Е-декларирование: опасные эксперименты для Украины

Версия для печати

Почему участников «распила» датских денег ждут веселые времена.

Наконец появился на горизонте очередной антикоррупционный рубикон, к которому долго и мучительно тянулись реформаторские круги Украины и Европы. Ведь 1 сентября 2016 года — официально анонсированный день очередного запуска системы электронного декларирования. Именно от этой даты и должен был начаться обратный отсчет до самого значимого события независимой Украины — предоставление странами Евросоюза безвизового статуса.

Кроме того, запуск электронного декларирования, как ожидают разработчики системы, должен существенно облегчить контроль материального достатка госслужащих со стороны государственных органов и общественности. Масштаб проекта затрагивает интересы всех без исключения граждан Украины. Но, несмотря на создание ауры антикоррупционной прозрачности вокруг события, первая поверка выявила слишком много темных пятен и мутных схем, требовавших дальнейшего исследования и открытой дискуссии.

Взявшись прояснять ситуацию и все больше погружаясь в тему, я наткнулся на сплошной мрак, факты манипулирования, строгую секретность вокруг практически всех аспектов проекта, начиная от постановки задачи и «публичного» тендера, завершая введением системы в эксплуатацию. Обо всем этом — в данной статье подробнее ...

С чего все началось?

Для тех, кто не следил за развитием событий, стоит отметить, что попытка старта вышеупомянутого е-декларирования делается не впервые. Так, две недели назад, 15.08.16, после открытого тестового запуска сайта portal.nazk.gov.ua экспертная среда ІТ-специалистов выявила многочисленные нарекания на качество построения системы, несмотря на то, что общественное антикоррупционное сообщество до этого анонсировала 100% готовность и надежность программного продукта.

Следствием фальстарта стало критическое усиление давления на украинскую власть со стороны общественности и европейского политикума на грани международного скандала. И наконец — эпический перенос запуска е-декларирования на день, когда первоклассники идут в школу. С той лишь разницей, что наш «первоклассник» второй раз в месяц здает тот же самый вступительный экзамен ...

Отматывая в хронологическом порядке все события по внедрению е-декларирования, у меня как исследователя, стали появляться вопросы: что же действительно произошло, кто за это отвечает и как быть дальше?

Информация, которую удалось собрать, не имела бы никакой ценности, если бы не консультативная помощь ІТ-экспертов, которые рассказали, как на самом деле должен проходить процесс внедрения программных продуктов, от А до Я. Сравнив промышленные стандарты с тем, что сделано в этой истории, я решил сделать итоговую публикацию, а также подвести предварительные выводы.

Итак, вернемся к самому началу.

Идея электронного правительства возникла в 2014 году. Тогда же, в октябре, в результате принятия Верховной Радой пакета антикоррупционных законов, должны были образоваться новые государственные органы: Национальное антикоррупционное бюро Украина (НАБУ) и Национальное агентство по предупреждению коррупции (НАПК). Закон Украины «О предотвращении коррупции», в статье 47 определил способы учета и обнародования деклараций государственных служащих. В частности, Законом определено, что поданные через сайт НАПК декларации включаются в Единый государственный реестр, который должно контролировать Национальное агентство.

Стоит отметить, что с этого момента и начинаются различные толкования, а местами и — манипулирование общественным мнением. Обратите внимание: в тексте закона не существует ни одной ссылки на «систему электронного декларирования».

Старший партнер адвокатской компании «Кравец и партнеры» Ростислав Кравец подтверждает мой предыдущий вывод: «Правильнее было бы говорить не об электронном декларировании, а о централизации представления деклараций и размещении их в электронной форме. Это изложено в статьях 45 и 47 Закона.

Ст. 45. п1: Лица, указанные в пункте 1, подпункте «а» пункта 2 части первой статьи 3 настоящего Закона, обязаны ежегодно до 1 апреля подавать путем заполнения на официальном сайте Национального агентства декларацию лица, уполномоченного на выполнение функций государства или местного самоуправления (далее — декларация), за прошлый год по форме, которая определяется Национальным агентством ...

