Кто срывал электронное декларирование: новые подробностиКто срывал электронное декларирование: новые подробности

Сергей Сидоренко

В ночь на 1 сентября в Украине снова появилось электронное декларирование.

Есть основания надеяться, что надолго. Но нет оснований говорить, что качественно.

Программная система, представленная «Мирандой» и заблокированная государством три недели назад, содержала ряд проблем и нарушений технического задания, но после «исправления» Госспецсвязью она вообще перестала работать в штатном режиме и, несмотря на официальное открытие, до сих пор находится на доработке.

К счастью, нынешние (и так же предыдущие) проблемы не являются сверхкритическими, они вполне могут и должны быть исправлены – лишь бы хватило профессиональных способностей тех, кто занимается системой сейчас.

И самое главное, что между ситуацией сегодня и в августе есть существенные различия.

Кое-что, конечно, не изменилось. Как и раньше, преградой к е-декларированию остается серия ошибок всех причастных сторон, которые тянутся еще с прошлого года.

Как и раньше, проблемой остается вопиющая некомпетентность отдельных игроков этого процесса.
Никуда не делось желание отдельных политиков полностью отменить или выхолостить систему е-деклараций.

Но есть и изменения – некоторые к лучшему, некоторые к худшему.

Негативом, в частности, является то, что вертикаль Госспецсвязи, которая дискредитировала себя во время конфликта вокруг е-деклараций, за последние недели только усилила позиции. Именно они почему-то получили задание разработать 4 и 5 блоки системы. Почему-то речь идет о разработке «с нуля», вместо доработки существующих блоков.

И поэтому не стоит исключать новые «сюрпризы» во внедрении е-декларирования, далее в статье – подробнее о них.

Зато главный позитив:
источники подтверждают, что президент Порошенко наконец выбрал «светлую сторону» в данном конфликте.

Его вмешательство поставило крест на идее отказаться от е-декларирования, и именно поэтому мы начали с оптимизма: похоже, что на этот раз система заработала надолго. Более того, президент публично заявил, что уголовная ответственность за ложь в декларациях будет сохранена. Похоже, в АП наконец поняли критическую важность вопроса.

Правда, до готовности признать собственные ошибки государство до сих пор не созрело. Даже тогда, когда они очевидны.

Итак, как «ЕвроПравда» обещала в предыдущей публикации, мы возвращаемся к теме электронных деклараций – и к событиям прошлого, и к возможным сценариям будущего.

Кого «благодарить»?

ЕП еще три недели назад, 14 августа, опубликовала детальное расследование относительно участия Госспецсвязи (ГСССЗИ, Государственная служба специальной связи и защиты информации) в срыве своевременного запуска электронного декларирования.

Все документы и заключения, изложенные там, остаются актуальными. Есть и новые, до которых мы дойдем позже в этой статье. И хотя роль ГСССЗИ в данном процессе является действительно «выдающейся», неправильно останавливаться только на них.

К глубокому кризису е-декларирования привело совпадение злого умысла, ошибок и банального разгильдяйства со стороны всех участников процесса – от заказчиков до аудиторов.

И хотя «степень вины» – разная, стоит остановиться на каждом из учасников (просим прощения за большое количество технических деталей на следующих нескольких страницах, кто не желает углубляться в вопрос «кто виноват», может пропустить следующие блоки).

Ответственность «Миранды»

Разработчика программного комплекса е-деклараций власть назначила «официальным виновным во всех проблемах». (Одновременно был избран «неофициальный виновник» — в публичном пространстве, а также от должностных лиц, не связанных с президентской вертикалью, продвигается мысль, что виновных двое: ООО «Миранда» и ПРООН).

Дошло до того, что в разгар скандала – в начале позапрошлой недели – министр иностранных дел Павел Климкин лично звонил в Нью-Йорк, чтобы заверить руководство ПРООН: «мы уже определили виновного, все проблемы с е-декларированием возникли исключительно из-за плохого подрядчика, отобранного вами, но к самому ПРООН Киев не имеет претензий».

