Хто зривав електронне декларування: нові подробиці

П'ятниця, 2 вересня 2016, 18:00 - Сергій Сидоренко, Європейська правда

В ніч на 1 вересня в Україні знову з’явилося електронне декларування.

Є підстави сподіватися, що надовго. Але немає підстав говорити, що якісно.

Програмна система, представлена "Мірандою" і заблокована  державою три тижні тому, містила низку проблем та порушень технічного завдання, але після "виправлення" з боку Держспецзв’язку вона взагалі перестала працювати в штатному режимі, попри офіційний запуск у "промислову експлуатацію".

На щастя, нинішні (і так само попередні) проблеми не є надкритичними, вони цілком можуть і мають бути виправлені – аби вистачило фахової спроможності тих, хто опікується системою зараз.

Та найголовніше, що між ситуацією сьогодні та в серпні є суттєві відмінності.

Дещо, звісно, не змінилося. Як і раніше, перепоною е-декларуванню лишається серія помилок всіх причетних сторін, які тягнуться ще від минулого року.

Як і раніше, проблемою лишається кричуща некомпетентність окремих державних органів.

Нікуди не поділося бажання окремих політиків повністю скасувати або вихолостити систему е-декларацій.

Але є також зміни – деякі на краще, деякі на гірше.

Негативом, зокрема, є те, що система Держспецзв’язку, яка дискредитувала  себе під час конфлікту навколо е-декларацій, за останні тижні лише посилила позиції. Саме вони чомусь отримали завдання розробити 4 та 5 блоки системи. Чомусь йдеться про розробку "з нуля", замість допрацювання програмних модулів.

І тому не варто виключати нові "сюрпризи" у впровадженні е-декларування, далі у статті – детальніше про них.

Натомість, головний позитив:

джерела підтверджують, що президент Порошенко зрештою обрав "світлу сторону" в даному конфлікті.

Його втручання поставило хрест на ідеї відмовитися від е-декларування, і саме тому ми почали з оптимізму: схоже, що цього разу система запрацювала надовго. Більше того, президент публічно заявив, що кримінальна відповідальність за брехню в деклараціях буде збережена. Схоже, в АП нарешті зрозуміли критичну важливість питання.

Щоправда, до готовності визнати власні помилки держава досі не дозріла. Навіть тоді, коли вони є очевидними.

Отже, як "ЄвроПравда" обіцяла у попередній публікації, ми повертаємося до теми електронних декларацій – і до подій минулого, і до можливих сценаріїв майбутнього.

Кому "дякувати"?

ЄП ще три тижні тому, 14 серпня, опублікувала детальне розслідування щодо участі Держспецзв’язку (ДССЗЗІ, Державна служба спеціального зв’язку та захисту інформації) у зриві вчасного запуску електронного декларування.

Всі документи та висновки, викладені там, лишаються актуальними. Є й нові, до яких ми дійдемо згодом у цій статті. Та хоча роль ДССЗЗІ у даному процесі є справді "видатною", неправильно зупинятися лише на них.

До глибокої кризи е-декларування привів збіг злого умислу, помилок і банального нехлюйства з боку всіх учасників процесу – від замовників до аудиторів.

І хоча "ступінь вини" – різний, зупинитися варто на кожному (перепрошуємо за велику кількість технічних деталей на наступних кількох сторінках, хто не бажає заглиблюватися у питання "хто винний", може пропустити наступні блоки).

Відповідальність "Міранди"

Розробника програмного комплексу е-декларацій влада призначила "офіційним винним у всіх проблемах". (Одночасно був обраний "неофіційний винуватець" - в публічному просторі, а також від посадовців, не пов’язаних з президентською вертикаллю, просувається думка, що винних двоє: ТОВ "Міранда" та ПРООН).