Ст. 47. п1: Доступ к Единому государственному реестру деклараций лиц, уполномоченных на выполнение функций государства или местного самоуправления, на официальном веб-сайте Национального агентства предоставляется путем возможности просмотра, копирования и распечатки информации, а также в виде набора данных (электронного документа), организованного в формате, который позволяет его автоматизированную обработку электронными средствами (машиносчитывание) с целью повторного использования.

«То есть, Закон, как видим, напрямую не определяет ни формы представления, ни название способа введения декларируемых данных, ни модель учета и обработки деклараций.

Сюрпризы, скрытые в Техническом задании на e-декларирование

Так откуда взялось требование Евросоюза об автоматизированной защищенной системе электронных деклараций, если мы действуем в рамках украинского законодательства?

Ответ на этот вопрос можно найти на сайте Программы Развития ООН (ПРООН) в техническом задании на разработку этой системы.

Как видим, ПРООН обосновывает целесообразность отказа от бумажных носителей тем, что это будет эффективнее. И здесь не с чем спорить. И ложная информация о том, что Закон обязывает создать именно «систему электронного декларирования» уже вызывает сомнения, по крайней мере, в компетентности разработчиков ТС. Именно поэтому и возник вопрос: кто же вырабатывал ТС на систему и какие еще ​​сюрпризы в нем скрыты?

Опрос специалистов ІТ-отрасли и поиск в открытых источниках не дали никакого результата. Кто конкретно разрабатывал техническое задание государственного уровня, какие экспертизы оно прошло, какие выводы по качеству документа — точно не известно. Единственное упоминание о разработчике ТС встречается в статье сайта ain.ua под названием «ПРООН ищет IT-компанию, которая создаст систему онлайн-деклараций для всех украинских чиновников».

В материале упоминается Дмитрий Чаплинский как технический специалист, который участвовал в создании ТС под эгидой Всемирного Банка. Дальнейший поиск информации об уровне компетенции Дмитрия и его портфолио проектов вывел на проект Дениса Бигуса «Канцелярская сотня», где он впервые и позиционировался в публичной плоскости.

Примечательно, что в ІТ-среде о нем никто из опрошенных «мастодонтов» отечественного рынка не слышал, хотя он получил статус советника Всемирного банка и вошел в межведомственную группу по внедрению Единого государственного реестра, которая сопровождает проект е-декларирования. Дмитрий Чаплинский имеет свой​​ персональный блог на bihus.info. В его описательной части приводится то ли креативная справочная информация об авторе, то ли зашифрованное послание инопланетянам, цитирую: «блаблабла питон блаблабла реестр блаблабла 600 гривен».

Дальнейший поиск информации об активности и компетенции советника Всемирного банка до 2015 года выводит на факт, что он имел на фейсбуке другие имя и фамилию, а именно — Анатолий Черненко. Чтобы убедиться в этом, можно перейти по ссылке:

Потерпев полное фиаско в деле поиска разработчиков ТС, берусь анализировать его содержание. Для этого мне понадобятся опытные специалисты по программированию и информационной безопасности. Обращаюсь к ним с вопросами о качестве постановки задачи.

«Прежде всего обратите внимание на наличие в ТС конкретных требований к функциям защиты (услуг безопасности) и к гарантиям. А именно, в задании должны быть описаны критерии конфиденциальности, целостности, доступности, в соответствии с требованиями нормативных документов системы технической защиты информации, а также профиль защищенности будущей системы. Если этого в ТС нет, оно написано общими фразами, что система должна быть защищена — это первый признак низкого качества документа. И одновременно — серьезный повод беспокоиться о дальнейшей судьбе проекта» — советует директор по защите информации компании Global Intecraty Дмитрий Днепровский.

Детальное исследование мною ТС на предмет вышеуказанных критериев подтвердило мои сомнения в надлежащем качестве документа ПРООН. Ссылка на государственные стандарты действительно отсутствует. Тем не менее, в качестве требований Технического Задания по кибербезопасности найдены следующие строки: «Поставщик должен проверить систему электронного декларирования на защищенность по списку уязвимостей OWASP Top 10 vulnerabilities2013».

