Кто срывал электронное декларирование: новые подробности
В ночь на 1 сентября в Украине снова появилось электронное декларирование.
Есть основания надеяться, что надолго. Но нет оснований говорить, что качественно.
Программная система, представленная "Мирандой" и заблокированная государством три недели назад, содержала ряд проблем и нарушений технического задания, но после "исправления" Госспецсвязью она вообще перестала работать в штатном режиме и, несмотря на официальное открытие, до сих пор находится на доработке.
К счастью, нынешние (и так же предыдущие) проблемы не являются сверхкритическими, они вполне могут и должны быть исправлены – лишь бы хватило профессиональных способностей тех, кто занимается системой сейчас.
И самое главное, что между ситуацией сегодня и в августе есть существенные различия.
Кое-что, конечно, не изменилось. Как и раньше, преградой к е-декларированию остается серия ошибок всех причастных сторон, которые тянутся еще с прошлого года.
Как и раньше, проблемой остается вопиющая некомпетентность отдельных игроков этого процесса.
Никуда не делось желание отдельных политиков полностью отменить или выхолостить систему е-деклараций.
Но есть и изменения – некоторые к лучшему, некоторые к худшему.
Негативом, в частности, является то, что вертикаль Госспецсвязи, которая дискредитировала себя во время конфликта вокруг е-деклараций, за последние недели только усилила позиции. Именно они почему-то получили задание разработать 4 и 5 блоки системы. Почему-то речь идет о разработке "с нуля", вместо доработки существующих блоков.
И поэтому не стоит исключать новые "сюрпризы" во внедрении е-декларирования, далее в статье – подробнее о них.
Зато главный позитив:
источники подтверждают, что президент Порошенко наконец выбрал "светлую сторону" в данном конфликте.
Его вмешательство поставило крест на идее отказаться от е-декларирования, и именно поэтому мы начали с оптимизма: похоже, что на этот раз система заработала надолго. Более того, президент публично заявил, что уголовная ответственность за ложь в декларациях будет сохранена. Похоже, в АП наконец поняли критическую важность вопроса.
Правда, до готовности признать собственные ошибки государство до сих пор не созрело. Даже тогда, когда они очевидны.
Итак, как "ЕвроПравда" обещала в предыдущей публикации, мы возвращаемся к теме электронных деклараций – и к событиям прошлого, и к возможным сценариям будущего.
Кого "благодарить"?
ЕП еще три недели назад, 14 августа, опубликовала детальное расследование относительно участия Госспецсвязи (ГСССЗИ, Государственная служба специальной связи и защиты информации) в срыве своевременного запуска электронного декларирования.
Все документы и заключения, изложенные там, остаются актуальными. Есть и новые, до которых мы дойдем позже в этой статье. И хотя роль ГСССЗИ в данном процессе является действительно "выдающейся", неправильно останавливаться только на них.
К глубокому кризису е-декларирования привело совпадение злого умысла, ошибок и банального разгильдяйства со стороны всех участников процесса – от заказчиков до аудиторов.
И хотя "степень вины" – разная, стоит остановиться на каждом из учасников (просим прощения за большое количество технических деталей на следующих нескольких страницах, кто не желает углубляться в вопрос "кто виноват", может пропустить следующие блоки).
Ответственность "Миранды"
Разработчика программного комплекса е-деклараций власть назначила "официальным виновным во всех проблемах". (Одновременно был избран "неофициальный виновник" - в публичном пространстве, а также от должностных лиц, не связанных с президентской вертикалью, продвигается мысль, что виновных двое: ООО "Миранда" и ПРООН).
Дошло до того, что в разгар скандала – в начале позапрошлой недели – министр иностранных дел Павел Климкин лично звонил в Нью-Йорк, чтобы заверить руководство ПРООН: "мы уже определили виновного, все проблемы с е-декларированием возникли исключительно из-за плохого подрядчика, отобранного вами, но к самому ПРООН Киев не имеет претензий".
Сигнал, о котором узнали все международные миссии в Киеве, был воспринят как странный – Климкину не поверили.
Но это вовсе не означает, что на "Миранде" нет вины. Она есть. И значительная.
Не откроем ничего нового, и это необходимо еще раз зафиксировать: продукт, который был сдан в эксплуатацию (а по состоянию на 12 августа все верили, что речь пойдет о промышленной эксплуатации, а не тестовой), имел целый ряд проблем.
В том числе было нарушено техническое задание в части безопасности, что выяснилось после выхода системы в публичный доступ.
