Виталий Манько и его спокойное расследование технических проблем Е-декларирование

09:00 2016-09-01 66 государственный е-декларирование ПРООН система тендер

Рейтинг 1/5, всего 6 голосов

Сегодня ночью Е-декларирование начало работать. Впрочем, "ложечки нашлись, но осадочек остался." Я благодарен блогеру Виталию Маньку за спокойный анализ и расследование. Прежде чем комментировать – передруковую его статью полностью. Это стоит прочитать:

Наконец появился на горизонте очередной антикоррупционный рубикон, в который долго и утомительно тянулись реформаторские круги Украины и Европы. Ведь первое сентября 2016 – официально анонсированный день очередного запуска системы электронного декларирования. Именно от этой даты и должен начаться обратный отсчет до самого значимого события независимой Украины – предоставление странами Евросоюза безвизового статуса. Кроме того, запуск е-декларирование, как ожидают разработчики системы, имеет существенно облегчить контроль материальных состояний госслужащих со стороны государственных органов и общественности. Масштаб проекта затрагивает интересы всех без исключения граждан Украины. И, несмотря на создание ауры антикоррупционной прозрачности вокруг события, на первый взгляд оказалось слишком много темных пятен и мутных схем, требующих дальнейшего исследования и открытой дискуссии. Взявшись прояснять ситуацию и все погружаясь в тему, я наткнулся на сплошной мрак, факты манипулирования строгую секретность вокруг практически всех аспектов проекта, начиная от постановки задачи и "публичного" тендера, заканчивая вводом системы в эксплуатацию. Обо всем этом – в данной статье подробнее…

С чего все началось?

Для тех, кто не следил за развитием событий, стоит отметить, что попытка старта вышеупомянутого е-декларирование делается не впервые. Так, две недели назад, 15.08.16, после открытого тестового запуска сайта portal.nazk.gov.ua экспертная среда ИТ-специалистов выявило многочисленные нарекания на качество построения системы, несмотря на то, что общественная антикоррупционная сообщество к тому анонсировала 100% готовность и надежность программного продукта. Следствием фальстарта стало критическое усиление давления на украинскую власть со стороны общественности и европейского политикума на грани международного скандала, и в конце концов – эпическое перенос запуска е-декларирования на день, когда первоклассники идут в школу. С той разницей, что наш "первоклассник" второй раз на месяц составляет тот самый вступительный экзамен…

Отматывая в хронологическом порядке все события, касающиеся внедрения е-декларирование, у меня как исследователя, стали возникать вопросы: что же действительно произошло, кто за это отвечает и как быть дальше? Информация, которую удалось собрать, не имела бы никакой ценности, если бы не консультативная помощь ИТ-экспертов, которые рассказали, как на самом деле должен проходить процесс внедрения программных продуктов, от А до Я. Сравнив промышленные стандарты с тем, что сделано в этой истории, я решил сделать итоговую публикацию, а также подвести предварительные выводы.

Итак, вернемся к самому началу.

Идея электронного управления возникла в 2014. Того же года, в октябре, в результате принятия Верховной Радой пакета антикоррупционных законов, должны были образоваться новые государственные органы: Национальное антикоррупционное бюро Украины (НАБУ) и Национальное агентство по вопросам предотвращения коррупции (НАЗК). Закон Украины "О предотвращении коррупции", в статье 47 определил способы учета и обнародования деклараций государственных служащих. А именно, Законом определено, что поданные через сайт НАЗК декларации включаются к Единого государственного реестра, который должен контролировать Национальное агентство.

Стоит отметить, что с этого момента и начинаются различные толкования, а местами и – манипулирование общественным мнением. Обратите внимание: в тексте закона не существует ни одной ссылки на "систему электронного декларирования".

Старший партнер адвокатской компании "Кравец и партнеры" Ростислав Кравец, подтверждает мой предыдущий вывод: "Правильнее было бы говорить не о электронное декларирование, а о централизации подачи деклараций и размещении их в электронной форме. Это изложено в статьях 45 и 47 Закона.