Дійшло до того, що в розпал скандалу – на початку позаминулого тижня – міністр закордонних справ  Павло Клімкін особисто телефонував до Нью-Йорку, щоби запевнити керівництво ПРООН: "ми вже визначили винного, всі проблеми з е-декларуванням виникли виключно через поганого підрядника, відібраного вами,  але до самого ПРООН Київ не має претензій".

Сигнал, про який дізналися всі міжнародні місії в Києві, був сприйнятий як дивний – Клімкіну не повірили.

Але це зовсім не означає, що на "Міранді" немає вини. Вона є. І значна.

Не відкриємо нічого нового,  та це необхідно вкотре зафіксувати: продукт, що був зданий в експлуатацію (а станом на 12 серпня всі вірили, що йтиметься про промислову експлуатацію, а не тестову), мав цілу низку проблем.

В тому числі – було порушене технічне завдання в частині безпеки, що з’ясувалося після виходу системи у публічний доступ.

Для тих, хто слідкував за темою – йдеться про "проблему кукіз" - на комп’ютері, де заповнювали декларацію, лишалася технічна інформація. Через це інша людина, сівши за цей комп’ютер,  могла проглянути закриті персональні дані.

До слова, ця вразливість не дозволяла змінити чужу декларацію,  для підпису декларації потрібен електронний ключ, та й довільна зміна вже поданої декларації не є можливою. Але все одно, можливість витоку персональних даних – неприйнятна.

Відповідаючи на запит ЄП з цього приводу, директор "Міранди" Юрій Новіков визнав помилку. "Її нескладно виправити. Ми підготували патч до системи, який виправляв цю вразливість, зменшили тривалість сесії, і 22 серпня ми були готові інсталювати його у систему, але не отримали дозволу НАЗК", - пояснив він.

Ще одна вагома проблема захисту персональних даних – те, що пошта від системи е-декларацій пересилалася через поштовий сервер "Міранди". "А що нам було робити, якщо НАЗК вимагав здати систему, а свого поштового серверу у них не було", - пояснює Новіков.

На думку ЄП, це пояснення – не переконливе. Розробник мав НАПОЛЯГТИ, що таку систему неприпустимо давати в експлуатацію. Мав передбачити, що така система навряд чи буде сертифікована, а якщо й буде, то її використання викличе масу питань.

І це, мабуть, наймасштабніша проблема, що виходила від "Міранди".

Розробник системи зазвичай є кращим фахівцем, аніж її замовник. Саме він має вказувати на нереальні терміни атестації в ДССЗЗІ; саме він має пропонувати зміни до техзавдання, коли бачить, що його нинішня редакція є проблемною тощо.

Схоже, що тут не було необхідного рівня ініціативності.

Те саме стосується претензій до неадекватного заповнення даних. Так, вимоги до верифікації всіх пунктів декларації були затверджені НАЗК ще 10 червня, але якщо декларант зазначає свій рік народження як 1800, а рік народження батьків як 2016, це має викликати принаймні попередження системи.

Та водночас варто додати – численні заяви полвтиків і посадовців про те, що "Міранда" створила "дірявий продукт", який можна "проштиркнути пальцем", лишилися непідтвердженими.

Навіть за офіційними даними НАЗК (а ця структура нині є одним з публічних "ворогів" "Міранди"!), за час роботи системи не було жодної успішної спроби стороннього втручання в систему.

Жодної! Хоча їх було чимало.

"За тиждень роботи система е-декларування зазнала більш ніж 230 тисяч атак", -

каже член НАЗК Руслан Рябошапка. Ця цифра не "зі стелі". ЄП мала можливість ознайомитися із доповідною про "безпекові атаки", зафіксовані з 15 до 22 серпня. Спроби зламу поділені на 61 тип, з кількістю атак кожного типу.

Більша частина хакерських методів випробовувалася кілька десятків або сотень разів. 5 типів атак мали 45-46 тисяч спроб. "Дірява система" чомусь вистояла.

Звісно, це не гарантує відсутність в системі дірок, які ще не були знайдені, але – точно  спростовує заяви про те, що її аж так легко зламати.