Для тех, кто следил за темой – речь идет о "проблеме кукиз" - на компьютере, где заполняли декларацию, оставалась техническая информация. Из-за этого другой человек, сев за этот компьютер, мог просмотреть закрытые персональные данные.
К слову, эта уязвимость не позволяла изменить чужую декларацию, для подписи декларации нужен электронный ключ, да и произвольная смена уже поданной декларации не является возможной. Но тем не менее, возможность утечки персональных данных – неприемлема.
Отвечая на запрос ЕП по этому поводу, директор "Миранды" Юрий Новиков признал ошибку. "Ее несложно исправить. Мы подготовили патч к системе, который исправлял эту уязвимость, уменьшили продолжительность сессии, и 22 августа мы были готовы установить его в систему, но не получили разрешения НАПК", - пояснил он.
Еще одна весомая проблема защиты персональных данных – то, что почта от системы е-деклараций пересылалась через почтовый сервер "Миранды". "А что нам было делать, если НАПК требовал сдать систему, а своего почтового сервера у них не было", - объясняет Новиков.
По мнению ЕП, это объяснение - не убедительное. Разработчик должен НАСТОЯТЬ, что такую систему недопустимо сдавать в эксплуатацию. Должен был предвидеть, что такая система вряд ли будет сертифицирована, а если и будет, то ее использование вызовет массу вопросов.
И это, пожалуй, самая масштабная проблема, что исходила от "Миранды".
Разработчик системы обычно является лучшим специалистом, чем ее заказчик. Именно он должен указывать на нереальные сроки аттестации в ГСССЗИ; именно он должен предлагать изменения в техзадание, когда видит, что его нынешняя редакция является проблемной и тому подобное.
Похоже, что здесь не было необходимого уровня активности.
То же самое касается претензий к неадекватному заполнению данных. Так, требования к верификации всех пунктов декларации были утверждены НАПК еще 10 июня, но если декларант указывает свой год рождения как 1800, а год рождения родителей как 2016, это должно вызывать по крайней мере предупреждение.
И в то же время стоит добавить – несмотря на серьезные претензии к "Миранде", многочисленные заявления о том, что она создала "дырявый продукт", который можно "проткнуть пальцем", остались неподтвержденными.
Даже по официальным данным НАПК (а эта структура в настоящее время является одним из публичных врагов "Миранды"!), за время работы системы не было ни одной успешной попытки постороннего вмешательства в систему.
Ни одной успешной! Хотя их было немало.
"За неделю работы система е-декларирования претерпела более чем 230 тысяч атак", -
говорит член НАПК Руслан Рябошапка. Эта цифра не "с потолка". ЕП имела возможность ознакомиться с докладом об " атаках на безопасность ", зафиксированных с 15 до 22 августа. Попытки взлома поделены на 61 тип, с количеством атак каждого типа.
Большая часть хакерских методов испытывалась несколько десятков или сотен раз. 5 типов атак имели 45-46 тысяч попыток. "Дырявая система" почему-то выстояла.
Конечно, это не гарантирует отсутствие дыр в системе, которые еще не были найдены, но – точно опровергает заявления о том, что ее так легко сломать.
Ответственность Программы развития ООН
Эта международная организация является, по сути, посредником по финансированию благотворительных проектов, и этот раз - не исключение. На этот раз ПРООН действовала по поручению правительства Дании и за деньги датского бюджета, где согласились дать средства для развития НАПК. Средства, которые Украина не смогла найти в собственном бюджете.
Мы уже упомянули, что ПРООН была назначена "вторым главным виновником".
Сторонники этой теории обычно утверждают, что "тендера не было", "Миранду назначили исполнителем" и делают вывод о коррупционном расходовании средств. Самая распространенная теория говорит, что "Миранда" связана с менеджером ПРООН данного проекта Иваном Пресняковым (хотя иллюстрация связи не приводится).
Вот только в самой ПРООН удивляются такому утверждению и говорят, что Пресняков был нанят... лишь в декабре 2015 года, когда "Миранда" уже выиграла тендер!
То есть главное обвинение просто лишено логики
Говорить об "отсутствии тендера" также нет оснований. Было 10 предложений – а это уже немалый конкурс.
"Открытый тендер был объявлен 28 сентября 2015, и завершен 18 октября 2015 года. В целом ПРООН получила 10 тендерных предложений.
Из этих 10 предложений одно было отклонено почтовой системой как содержащее вирус. ПРООН детально проверила этот случай, обратившись к ИТ департаменту штаб-квартиры ПРООН и корпорации Майкрософт, предоставляющей услуги электронной почты. Было подтверждено, что присланный архив был заражен вирусом и, соответственно, он был автоматически удален из почтовой системы.