Ст. 45. п1: Лица, указанные в пункте 1, подпункте "а" пункта 2 части первой статьи 3 настоящего Закона, обязаны ежегодно до 1 апреля подавать путем заполнения на официальном веб-сайте Национального агентства декларацию лица, уполномоченного на выполнение функций государства или местного самоуправления (далее – декларация), за прошлый год по форме, определяемой Национальным агентством… Ст. 47. п1: Доступ в Единый государственный реестр деклараций лиц, уполномоченных на выполнение функций государства или местного самоуправления, на официальном веб-сайте Национального агентства предоставляется путем возможности просмотра, копирования и распечатывания информации, а также в виде набора данных (электронного документа), организованного в формате, который позволяет ее автоматизированную обработку электронными средствами (машинозчитування) с целью повторного использования."

То есть, Закон, как видим, напрямую не определяет ни формы подачи, ни названия способа введения декларируемых данных, ни модели учета и обработки деклараций.

Сюрпризы, скрытые в Техническом задании на е-декларирования

Так откуда взялось требование Евросоюза к автоматизированной защищенной системы электронных деклараций, если мы действуем в рамках украинского законодательства?

Ответ на этот вопрос можно найти на сайте Программы Развития ООН (ПРООН) в техническом задании на разработку этой системы.

Как видим, ПРООН обосновывает целесообразность отказа от бумажных носителей тем, что это будет эффективнее. И здесь спорить не с чем. И ложная информация о том, что Закон обязывает создать именно "систему электронного декларирования" уже вызывает сомнения по крайней мере в компетентности разработчиков ТС. Именно поэтому и возник вопрос: кто же прорабатывал ТЗ на систему и какие еще сюрпризы в нем скрыты?

Опрос специалистов ИТ отрасли и поиск в открытых источниках не дали никакого результата. Кто конкретно разрабатывал техническое задание государственного уровня, экспертизы оно прошло, какие выводы по качеству документа, доподлинно не известно. Единственное упоминание о разработчике ТС встречается в статье сайта ain.ua под названием "ПР ООН ищет IT-компанию, которая создаст систему онлайн-деклараций для всех украинских чиновников". В материале упоминается Дмитрий Чаплинский как технический специалист, принимавший участие в создании ТЗ под эгидой Всемирного Банка. Дальнейший поиск информации об уровне компетенции Дмитрия и его портфолио проектов вывел на проект Дениса Бигуса "Канцелярская сотня", где он впервые и позиционировался в публичной плоскости. Примечательно, что в ИТ-среде о нем никто из опрошенных "мастодонтов" отечественного рынка не слышал, хотя он получил статус советника Всемирного банка и вошел в межведомственную группу по внедрению Единого государственного реестра, которая сопровождает проект е-декларирования. Дмитрий Чаплинский имеет свой персональный блог на bihus.info. В его описательной части приводится то креативная справочная информация об авторе, или зашифрованное послание инопланетянам, цитирую: "блаблабла питон блаблабла реестр блаблабла 600 гривен".

Дальнейший поиск информации об активности и компетенции советника Всемирного банка к 2015 году выводит на факт, что он имел в фейсбуке другие имя и фамилия, а именно – Анатолий Черненко. Чтобы убедиться в этом, можно перейти по ссылке.

Потерпев полное фиаско в деле поиска разработчиков ТС, берусь анализировать его содержание. Для этого мне понадобятся опытные специалисты по программированию и информационной безопасности. Обращаюсь к ним с вопросами о качестве постановки задачи.

"Прежде всего обратите внимание на наличие в ТС конкретных требований к функциям защиты (услуг безопасности) и к гарантиям. А именно, в задании должны быть описаны критерии конфиденциальности, целостности, доступности, в соответствии с требованиями НОРМАТИВНЫХ ДОКУМЕНТОВ СИСТЕМЫ ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ, а также профиль защищенности будущей системы. Если этого в ТЗ нет, но написано общими фразами, что система должна быть защищена, это первый признак низкого качества документа. И одновременно – серьезный повод беспокоиться о дальнейшей судьбе проекта," – советует директор по защите информации компании Global Intecraty Дмитрий Днепровский.

Детальное исследование мной ТС на предмет вышеуказанных критериев подтвердило мои сомнения в надлежащем качестве документа ПРООН. Ссылки на государственные стандарты действительно отсутствует. Тем не менее, в качестве требований Технического Задания по кибербезопасности найдены следующие строки: "Поставщик должен проверить систему электронного декларирования на защищенность по списку уязвимостей OWASP Top 10 vulnerabilities 2013." Что же расскажет гугл про загадочный OWASP, который ПРООН берет за стандарт? Пытаясь осилить новую, неизвестную до сих пор терминологию, нахожу справку из Википедии: "Open Web Application Security Project (OWASP) – это открытый проект обеспечения безопасности веб-приложений. Фонд OWASP это благотворительная организация, которая оказывает поддержку и осуществляет управление проектами и инфраструктурой OWASP."

