Скелет в шкафу. Почему любые торги в ProZorro можно оспорить

Государственная система публичных электронных закупок ProZorro рискует наступить на те же грабли, что и реестр электронных деклараций. Через нее проходит огромное количество гостендеров, а аттестованной системы защиты информации пока нет.

Акционер датацентра Парковый Петр Яцук заявил на прошлой неделе в интервью Украинским новостям, что система ProZorro еще несколько недель назад по-прежнему хранилась на виртуальных серверах Amazon. Хотя после тендера, который официально завершился в августе, она должна была давно переехать в украинский датацентр Де Ново.

Парковый был одним из проигравших участников этого тендера. Яцук может до сих пор быть заинтересованным лицом в отношении ProZorro и его распорядителя (МЭРТ), которые предпочли для хранения и обработки своих данных альтернативную площадку.

  ЛІГА.net решила перепроверить эти данные.

Почему это важно

Факт хранения системы ProZorro на удаленных облачных серверах, может косвенно свидетельствовать о том, что госпредприятие все ещё не выстроило комплексную систему защиты информации (КСЗИ) конфиденциальных данных, как того требует закон. Хотя пилотный период эксплуатации системы закончился в апреле. А с 1 августа все гостендеры, которые превышают пороговые значения, стали проводиться через ProZorro. 

Именно необходимость наличия должным образом сертифицированной КСЗИ и стала причиной большого скандала вокруг запуска реестра электронных деклараций в августе. И проект чуть было не сорвался по той причине, что Госспецсвязи не выдавала аттестат защиты системы. Правозащитники из Transparency International тогда заявили, что из-за отсутствия аттестата защиты данных декларации ведомости из реестра невозможно будет использовать в качестве доказательства в суде и, следовательно, привлечь к ответственности подавших ложную информацию чиновников. 

Переезд в неспешном темпе

ЛІГА.net обратилась к руководителю Де Ново Максиму Агееву, который уточнил, что ProZorro и в самом деле использует сегодня их облако в объеме гораздо меньшем, чем описывалось в тендерном задании (менее 10%).

Руководитель департамента госзакупок МЭРТ Александр Стародубцев (один из создателей ProZorro) рассказал ЛІГА.net, что переезд в Де Ново готовится. “Данные, естественно, переезжают в самый последний момент, поэтому пока не все объемы задействованы”, — добавил директор ГП ProZorro Василий Задворный. Агеев при этом предполагает, что отправная точка переезда может быть только одна — площадка AWS (Amazon Web Service) в Нидерландах. Если это так, вряд ли Amazon оформлял себе украинский сертификат на защиту информации у Госспецсвязи. Более того, информации о госзакупке услуг у Amazon для ProZorro тоже не было. 

Есть ли сертификат?

Как рассказывает Агеев, сертификат соответствия КЗСИ для датацентра Де Ново он получил еще до подписания договора с ProZorro. “Когда мы начали предлагать услуги облака госорганам, нам говорили, что без сертификации КСЗИ даже разговаривать с нами не будут”, — уточнил Агеев. Но, как выяснилось, у ProZorro система до сих пор не сертифицирована должным образом. “Аттестата еще нет, но у нас согласованное с Госспецсвязи техзадание. И мы уверенно движемся к получению аттестата”, — говорит Стародубцев.

Экс-руководитель Государственного НИИ спецсвязи и защиты информации Госспецсвязи (с 2016 года — директор Департамента информтехнологий УГЦР) Андрей Кузмич предполагает, что требования законодательства в сфере защиты информации в информационно-телекоммуникационных системах таким образом могут не соблюдаться. Экс-начальник госцентра киберзащиты Госспецсвязи Игорь Козаченко подтверждает эти опасения — система не работает в правовом поле. Он добавляет, что в Украине еще не принят закон, который позволил бы госресурсам хранить свои данные в облаке за пределами страны. В Госспецсвязи на запрос ЛІГА.net пока не ответили.

Угроза с любой стороны

Как говорят эксперты, работающую КСЗИ можно создать только тогда, когда ее полностью перенесут в Де Ново. Что же касается защиты самого софта, то, по словам Кузмича, в условиях динамичного совершенствования функционала ПО веб-портала ProZorro создание КСЗИ невозможно. Ведь это бы заблокировало дальнейшие изменения в нем.

Отсутствие КСЗИ несет в себе юридические риски для ProZorro. “Любой желающий очень быстро может оспорить результаты гостендера”, — говорит директор одной из компаний, занимающихся построением и аттестацией КСЗИ. “Это повод кому-то заявить, что он не смог податься на тендер. Потому что система не имеет КСЗИ, и он не захотел вносить информацию про тендерное предложение в такую систему”, — соглашается проект-менеджер в программе развития ООН Прозорість і доброчесність публічного сектору Иван Пресняков. Экс-президент компании Воля Сергей Бойко (ранее был начальником юротдела SigmaBleyzer) подтвердил эти опасения.    

Стоит отметить, что ProZorro —  не единственная система, защита данных которой не оформлена должным образом. “Насколько я знаю, КСЗИ нет у многих баз и госреестров”, — отмечает Пресняков. Во время обсуждения проблем запуска реестра e-деклараций журналисты интересовались у главы Госспецсвязи Леонида Евдоченко, у каких еще ресурсов в Украине нет аттестатов КСЗИ. Тогда он не смог дать внятного ответа.