Что же расскажет Гугл о загадочном OWASP, который ПРООН берет за стандарт? Пытаясь осилить новую, неизвестную до сих пор терминологию, нахожу справку из Википедии: «Open Web Application Security Project (OWASP) — открытый проект обеспечения безопасности веб-приложений. Фонд OWASP — это благотворительная организация, оказывающая поддержку и осуществляющая управление проектами и инфраструктурой OWASP.»

Алексей Шевело, SoftServe Senior PythonDeveloper, высказывает свое мнение относительно требований ПРООН: «OWASP, на который ссылается ПРООН — это открытый проект обеспечения безопасности веб-приложений, если переводить дословно. По сути — сообщество людей, которые решили аккумулировать и выдавать общие рекомендации по веб-приложениям.

То, что выдает OWASP, может быть частью требований, но никак не подменять собой внутреннее законодательство страны-пользователя системы. Это обязательный, но совсем не достаточный уровень защиты для таких систем. В ТС действительно есть ссылка на топ-десятку уязвимостей от „OWASP“. Но первые дни тестирования системы обнаружили нарушения со стороны „Миранды“ (разработчика программы декларирования) именно этих рекомендаций. OWASP имеет 10 позиций, обозначенных А1-А10. А в каждом из этих пунктов есть подпункты. Так в A2 (Broken Authentication and Session Management) нарушены подпункты 5 и 6, в A5 (Security Misconfiguration) — подпункты 2, 3, 4. A10 по сути весь нарушен! Кстати, я уже описывал это в комментариях на фейсбуке достаточно детально».

Юрий Сивицкий, член наблюдательного совета Inteсracy Group,который более 20 лет реализует сложные ІТ-проекты в Украине и Европе, подтверждает вышесказанное и дополняет: «Кроме того, что уполномоченные представители государства (будущего пользователя системы) обязаны участвовать в разработке ТЗ, все требования должны ссылаться на украинские стандарты, а не только на рейтинги таких сообществ, как OWASP.

К тому же, в составе группы разработчиков ТС должен обязательно присутствовать представитель Госспецсвязи, ведь именно этой организации предстоит принимать работу, сравнивая конечный результат с задачей. Поясню на простом примере. Когда вам дарят авто, то вы, как пользователь (конечный бенефициар), отвечаете за техническое состояние своей машины на дороге. Поэтому вам, а не дарителю, придется отвечать в суде в случае ДТП.

Вот почему в состав рабочей группы при конструировании ТС обязательно должны входить и профильный юрист от государства. А в нашей ситуации государство заставляют принять „троянского коня, не глядя ему в зубы“. Это безответственно и непрофессионально, более того — потенциально угрожает государству многочисленными исками от пользователей, которые могут пострадать в результате некорректной работы системы».

Кто и как победил на тендере

Какизвестно из открытых источников, ПРООН внедряет совместно с правительством Дании проект «Прозрачность и добродетель публичного сектора в Украине», с бюджетом 3 254 973 долларов США. Часть денег, которые пожертвовала Дания на реформы в Украине, уже использована на разработку системы электронного управления и сопровождающие мероприятия (речь идет о 97 тыс. долл). С этого момента прозрачность процедур и цель использования датских средств завершается и начинается многосерийная мыльная опера под названием «Как скрыть публичную информацию» ...

Примеров достаточно. Взять хотя бы тендер на разработку системы электронного декларирования. ПРООН держала имя победителя в секрете до тех пор, пока публичный скандал по поводу срыва первого запуска системы не выплеснулся в социальные сети. Первые упоминания об ООО «Миранда» — разработчике программы — всплыли именно в публичных заявлениях Государственной службы спецсвязи, на которую были возложены функции аттестации системы.

Так, 12 августа 2016 года администрация Госспецсвязи обнародовала официальный отчет о результатах государственной экспертизы КСЗИ. Согласно выводам государственного учреждения на аттестацию передано разработанное «Мирандой» программное обеспечение системы электронного декларирования Украины в объеме только трех результатов из пяти, определенных договором (это ориентировочно 60% предусмотренного объема работ, которые должныбыли завершиться в полном объеме еще ​​30 июня 2016 года).

