уряд в особі Мінюсту, а згодом НАЗК, приймав ці роботи поетапно в ході виконання.
Окреме оцінювання із залученням фахівців Держспецзв`язку проводило і НАЗК. Все працювало - софт прийняли. Потім всі сторони підтверджували, що все виконується згідно з узгоженим графіком. Всі були задоволені.
Згодом виникло питання проведення атестації комплексної системи захисту інформації (КСЗІ). Цей процес був ініційований НАЗК і затверджений Держспецзв`язком. Всі розуміли, що ми перебуваємо у вузьких рамках, оскільки є зобов`язання встигнути до 15 серпня (дата запуску системи електронного декларування), треба швидко і якісно провести експертизу. Розробили жорсткий графік, всі підписалися, але раптом, 12 серпня, ми почули, що і графік не такий, і софт не той... Тобто, руйнуються всі домовленості, слова, які урядові партнери давали.
Ми не можемо стверджувати, що хтось винний, але можемо сказати: панове, ось домовленості, ось ваші підписи… ми не розуміємо, що відбувається.
Хто від Держспецзв`язку ставив підпис на протоколі випробувань системи, які організовувало НАЗК?
До робочою групи із впровадження реєстру, яку створило НАЗК, увійшло три представники Держспецзв`язку. Підписав один з них, хоча й залишив на зворотній стороні якісь зауваження. Двоє інших (в момент підписання – «Главком») були відсутні: один - у відпустці, інший у відрядженні.
Було достатньо лише одного підпису від Держспецзв`язку?
Так, звичайно.
Розумієте, була перестраховка НАЗК, яке хотіло залучити до цього процесу (узгодження – «Главком») Держспецзв`язку. Я передивився максимальний обсяг нормативних документів, відповідно до яких випливає, що у цієї державної структури не має функції аналізу функціональності системи. Вона лише має давати оцінку, що вся інформація, яка входить і виходить з системи (електронного декларування), тобто, технічні рішення щодо роботи з інформацією є безпечні і відповідають рівню «Г2». Вони не мають «зазирати» всередину системи: як там все функціонує.
Функція Держспецзв`язку проаналізувати «вхід/вихід», які модулі шифрування, чи сертифіковані ці модулі, чи є SSL-сертифікат. Тобто, Держспецзв`язку дивиться на систему з точку зору захищеності.
Так, існують й інші рівні захищеності системи, що вимагають більш ретельного аналізу, в тому числі і аналіз сирцевого коду програми..
Рівень захищеності «Г-2», застосований в системі електронного декларування, має порівняно низький, але достатній рівень захисту. Адже вся інформація, яка знаходитиметься всередині системи декларування є публічною, окрім персональних даних (адреса, прізвище, ІНН). Застосовувати системи захисту більш високого рівня не було сенсу.
Чи має Держспецзв`язку претензії, що застосована саме ця система, а не інша?
Не має. Вони погодили Технічне завдання на побудову КСЗІ, в якому йдеться саме про рівень захисту «Г-2».
Як відбувається надання сертифікату КСЗІ. Перший етап – підписання технічного завдання щодо системи КСЗІ. Її розробник («Міранда» - «Главком») каже: ось система, опис її роботи, ось, що ми будемо робити задля отримання сертифікату... Техзавдання підписується розробником, затверджується НАЗК. Далі – погоджується Держспецзв`язком.
Тобто Держспецзв`язок погодився з тим, що ця система зазначеного рівня захищеності із зазначеними параметрами. Але тепер ця державна структура починає говорити, що вони не лише захищеність вирішили дослідити, а й сам код подивитись. Хоча я не впевнений, що вони насправді дивились на код. Це виходить за рамки їхньої компетенції в даному випадку.
Держспецзв`язок серед претензій до результатів роботи «Міранди» вказував на залучення в якості експертної організації з оцінювання КСЗІ приватної фірми «Криптософт». НАЗК спочатку погодила фірму у цій ролі, а згодом під тиском Держспецзв`язку скасувала власне рішення. Врешті-решт, агентство замість «Криптософту» залучило державне підприємство, підпорядковане Держспецзв`язку. Що це за дивна історія?
Була робоча група, яку скликала НАЗК, куди входили всі зацікавлені сторони: ПРООН, «Міранда», НАЗК, фахівці Держспецзв`язку. В рамках її роботи обговорювалось, хто буде експертом. Фіксувалась кілька разів пропозиція розробника та НАЗК, що буде саме ця компанія - «Криптософт». Вони запитували у фахівців Держспецзв’язку, чи влаштовує нас участь цієї фірми. Ми відповідали схвально, оскільки вона відома на ринку. Але 29 липня відбувається засідання експертної ради Держспецзв`язку і виявляється, що той не затвердив техзавдання, а також не затвердив рішення щодо участі в якості експертної організації «Криптософту».
Згодом, 2 серпня, було термінове засідання НАЗК, де голова Держспецзв`язку Леонід Євдоченко запропонував на заміну «Криптософту» Державний центр кіберзахисту та протидії кіберзагрозам. Серед аргументів: потрібний «державницький підхід», а також те, що на місце приватної стане державна компанія, яка проведе експертизу дуже якісно. Його запитували, як довго центр існує? Він відповідав, що існує давно, у минулому році був виокремлений у державне підприємство. Його знову запитують: чи має цей центр досвід, на що звучить відповідь - «дуже великий». Проте, скільки аналогічних експертиз це держпідприємство вже провело, він не зміг уточнити.
Ще однією ключовою перевагою залучення до роботи державної установи називалось те, що роботи з експертизи будуть проведені за ціною 1 грн. (безоплатно).