Сигнал, о котором узнали все международные миссии в Киеве, был воспринят как странный – Климкину не поверили.

Но это вовсе не означает, что на «Миранде» нет вины. Она есть. И значительная.

Не откроем ничего нового, и это необходимо еще раз зафиксировать: продукт, который был сдан в эксплуатацию (а по состоянию на 12 августа все верили, что речь пойдет о промышленной эксплуатации, а не тестовой), имел целый ряд проблем.

В том числе было нарушено техническое задание в части безопасности, что выяснилось после выхода системы в публичный доступ.

Для тех, кто следил за темой – речь идет о «проблеме кукиз» — на компьютере, где заполняли декларацию, оставалась техническая информация. Из-за этого другой человек, сев за этот компьютер, мог просмотреть закрытые персональные данные.

К слову, эта уязвимость не позволяла изменить чужую декларацию, для подписи декларации нужен электронный ключ, да и произвольная смена уже поданной декларации не является возможной. Но тем не менее, возможность утечки персональных данных – неприемлема.

Отвечая на запрос ЕП по этому поводу, директор «Миранды» Юрий Новиков признал ошибку. «Ее несложно исправить. Мы подготовили патч к системе, который исправлял эту уязвимость, уменьшили продолжительность сессии, и 22 августа мы были готовы установить его в систему, но не получили разрешения НАПК», — пояснил он.

Еще одна весомая проблема защиты персональных данных – то, что почта от системы е-деклараций пересылалась через почтовый сервер «Миранды». «А что нам было делать, если НАПК требовал сдать систему, а своего почтового сервера у них не было», — объясняет Новиков.

По мнению ЕП, это объяснение — не убедительное. Разработчик должен НАСТОЯТЬ, что такую систему недопустимо сдавать в эксплуатацию. Должен был предвидеть, что такая система вряд ли будет сертифицирована, а если и будет, то ее использование вызовет массу вопросов.

И это, пожалуй, самая масштабная проблема, что исходила от «Миранды».

Разработчик системы обычно является лучшим специалистом, чем ее заказчик. Именно он должен указывать на нереальные сроки аттестации в ГСССЗИ; именно он должен предлагать изменения в техзадание, когда видит, что его нынешняя редакция является проблемной и тому подобное.

Похоже, что здесь не было необходимого уровня активности.

То же самое касается претензий к неадекватному заполнению данных. Так, требования к верификации всех пунктов декларации были утверждены НАПК еще 10 июня, но если декларант указывает свой год рождения как 1800, а год рождения родителей как 2016, это должно вызывать по крайней мере предупреждение.

И в то же время стоит добавить – несмотря на серьезные претензии к «Миранде», многочисленные заявления о том, что она создала «дырявый продукт», который можно «проткнуть пальцем», остались неподтвержденными.

Даже по официальным данным НАПК (а эта структура в настоящее время является одним из публичных врагов «Миранды»!), за время работы системы не было ни одной успешной попытки постороннего вмешательства в систему.

Ни одной успешной! Хотя их было немало.

«За неделю работы система е-декларирования претерпела более чем 230 тысяч атак», —
говорит член НАПК Руслан Рябошапка. Эта цифра не «с потолка». ЕП имела возможность ознакомиться с докладом об » атаках на безопасность «, зафиксированных с 15 до 22 августа. Попытки взлома поделены на 61 тип, с количеством атак каждого типа.

Большая часть хакерских методов испытывалась несколько десятков или сотен раз. 5 типов атак имели 45-46 тысяч попыток. «Дырявая система» почему-то выстояла.

Конечно, это не гарантирует отсутствие дыр в системе, которые еще не были найдены, но – точно опровергает заявления о том, что ее так легко сломать.