В то же время представительство Евросоюза распространило политическое заявление, в котором обвинило государство Украина в срыве проекта: «Утверждение о том, что несвоевременная выдача технического сертификата вызвана техническими недостатками, является противоположностью публичных заявлений, сделанных ПРООН и другими надежными экспертами. Они четко подчеркивают: система полностью соответствует международным стандартам и уже сейчас может быть использована для сбора и публикации деклараций абсолютно законным образом».

Однако, несмотря на многочисленные просьбы озвучить имена «надежных экспертов», со стороны ПРООН и представительства Евросоюза до сих пор длится молчание. Де-факто, фамилии специалистов, на которых ссылаются европейские учреждения, засекречены так же, как и отчет ПРООНовских итогов тендера.

Возвращаясь к компании-победителю тендера ПРООН, стоит отметить, что ООО «Миранда» обрела признание только вследствие вышеупомянутого международного скандала. О других достижениях «Миранды» поисковик Google почти ничего не знает, кроме того, что компания проиграла тендер на оснащение кабинета математики в Мукачевский РГА, имеет доисторический примитивный сайт http://miranda.net.ua уровня начальной школьной подготовки.

Отдельного внимания заслуживает сокрытия ряда разделов корпоративного сайта перед тендером ПРООН и искусственное увеличение истории компании на 8 лет. Как видим, скрытый раздел «о компании» ссылается на 2001-й год основания (в него можно попасть только через эту ссылку), а открытый для публики и тендерной комиссии ПРООН — в 1993.

Также мистер GOOGLE помог выявить связь между известным уже разработчиком ТС на e-декларирование Дмитрием Чаплинским и будущим победителем тендера — ООО «Миранда». Дело в том, что эти имена всплывают в отчете от 1 июля 2015 года о деятельности совместных рабочих групп по подготовке Закона Украины «Об осуществлении государственных закупок». По логике событий получается, что консультант (по совместительству разработчик ТЗ) проекта е-декларирования и победитель тесно сотрудничали до тендера. Как говорят в Одессе, шах и мат!

После обнародования мною в соцсети этих противоречий, волна резонанса докатилась и до ООО «Айкюжн» — одного из участников того самого тендера. Присланные этой фирмой документы об основании ее снятия тендерной комиссией ПРООН с конкурса заставят пересмотреть весь профессиональный опыт даже самых опытных ИТ-специалистов. Согласно официальному письму ПРООН, «Айкюжн» выбыла с конкурса по рекомендации Майкрософт из-за поражения вирусом архива с тендерным предложением.

Стоит ли упоминать, что жалоба в ПРООН по проведению процедуры закупки СНП UKR/2015/097 от 9/29/2015 осталась без ответа? Нужно ли официально обращаться в Microsoft, чтобы убедиться в абсурдности ситуации? Целесообразно ли комплексно проверить украинское подразделение ПРООН на предмет непрозрачности, ангажированности, нарушение международных стандартов? Это — риторические вопросы.

Что произошло и как быть дальше?

Изложенные факты без лишних сомнений указывают на наличие серьезных проблем, сокрытые в корне процессов внедрения ІТ-продуктов. И делать глобальные выводы только по материалам этой печальной истории было бы преждевременно.

Собственно, о масштабах украинского ІТ-бедствия и причинах системных негативных тенденций рассказывает Владислав Бовсуновский, сопредседатель PR-комитета ассоциации IT Ukraine, в публикации "Срыв е-декларирования: кто виноват и что делать? «на Цензор.нет. Автор выделяет системные проблемы.

Среди них: подмена технологических требований политической целесообразностью, тотальная непрозрачность закупок со стороны грантовых организаций, которые используют в схемах госзакупок в обход тендеров, пагубное пренебрежение неправительственными организациями сертификации со стороны Госспецсвязи, низкое качество технических заданий на разработку софта. Среди всех выявленных проблем Владислав отдает наибольший вес именно непрозрачности, приводя примеры из отечественной практики. Сопредседатель PR-комитета IT Ukraine обосновывает необходимость сотрудничества с Госсвязьюи от начала создания ТС, завершая стадиями внедрения системы.