Врешті-решт, НАЗК погодився з позицією Держспецзв`язку. Чи можна назвати об’єктивним таке рішення – мені важко коментувати. Це було 2 серпня. А згодом – протягом тижня – тривало підписання контракту між НАЗК та Державним центром кіберзахисту.
Тобто, цілий тиждень пішов на підписання контракту?
Так. Спочатку Держспецзв`язок наполягав, що не потрібно чекати підписання контракту з Центром кіберзахисту та пропонував «Міранді» одразу віддати програмне забезпечення на експертизу КСЗІ. Зі свого боку «Міранда» обґрунтовано відповідала, що без юридичного оформлення не може цього робити, просила підписати контракт і направила проект контракту до НАЗК та Держцентру кіберзахисту, однак відповіді не отримала.
Все ж таки, 5-го серпня компанія-розробник привезла коробки з документацією (до Центру кіберзахисту), щоб держпідприємство змогло розпочати роботу. Водночас, Євдоченко всюди стверджує, що саме з 10 серпня (дня підписання контракту) вони розпочали експертизу.
Як відомо, 12 серпня ми дізналися про негативний експертний висновок Держспецзв`язку, інформацію з якого дуже довго ніхто не міг отримати.
В суботу (13 серпня) керівник Держспецзв`язку прийшов на засідання НАЗК, де звинувачував розробника у недосконалості софту. При цьому спочатку обіцяв надати претензії до 14:00, згодом до 17:00. Потім виявилось, що ці претензії були закриті грифом «для службового користування».
Лише в неділю Держспецзв`язок надав протокол з переліком зауважень і вимагав від «Міранди» негайно підписати його. Але також виявилося, що це лише частина претензій. Адже протокол є публічною частиною тих експертних висновків, що містяться у документі під грифом.
«Міранді» навіть не дали зробити виписки з цього експертного висновку. Але разом з тим вимагають від розробника щось виправляти. За нашою інформацією, більша частина зауважень цього протоколу – це питання скоріше до НАЗК, ніж до розробника. Наразі ми чекаємо від НАЗК конкретних дій, аби вирішити цю ситуацію.
Варто наголосити, що згідно контракту, «Міранда» – розробник програмного забезпечення реєстру, але аж ніяк не є постачальником інших компонентів комплексного рішення, яке крім програмного забезпечення включає техніку, комунікації і майданчик для функціонування реєстру.
В середині липня голова НАЗК Наталія Корчак повідомила ПРООН, що тривають переговори щодо підключення агентства до інших реєстрів, держателями яких є інші державні органи. Вона зазначала, що процес може затягнутись через юридичні складнощі і НАЗК не впорається з цим завданням в обумовлені строки.
Технічне завдання створення реєстру електронного декларування передбачає окрім наповнення електронної бази декларацій інтеграцію з іншими реєстрами. Це потрібно для аналітичної роботи фахівців НАЗК при вивченні декларацій чиновників. Це важлива частина, адже відкриває можливість в автоматичному режимі порівнювати деклараціями з даними цих реєстрів.
Але для інтеграції реєстрів слід домовитись з держателями реєстрів і підписати відповідні протоколи. Якщо ці реєстри мають КСЗІ, то домовленість про обмін інформацію слід провести через Держспецзв`язок, який погодить таку можливість. Практично однозначно, що організація інформаційної взаємодії з зовнішніми реєстрами вимагатиме внесення змін до КСЗІ цих реєстрів.
Цей непростий процес, тому в середині липня НАЗК просило відкласти інтеграцію на майбутнє. Ми погодили це, щоб не гальмувати запуск системи. Проте з огляду на позицію, яка зайняв наразі Держспецзв`язок, можна передбачати, що ця друга фаза настане у дуже віддаленому майбутньому.
Коли відбувся тендер на закупівлі послуг зі створення реєстру?
Конкурс було оголошено у вересні минулого року, прийом заявок тривав до кінця жовтня. В тендерний комітет входили представники Світового банку.
В цілому було подано 10 пропозицій, одна з яких через технічні причини не пройшла. Всі інші були розглянуті.
На першому етапі розглядалися технічні пропозиції, за наслідком якого 4 компанії залишилось, а решта відпала. Частина пропозицій, яка були відсіяна, базувалась на бізнес-моделі Vendor Lock In, що передбачає залежність кінцевого користувача від одного постачальника. Це не відповідало технічним вимогам.
У другій частині розглядали кошторис. Відповідно до загальної кількості балів було обрано «Міранду».
Була інформація, що вартість розробки системи електронного декларування складає близько 7 млн. гривен…
Ця оцінка завищена приблизно втричі.
Які наслідки того, що систему було запущено без сертифікації?
ПРООН не бачить технічних причин не провести технічну сертифікацію.
Представники НАЗК в суботу заявили, що в жодному разі вони не допустять запуску системи 15 серпня без сертифікату. А в неділю вони ж запевняли, що не допустять затримки запуску системи. Згодом вони ж будуть говорити: а звідки цей скандал?! Мовляв, система працює і сертифікат, в принципі, не потрібний, бо кримінальна відповідальність не під загрозою…. Це викликає змішані відчуття.
Що стосується юридичної позиції. Є законодавство про запобігання та протидію корупції, що забов`язує подавати декларацію. В той же час є законодавство про захист інформації, відповідно до якого під час тестової експлуатації інформація в системі є тестовими даними. Тому завжди, особливо в судах, можна буде сперечатись, що це є: декларація чи тестові данні.
Адже всім відома ситуація з суперечками навколо порушення ПДР, коли суди не визнавали перевищення швидкості водіями, оскільки технічній пристрій фіксації – «ВІЗИР», не було сертифіковано.