Ответственность Программы развития ООН

Эта международная организация является, по сути, посредником по финансированию благотворительных проектов, и этот раз — не исключение. На этот раз ПРООН действовала по поручению правительства Дании и за деньги датского бюджета, где согласились дать средства для развития НАПК. Средства, которые Украина не смогла найти в собственном бюджете.

Мы уже упомянули, что ПРООН была назначена «вторым главным виновником».

Сторонники этой теории обычно утверждают, что «тендера не было», «Миранду назначили исполнителем» и делают вывод о коррупционном расходовании средств. Самая распространенная теория говорит, что «Миранда» связана с менеджером ПРООН данного проекта Иваном Пресняковым (хотя иллюстрация связи не приводится).

Вот только в самой ПРООН удивляются такому утверждению и говорят, что Пресняков был нанят… лишь в декабре 2015 года, когда «Миранда» уже выиграла тендер!

То есть главное обвинение просто лишено логики

Говорить об «отсутствии тендера» также нет оснований. Было 10 предложений – а это уже немалый конкурс.

«Открытый тендер был объявлен 28 сентября 2015, и завершен 18 октября 2015 года. В целом ПРООН получила 10 тендерных предложений.

Из этих 10 предложений одно было отклонено почтовой системой как содержащее вирус. ПРООН детально проверила этот случай, обратившись к ИТ департаменту штаб-квартиры ПРООН и корпорации Майкрософт, предоставляющей услуги электронной почты. Было подтверждено, что присланный архив был заражен вирусом и, соответственно, он был автоматически удален из почтовой системы.

Мы проинформировали компанию (участника тендера) об этом инциденте. Формальных письменных протестов с ее стороны не было.

С другими тендерными предложениями подобных инцидентов не возникало», — говорится в комментарии данного проекта ПРООН на запрос ЕвроПравды.

Но честность тендера еще не означает, что был отобран лучший претендент. И это, похоже, именно тот случай.

Ведь критерии отбора устанавливаются еще до начала конкурса.

В частности, важными критериями являются цена (по данным источников, предложение «Миранды» была самым дешевым) и качество оформления документации. Те, кто часто участвуют в международных тендерах, обладают такими навыками. Кстати, «Миранда» незадолго до того завершила крупный проект по построению базы данных по заказу Международной организации миграции. То есть навыки для участия в международных тендерах у них действительно были.

И это – не является незаконным.

Источник ЕП, информированный о ходе отбора, рассказал, что технические специалисты ПРООН «не склонялись к тому, чтобы отдавать победу Миранде», но отбор победителя проходил не по персональному решению, а по балльной системе. И «Миранда» — действительно победила.

Еще один вопрос, который отчасти можно адресовать ПРООН, — в отношении контроля качества. Так, для этого ПРООН наняла всемирно известную PricewaterhouseCoopers и IT-тестировщика компании Testlab2.

Но как же так случилось, что несмотря на их аудит, система содержала уязвимость в части защиты персональных данных?

Заявлено, что PwC проводили тест на проникновение, он гарантированно должен был выявить проблему с cookies! Возможно, просто задача была поставлена некорректно?

И мы не зря отметили, что ответственность ПРООН за контроль качества – лишь частичная. И эта доля меньше половины. Вот почему.

Ответственность НАПК

Национальное агентство по вопросам предотвращения коррупции сейчас уверяет, что «не имело никакого влияния» на подготовку программы, но документы свидетельствуют, что это не так – представители НАПК принимали участие в рабочих группах, принимавших продукт.

«У нас был активный диалог с мая, когда в НАПК определили, что за это направление отвечает Руслан Радецкий. Также с ним всегда был технический специалист НАПК, на тот момент еще внештатный, но потом он вошел в штат, – рассказывает Юрий Новиков. –

Более того, они в июне давали свои замечания, точнее, просьбы переделать некоторые элементы. Поэтому говорить, что они ничего не могли изменить – неправильно».
(обновлено: Радецкий в письменном комментарии ЕП заявил, что он не был ответственным за техническую составляющую декларирования, а только за проверку деклараций; он утверждает, что техническая сторона является зоной ответственности Натальи Корчак)

По словам Новикова, все замечания касались интерфейса «бэкофиса», то есть рабочих мест операторов НАПК. Ни одной из претензий к веб-интерфейсу электронных деклараций, которые звучат сейчас, тогда не было.