Відповідальність Програми розвитку ООН

Ця міжнародна організація по суті, посередником із фінансування благодійних проектів і цей раз не виняток. Цього разу ПРООН діяла за дорученням уряду Данії і за гроші данського бюджету, де погодилися дати кошти для розвитку НАЗК. Кошти, які Україна не змогла знайти у власному бюджеті.

Ми вже згадали, що ПРООН була призначена "другим головним винуватцем".

Прибічники цієї теорії зазвичай стверджують, що "тендеру не було", "Міранду призначили виконавцем" і роблять висновок про корупційне витрачання коштів. Найпоширеніша теорія каже, що "Міранда" пов’язана із менеджером ПРООН з даного проекту Іваном Пресняковим (хоча ілюстрація цього зв’язку не наводиться).

От тільки в самій ПРООН дивуються таким твердженням і кажуть, що Пресняков був найнятий до проекту... лише в грудні 2015 року, коли "Міранда" вже виграла тендер!

Отже, ключова претензія до ПРООН просто суперечить логіці.

Говорити про "відсутність тендеру" також немає підстав. Було 10 пропозицій – а це вже чималий конкурс.

"Відкритий тендер був оголошений 28 вересня 2015, і завершений 18 жовтня 2015 року. Загалом, ПРООН отримала 10 тендерних пропозицій.

З цих 10 пропозицій одна була відхилена поштовою системою як така, що містила вірус. ПРООН детально перевірила цей випадок, звернувшись до ІТ департаменту штаб-квартири ПРООН та корпорації Майкрософт, що надає послуги електронної пошти. Було підтверджено, що надісланий архів був заражений вірусом і, відповідно, його було автоматично видалено з поштової системи.

Ми поінформували компанію (учасника тендера) про цей інцидент. Формальних письмових протестів з її боку не було.

З іншими тендерними пропозиціями подібних інцидентів не виникало",  - йдеться в коментарі даного проекту ПРООН на запит ЄвроПравди.

Але чесність тендеру ще не означає, що був відібраний найкращий претендент. І це, схоже, саме той випадок.

Адже критерії відбору встановлюються ще до початку конкурсу.

Зокрема, вагомими критеріями є ціна (за даними джерел, пропозиція "Міранди" була найдешевшою) та якість оформлення документації. Ті, хто часто беруть участь у міжнародних тендерах, володіють навичками. До речі, "Міранда" незадовго до того завершила великий проект з побудови бази даних на замовлення Міжнародної організації міграції. Тобто навики для участі у міжнародних тендерах у них справді були.

І це – не є незаконним.

Джерело ЄП, інформоване про перебіг відбору, розповіло, що технічні фахівці ПРООН "не схилялися до того, щоби віддавати перемогу Міранді", але відбір переможця відбувався не за персональним рішенням, а за бальною системо. І "Міранда" - справді перемогла.

Ще одне питання, яке частково можна адресувати ПРООН, - щодо контролю якості. Так, для цього ПРООН найняла всесвітньо відому PricewaterhouseCoopers та IT-тестувальника компанію Testlab2, але ж як сталося, що попри їх аудит, система містила вразливість в частині захисту персональних даних?

Заявлено, що PwC проводили тест на проникнення, але ж він гарантовано мав виявити проблему з cookies! Можливо, просто завдання було поставлене некоректно?

Та ми не дарма зазначили, що відповідальність ПРООН за контроль якості – лише часткова. І ця частка явно менша за половину. Ось чому.

Відповідальність НАЗК

Національне агентство з питань запобігання корупції нині запевняє, що "не мало жодного впливу" на підготовку програми, але документи свідчать, що це не так – представники НАЗК брали участь у робочих групах, що приймали продукт.

"У нас був активний діалог з травня, коли в НАЗК визначили, що за цей напрямок відповідає Руслан Радецький. Також з ним завжди був технічний фахівець НАЗК, на той момент ще позаштатний, але потім він увійшов у штат, – розповідає Юрій Новіков. –

Більше того, вони в червні давали свої зауваження, точніше, прохання переробити деякі елементи. Тому говорити, що вони нічого не могли змінити – неправильно".