Мы проинформировали компанию (участника тендера) об этом инциденте. Формальных письменных протестов с ее стороны не было.
С другими тендерными предложениями подобных инцидентов не возникало", - говорится в комментарии данного проекта ПРООН на запрос ЕвроПравды.
Но честность тендера еще не означает, что был отобран лучший претендент. И это, похоже, именно тот случай.
Ведь критерии отбора устанавливаются еще до начала конкурса.
В частности, важными критериями являются цена (по данным источников, предложение "Миранды" была самым дешевым) и качество оформления документации. Те, кто часто участвуют в международных тендерах, обладают такими навыками. Кстати, "Миранда" незадолго до того завершила крупный проект по построению базы данных по заказу Международной организации миграции. То есть навыки для участия в международных тендерах у них действительно были.
И это – не является незаконным.
Источник ЕП, информированный о ходе отбора, рассказал, что технические специалисты ПРООН "не склонялись к тому, чтобы отдавать победу Миранде", но отбор победителя проходил не по персональному решению, а по балльной системе. И "Миранда" - действительно победила.
Еще один вопрос, который отчасти можно адресовать ПРООН, - в отношении контроля качества. Так, для этого ПРООН наняла всемирно известную PricewaterhouseCoopers и IT-тестировщика компании Testlab2.
Но как же так случилось, что несмотря на их аудит, система содержала уязвимость в части защиты персональных данных?
Заявлено, что PwC проводили тест на проникновение, он гарантированно должен был выявить проблему с cookies! Возможно, просто задача была поставлена некорректно?
И мы не зря отметили, что ответственность ПРООН за контроль качества – лишь частичная. И эта доля меньше половины. Вот почему.
Ответственность НАПК
Национальное агентство по вопросам предотвращения коррупции сейчас уверяет, что "не имело никакого влияния" на подготовку программы, но документы свидетельствуют, что это не так – представители НАПК принимали участие в рабочих группах, принимавших продукт.
"У нас был активный диалог с мая, когда в НАПК определили, что за это направление отвечает Руслан Радецкий. Также с ним всегда был технический специалист НАПК, на тот момент еще внештатный, но потом он вошел в штат, – рассказывает Юрий Новиков. –
Более того, они в июне давали свои замечания, точнее, просьбы переделать некоторые элементы. Поэтому говорить, что они ничего не могли изменить – неправильно".
(обновлено: Радецкий в письменном комментарии ЕП заявил, что он не был ответственным за техническую составляющую декларирования, а только за проверку деклараций; он утверждает, что техническая сторона является зоной ответственности Натальи Корчак)
По словам Новикова, все замечания касались интерфейса "бэкофиса", то есть рабочих мест операторов НАПК. Ни одной из претензий к веб-интерфейсу электронных деклараций, которые звучат сейчас, тогда не было.
В общем, складывается впечатление, что
в Нацагентстве подошли крайне формально к процессу подготовки системы е-деклараций и контроля за ней.
Хотя именно НАПК придется работать с этим инструментом. И они должны быть заинтересованы в его качестве как никто другой. Но...
ЕП пыталась получить комментарий председателя НАПК Натальи Корчак и ответственного за проверку электронных деклаций члена агентства Руслана Радецкого, но в последние дни они не имели времени для встречи.
Зато член агентства Руслан Рябошапка, с которым мы пообщались, утверждает: самым большим генератором проблем, которые в конечном итоге привели к задержке с аттестацией, стала Госспецсвязи.
"Сейчас я убежден, что это был умысел со стороны Госспецсвязи. Ведь была совокупность событий, сгенерированных с их стороны, каждая из которых отнимала несколько дней или недель.
Мне кажется, что была поставлена задача отсрочить запуск системы. Именно поэтому мы слышали от руководителя ГСССЗИ, что им нужно два месяца на экспертизу. А тогда сказали бы – видите, декларирование будет тянуться до декабря, то какой смысл подавать декларации.
И мы бы потеряли год", - пояснил он.
Ответственность Госспецсвязи
Преграды, которые были сгенерированы Госслужбой спецсвязи, мы подробно описывали в публикации от 14 августа. Тогда читатели обратили внимание на "особое мнение" представителя ГСССЗИ на протоколе приемки системы.