Алексей Шевело, SoftServe Senior Python Developer, высказывает свое мнение относительно требований ПРООН: "OWASP, на который ссылается ПРООН – это открытый проект обеспечения безопасности веб-приложений, если переводить дословно. По сути – сообщество людей, которые решили аккумулировать и выдавать общие рекомендации относительно веб-приложений. То, что выдает OWASP, может быть частью требований, но никак не подменять собой внутреннее законодательство страны-пользователя системы. Это обязательный, но совсем не достаточный уровень защиты для таких систем. В ТС действительно есть ссылка на топ-десятку уязвимостей от "OWASP". Но первые же дни тестирования системы выявили нарушения со стороны Миранды (разработчика программы декларирования) именно этих рекомендаций. OWASP имеет 10 позиций, обозначенных А1-А10. А в каждом из этих пунктов есть подпункты. Так в A2 (Broken Authentication and Session Management) нарушены подпункты 5 и 6, в A5 (Security Misconfiguration) – подпункты 2, 3, 4. A10 по сути все возбуждено! Кстати, я уже описывал об этом в комментариях на фейсбуке достаточно подробно."

Юрий Сивицкий, член наблюдательного совета Inteсracy Group, который более 20 лет рэаозує сложные ИТ-проекты в Украине и Европе, подтверждает вышесказанное и дополняет: "Кроме того, уполномоченные представители государства (будущего пользователя системы) обязаны принимать участие в разработке ТЗ, все требования должны ссылаться на украинские стандарты, а не только на рейтинги таких сообществ, как OWASP. К тому же, в составе группы разработчиков ТС должен обязательно присутствовать представитель Госспецсвязи, ведь именно этой организации принимать работы, сравнивая конечный результат с задачей. Объясню на простом примере. Когда вам дарят авто, то вы, как пользователь (конечный бенефициар), отвечаете за техническое состояние собственной машины на дороге. Поэтому вам, а не дарителю придется отвечать в суде в случае ДТП. Вот почему в состав рабочей группы при конструировании ТС обязательно должен входить и профильный юрист от государства. А в нашей ситуации государство заставляют принять "троянского коня, не глядя ему в зубы". Это безответственно и непрофессионально, даже больше – потенциально угрожает государству многочисленными исками от пользователей, которые могут пострадать вследствие некорректной работы системы."

Кто и как победил на тендере?

Как известно из открытых источников, ПРООН внедряет совместно с правительством Дании проект "Прозрачность и добропорядочность публичного сектора в Украине", с бюджетом 3 254 973 долларов США. Часть денег, которые пожертвовала Дания на реформы в Украине, уже использована на разработку системы электронного управления и сопроводительные мероприятия (речь идет о 97 тыс. долл). С этого момента прозрачность процедур и цель использования датских средств завершается и начинается многосерийная мыльная опера под названием "Как скрыть публичную информацию"…

Примеров достаточно. Взять хотя бы тендер на разработку системы е-декларирования. До тех пор ПРООН держала имя победителя в секрете, пока публичный скандал относительно срыва первого запуска системы не выплеснулся в социальные сети. Первые упоминания об ООО "Миранда" – разработчика программы – всплыли именно в публичных заявлениях Государственной службы спецсвязи, на которую были возложены функции аттестации системы. Так, 12 августа 2016 года администрация Госспецсвязи обнародовала официальный отчет о результатах государственной экспертизы КСЗИ. Согласно выводам государственного учреждения на аттестацию передано разработанное Мирандой программное обеспечение системы электронного декларирования Украины в объеме только трех результатов из пяти, определенных договором (это ориентировочно 60% предусмотренного объема работ, которые должны завершиться в полном объеме еще 30 июня 2016 года).

