Е-декларування запрацювало попри відсутність захисту. Хто і як зривав? Хронологія (ДОКУМЕНТИ)
Як повідомляли ТЕКСТи, з вечора п'ятниці триває скандал з раптовим зривом електронного декларування статків чиновниками. Член Національної агенції з питань запобігання корупції Руслан Рябошапка звинуватив Держспецзв'язок в саботажі. Держспецзв'язок складає провину на розробника програмного забезпечення.
Опівночі 15 серпня сайт Національного агентства із запобігання корупції відкрив доступ до інтерфейсу електронного декларування.
Державні службовці та уповноважені особи органів місцевого самоврядування можуть заповнити свої декларації на сайті НАЗК.
Водночас, через відсутність атестату захисту інформації ці декларації не можна використовувати як доказ в суді. Відповідно, посадовців, що опублікують неправдиву інформацію про свої статки, неможливо буде притягнути до відповідальності.
Стаття Європравди про хронологію скандалу:
Вихідні, що принесли до Києва похолодання, для багатьох виявилися напрочуд гарячими. В останні кілька днів тривала і досі триває боротьба за та проти запуску системи електронних декларацій.
Україна ще кілька місяців тому зобов’язалася, що е-декларації запрацюють 15 серпня у 00:00. Ми звикли робити все в останню мить, тому здавалося, що встигнемо і зараз.
Адже стимул є. На кону серйозні кошти – $3 млрд від МВФ, 1.2 млрд євро макрофіндопомоги від Євросоюзу, а також значне фінансування від Світового банку та інших міжнародних інституцій.
І на додаток, про що писалося і говорилося багато разів, запуск декларування 15 серпня – останнє зобов’язання Києва для впровадження безвізового режиму
Зараз можна впевнено говорити: графік зірвано. Система не запрацює в строк.
Та нині ми – на роздоріжжі. Київ має два шляхи: поганий і гірший. Поганий шлях – це зрив дедлайна та порушення зобов'язань перед Заходом.
Ще гірший – якщо в ніч на 15 серпня Україна запустить в роботу несертифіковану систему. Нам скажуть, що Київ все виконав. А насправді – цей крок виведе з-під кримінальної відповідальності найвищих посадовців.
Імовірність другого шляху – досить висока. І виникає питання, чи не є нинішнє загострення лише ширмою для того, щоби привести систему до "фіктивного запуску". Тим більше, що деякі джерела в цьому повністю переконані.
Тому за питанням про те, "що робити?", не варто пропустити також інше – "хто винуватий?".
"Європейська правда" має достатньо документальних доказів того, що
Держспецзв’язок навмисне зірвав запуск системи, від початку маючи таке завдання.
Жодних сумнівів, що відомство, тісно пов’язане із секретарем РНБО Олександром Турчиновим, зробило це свідомо. І цілком можливо, що протистояння навколо е-декларування виллється у серйозні кадрові зміни в країні.
Частину документів, що підтверджують звинувачення на адресу Держспецзв’язку, "Європейська правда" готова оприлюднити. Про це та інше детальніше – далі в статті.
Як брехав Держспецзв’язок
Круговерть вихідних запустила новина п’ятничного вечора. Звучала вона досить буденно і нецікаво – орган зі складною назвою ДССЗЗІ (Державна служба спеціального зв’язку та захисту інформації, або Держспецзв’язок) заявив про неготовність апаратно-програмного комплексу збирання та зберігання електронних декларацій і відмовився його атестувати.
Але насправді таке складне формулювання означає зрив процесу електронного декларування.
Великою несподіванкою це не стало. Про те, що електронне декларування під загрозою зриву через проблеми з атестацією системи, знали всі причетні. Адже ще на початку серпня ДССЗЗІ зірвала перші терміни і саме тоді конфлікт став публічним.
Справді прикро, що доводиться оперувати такими термінами як "брехня", "службова підробка" чи "навмисний зрив", але останні дії Держспецзв’язку не залишають сумніву – йдеться саме про брехню, свідомий зрив електронного декларування та про фальсифікацію доказів. До того ж, публічну фальсифікацію – нещодавно ДССЗЗІ включився у боротьбу в медійному просторі – на офіційній сторінці та в Facebook.
Варто проаналізувати їхні головні тези. Попереджаємо: цей блок складний та технічний, однак важливий, адже це – наочна ілюстрація неправди з боку держоргану. За небажання розбиратися в технічних деталях - можете пропустити цей блок та перейти до наступної глави.
Брехня 1: Система е-декларацій готова на 60%, її прийняти неможливо
Цей аргумент нині постійно звучить від Держспецзв’язку, повторюється у прес-релізах та виступах.
