В результаті непрозорого процесу тривалістю майже рік був створений програмний комплекс для подання, обробки та оприлюднення електронних декларацій про доходи чиновників безпрецедентно низької якості. Програмний продукт не відповідає оприлюдненим умовам грантодавця, міжнародним і державним стандартам безпеки, та не захищає персональні дані користувачів.
Програмний продукт включає три вразливості, які представлені в OWASP top 10 vulnerabiliries list (цей список є де факто інідустріальним стандартом, вимога не допускати вразливостей, зазначених в списку прописата в умовах тендеру) : Top 10 2013-A2-Broken Authentication and Session Management, Top 10 2013-A5-Security Misconfiguration, Top 10 2013-A10-Unvalidated Redirects and Forwards. Ці вразливості були виявлені і задокументовані волонтерами – IT спеціалістами – шляхом тестування публічного веб-інетрфейсу без спеціальних тестів на проникнення в систему (penetration test).
Державна інституція відповідальна за інформаційну безпеку Державна служба спеціального зв’язку та захисту інформації України (ДССЗЗІ) відмовилася сертифікувати програмний продукт і таким чином відмовилася брати на себе відповідальність за подальшу експлуатацію системи.
Міністерство юстиції, яке було початковим замовником системи, не взяло участі в нарадах, присвячених оцінці якості та прийому системи.
Національне агентство з питань запобігання корупції (НАЗК) взяло цю систему на баланс і 15 серпня 2016 року ввело її в експлуатацію без жодної згадки на сайті про тестовий режим. Протягом 9 днів система працювала і давала можливість кожному побачити її недоліки і вразливості, вони були детально задокументовані. 23 серпня 2016 року після різкої заяви прем’єр-міністра України, систему все таки прибрали з публічного доступу. Подальшу роботу над системою здійснює ДССЗЗІ.
Це були виключно документальні факти. Далі наводжу мої висновки.
Система у випадку введення її в експлуатацію продукувала би документи, які б не могли використовуватися в судових процесах. Обсяг персональних даних, які зберігає система, є найбільшим з усіх державних реєстрів України, включає дані про третіх осіб (членів родини, співвласників, роботодавців і пр.). Персональні дані користувачів системи не були би захищені і могли бути отримані третіми особами, причому доволі легко.
Питання про те, хто в цій історії виступає проти запобігання корупції є відкритим, і відповідь на нього ми шукаємо в історії розробки системи, підготовки і ухвалення пов’язаного законодавства, та фінансування цього процесу. Але однозначно ясно, яка саме інституція точно не винна в провалі е-декларування – це ДССЗЗІ.
Наталія Зубар, Голова правління ІЦ «Майдан Моніторинг»
Далі буде. Багато публікацій і ілюстрацій з деталями – тут Гра в імітацію реформ //todo показати що щось відбувається
Основним напрямком діяльності громадської організації Інформаційний центр Майдан Моніторинг з грудня 2015 року є безпека. Тому наша організація проводить розслідування впровадження системи електронного декларування в Україні. На нашу думку, в історії та поточному стані впровадження е-декларування є ознаки загроз національній та інформаційній безпеці України.
Це стаття з серії публікацій, яка має завершитися документальним звітом. Діяльність здійснюється власним коштом членів організації.