(оновлено: Радецький в письмовому коментарі ЄП заявив, що він не був відповідальним за технічну складову декларування, а лише за перевірку декларацій; він стверджує, що технічна сторона є зоною відповідальності Наталії Корчак)

За словами Новікова, всі зауваження стосувалися інтерфейсу "бекофісу", тобто робочих місць операторів НАЗК. Жодної з претензій до веб-інтерфейсу електронних декларацій, які лунають зараз, тоді не було.

Загалом, складається враження, що

в Нацагентстві підішли вкрай формально до процесу підготовки системи е-декларацій та контролю за нею.

Хоча саме НАЗК доведеться працювати з цим інструментом. І вони мали бути зацікавлені в його якості як ніхто інший. Але...

ЄП намагалася отримати коментар голови НАЗК Наталії Корчак та відповідального за перевірку поданих декларацій члена агентства Руслана Радецького, але в останні дні вони не мали часу для зустрічі.

Натомість член агентства Руслан Рябошапка, з яким ми поспілкувалися, стверджує: найбільшим генератором проблем, які зрештою призвели до затримки із атестацією, став Держспецзв’язок.

"Зараз я переконаний, що це був умисел з боку Держспецзв’язку. Адже була сукупність подій, згенерованих з їх боку,  кожна з яких забирала кілька днів або тижнів. 

Мені здається, що була поставлена задача відтермінувати запуск системи. Саме тому ми чули від керівника ДССЗЗІ, що їм потрібно два місяці на експертизу. А тоді сказали б – бачите, декларування тягнутиметься до грудня, то який сенс подавати декларації.

І ми би втратили рік", - пояснив він.

Відповідальність Держспецзв’язку

Перепони, які були згенеровані Держспецзв’язком, ми детально описували у публікації від 14 серпня. Тоді читачі звернули увагу на "окрему думку" представника ДССЗЗІ на протоколі приймання системи.

Джерело ЄП в уряді, що бачило ці документи, уточнило: представник Держспецзв’язку написав про незахищеність системи BankID, яка зрештою стала однією з підстав відмовити в атестації е-декларування.

Рябошапка підтвердив ці дані: "Про BankID вони написали, що не гарантується безпека, але жодного разу від ДССЗЗІ не прозвучало, що вони не дадуть сертифікат. Якби ми це від них почули, це не стало б такою несподіванкою перед 15 серпня".

Рябошапка також розповів про проблему, через яку було втрачено два місяці для запуску системи.

Ця проблема має двох авторів: компанію УСС ("дочку" Держспецзв'язку), та власне НАЗК.

"Спочатку вони казали, що мали надати свої сервери, згодом чомусь не знайшли серверів і вже говорили про оренду, і зрештою – не змогли навіть орендувати.  Більше того, були проблеми із приміщенням для хостингу серверів", - стверджує член НАЗК.

ЄвроПравда за документами відновила перебіг події.

З'ясувалося, що ще в середині квітня  розглядалася можливість того, що сервери системи е-декларацій будуть розміщені в ДП "УСС", адже це логічно – державна система працює на державному майданчику. На той момент програмна частина трьох модулів вже була готова та прийнята у розробника. Лишалося тільки "покласти" її на сервер.

18 квітня датований перший лист Світового банку на главу НАЗК Наталю Корчак, про який відомо ЄП, з проханням вирішити це питання якнайшвидше. Згодом, в кінці квітня – надійшло ще одне письмове нагадування. Але далі розмов справа не йшла, у НАЗК не було ані коштів для фінансування серверів, ані навіть розуміння, коли вони займуться вирішенням проблеми.

Заспокоювало лише те, що держкомпанія запевнила: вона знайде сервери, щойно будуть вирішені організаційні питання.