Источник ЕП в правительстве, видевший эти документы, уточнил: представитель Госспецсвязи написал о незащищенности системы BankID, которая в итоге стала одним из оснований отказать в аттестации е-декларирования.
Рябошапка подтвердил эти данные: "О BankID они написали, что не гарантируется безопасность, но ни разу от ГСССЗИ не прозвучало, что они не дадут сертификат. Если бы мы от них это услышали, это не стало бы такой неожиданностью перед 15 августа".
Рябошапка также рассказал о проблеме, из-за которой было потеряно два месяца для запуска системы.
Эта проблема имеет двух авторов: компанию УСС ("дочку" Госспецсвязи), и собственно НАПК.
"Сначала они говорили, что должны были предоставить свои серверы для системы, впоследствии почему-то не нашли серверов и уже говорили об аренде, и в итоге – не смогли даже арендовать. Более того, были проблемы с помещением для хостинга серверов", - утверждает член НАПК.
Как выяснила ЕвроПравда, еще в середине апреля рассматривалась возможность того, что серверы системы е-деклараций будут размещены в ГП "УСС", ведь это логично – государственная система работает на государственной площадке. На тот момент программная часть трех модулей уже была готова и принята у разработчика. Оставалось только "положить" ее на сервер.
18 апреля датировано первое письмо Всемирного банка на главу НАПК Наталью Корчак, о котором известно ЕП, с просьбой решить этот вопрос как можно быстрее. Впоследствии, в конце апреля – поступило еще одно письменное напоминание. Но дальше разговоров дело не шло, у НАПК не было ни средств для финансирования серверов, ни даже понимания, когда они займутся решением проблемы.
Успокаивало лишь то, что госкомпания заверила: она найдет сервера, как только будут решены организационные вопросы.
В мае, когда ожидание стало слишком длительным, ПРООН решила финансировать развертывание системы за свой счет. Чтобы запустить эту процедуру, 20 мая разработчик обратился письмом к ПРООН (а ПРООН – к НАПК), напоминая о необходимости поставить серверы хоть где-нибудь, но с обеспечением требований ГСССЗИ.
просмотреть в полном размере |
Ответ не заставил себя ждать – и Госспецсвязи ответила (публикуем pdf-файл со сканом ответа): единственным вариантом является размещение на площадке ГП "УСС". Но там никак не могли найти сервера. Варианты развертывания системы у другого провайдера были отброшены. В НАПК напомнили (публикуем pdf-файл со сканом письма НАПК): государственная площадка является безальтернативной.
В итоге все согласовали, УСС пообещало все же найти оборудование. 15 июня в ГП "УСС" снова заверили, что техника уже есть, и даже сообщили конкретные параметры оборудования (публикуем pdf-файл со сканом письма).
Но 22 июня из УСС неожиданно сообщили... что серверов нет и не будет. Потому что их нужно закупать через тендер, а процедура длинная.
Когда выяснилось, что хостинг сорвался, а до сдачи проекта почти не осталось времени, было согласовано решение арендовать сервера за деньги ПРООН. И хотя процедуры сократили до невероятно сжатых, это удалось сделать только в начале июля.
Именно эта аренда впоследствии стала ключевой претензией к ПРООН (и, почему-то, к "Миранде"), когда Госспецсвязи зарубила аттестацию системы!
"Если проблемы, связанные с BankID и с серверным оборудованием, были с самого начала, почему было не сообщить об этом? Ведь в ГСССЗИ знали, какой будет система и знали ее параметры. Выходит, они с июня знали, что это станет преградой для аттестации, и не сообщили нам?" - удивляется Руслан Рябошапка.
А теперь самое интересное: как известно, 31 августа ГСССЗИ аттестовал систему, объявив, что проблемы с серверами решены. Для поиска и оформления законного пути понадобилось не больше недели.
Что мешало вертикали Госспецсвязи предложить и провести точно такой законный вариант в июне, в июле или в начале августа? Был ли это злой умысел и попытка любым образом сорвать аттестацию системы, или просто нежелание работать?
Оставим это вопрос открытым.
Напомним лишь, что ГП "УСС" опять всплыло в публичном пространстве в конце августа. Это именно та госструктура, которая подделала электронный ключ на имя члена НАПК Руслана Рябошапки.
Интересное "совпадение"...
И, напоследок, еще один интересный эпизод от вертикали Госспецсвязи.
Напомним, о событиях середины августа: ГСССЗИ утверждает, что получило документацию от НАПК только во второй половине дня 10 августа и только с того момента начало экспертизу системы е-деклараций. К слову, у нас есть свидетельство о том, что председатель ГСССЗИ Леонид Евдоченко был в НАПК еще 8 августа, когда там уже была вся документация, но отказался забирать ее, затянув процесс на два дня.