В то же время представительство Евросоюза распространило политическое заявление, в котором обвинило государство Украина в срыве проекта: "Утверждение о том, что неудачная выдача технического сертификата вовремя вызвана техническими недостатками, является противоположным публичных заявлений, сделанных ПРООН и другими надежными экспертами. Они четко подчеркивают: система полностью соответствует международным стандартам и уже сейчас может быть использована для сбора и публикации деклараций в совершенно законный способ."

Однако, несмотря на многочисленные просьбы озвучить имена "надежных экспертов", со стороны ПРООН и представительства Евросоюза до сих пор длится молчание. Де-факто, фамилии специалистов, на которых ссылаются европейские учреждения, засекречены так же, как и отчет ПРООНовско итоги тендера.

Возвращаясь к компании-победителя тендера ПРООН, стоит отметить, что ООО "Миранда" приобрела опознания лишь вследствие вышеупомянутого международного скандала. О других достижениях "Миранды" поисковик Google почти ничего не знает, кроме того, что эта компания проиграла тендер на оснащение кабинета математики в Мукачевской РГА, имеет доисторический примитивный сайт http://miranda.net.ua уровня начальной школьной подготовки. Отдельного внимания заслуживает сокрытия ряда разделов корпоративного сайта перед тендером ПРООН и искусственное увеличение истории компании на 8 лет. Как видим, скрытый раздел "о компании" ссылается на 2001-й год основания (в него можно попасть только через этот линк), а открыт для публики и тендерной комиссии ПРООН – в 1993.

Также мистер GOOGLE помог выявить связь между уже известным разработчиком ТЗ на е-декларирование Дмитрием Чаплонським и будущим победителем тендера – ООО "Миранда". Дело в том, что эти имена всплывают в отчете от 1 июля 2015 года о деятельности совместных рабочих групп по подготовке Закона Украины "Об осуществлении государственных закупок". По логике событий получается, что консультант (по совместительству разработчик ТЗ) проекта е-декларирование и победитель тесно сотрудничали до тендера. Как говорят в Одессе, шах и мат!

После обнародования мной в соцсети этих противоречий, волна резонанса докатилась и до ООО "Айкюжн" – одного из участников того самого тендера. Присланные от этой фирмы документы о основание ее снятия тендерной комиссией ПРООН с гонки заставят пересмотреть весь профессиональный опыт даже самых опытных ИТ-специалистов. Согласно официального письма ПРООН, "Айкюжн" выбыла из соревнования по рекомендации Майкрософт за поражения вирусом архива с тендерным предложением.

Стоит ли упоминать, что жалоба в ПРООН по проведению процедуры закупки ЗНП UKR/2015/097 от 9/29/2015 осталась без ответа? Нужно официально обращаться в Microsoft, чтобы убедиться в абсурдности ситуации? Целесообразно комплексно проверить украинское подразделение ПРООН на предмет непрозрачности, ангажированности, в нарушение международных стандартов? Это – риторические вопросы.

Что произошло и как быть дальше?

Изложенные факты без лишних сомнений указывают на наличие серьезных проблем, скрытые в корне процессов внедрения ИТ-продуктов. И делать глобальные выводы только по материалам этой печальной истории было бы преждевременно.

Собственно, о масштабах украинского ИТ-бедствия и причины системных негативных тенденций рассказывает Владислав Бовсуновский, сопредседатель PR-комитета ассоциации IT Ukraine, в публикации "Срыв е-декларирование: кто виноват и что делать?" на Цензор.нет. Автор выделяет системные проблемы. Среди них: подмена технологических требований политической целесообразностью, тотальная непрозрачность закупок со стороны грантовых организаций, которые используют в схемах госзакупок в обход тендеров, пагубное пренебрежение неправительственными организациями сертификации со стороны Госспецсвязи, низкое качество технических заданий на разработку софта. Среди всех выявленных проблем Владислав придает наибольший вес именно непрозрачности, приводя примеры из отечественной практики. Сопредседатель PR-комитета IT Ukraine обосновывает необходимость сотрудничества с Держзв’язком от начала создания ТЗ, заканчивая стадиями внедрения системы.

