Експерт: держава втрачає величезні гроші на електронних тендерах через «дірявої» майданчики

білоруське законодавство пред'являє досить суворі вимоги до захисту інформації, що не відноситься до категорії загальнодоступної. Але при цьому, чомусь саме державні ресурси далеко не завжди відповідають цим вимогам. Одним із прикладів таких невідповідностей є організація роботи площадки електронних держзакупівель www.icetrade.by. На думку нашого експерта, спеціаліста в галузі захисту інформації з багаторічним досвідом Володимира Миколайовича Шуліка, першого заступника Генерального директора ЗАТ «Белхард Груп», поточна реалізація фукціонала ЕТМ www.icetrade.by не забезпечує необхідного законодавством рівня захисту розміщуються на ній тендерних документів. Через це держава може втрачати чималі гроші: адже отримавши доступ до інформації про ціни, запропоновані учасниками торгів, компанії отримують шанс підвищити вартість своїх товарів і послуг в останній момент.

- Володимире Миколайовичу, як давно в Білорусі проводяться електронні торги, і коли виникла проблема ?

- Ідея створення майданчика виникла ще в 2002 році. Біля її витоків стояв Борис Миколайович Паньшін - професор економічного факультету Білоруського Державного Університету, який узагальнив передовий досвід аналогічних розробок, як в країнах ближнього, так і далекого зарубіжжя і підготував концепцію створення такого електронного торгового порталу (ЕТМ). Нагадаю, основним завданням створення ЕТМ було впровадження в широку практику захищеної електронної системи державних закупівель, що дало б змогу вирішити проблеми, властиві «паперовим» тендерами. Система повинна була забезпечити прозорість усіх процедур, для уникнення корупції; неможливість фальсифікувати тендерні умови і тендерні пропозиції претендентів; недоступність інформації, що передається стороннім особам, автоматичний контроль дотримання термінів; скорочення витрат на проведення тендерів; розширення кількості потенційних постачальників, що беруть участь в тендері ... Ну, а в якості кінцевої мети впровадження ЕТМ можна назвати економію бюджетних коштів, що виділяються на державні закупівлі та підвищення ефективності їх використання. Забігаючи вперед, скажу, що досягнення останніх цілей можна ставити під сумнів через проблеми із захистом інформації на майданчику.

Ідея була добре прийнята державними органами, і в 2002 році була створена ЕТМ, а 2012 відповідно до постанови Ради міністрів Білорусі від 22.08.2012 № 778 «Про деякі заходи щодо реалізації Закону Республіки Білорусь про державні закупівлі» інформаційний ресурс http://www.icetrade.by/ було визначено, як офіційний сайт в глобальній комп'ютерній мережі інтернет для розміщення інформації про держзакупівлі і актів законодавства про держзакупівлі. Даний сайт в своєму функціоналі і спробував, наскільки тоді було можливо, реалізувати перераховані вище вимоги.

На жаль, в процесі розробки сайту деякі вимоги законодавства, які належали до сфери захисту конфіденційної інформації користувачів ресурсу, чомусь не були реалізовані. Звичайно, можна сказати, що на той момент багато нормативні документи в сфері захисту інформації тільки розроблялися. Але в 2008 році вже вийшов Закон Республіки Білорусь від 10 листопада 2008 року № 455-З «Про інформацію, інформатизації і захисту інформації» та Постанова Ради Міністрів Республіки Білорусь від 26 травня 2009 року № 675 «Про деякі питання захисту інформації».

- У чому ж полягає проблема?

- Процедура проведення електронних торгів визначається зовсім свіжим регламентом електронного торговельного майданчика РУП «Національний центр маркетингу і кон'юнктури цін» від 15.06.2015 р №21 / О (Регламент), затвердженим директором центру. Я бачу в процедурі прогалини в законодавстві і можливі варіанти витоку інформації в самій інформаційній системі оператора електронної торгової площадки, якщо ми відносимо дану систему до державної. Навіть якщо цей інформаційний портал не є державним, його власники все одно зобов'язані вживати заходів щодо захисту інформації, яка зберігається і обробляється на ньому. Для цього є законні підстави.