В. Бовсуновский возмущается тем, что камни в результате срыва е-декларирования несправедливо полетели в Украину. «Деньги выделялись правительством Дании, тендер проводила организация ПРООН. Участники тендера засекречены, процесс прохождения тендера засекречен, имена экспертов, сказавших, что система полностью готова к эксплуатации, также хранятся в тайне. Тендер (и даже конкурс) госструктуры не проводили, техзадание со стороны государства не составлялось.

А ответственным назвали именно руководство страны, хотя оно не принимало никакого участия в процессе. Если по этой причине нам откажут в безвизовом режиме, то, получается, что пострадают все украинцы, хотя к процессу были причастны только международные организации и их аффилированные лица, а также реципиенты грантов — общественные организации», — констатирует Владислав.

Автор подводит итоги, вспоминая печально дискредитированное грантовыми организациями е-декларирование: «На данном этапе нужно заканчивать все процедуры, публично объявив (и международному сообществу также), что система работает и введена в эксплуатацию. И сразу же начать новую разработку, выбрав подрядчика на тендер, который нужно провести очень оперативно. К концу года, если подрядчик и все задействованные госструктуры будут работать синхронно, разработку можно завершить, а декларации, которые будут представлены в системе, разработанной „Мирандой“, просто перенести в новую, защищенную систему.

По документам (и чтобы было меньше вопросов) это можно оформить как модернизацию существующей системы. А теперь — о глобальном. Практику разработки и внедрения государственных информационных систем за гранты пора прекращать. Раз и навсегда. Заказчиком и бенефициаром может быть только государство и никто другой. А выбор исполнителя должен происходить только через предусмотренные законодательством тендерные процедуры, в условиях которых заложено условие защиты информации в соответствии с действующим законодательством».

Наверное, эта поучительная история войдет в учебники менеджмента, обогатив раздел «как можно управлять грантовыми программами».

Считаю, даже такого количества фактов достаточно, чтобы европейские антикоррупционные институты (например, OLAF — своего рода «НАБУ» от Евросоюза) провели соответствующее расследование в отношении растраты датских денег и расставили все точки над «і». Ведь противно наблюдать, как профессиональная непригодность берет верх над экспертным уровнем и опытом, мрак — над прозрачностью, ложь — над правдой, сговор — над прозрачным конкурсом, а громкие политические лозунги цинично прикрывают тихую безответственность, дискредитируя высокие ценности, за которые лучшие сыновья Украины до сих пор отдают свои жизни.

P.S. Сегодня, 31.08.2016, присутствовал на брифинге Госспецсвязи о предоставлении системе электронного декларирования Аттестата соответствия КСЗИ Единого государственного реестра электронных деклараций. Чтобы не пересказывать восьмиминутную речь председателя учреждения Леонида Евдоченко, просто оставлю здесь ссылку на полный текст егозаявления.

А для тех, кто устал от такого количества букв, просто выскажу кратко сущность обнародованной информации: ООО «Миранда» передала государству на аттестацию непригодный для использования продукт вместе с неисправным оборудованием. И многочисленные недостатки системы пришлось самостоятельно устранять специалистами Госспецсвязи в экстренном режиме, а значит система таки будет введена в эксплуатацию в срок, 1 сентября. Ну и пару слов о справедливости. «Миранда» — позорно изгнана со светлой перспективой юридической ответственности за содеянное. Других участников «распила» датских денег также ждут веселые времена.

—

Виталий Манько, опубликовано в издании Site.ua

Перевод: Аргумент

В тему:

• Кто государственный преступник?
• Е-декларации запустят в полночь «для галочки», несмотря на отсутствие защиты данных
• Украина может остаться без кредита МВФ — система электронного декларирования не может запуститься
• МВФ предупредил руководящих коррупционеров Украины: без аттестата декларирования денег не даст
• Депутаты сфальсифицировали взлом системы Е-декларирования, чтобы «отмазать» Порошенко и Турчинова — Шабунин
• Руководство Госспецсвязи и НАПК несет всю ответственность за саботаж и срыв е-декларирования — TI