Скелет в шкафу. Почему любые торги в ProZorro можно оспорить
Несмотря на то, что в системе с августа проходят все запороговые госзакупки, необходимых сертификатов безопасности данных у ProZorro пока нет.
Государственная система публичных электронных закупок ProZorro рискует наступить на те же грабли, что и реестр электронных деклараций. Через нее проходит огромное количество гостендеров, а аттестованной системы защиты информации пока нет.
Акционер датацентра Парковый Петр Яцук заявил на прошлой неделе в интервью Украинским новостям, что система ProZorro еще несколько недель назад по-прежнему хранилась на виртуальных серверах Amazon. Хотя после тендера, который официально завершился в августе, она должна была давно переехать в украинский датацентр ДеНово.
Парковый был одним из проигравших участников этого тендера. Яцук может до сих пор быть заинтересованным лицом в отношении ProZorro и его распорядителя (МЭРТ), которые предпочли для хранения и обработки своих данных альтернативную площадку.
Почему это важно
Факт хранения системы ProZorro на удаленных облачных серверах, может косвенно свидетельствовать о том, что госпредприятие все ещё не выстроило комплексную систему защиты информации (КСЗИ) конфиденциальных данных, как того требует закон. Хотя пилотный период эксплуатации системы закончился в апреле. А с 1 августа все гостендеры, которые превышают пороговые значения, стали проводиться через ProZorro.
Именно необходимость наличия должным образом сертифицированной КСЗИ и стала причиной большого скандала вокруг запуска реестра электронных деклараций в августе. И проект чуть было не сорвался по той причине, что Госспецсвязи не выдавала аттестат защиты системы. Правозащитники из Transparency International тогда заявили, что из-за отсутствия аттестата защиты данных декларации ведомости из реестра невозможно будет использовать в качестве доказательства в суде и, следовательно, привлечь к ответственности подавших ложную информацию чиновников.
Переезд в неспешном темпе
ЛІГА.net обратилась к руководителю ДеНово Максиму Агееву, который уточнил, что ProZorro и в самом деле использует сегодня их облако в объеме гораздо меньшем, чем описывалось в тендерном задании (менее 10%).
Руководитель департамента госзакупок МЭРТ Александр Стародубцев (один из создателей ProZorro) рассказал ЛІГА.net, что переезд в ДеНово готовится. «Данные, естественно, переезжают в самый последний момент, поэтому пока не все объемы задействованы», — добавил директор ГП ProZorro Василий Задворный. Агеев при этом предполагает, что отправная точка переезда может быть только одна — площадка AWS (Amazon Web Service) в Нидерландах. Если это так, вряд ли Amazon оформлял себе украинский сертификат на защиту информации у Госспецсвязи. Более того, информации о госзакупке услуг у Amazon для ProZorro тоже не было.
Есть ли сертификат?
Как рассказывает Агеев, сертификат соответствия КЗСИ для датацентра ДеНово он получил еще до подписания договора с ProZorro. «Когда мы начали предлагать услуги облака госорганам, нам говорили, что без сертификации КСЗИ даже разговаривать с нами не будут», — уточнил Агеев. Но, как выяснилось, у ProZorro система до сих пор не сертифицирована должным образом. «Аттестата еще нет, но у нас согласованное с Госспецсвязи техзадание. И мы уверенно движемся к получению аттестата», — говорит Стародубцев.
Экс-руководитель Государственного НИИ спецсвязи и защиты информации Госспецсвязи (с 2016 года — директор Департамента информтехнологий УГЦР) Андрей Кузмич предполагает, что требования законодательства в сфере защиты информации в информационно-телекоммуникационных системах таким образом могут не соблюдаться. Экс-начальник госцентра киберзащиты Госспецсвязи Игорь Козаченко подтверждает эти опасения — система не работает в правовом поле. Он добавляет, что в Украине еще не принят закон, который позволил бы госресурсам хранить свои данные в облаке за пределами страны. В Госспецсвязи на запрос ЛІГА.net пока не ответили.
Угроза с любой стороны
Как говорят эксперты, работающую КСЗИ можно создать только тогда, когда ее полностью перенесут в ДеНово. Что же касается защиты самого софта, то, по словам Кузмича, в условиях динамичного совершенствования функционала ПО веб-портала ProZorro создание КСЗИ невозможно. Ведь это бы заблокировало дальнейшие изменения в нем.
Отсутствие КСЗИ несет в себе юридические риски для ProZorro. «Любой желающий очень быстро может оспорить результаты гостендера», — говорит директор одной из компаний, занимающихся построением и аттестацией КСЗИ. «Это повод кому-то заявить, что он не смог податься на тендер. Потому что система не имеет КСЗИ, и он не захотел вносить информацию про тендерное предложение в такую систему», — соглашается проект-менеджер в программе развития ООН Прозорість і доброчесність публічного сектору Иван Пресняков. Экс-президент компании Воля Сергей Бойко (ранее был начальником юротдела SigmaBleyzer) подтвердил эти опасения.
Стоит отметить, что ProZorro — не единственная система, защита данных которой не оформлена должным образом. «Насколько я знаю, КСЗИ нет у многих баз и госреестров», — отмечает Пресняков. Во время обсуждения проблем запуска реестра e-деклараций журналисты интересовались у главы Госспецсвязи Леонида Евдоченко, у каких еще ресурсов в Украине нет аттестатов КСЗИ. Тогда он не смог дать внятного ответа.
Источник: ЛIГА.Бизнес