Для участі в електронних торгах учасників зобов'язують укласти Договір надання послуг електронного торговим майданчиком, погодившись з затвердженим регламентом. Стаття 2.3.5. даного договору свідчить, що оператор ЕТМ зобов'язаний дотримуватися конфіденційності певної в Регламенті інформації, поданої користувачем. Значить, оператор визнає, що конфіденційна інформація в інформаційній системі присутній. Законодавча база по захисту інформації вимагає визначити - як в державних організаціях, так і в комерційних - перелік даних, що відносяться до інформації обмеженого поширення. В даному випадку ми будемо говорити про комерційну таємницю. Наприклад, у багатьох підприємствах цінова політика, викладена в комерційних пропозиціях, а також пропоновані технічні рішення відносяться до комерційної таємниці.

А ось те, як оператор її захищає, крім як формальними словами «ЗОБОВ'ЯЗАНИЙ», ми не знаємо. На мою думку, тільки організаційними методами, що теж можливо, але недостатньо. Прошу звернути увагу, що в Регламенті п.1.2. немає жодної згадки і посилань на нормативні документи в сфері захисту інформації, що викликає певне здивування. Вся відповідальність за можливі збої і неможливість своєчасно передати інформацію лежить тільки на користувачів, за винятком збоїв обладнання на самій ЕТМ. Виникає питання: а хто доведе, чи був збій системи, або торги перенесли на прохання одного користувача, який, наприклад, не встиг підготувати документи?

- Тобто, майданчик, через яку проходять державні замовлення на сотні мільярдів рублів, не володіє необхідними засобами захисту?

- Ми не знаємо про це напевно, але документів, які показують наявність таких коштів, у нас немає. Але деякі факти говорять на користь того, що захист неадекватна важливості даних. Давайте спробуємо проаналізувати можливі канали витоку конфіденційної інформації, яка передана користувачем в інформаційну систему оператора ЕТМ.

Передаючи інформацію у відкритому вигляді через інтернет, ми підписуємо документи своїм ЕЦП, яка гарантує цілісність і справжність даного документа, але не гарантує неможливість перехоплення даної інформації, тобто прочитання (копіювання) сторонніми особами, які можуть використовувати її в корисливих цілях;

Подана нами інформація не розглядатиметься, до тих пір, поки Учасник конкурсу не сплатить рахунок-фактуру. Тільки після цього система допустить його до конкурсу. Таким чином, бухгалтерія оператора торгів завчасно, до початку конкурсу, володіє інформацією про учасників того чи іншого конкурсу. Витік інформації про учасників дає можливість оцінити рівень і компетентність пулу учасників, і таким чином маневрувати ціновою політикою своєї пропозиції до остаточної подачі. А що заважає внести зміни до регламенту, і дати можливість оплатити участь після подачі конкурсних документів, наприклад, протягом доби після розтину? Один канал витоку був би перекритий.

Є й інші сценарії. Наприклад, фахівець IT-служби оператора ЕТМ, якщо інформаційна система не атестована за вимогами інформаційної безпеки, також має можливість прочитати всі конкурсні пропозиції, що надійшли на ЕТМ, після чого видалити всі журнали протоколювання подій. Це також викликає певне занепокоєння. Крім того, сервера, на яких обробляється інформація, повинні бути прив'язані до джерела єдиного часу, і не мати можливості оператору без «залишення відбитків» переводити в ту чи іншу сторону час сервера, особливо при проведенні аукціонів.

Якщо в ході тендеру стає видно, що в ньому є тільки двоє учасників, причому один не відповідає повною мірою вимогам замовника до досвіду роботи на ринку, наявності необхідних сертифікатів і т.д., то другий учасник, будучи впевненим у своїй перемозі, може підняти ціну до, гранично можливої. Можливі й інші варіанти: ніхто не заважає медицини, який обслуговує систему, змінити час подачі тендерної заявки, зробивши пропозицію «спізнилася» компанії недійсним.

І в даному випадку, є рішення: це передавати інформацію на ЕТМ, підписану ЕЦП в зашифрованому вигляді, а сам сервер торгового майданчика прив'язати до датчика єдиного часу, таким чином, закривається ще один канал можливого витоку інформації.

- Як могло статися, що така важлива для держави система виявилася так погано захищена?