В травні, коли очікування стало задовгим, ПРООН вирішила фінансувати розгортання системи власним коштом. Щоб запустити цю процедуру, 20 травня розробник звернувся листом до ПРООН (а ПРООН – до НАЗК), нагадуючи про потребу поставити сервери хоч десь, але із забезпеченням вимог ДССЗЗІ.

 проглянути в повному розмірі

Відповідь не забарилася – і Держспецзв’язок відповів (публікуємо pdf-файл зі сканом відповіді): єдиним варіантом є розміщення на майданчику ДП "УСС". Але там ніяк не могли знайти сервери. Варіанти розгортання системи у іншого провайдера були відкинуті. В НАЗК нагадали (публікуємо pdf-файл зі сканом листа НАЗК):  державний майданчик є безальтернативним.

Зрештою все погодили, УСС пообіцяв все ж знайти обладнання.

15 червня в ДП "УСС" знову запевнили, що техніка вже є, і навіть повідомили конкретні параметри обладнання (публікуємо pdf-файл зі сканом листа).

Але 22 червня з УСС несподівано повідомили... що серверів немає і не буде. Мовляв, їх потрібно закупати через тендер, а ця процедура – задовга.

Коли з’ясувалося, що хостинг зірвався, а до здачі проекту майже не лишилося часу, було погоджене рішення орендувати сервери коштом ПРООН. І хоча процедури скоротили до неймовірно стислих, це вдалося зробити лише на початку липня.

Така схема була детально погоджена з УСС.

Але яаме ця оренда згодом стала ключовою претензією до ПРООН (та, чомусь, до "Міранди"), коли Держспецзв’язок зарубав атестацію системи!

 "Якщо проблеми, пов'язані з BankID та з серверним обладнанням, були від початку, чому було не повідомити нас про це? Адже в ДССЗЗІ знали, якою буде система і знали її параметри. Виходить, вони з червня знали, що це стане перепоною для атестації, і не повідомили нас?" - дивується Руслан Рябошапка.

А тепер найцікавіше: як відомо, 31 серпня ДССЗЗІ атестував систему, оголосивши, що проблеми з серверами вирішені. Для пошуку та оформлення законного шляху знадобилося не більше тижня.

Що заважало вертикалі Держспецзв’язку запропонувати та провести точно такий законний варіант в червні, в липні, або на початку серпня? Був це злий умисел і намагання будь-що зірвати атестацію системи, чи просто небажання працювати?

Залишимо це запитання відкритим.

Нагадаємо лише, що ДП "УСС" знову спливло в публічному просторі в кінці серпня. Це саме та держструктура, що підробила електронний ключ на ім’я члена НАЗК Руслана Рябошапки. Цікаве "співпадіння"...

І, насамкінець, ще один цікавий епізод від вертикалі Держспецзв’язку.

Нагадаємо, про події середини серпня: ДССЗЗІ стверджує, що отримало документацію від НАЗК лише в другій половині дня 10.08 і лише з того моменту розпочало експертизу системи е-декларацій. До слова, ми маємо свідчення про те, що голова ДССЗЗІ Леонід Євдоченко був  в НАЗК ще 8 серпня, коли там вже була вся документація, але відмовився забирати її, затягнувши процес на два дні.

Але залишимо це за дужками, найцікавіше – інше.

Чи уявляли ви, що фахівці Держпецзв’язку з робочих комп’ютерів пробували "обвалити" сайт НАЗК?

Але це справді сталося! При чому сталося ще до початку сертифікації, коли ніхто нікого не мав "перевіряти". І найголовніше – вони "ламали" не захищену систему е-декларацій, а сайт-візитівку Агентства, розміщений на звичайному комерційному хостингу!

Яскраве свідчення "кваліфікації"...

До вашої уваги – скріншот повідомлення, що надійшло від компанії-хостера

 натисніть для перегляду документа

Отже, протягом 9-10 серпня хтось організував DoS-атаку на сайт-візитівку НАЗК з ip-адреси 193.29.204.19

Нескладно знайти, кому належить ця адреса – дана інформація є публічною. Це – одна з адрес, які використовує Держспецзв’язку!

