«Страсти» вокруг Е-декларирования: детали скандала

Опубликовано: Понедельник, 15 августа 2016 18:00
Ульяна Безпалько Автор статьи:

Сегодня, 15 августа, согласно решению Национального агентства по вопросам предотвращения коррупции (НАПК), должна заработать система электронного декларирования доходов и имущества чиновников. Запуск е-декларирования был одним из условий ЕС для предоставления Украине безвизового режима, а сама система, как ожидается, должна стать одним из главных инструментов борьбы с системной коррупцией среди государственных чиновников. Более того, в свете последних дней даже звучали тезисы о том, что на кону — очередной транш в 3 млрд долл. от МВФ, о чем, в частности, заговорил и министр финансов Александр Данилюк.

Запуск системы электронного декларирования прогнозируемо не дружелюбно был воспринят народными депутатами, но 15 марта все же был одобрен Парламентом. По состоянию на 11 августа оставалось дело за малым — получить аттестат соответствия комплексной системе защиты информации (КСЗИ), необходимый для запуска работы системы е-декларирования.

Но 12 августа, за 3 дня до старта работы системы, Государственная служба специальной связи и защиты информации (Госпецсвязь/ ГСССЗИ), которая должна была выдать аттестат, сообщает, что система не готова к запуску, а значит, не может выдать аттестат КСЗИ. Такое заявление вызвало большой общественный резонанс, и в последующие дни НАПК ломало голову, как все же запустить работу системы в сроки. Система таки заработала сегодня ночью, но в тестовом режиме, режиме "опытной эксплуатации", и без аттестата защиты.

#Буквы разбирались, что происходило с запуском е-декларирования, и кто виноват.

Что такое аттестат КСЗИ и зачем он?

Как известно, в электронную декларацию каждый декларант будет вносить широкий диапазон своих конфиденциальных данных — начиная от номера, серии паспорта и заканчивая адресом, по которому у декларанта находятся наличные средства и ценное имущество. К тому же за ложные сведения в декларации предусмотрена административная и уголовная ответственность.

Согласно законодательству, такие данные подлежат защите и обрабатываются исключительно в информационно-телекоммуникационных системах с построенной КСЗИ. Для подтверждения соответствия КСЗИ проводится государственная экспертиза, в результате которой выдается аттестат соответствия государственного образца. Или же не выдается в случае несоответствия.

Отсутствие аттестата КСЗИ у реестра е-деклараций означает, что система не полностью защищена от внешнего вмешательства или взлома. А таким образом — не гарантирует достоверность внесенных в него сведений, и, более того, дает возможность подмены или фальсификации сведений декларантов. В результате — привлечение такого декларанта к административной или уголовной ответственности за фальсификации. Или же судебные иски от самих декларантов о несовершенстве системы, которая допускает утечку данных.

Проблемы с программным обеспечением

Стоит отметить, что о сырости программного обеспечения реестра е-деклараций заговорили еще накануне получения выводов Госпецсвязи. Это признавала и глава НАПК Наталья Корчак, и Президент Петр Порошенко в своем обращении 11 августа. При этом была единогласная позиции — в любом случае запустить систему 15 августа.

Программное обеспечение системы электронного декларирования в Украине разрабатывалось в рамках проекта "повышение прозрачности и добропорядочности в публичном секторе" по Программе развития ООН (ПРООН) за счет средств правительства Дании. Разработчиком софта для системы электронного декларирования ПРООН выбрало ООО "Миранда". В декабре 2015 года был заключен соответствующий договор. За разработку программного обеспечения в общей сумме ПРООН заплатит "Миранде" 97 тыс. 501 долл.

27 июля ООО "Миранда" актом приема-передачи передало права собственности на программное обеспечение — однако не на все, а только на 3 результата из 5. Права на 4-й и 5-й результат все еще остаются у ООО "Миранда" и их разработка еще не завершена. Собственно, на это в своем "нет" в том числе и указывала Госспецсвязь. Согласно изначальному договору, и 4-й, и 5-й результат должны были переданы до 30 июня. Но позже дату завершения работы над 4-м и 5-м результатом и их передачу НАПК перенесли, по предварительным данным, на осень. Хотя в ПРООН утверждают, что этот нюанс был согласован с ними как с заказчиком услуг. Фактически, НАПК не является полноценным владельцем программного обеспечения системы е-декларирования.

Так, 4-м и 5-м результатами системы предусмотрены интеграция с внешними реестрами (взаимодействие с другими реестрами, базами и банками), что необходимо для проверки соответствия данных в декларации с другими реестрами (имущества, собственности и т.д.), функции анализа сведений в декларации. Таким образом, эти функции пока не работают.

Также в Госспецсвязи указали на то, что в ходе экспертизы было установлено несоответствие защиты информации системы реестра е-деклараций требованиям КСЗИ, а также неспособность системы обеспечить безопасность отдельных функций — в том числе, в части идентификации и аутентификации декларанта при помощи сервиса BankID.

Саботаж

Вердикт Госспецсвязи о том, что программное обеспечение не готово к запуску, повлек разные конспирологические версии произошедшего. А причастные к запуску системы е-декларирования разделились на два условных лагеря. Главное объяснение — саботаж е-декларирования, в котором стороны начали обвинять друг друга.