- Пропоную повернутися до законодавчої бази, яку дуже спритно обійшли стороною керівники ЕТМ, і ще раз прочитати вимога Закону Республіки Білорусь від 10 листопада 2008 року № 455-З «Про інформацію, інформатизації і захисту інформації».

У статті 17 Закону № 455-З сказано: «До інформації, поширення і (або) надання якої обмежено, відноситься ... службова інформація обмеженого поширення; інформація, що становить комерційну, професійну, банківську та іншу охоронювану законом таємницю ».

Також буде доречно процитувати статтю 27 «Цілі захисту інформації». До них відносять, серед іншого, недопущення незаконного втручання, знищення, модифікації (зміни), копіювання, поширення і (або) надання інформації.

А в статті 28, що містить основні вимоги щодо захисту інформації, йдеться про те, що інформація, поширення і (або) надання якої обмежено, не віднесена до державних секретів, повинна оброблятися в інформаційних системах із застосуванням системи захисту інформації, атестованої в порядку, встановленому Оперативно аналітичним центром при Президентові Республіки Білорусь. При цьому не допускається експлуатація державних інформаційних систем без реалізації заходів щодо захисту інформації.

Забезпечення цілісності та збереження інформації, що міститься в державних інформаційних системах, здійснюється шляхом встановлення та дотримання єдиних вимог щодо захисту інформації від незаконного втручання, знищення, модифікації (зміни) і блокування правомірного доступу до неї, в тому числі при здійсненні доступу до інформаційних мереж.

Якщо ми подивимося на офіційний сайт РУП «Національний центр маркетингу і кон'юнктури цін» Міністерства закордонних справ Республіки Білорусь, то з однієї назви можемо зробити висновок, що це державна інформаційна система, а значить, повинні бути реалізовані заходи щодо захисту інформації в повному обсязі.

- Хто страждає від недостатньої захищеності сайту icetrade. by? Чи знають про проблему в організаціях, відповідальних за роботу майданчика?

- Замовниками робіт найчастіше бувають державні підприємства, а це - бюджетні гроші. Більш того, кожна з компаній добровільно погоджується надати конфіденційну інформацію організаторам конкурсу на закупівлю тих чи інших товарів чи послуг. Але без належного захисту подаються на тендер документів неможливо домогтися виконання головної мети всіх тендерів, що проводяться державою, - а саме, мінімізації закупівельних цін.

У Національному центрі маркетингу і кон'юнктури цін про існування проблеми знають. Знають про це і в органі, що відповідає за держзакупівлі в цілому - Мінторгу. Але проблему вирішувати не поспішають, оскільки для цього потрібна взаємодія кількох профільних відомств. В результаті Мінторг «киває» на НЦМіКЦ, той - на вищестояще Міністерство закордонних справ, а в підсумку перемагає бюрократія, а не здоровий глузд.

- Що ж можна зробити для вирішення проблеми?

- Вихід з ситуації, що склалася в тому, щоб створити і провести атестацію СЗІ системи icetrade.by відповідно до наказу Оперативно-аналітичного центру при Президентові Республіки Білорусь від 30.08.2013 № 62 «Про деякі питання технічного та криптографічного захисту інформації». Коли ми говоримо про атестацію системи ЕТМ за вимогами інформаційної безпеки, ми маємо на увазі, що в торговельній системі будуть зроблені комплексні заходи, не тільки організаційні, але і ряд технічних із захисту інформації, що гарантують неможливість її витоку і модифікації і т.д.

В такому випадку можна буде не відчувати сумнівів в тому, що дані про електронні держзакупівлі можуть бути «злиті» системним адміністратором, і держава втратить через це серйозну суму грошей. При такому рішенні автоматично знімуться всі питання, пов'язані з можливим витоком інформації про проведені торгах і учасники торгів будуть відчувати себе захищеними, підвищиться довіра до ЕТМ, а держава отримає великий економічних ефект від впровадження системи захисту інформації ЕТМ.

Прошу звернути увагу, що цією статтею ми нікого не намагаємося звинуватити в можливий витік інформації і несумлінному ставленні до виконання своїх службових обов'язків. Це прерогатива правоохоронних органів, які ведуть оперативно-розшукову діяльність, і регулятора в сфері захисту інформації.

Розмовляв Вадим Станкевич