Скелет в шкафу. Почему любые торги в ProZorro можно оспорить
Государственная система публичных электронных закупок ProZorro рискует наступить на те же грабли, что и реестр электронных деклараций. Через нее проходит огромное количество гостендеров, а аттестованной системы защиты информации пока нет.
Акционер датацентра Парковый Петр Яцук заявил на прошлой неделе в интервью Украинским новостям, что система ProZorro еще несколько недель назад по-прежнему хранилась на виртуальных серверах Amazon. Хотя после тендера, который официально завершился в августе, она должна была давно переехать в украинский датацентр Де Ново.
Парковый был одним из проигравших участников этого тендера. Яцук может до сих пор быть заинтересованным лицом в отношении ProZorro и его распорядителя (МЭРТ), которые предпочли для хранения и обработки своих данных альтернативную площадку.
ЛІГА.net решила перепроверить эти данные.
Почему это важно
Факт хранения системы ProZorro на удаленных облачных серверах, может косвенно свидетельствовать о том, что госпредприятие все ещё не выстроило комплексную систему защиты информации (КСЗИ) конфиденциальных данных, как того требует закон. Хотя пилотный период эксплуатации системы закончился в апреле. А с 1 августа все гостендеры, которые превышают пороговые значения, стали проводиться через ProZorro.
Именно необходимость наличия должным образом сертифицированной КСЗИ и стала причиной большого скандала вокруг запуска реестра электронных деклараций в августе. И проект чуть было не сорвался по той причине, что Госспецсвязи не выдавала аттестат защиты системы. Правозащитники из Transparency International тогда заявили, что из-за отсутствия аттестата защиты данных декларации ведомости из реестра невозможно будет использовать в качестве доказательства в суде и, следовательно, привлечь к ответственности подавших ложную информацию чиновников.
Читайте также - Е-профанация: будут ли чиновники отвечать за ложь в декларациях
Переезд в неспешном темпе
ЛІГА.net обратилась к руководителю Де Ново Максиму Агееву, который уточнил, что ProZorro и в самом деле использует сегодня их облако в объеме гораздо меньшем, чем описывалось в тендерном задании (менее 10%).
Руководитель департамента госзакупок МЭРТ Александр Стародубцев (один из создателей ProZorro) рассказал ЛІГА.net, что переезд в Де Ново готовится. "Данные, естественно, переезжают в самый последний момент, поэтому пока не все объемы задействованы", - добавил директор ГП ProZorro Василий Задворный. Агеев при этом предполагает, что отправная точка переезда может быть только одна - площадка AWS (Amazon Web Service) в Нидерландах. Если это так, вряд ли Amazon оформлял себе украинский сертификат на защиту информации у Госспецсвязи. Более того, информации о госзакупке услуг у Amazon для ProZorro тоже не было.
Есть ли сертификат?
Как рассказывает Агеев, сертификат соответствия КЗСИ для датацентра Де Ново он получил еще до подписания договора с ProZorro. "Когда мы начали предлагать услуги облака госорганам, нам говорили, что без сертификации КСЗИ даже разговаривать с нами не будут", - уточнил Агеев. Но, как выяснилось, у ProZorro система до сих пор не сертифицирована должным образом. "Аттестата еще нет, но у нас согласованное с Госспецсвязи техзадание. И мы уверенно движемся к получению аттестата", - говорит Стародубцев.
Читайте также: Система дала сбой. Готова ли Украина ловить коррупционеров
Экс-руководитель Государственного НИИ спецсвязи и защиты информации Госспецсвязи (с 2016 года - директор Департамента информтехнологий УГЦР) Андрей Кузмич предполагает, что требования законодательства в сфере защиты информации в информационно-телекоммуникационных системах таким образом могут не соблюдаться. Экс-начальник госцентра киберзащиты Госспецсвязи Игорь Козаченко подтверждает эти опасения - система не работает в правовом поле. Он добавляет, что в Украине еще не принят закон, который позволил бы госресурсам хранить свои данные в облаке за пределами страны. В Госспецсвязи на запрос ЛІГА.net пока не ответили.
Угроза с любой стороны
Как говорят эксперты, работающую КСЗИ можно создать только тогда, когда ее полностью перенесут в Де Ново. Что же касается защиты самого софта, то, по словам Кузмича, в условиях динамичного совершенствования функционала ПО веб-портала ProZorro создание КСЗИ невозможно. Ведь это бы заблокировало дальнейшие изменения в нем.
Отсутствие КСЗИ несет в себе юридические риски для ProZorro. "Любой желающий очень быстро может оспорить результаты гостендера", - говорит директор одной из компаний, занимающихся построением и аттестацией КСЗИ. "Это повод кому-то заявить, что он не смог податься на тендер. Потому что система не имеет КСЗИ, и он не захотел вносить информацию про тендерное предложение в такую систему", - соглашается проект-менеджер в программе развития ООН Прозорість і доброчесність публічного сектору Иван Пресняков. Экс-президент компании Воля Сергей Бойко (ранее был начальником юротдела SigmaBleyzer) подтвердил эти опасения.
Стоит отметить, что ProZorro - не единственная система, защита данных которой не оформлена должным образом. "Насколько я знаю, КСЗИ нет у многих баз и госреестров", - отмечает Пресняков. Во время обсуждения проблем запуска реестра e-деклараций журналисты интересовались у главы Госспецсвязи Леонида Евдоченко, у каких еще ресурсов в Украине нет аттестатов КСЗИ. Тогда он не смог дать внятного ответа.