В. Бовсуновский возмущается тем, что камни вследствие срыва е-декларирование несправедливо полетели в Украину. "Деньги выделялись правительством Дании, тендер проводила организация ПРООН. Участники тендера засекречены, процесс прохождения тендера засекречен, имена экспертов, которые сказали, что система полностью готова к эксплуатации, также хранятся в тайне. Тендера (и даже конкурса) госструктуры не проводили, техзадание со стороны государства не складывалось. А ответственным назвали именно руководство страны, хотя оно не принимало никакого участия в процессе. Если по этой причине нам откажут в безвизовом режиме, то, получается, что пострадают все украинцы, хотя к процессу были причастны только международные организации и их аффилированные лица, а также реципиенты грантов – общественные организации", – констатирует Владислав.

Автор подводит итоги, вспоминая пресловутое дискредитировано грантовыми организациями е-декларирование: "На данном этапе нужно заканчивать все процедуры, объявив на публику (и мировому сообществу), что система работает и введена в эксплуатацию. И сразу же начать новую разработку, выбрав подрядчика на тендер, который нужно провести очень оперативно. До конца года, если подрядчик и задействованы все госструктуры будут работать синхронно, разработку можно завершить, а декларации, которые будут представлены в системе, разработанной Мирандой, просто перенести в новую, защищенную систему. По документам (и чтобы было меньше вопросов) это можно оформить как модернизацию существующей. А теперь – о глобальном. Практику разработки и внедрения государственных информационных систем за гранты пора прекращать. Раз и навсегда. Заказчиком и бенефициаром может быть только государство и никто другой. А выбор исполнителя должен происходить только через предусмотренные законодательством тендерные процедуры, в условиях которых заложено условие защиты информации в соответствии с действующим законодательством."

Наверное, эта поучительная история войдет в учебники менеджмента, обогатив раздел "как нельзя управлять ґрантовими программами".

Считаю, даже такого количества фактов достаточно, чтобы европейские антикоррупционные институции (например, OLAF – своего рода "НАБУ" от Евросоюза) осуществили соответствующее расследование в отношении растраты датских денег и расставили все точки над "и". Ведь противно наблюдать, как профессиональная непригодность берет верх над экспертным уровнем и опытом, мрак – над прозрачностью, ложь над правдой, заговор – над прозрачным конкурсом, а громкие политические лозунги цинично прикрывают тихую безответственность, дискредитируя высокие ценности, за которые лучшие сыны Украины до сих пор отдают свои жизни.

P. S. Сегодня, 31.08.2016, присутствовал на брифинге Госспецсвязи относительно предоставления системе электронного декларирования Аттестата соответствия КСЗИ Единого государственного реестра электронных деклараций. Чтобы не пересказывать восьмихвилинну речь главы учреждения Леонида Евдоченко, просто оставлю здесь ссылку на полный текст его заявления. А для тех, кто устал от такого количества букв, просто выскажу кратко сущность обнародованной информации: ООО "Миранда" передала государству на аттестацию непригоден для пользования продукт вместе с неисправным оборудованием. И многочисленные недостатки системы пришлось самостоятельно устранять специалистами Госспецсвязи в экстренном режиме, а следовательно, система таки будет введен в эксплуатацию вовремя, 1 сентября. Ну и пару слов о справедливости. Миранду – позорно изгнаны со светлой перспективой юридической ответственности за содеянное. На других участников "распила" датских денег также ждут веселые времена.


Террористы ИГИЛ взяли на себя ответственность за взрыв в Манчестере
Террористы ИГИЛ взяли на себя ответственность за взрыв в Манчестере
07:22 2017-05-24 8

В ИГИЛ рассказали, как устроили теракт на концерте в Манчестере
В ИГИЛ рассказали, как устроили теракт на концерте в Манчестере
20:17 2017-05-23 19

В ИГИЛ рассказали детали об организации теракта на стадионе Манчестера
В ИГИЛ рассказали детали об организации теракта на стадионе Манчестера
18:23 2017-05-23 18

«Исламское государство» взяло ответственность за теракт в Манчестере
16:19 2017-05-23 16

Офицер из Новосибирска погиб в Сирии
07:22 2017-05-23 20

Названы темы неожиданных майских переговоров Путина и Макрона
20:15 2017-05-22 9

В Сирии погиб еще один путинский «ихтамнет»
16:15 2017-05-22 29

Все сирийские повстанцы покинули город Хомс
08:17 2017-05-22 12

«Мумия»: финальный удлиненный трейлер выдал «козыри» фильма
22:20 2017-05-21 16

Вася Обломов высмеял российское телевидение в новом клипе
21:22 2017-05-21 30