Но оставим это за скобками, самое интересное – другое.
Представляли ли вы, что специалисты Держпецзв'язку с рабочих компьютеров пробовали "обвалить" сайт НАПК?
Но это действительно произошло! При чем произошло еще до начала сертификации, когда никто никого не должен "проверять". И самое главное – они "ломали" не защищенную систему е-деклараций, а сайт-визитку Агентства, размещенный на обычном коммерческом хостинге!
Яркое свидетельство "квалификации"...
Вашему вниманию – скриншот сообщения, которое поступило от компании-хостера
нажмите для просмотра документа |
Итак, в течение 9-10 августа кто-то организовал DoS-атаку на сайт-визитку НАПК с ip-адреса 193.29.204.19
Несложно найти, кому принадлежит этот адрес – данная информация является публичной. Это – один из адресов, которые использует Госспецсвязи!
нажмите для просмотра |
Добавим, что руководство НАПК знает об этой истории. Но почему-то решило не делать ее публичной.
"Европейская правда" обращалась письменно к ГСССЗИ и ГП "УСС" с конкретными вопросами по ситуации с е-декларированием, но там (в нарушение законов "Об обращениях граждан" и "Об информации" письменно отказались отвечать и посоветовали "читать официальный сайт")
Что дальше?
Итак, несмотря на все проблемы и все попытки заблокировать процесс, 1 сентября электронное декларирование заработало.
Хотя нет, "заработало" - неправильный термин.
Наиболее корректно говорить, что система получила фиктивный аттестат безопасности.
В том, что Госспецсвязи самом деле не проводила настоящей аттестации или даже тестирования системы, на утро 1 сентября убедились все.
Программный комплекс электронных деклараций доступен, но не работает.
В первый день он вообще не воспринимал электронные ключи и не позволял заполнять декларации. 2 сентября во второй половине дня подавляющее большинство ключей (но не все) стали восприниматься, но дойти до представления декларации также не всем удается.
При этом валидация данных – разрушена, к примеру, по состоянию на 1 сентября можно было написать фамилию на английском, а иметь родственников без гражданства было "запрещено".
И самое главное: отображение внесенных деклараций не работает вообще. По крайней мере, по состоянию на вечер 2 сентября.
Разработчики предполагают, что модуль отображения, который является достаточно сложным, "сломан".
Если откровенно, то такое развитие не является удивительным.
Все специалисты предупреждали, что в такие сжатые сроки просто невозможно доработать сложный программный силами госоргана, который не принимал участие в его разработке (и не имеет в штате тех, кто знаком с кодом).
Поломать – можно. Собственно, это и произошло.
Возможно ли исправить систему сейчас? Да еще и с учетом того, что нужно также дописать 4 и 5 модули (проверка декларации и интеграция с внешними реестрами)?
Да, возможно, и это не слишком сложно (и, очевидно бесплатно), если привлечь разработчика (ведь он уже получил всю оплату за продукт).
В принципе, можно обойтись без услуг "Миранды", если это решение является принципиальным, привлекая стороннего подрядчика – это будет сложнее, дольше и потребует финансирования, но это также реальный вариант.
И, наконец, третья опция – продолжать работы силами Госспецсвязи. В квалификации которой убедились пожалуй все.
По логике, государство должно было бы категорически отвергнуть третий вариант. Но учитывая, что правительство после всего, что произошло, до сих пор не отправило в отставку Евдоченко, мы не можем исключить, что Госспецсвязи поручат "ломать" систему и в дальнейшем.
Единственное, что вселяет оптимизм – то, что в таком развитии событий не заинтересован прежде всего президент.
Еще 14 августа мы писали, что он знал и минимум санкционировал задержку с предоставлением аттестата. Но невероятный международный скандал, который поднялся после этого, заставил АП пересмотреть позицию.
Несколько не зависимых друг от друга источников подтвердили: именно Порошенко сыграл ключевую роль в том, чтобы система получила сертификат.
В АП наконец поняли, что Запад не простит этого Киеву.
В последнем обращении Порошенко по е-декларированию есть важные слова о том, что система должна работать "вместе с административной и уголовной ответственностью за нарушение порядка ее представления или предоставления недостоверных сведений".
И Запад будет следить, чтобы это обещание было выполнено, а план по срыву запуска системы не превратился в план "вычищения" уголовной ответственноти из законодательства.