"Розроблене програмне забезпечення у обсязі тільки трьох результатів з п’яти, визначених договором. Це орієнтовно 60% передбаченого обсягу робіт, які мали завершитися у повному обсязі ще 30 червня", - каже ДССЗЗІ.
Як зазвичай у пропаганді, йдеться про напівправду.
Відвертою брехнею є теза про "60% під передбаченого обсягу". Ще минулого року планувалося, що система електронних декларацій буде запущена саме в нинішньому обсязі, із трьома компонентами – заповнення декларацій, їх захищене збереження та публікація. Все, крапка! Другий етап – обробка та аналіз декларацій – мав доєднатися згодом.
"Від початку технічне завдання говорило про те, що програмний комплекс створюється етапами", - стверджує керівник програми ПРООН Іван Пресняков (саме Програма розвитку ООН виділила Україні кошти на створення системи е-декларацій).
Перший документ - акт приймання-передачі комплексу (pdf, 4 сторінки), в якому ПРООН засвідчує, що не має претензій до першої частини.
Більше того, Держспецзв’язок чудово знав про етапність розробки. Нинішні заяви керівника органу про те, що це стало для них сюрпризом, також є брехнею. До вашої уваги – сканкопія висновку міжвідомчої групи, яка також засвідчила готовність системи до експлуатації (pdf, 17 сторінок). В складі групи були представники ДССЗЗІ.
І, нарешті, ще один важливий момент, який ми не можемо підтвердити сканом, але знаємо з кількох джерел, що такий документ існує. 3 серпня ДССЗЗІ затвердила техзавдання на КСЗІ саме на перший етап, тобто на 3 з 5 компонентів, погодивши достатність першого етапу. Це також означає, що у своїх оцінках експерти служби повинні були б залишатися в рамках цього ТЗ. Однак у спецзв'язку обрали іншу тактику.
Згадка ж про 30 червня є напівправдою. Дійсно, на початку процесу, коли ПРООН замовляла розробку програмного забезпечення, завершення робіт було передбачене на 30 червня. Але тоді були очікування, що перший етап системи сертифікують ще навесні.
Ключова причина того, що робота над другим етапом затягнулася – взагалі детективна історія.
Інші державні органі не мають права надавати НАЗК доступ до своїх баз (бо інакше будуть санкції ДССЗЗІ) доти, доки ця служба не атестує комплекс НАЗК. А тепер ДССЗЗІ каже, що не дасть атестат доти, доки комплекс не матиме доступу до баз інших державних органів.
Зачароване коло...
bБрехня 2. Але ж роботи все одно затягнулися. А тепер Дезжспецзв’язок змушують за два дні провести атестацію, на яку потрібно два місяці.
Теза про "два місяці" прозвучала від глави ДССЗЗІ Леоніда Євдоченко на засіданні НАЗК лише в суботу і вкрай здивувала присутніх.
Євдоченко, мабуть, не думав, що в пресу потрапить документ, який він особисто погодив більше місяця тому. 5 липня керівник ДССЗЗІ надіслав до НАЗК лист, де йдеться, що служба "погоджує без зауважень графік побудови комплексної системи захисту інформації". За цим документом, сертифікація мала відбутися між 5 та 12 серпня.
То коли Євдоченко брехав – місяць тому в офіційному документі, чи нині, у офіційних заявах? Треба визначитися.
А далі ДССЗЗІ додатково скоротив собі час для аналізу системи , щоби дати собі підстави для нових претензій про "брак часу". На початку серпня (тобто в період цейтноту, а не раніше, коли лишалося вдосталь часу) в службі ініціювали зміну підрядника, який мав проводити експертизу захищеності продукту. ДССЗЗІ змусило НАЗК відмовитися від послуг незалежних експертів і передати роботу до свого дочірнього підприємства.
Це викликало подив і з боку ПРООН, і з боку Євросоюзу, але шанси встигнути до 15 серпня ще лишалися.
Та в ДССЗЗІ на цьому не зупинилися. Наступний крок – скориставшись тим, що зміна підрядника забрала кілька днів на підписання документів, у службі відмовилися брати у розробника для аналізу технічну документацію доти, доки бюрократичний процес не завершиться. Ніби все правильно, але часу на аналіз залишилося геть обмаль.
Є й інші звинувачення у затягуванні процесу, не підтверджені документально. Зокрема, члени НАЗК на відкритому засіданні повідомили, що п’ять (!) разів надсилали до ДССЗЗІ флешку з кодом, але та "десь губилася" у відомстві. Євдоченко цей момент не став заперечувати. Але в прес-релізі його відомство не втратило можливості поскаржитися на нестачу часу для роботи із системою.
