Первого сентября в Украине, не без проблем, но все же начала работу система электронного декларирования для государственных чиновников. Однако этому, безусловно, позитивному событию предшествовала длительная эпопея с подготовкой и экспертизой инфраструктурных решений.
Предыстория проекта
15 августа по решению Национального агентства по вопросам предотвращения коррупции (НАПК) была запущена Единая электронная система декларирования доходов. Касательно того, что система начнет работу не позже этого срока, Украина дала обязательство еще несколько месяцев назад. И хотя в назначенный срок власти анонсировали запуск, на деле получился фальшстарт —Единая электронная система декларирования доходов не получила решение о соответствии КСЗИ (комплексная система защиты информации) Реестра и выдаче аттестата, то есть, не была защищена надлежащим образом. А без такого аттестата запуск электронного декларирования не имел особого смысла и мог стать даже контрпродуктивным. «Важно, чтобы система была запущена с сертификатом безопасности, который гарантирует уголовную ответственность за ложные показания», — отметили в Представительстве ЕС.
Разработчиком программного обеспечения для системы электронного декларирования было выбрано предприятие ООО «Миранда», о чем в декабре 2015 года заключен соответствующий договор. А вот выдачу аттестата соответствия КСЗИ должна была обеспечить Государственная служба специальной связи и защиты информации Украины (Госспецсвязи). И здесь ситуация стала развиваться совсем не так, как планировалось: Госспецсвязи не провела до 15 августа государственную экспертизу комплексной системы защиты информации (КСЗИ) для Е-декларирования.
Кто виноват?
Ситуация пахла скандалом — для Украины на кону стояло слишком много. От запуска системы Е-декларирования зависит очередной транш кредита от МВФ, свыше одного миллиарда евро макропомощи от Евросоюза, финансирование от Всемирного банка и других международных институтов. Некоторые эксперты и СМИ поспешили обвинить в провале запуска Е-декларирования ведомство Госспецсвязи. Однако там в свое оправдание заявили, что все необходимые действия провели в срок, как и было запланировано. Еще 12 августа экспертный совет ведомства выявил множество уязвимостей и недостатков защите системы, по причине чего в выдаче аттестата соответствия КСЗИ было отказано.
В частности, указывались следующие риски и угрозы:
-
недостатки в авторизации (проверки подлинности) декларантов,
-
несанкционированный (злоумышленный) доступ к сведениям декларантов при их подачи через незащищенные персональные компьютеры,
-
уязвимости сведений Реестра через возможности прямого доступа к базам данных из браузеров пользователей,
-
возможности несанкционированного внесения в систему посторонних файлов,
-
риск реализации не задокументированных функций, связанных с использованием внешних сервисов,
-
ряд других уязвимостей и системных недостатков, которые стали известными для специалистов ИТ-отрасли за считанные дни до запуска работы Реестра.
Также в ходе экспертизы обнаружились принципиальные проблемы относительно технологического оборудования Реестра. Фактически в наличии была только треть задекларированного оборудования. В качестве примера: один из сетевых маршрутизаторов не работал, а на втором, который должен обеспечивать сетевую защиту данных Реестра, закончилась лицензия.
Осознавая, что выдача аттестата «сырой» системе светит серьезными неприятностями, экспертный совет Госспецсвязи и глава ведомства Леонид Евдоченко заняли принципиальную позицию и заявили, что «сертификация» возможна только после устранения выявленных недостатков и нарушений.
Однако до 23 августа выявленные по результатам государственной экспертизы недостатки разработчиком устранены не были, а потому сотрудничество с ООО «Миранда» было прекращено.
Как отметил на брифинге для СМИ Леонид Евдоченко, разработчик занял откровенно деструктивную позицию, продемонстрировав нежелание или неспособность устранить выявленные недостатки. Поскольку повторный запуск системы был назначен на 1 сентября, у ведомства оставалось около недели на решение всех проблем.
Почти успех...
Тем не менее, 31 августа экспертный совет Госспецсвязи таки выдал аттестат соответствия КСЗИ Реестра. Он был передан в НАПК, что позволило с 1-го сентября осуществить легитимный запуск системы электронного декларирования в соответствии с требованиями законодательства.
Все недостатки, допущенные компанией-разработчиком по построенной КСЗИ Реестра, были устранены службой Госспецсвязи, отметил Леонид Евдоченко. В частности, скорректированы интерфейсы Реестра с сохранением уже известного для пользователей внешнего вида (поскольку уже был проведен ряд обучающих тренингов по заполнению электронных деклараций). Также внесены изменения в Техническое задание на создание КСЗИ Реестра в части исключения возможности аутентификации пользователей средствами BankID — теперь остается возможность аутентифицироваться только с помощью ЭЦП. Такие изменения привели к необходимости доработки кода программы. Кроме того, для обеспечения безопасности функционирования Реестра ведомство Госспецсвязи пока вынуждено применять собственное оборудование сетевой защиты.
Вместе с тем, глава Госспецсвязи добавил, что работа над созданием системы электронного декларирования не завершена и требует разработки и внедрения средств интеграции с внешними ИТ-системами, государственными реестрами и базами данных.
К сожалению, Леонид Евдоченко был крайне немногословен на пресс-брифинге, проведенным 31 августа и посвященном успешному завершению государственной экспертизы КСЗИ Реестра. Зачитав текст о выдаче аттестата Экспертным советом Госспецсвязи, он удалился, отказавшись отвечать на какие-либо вопросы. А вопросов накопилось немало.
Например, непонятно, почему из системы изъяли аутентификацию пользователей средствами BankID, которая массово применяется в решениях e-government? Кто будет далее дорабатывать ее после первичной «обкатки»? На каких условиях ООО «Миранда» передала исходный код программного обеспечения для устранения найденных уязвимостей и каково участие первого разработчика в «доводке» системы? Очевидно, что эпопея с системой безопасности Е-декларирования еще не закончена и нас ждет в этой сфере немало новостей.
Так, уже утром 1-го сентября ряд пользователей в социальных сетях заявил, что браузер не позволяет перейти к форме декларирования, предупреждая о проблемах с безопасностью. Кроме того, в системе отсутствуют декларации, занесенные в течение тестового периода.
