Виробник програми е-декларування не мав права розробляти систему для державного реєстру

Основним напрямком діяльності громадської організації Інформаційний центр Майдан Моніторинг з грудня 2015 року є безпека. Тому наша організація проводить розслідування впровадження системи електронного декларування в Україні.

На нашу думку, в історії та поточному стані впровадження е-декларування є ознаки загроз національній та інформаційній безпеці України.

Це перша з серії публікацій, яка має завершитися документальним звітом. Діяльність здійснюється власним коштом членів організації.

З дня відкриття доступу до системи електронного декларування 15 серпня 2016 року я і мої колеги займаються відкритими дослідженнями цієї системи, історії її фінансування, розробки, впровадження та супроводу в медіа.

Разом з нами працюють волонтери, які є експертами в різних галузях знань.

Одна з волонтерів Galina Hagen надала довідку, яка показує, що виробник програмного забезпечення ТОВ Міранда не має відповідної ліцензії або дозволу для розробки системи для державної інституції.  І це пов’язано з вимогами безпеки.

Галина пише:

Законом дані державних реєстрів визначено як власність держави – це ключове. Далі всі мають виконувати корпус Законів – “для всіх суб’єктів системи технічний захист інформації в Україні незалежно від їхньої організаційно-правової форми та форми власності, в інформаційно-телекомунікаційних системах яких обробляється інформація, яка є власністю держави”

Щодо вимог законодавства – там прямі порушення. Згідно Закону України «Про захист інформації в інформаційно-телекомунікаційних системах» (Стаття 8 и Стаття 10 з посиланням на Постанову Кабінету Міністрів «Про затвердження Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та  інформаційно-телекомунікаційних системах» Стаття 20 и Стаття 23) розроблений НД ТЗІ 3.7-003-05 “Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі” де зазначено, що:

Розділ 1 “Встановлений цим НД ТЗІ порядок є обов’язковим для всіх суб’єктів системи ТЗІ в Україні незалежно від їхньої організаційно-правової форми та форми власності, в ІТС яких обробляється інформація, яка є власністю держави”

А згідно з іншим документом Порядок створення комплексних систем захисту інформації, проведення експертизи та видачі Експертних висновків і Атестатів відповідності

Абзац 1 “Виконавцем робіт із створення комплексної системи захисту інформації (далі – КСЗІ) в інформаційно-телекомунікаційній системі (далі – ІТС) може бути суб’єкт господарської діяльності або орган виконавчої влади, який має ліцензію або дозвіл на право провадження хоча б одного виду робіт у сфері технічного захисту інформації”

А якщо подивитися в «Перелік суб’єктів господарювання, які мають ліцензії на провадження господарської діяльності з надання послуг у галузі криптографічного захисту інформації (крім послуг електронного цифрового підпису), торгівлі криптосистемами і засобами криптографічного захисту інформації». То ми побачимо, що там немає ТОВ Міранда.

Галина робить висновок, що тендер, предметом якого є система обробки, обміну і зберігання інформації, яка є власністю держави, не мала права виграти фірма без ліцензії або дозволу ДССЗЗИ.

Також в тендерних умовах ПРООН (міжнародної організації, яка замовляла та фінансувала розробку) немає вимог до досвіду розробки систем захисту інформації та відповідності виконавця хоч якимось стандартам і сертифікаціям. Нам відомо, що на цей тендер подавалися українські кампанії, які мають і відповідні ліцензії і досвід, але не були відібрані.

Ми готуємо звернення до ПРООН з проханням відкрити деталі цього тендеру в зв’язку з великою суспільною вагою цього питання.

6 днів тестувань системи е-декларацій мною та нашими волонтерами, а також аналіз інших електронних сервісів, вироблених ТОВ Міранда, показує, що в їх продуктах не дотримано елементарних безпекових вимог навіть на рівні здорового глузду, а не тільки державних стандартів. Для спеціалістів пропоную ознайомитися з колекцією наших скріншотів, які показують, як насправді працює система. На момент написання статті, я сиджу в неактивному режимі в «кабінеті користувача» вже 4 години і сесія не завершується – це для спеціалістів.

В звіті Рахункової палати за 2014-2015 рік можна (сторінка 23) подивитися на фінансові зв’язки та порушення ДП «Зовнішторгвидав України», ТОВ Міранда і ТОВ САПР і Мінекономрозвитку ще в 2014 році.

Ну і на останок

Screenshot (328)

Це скріншот з сторінки  ГО “Прозорі закупівлі” це посилання працює, дивіться самі та ставте питання.

Якщо в вас є заперечення чи доповнення до цього тексту, прошу писати в коментарі. Анонімні повідомлення ми не розглядаємо.

Наталія Зубар, Голова правління ІЦ «Майдан Моніторинг»

З коментарів:

Потрібно повністю переписувати регулювання того, як програми створюються\замовляються та впроваджуються державою

Українська айті галузь провідна у світі саме як аутсорсингова

Вона пише софт для всього світу, для провідних світових компаній з обсягами продажів, співмірними з українським бюджетом, а для своєї держави не може написати, винятково через криве регулювання (в широкому сенсі цього слова). Провідні світові компанії знають, як замовити в українців і отримати від українців якісний софт, а уряд не знає.

Це не просто зробити звісно, але як результат можна отримати одну з найсучасніших і найзручніших держав світу.

Chacha Shushuridze
About Nataliya Zubar 2362 Articles
Nataliya Zubar, Maidan Monitoring Information Center, Chair

5 Comments

  1. как вы считаете, то что декларирование мягко говоря недоделанная система, без нормальной защиты, которая уже взломана это нормально так и должно быть, теперь любой желающий может вносить туда что угодно?!!

  2. Конечно, не имел. Как минимум потому что это шарашкина контора, которая даже не в состоянии СЕБЕ сделать нормальный сайт. К тому же они за копейки нанимают студентов для разработки продукта. Как вы думаете, там будет качество? Конечно, нет!

    • Ну для дипломного проекта неплохо, но это совсем не то, что ожидалось. К тому же, нужно проверить на каком основании НАПК выбрали неизвестную фирму, которая не имеет особых заслуг.

    • Марина Кот да у нас скоро страна как дипломный проект будет с таким подходом! Пусть проводят расследование. Есть смысл хотя бы провести расследование по поводу прозрачности тендера.

  3. В КРЫМУ, ПРИ БЛОКИРОВКЕ УКРАИНСКИХ САЙТОВ, ВСЕГДА ИДЕТ НАДПИСЬ “МИРАНДА-МЕДИА” !!! ДЕЛАЙТЕ ВЫВОДЫ!

Comments are closed.