натисніть для перегляду 

Додамо, що керівництво НАЗК знає про цю історію. Але чомусь вирішило не робити її публічною.

"Європейська правда" письмово зверталася до ДССЗЗІ та ДП "УСС" з конкретними питаннями щодо ситуації з е-декларуванням, але там (в порушення законів "Про звернення громадян" та "Про інформацію") письмово відмовилися відповідати і порадили "читати офіційний сайт".

Що далі?

Отже, попри всі проблеми та всі спроби заблокувати процес, 1 вересня електронне декларування запрацювало.

Хоча ні, "запрацювало" - неправильний термін.

Найкоректніше казати, що система отримала фіктивний атестат безпеки.

В тому, що Держспецзв’язок насправді не проводив справжньої атестації чи навіть тестування системи, на ранок 1 вересня переконалися всі.

Програмний комплекс електронних декларацій доступний, але не працює.

В перший день він взагалі не сприймав електронні ключі та не дозволяв заповнювати декларації. 2 вересня у другій половині дня частина ключів (але не всі) почали сприйматися, але дійти до подання декларації вдається також не всім.

При цьому валідація (перевірка) даних – зруйнована. Приміром, станом на 1 вересня можна було написати прізвище держслужбовця англійською, а мати родиче особу без громадянства було "заборонено".

І найголовніше: відображення внесених декларацій досі не працює. Взагалі. Принаймні, станом на вечір 2 вересня.

Розробники припускають, що модуль відображення, який є досить складним, "зруйнований" через некоректне втручання.

Якщо відверто, то такий розвиток не є дивним.

Всі фахівці попереджали, що в такі стислі терміни просто неможливо допрацювати складний програмний  силами держоргану, який не брав участь у його розробці (і не має в штаті тих, хто знайомий з програмним кодом).

Поламати – можна. Власне, це і сталося.

Чи можливо виправити систему зараз? Та ще й з урахуванням, що потрібно також дописати 4 та 5 модулі (перевірка декларації і інтеграція із зовнішніми реєстрами)?

Так, можливо, і це буде не надто складно, якщо залучити розробника. І, очевидно обійдеться безкоштовно, адже він вже отримав всі кошти за продукт.

В принципі, можна обійтися без послуг "Міранди", якщо це рішення є принциповим, долучивши стороннього підрядника – це буде складніше, довше і потребуватиме фінансування, але це також реальний варіант.

І, нарешті, третя опція – продовжувати роботи силами Держспецзв’язку. В рівні кваліфікації якого переконалися мабуть всі.

За логікою, держава мала би категорично відкинути третій варіант. Але враховуючи, що уряд після всього, що сталося, досі не відправив у відставку главу ДССЗЗІ Леоніда Євдоченка, ми не можемо виключити, що Держспецзв’язку доручать "ламати" систему і надалі.

Єдине, що надає оптимізму – те, що в такому розвитку подій не зацікавлений перш за все президент.

Ще 14 серпня ми писали, що він знав та щонайменше санкціонував затримку із наданням атестату. Це справді так. Але неймовірний міжнародний скандал, що здійнявся після цього, змусив АП переглянути позицію.

Кілька не залежних один від одного джерел підтвердили: саме Порошенко відіграв ключову роль у тому, щоби система зрештою отримала сертифікат.

В АП нарешті зрозуміли, що Захід не простить Києву цього провалу.

Звернемо увагу: в останньому зверненні Порошенка щодо е-декларування є важливі слова про те, що система має працювати "разом з адміністративною та кримінальною відповідальністю за порушення порядку її подання чи надання недостовірних відомостей".

І Захід буде слідкувати, щоб ця обіцянка була виконана, а план зі зриву запуску системи не перетворився на план "вичищення" покарань із законодавства.