Так, разработчик софта ООО "Миранда" и заказчик услуг ПРООН заняли сплоченную позицию, сразу же заявив, что запуск е-декларирования саботирует Госспецсвязь. Им вторят и в Реанимационном пакете реформ (РПР), Transparency International Украина во главе с Ярославом Юрчишиным и Центре противодействия коррупции Виталия Шабунина. Юрчишин и Шабунин пошли даже дальше в своих версиях, возложив ответственность за срыв е-декларирования на главу НАПК Наталью Корчак, власть и Президента. И Transparency International Украина, и Центр Шабунина входят в обьединение Реанимационного пакета реформ.

Единство позиции ЦПК Шабунина и ПРООН также объяснимо: руководитель проекта по запуску е-декларирования ПРООН (который предоставил средства за программное обеспечение для системы е-декларирования и выбрал в качестве подрядчика ООО "Миранда") Иван Пресняков по состоянию на декабрь 2015 года числился экспертом Центра противодействия коррупции Шабунина.

Примечательно, что в последние днивк "Facebook-марафон" по освещению событий включился и директор компании-разработчика "Миранда" Юрий Новиков. По словам Новикова, со своей стороны компания выполнила услуги, однако готова исправить неполадки. При этом директор "Миранды" утверждает, что Госспецсязь не назвала конкретных неполадок и не предоставляет им возможность их исправить. Публикации Новикова активно репостят представители так называемого лагеря антикоррупционных организаций, в частности РПР.

Вместе с тем, и Новиков, и поддерживающий его "лагерь" из общественных организаций заявляют, что Госспецсвязь нарочно оттягивала процесс экспертизы, что в последний момент невозможно было исправить неполадки. Так, по версии стороны, в начале августа Госспецсвязь внезапно инициировала смену оценщика, который должен был провести экспертизу защищенности продукта. Таким образом, вместо частной компании "Криптософт", которая ранее прошла отбор, функцию оценивать защищенность реестра доверили государственному Центру киберзащиты и противодействия киберугрозам — дочернему предприятию Госспецсвязи. Чем также оттянуло время начала экспертизы.

Непосредственно смену оценщика осуществил НАПК. В Госспецсвязи смену оценщика объяснили предотвращением возможности конфликта интересов: одна и та же организация не может выступать одновременно как разработчик и как эксперт КСЗИ. Это противоречит принципам независимости и беспристрастности действий экспертов, определенных законом Украины "О научной и научно-технической экспертизе". Также в Госспецсвязи указали на определение Печерского суда Киева, где "Криптософт" упоминается как "фирма-прокладка" по отмыванию денег на госреестрах. Хотя в "Криптософте" такие обвинения опровергают. Ко всему государственный оценщик проведет экспертизу бесплатно, а стоимость такой экспертизы у "Криптософта" оценивалась в 200 тыс. грн.

Кроме этого Госспецсвязь заявила об осуществлении давления на их ведомство, а также обвинила в саботаже именно фирму-разработчика, которая намеренно затягивала передачу им материалов для экспертизы.

Примечательной оказалась и позиция НАПК, которая продемонстрировала отсутствие единства в ведомстве. Там мнения также разделились. Так, член НАПК Руслан Рябошапка в открытую обвиняет в саботаже Госспецсвязь, чем пошел в разрез позиции большинства своих коллег. Стоит отметить, что ранее Руслан Рябошапка был экспертом Реанимационного пакета реформ и был назначен в НАПК как претендент на должность от РПР.

При этом руководство НАПК, в частности глава агентства Наталья Корчак, придерживаются более сдержанной риторики. Однако, в конце концов, обвинили в срыве запуска е-декларирования компанию-разработчика "Миранду".

"Все то, что происходит со стороны "Миранды" в отношении государственного органа — это шантаж и саботаж", - заявила Наталия Корчак во время брифинга 14 августа.

Вместе с тем руководство НАПК признало, что качество программного обеспечения таково, что систему может взломать любой среднестатистический хакер.

Впрочем, противостояние в агентстве нарастало еще ранее. В начале июля Руслан Рябошапка на своей странице в Facebook публично обвинил Наталью Корчак в попытке "узурпировать власть" в коллегиальном органе, а своих коллег по НАПК — в саботаже запуска агентства.

И Президент, и Премьер-министр отреагировали молниеносно, призвав в своих заявлений как можно скорее устранить проблемы, запустить систему е-декларирования в срок — 15 августа - и наказать виновных в саботаже. Между тем, система таки была запущена в срок, хоть и не в полнофункциональном режиме. Однако глава НАПК Наталья Корчак заверила, что система будет доработана в ближайшее время.

Следует отметить, что внедрение системы Е-декларирования позиционировалось как весомый вклад в борьбу с системной коррупцией в государстве. Предполагалось, что все госслужащие будут вынуждены развернуто и добросовестно декларировать свои доходы и имущество. При этом утверждалось, что в случае, если НАПК в ходе проверки Е-декларации обнаружит несоответствия между реальной жизнью чиновника и задекларированными им доходами/имуществом, дальше за такого госслужащего берется Национальное антикоррупционное бюро. И это, в свою очередь, предопределяло бы весьма внушительное положение Национального агентства по вопросам предупреждения коррупции.