Брехня 3: Розробник не проводив незалежне тестування системи та не надав необхідних документів.
Цей міф – найцікавіший.
Ще в суботу підставою для жартів стало офіційна заява ДССЗЗІ про те, що серед наданих їм документів "відсутні акти завершення дослідної експлуатації, завершення робіт зі створення КСЗІ, протокол її попередніх випробуван
Компанія розробник у відповідь просто опублікувала три фото – стопка папок, переданих в ДССЗЗІ, титульні листи двох папок, нібито "відсутніх" у пакеті документів.
У наступних повідомленнях Держспецзв’язок вже не скаржився на відсутність документів – мабуть, знайшов їх.
Але ще цікавіша теза про відсутність сторонніх тестувань. Як з’ясувалося, в розпорядженні ДССЗЗІ ще в липні були дані тестування, проведеного PricewaterhouseCoopers та авторитетної тестувальної компанії TestLab2.
Представник ДССЗЗІ особисто бачив та погоджував позитивні висновки цих компаній, адже вони лягли в основу міжвідомчого висновку (за участю цієї служби) про повну готовність комплексу. Ми вже давали лінк на цей 17-сторінковий висновок, а тепер до вашої уваги – два фрагменти з нього.
Не наша задача – обирати авторитетні організації, але можемо припустити, що для багатьох читачів слово ДССЗЗІ видається менш авторитетним, аніж слово, скажімо, PricewaterhouseCoopers. І хоча тут вони аналізували різні аспекти роботи системи, саме по собі звинувачення ДССЗЗІ про відсутність незалежних тестувань системи відається абсурдним.
І, як вже стало звичним для цього органу – брехливим.
Брехня 4: ДССЗЗІ знайшло масу проблем у комплексній системі захисту.
Після відкритого засідання НАЗК, де керівника служби постійно ловили на брехні, а також на незнанні особливостей роботи власного відомства, глава Держспецзв’язку навряд буде прагнути публічності, це було очевидно.
Та такого розвитку події не передбачав ніхто.
В суботу, після завершення скандального засідання НАЗК, голова Держспецзв’язку знову порушив свою обіцянку.
Вранці того дня, на відкритому засіданні, перед телекамерами, він повідомив, що висновок про відмову у атестації готовий (а як інакше, адже вчора про нього було повідомлено!) та гарантував, що за годину, о 12.30 документ буде в НАЗК – лише поїде до офісу та привезе його.
Тоді представники НАЗК запропонували "для гарантії" збільшити термін до двох годин. Також Євдоченко публічно пообіцяв, що фахівці Держспецзв’язку особисто приїдуть до приміщення НАЗК або до офісу компанії розробника ПО, щоби разом з програмістами сісти за роботу та оперативно виправити "10 критичних вразливостей" програмного коду системи.
Час спливав. Ані в 13.30, ані в 15:00 висновок так і не приїхав.
Схоже що готового документу на той момент просто не було, і це – службова підробка, кримінально каране діяння.
Однак в ДССЗЗІ і після того змогли вразити. Коли о 17 годині документ нарешті привезли до НАЗК, виявилося, що служба спецзв’язку... заборонила передавати його розробникам, наклавши на нього гриф "для службового користування".
Навіщо потрібен гриф обмеженого доступу у висновку щодо документів, які не мають грифу – питання відкрите. Два джерела ЄП, причетні до роботи Держспецзв’язку, кажуть що ДССЗЗІ завжди ставить гриф на свої висновки.
Але в цьому разі виникає питання до Євдоченка, чому він публічно давав протилежні обіцянки на засіданні НАЗК? Що це – кричуща некомпетентність, чи знову спроба затягнути процес?
Та головне навіть не те, що ДССЗЗІ ховає свої висновки. Головне – їх зміст.
Спершу над претензіями служби, на підставі яких та відмовила у атестаті, сміялися в НАЗК, зазначаючи, що не можуть повідомити всі деталі – адже документ секретний. Пізно вночі текст нарешті побачила компанія-розробник, "Міранда".
З’ясувалося, що ДССЗЗІ взагалі не проводила аналіз програмного коду. Гучні заяви Євдоченко про те, що "написаний код десятирічної давнини, його пальцем можно проткнути", схоже, знову виявилися брехнею.
"Во-первых, сам экспертный вывод ни содержит НИ ОДНОГО ЗАМЕЧАНИЯ к програмному обеспечению реестра. Все письменные замечания касаются сопроводительной документации. Некоторые из них можно считать не лишенными смысла, получили бы мы этот вывод в 14.00 субботы, как и было обещано - документация уже была бы поправлена", - написав у за чверть на четверту ночі директор "Міранди" Юрій Новіков
Але в ДССЗЗІ обрали тактику затягування процесу.
І коли в неділю об 11 ранку "Міранда" прийшла до ДССЗЗІ, в службі їх протягом години не пускали всередину, а згодом – пустили, але не дали на ознайомлення документи.
"Хто винний?" та "Що робити?"
Керівник ДССЗЗІ Леонід Євдоченко – особа настільки скомпрометована, що обговорювати його вину просто немає сенсу. Дискутувати можна хіба що про те, чи опиниться цей посадовець за гратами.
Адже навіть якщо не брати до уваги його усні заяви, які складно "підшити до справи", пан Євдоченко лишив надто багато документальних доказів.
Його звільнення нині є, по суті, неминучим. Якнайменше, влада має принести в жертву стрілочника. Тим більше, що служба – якщо виходити з кричущої непрофесійності керівника – нічого не втратить. Прем’єр Гройсман вже оголосив про початок службового розслідування щодо його роботи на цій посаді.
І подальші дії будуть індикатором.
Навряд чи хтось вірить, що Євдоченко зважився на блокування траншу МВФ та на зрив "безвізу" виключно зі своєї ініціативи, без вказівки когось із перших осіб держави.
Тому якщо уряд просто звільнить без гучніших наслідків, це означатиме саме "варіант стрілочника".
Події найближчих діб, і навіть найближчих годин дадуть змогу визначити, хто блокує е-декларування "зверху".
Є дві опції. 1) Це дії Олександра Турчинова та близьких до нього осіб і 2) За зривом стоїть Турчинов разом із Петром Порошенком.
Наразі ми не маємо відповіді, який з цих варіантів є правильним.
На перший погляд це може здаватися дивним, адже формально – якщо виходити із законодавчої бази – секретар Радбезу тут ні до чого. Однак всі без винятку співрозмовники ЄП "з системи" стверджують, що Євдоченко є людиною Турчинова, а ДССЗЗІ за неофіційним розподілом повноважень входить до сфери впливу апарату Радбезу.
45-річний генерал-майор спецзв’язку Леонід Євдоченко працював у структурах СБУ до періоду "раннього Януковича". Далі був звільнений, а навесні 2014 року – поновився на посаді директора НДІ спецтехніки та судових експертиз СБУ. В той період СБУ була у сфері впливу в.о.президента Турчинова.
1 липня 2015 року Кабмін за поданням прем’єра Яценюка призначив Євдоченка керівником ДССЗЗІ. В оточенні Яценюка ЄП переконують, що "тут не було одноосібного рішення".
Цікава деталь: представляти нового керівника до Держспецзв’язку поїхав саме Турчинов, хоча положення цієї служби не містить жодних згадок про відносини Держспецзв’язку та апарату Радбезу (а кулуарний розподіл сфер впливу у документах не прописаний).
Юридично ДССЗЗІ підпорядковується уряду.
Яценюк за часи прем’єрства був політичним партнером Турчинова, а от про Гройсмана цього не скажеш. Нині, принаймні публічно, прем’єр більше схожий ворога Євдоченка, а на початку гострої стаді конфлікту навіть прямо погрожував йому відставкою.
Ще одним непрямим доказом того, що Євдоченко є членом команди Турчинова, є дії глави НАЗК Наталії Корчак, яка також представляє в агенції політичну групу Турчинова. У більшості випадків – і на засіданнях, і в публічних коментарях Корчак стає на захист позиції ДССЗЗІ, навіть якщо її думка суперечить аргументам профільних фахівців агенції.
Редакція ЄП звернулися за коментарями до прес-служби Турчинова. Через вихідні відповіді ще не надійшло, але ми готові їх опублікувати.
Окремої уваги заслуговує роль Порошенка.
Соцмережі переконані: за зривом е-декларацій стоїть президент. Та ЄП наразі не має даних ані на підтвердження, ані для гарантованого спростування цієї версії.
В суботу на скандальному засіданні НАЗК всі представники групи Порошенка були, схоже, щиро обурені тим, що відбувається.
Жоден не підтримав Євдоченка. Міністр фінансів Олександр Данилюк попередив всіх, що вони близькі до зриву траншу МВФ. Член НАЗК за "президентською квотою" Руслан Радецький також був серед критиків ДССЗЗІ.
Та точнішу відповідь на запитання про те, якою є роль Порошенка ми дізнаємося скоро – коли НАЗК голосуватиме по те, як виходити з кризи. Саме тоді доведеться обирати один з двох шляхів – поганий і ще гірший.
І саме тоді з’ясується, що мав на увазі президент у своєму зверненні в четвер, коли вимагав будь-що запустити електронне декларування в ніч на понеділок.