В общем, складывается впечатление, что в Нацагентстве подошли крайне формально к процессу подготовки системы е-деклараций и контроля за ней.

Хотя именно НАПК придется работать с этим инструментом. И они должны быть заинтересованы в его качестве как никто другой. Но…

ЕП пыталась получить комментарий председателя НАПК Натальи Корчак и ответственного за проверку электронных деклаций члена агентства Руслана Радецкого, но в последние дни они не имели времени для встречи.

Зато член агентства Руслан Рябошапка, с которым мы пообщались, утверждает: самым большим генератором проблем, которые в конечном итоге привели к задержке с аттестацией, стала Госспецсвязи.

«Сейчас я убежден, что это был умысел со стороны Госспецсвязи. Ведь была совокупность событий, сгенерированных с их стороны, каждая из которых отнимала несколько дней или недель.

Мне кажется, что была поставлена задача отсрочить запуск системы. Именно поэтому мы слышали от руководителя ГСССЗИ, что им нужно два месяца на экспертизу. А тогда сказали бы – видите, декларирование будет тянуться до декабря, то какой смысл подавать декларации.

И мы бы потеряли год», — пояснил он.

Ответственность Госспецсвязи

Преграды, которые были сгенерированы Госслужбой спецсвязи, мы подробно описывали в публикации от 14 августа. Тогда читатели обратили внимание на «особое мнение» представителя ГСССЗИ на протоколе приемки системы.

Источник ЕП в правительстве, видевший эти документы, уточнил: представитель Госспецсвязи написал о незащищенности системы BankID, которая в итоге стала одним из оснований отказать в аттестации е-декларирования.

Рябошапка подтвердил эти данные: «О BankID они написали, что не гарантируется безопасность, но ни разу от ГСССЗИ не прозвучало, что они не дадут сертификат. Если бы мы от них это услышали, это не стало бы такой неожиданностью перед 15 августа».

Рябошапка также рассказал о проблеме, из-за которой было потеряно два месяца для запуска системы.

Эта проблема имеет двух авторов: компанию УСС («дочку» Госспецсвязи), и собственно НАПК.
«Сначала они говорили, что должны были предоставить свои серверы для системы, впоследствии почему-то не нашли серверов и уже говорили об аренде, и в итоге – не смогли даже арендовать. Более того, были проблемы с помещением для хостинга серверов», — утверждает член НАПК.

Как выяснила ЕвроПравда, еще в середине апреля рассматривалась возможность того, что серверы системы е-деклараций будут размещены в ГП «УСС», ведь это логично – государственная система работает на государственной площадке. На тот момент программная часть трех модулей уже была готова и принята у разработчика. Оставалось только «положить» ее на сервер.

18 апреля датировано первое письмо Всемирного банка на главу НАПК Наталью Корчак, о котором известно ЕП, с просьбой решить этот вопрос как можно быстрее. Впоследствии, в конце апреля – поступило еще одно письменное напоминание. Но дальше разговоров дело не шло, у НАПК не было ни средств для финансирования серверов, ни даже понимания, когда они займутся решением проблемы.

Успокаивало лишь то, что госкомпания заверила: она найдет сервера, как только будут решены организационные вопросы.

В мае, когда ожидание стало слишком длительным, ПРООН решила финансировать развертывание системы за свой счет. Чтобы запустить эту процедуру, 20 мая разработчик обратился письмом к ПРООН (а ПРООН – к НАПК), напоминая о необходимости поставить серверы хоть где-нибудь, но с обеспечением требований ГСССЗИ.

Ответ не заставил себя ждать – и Госспецсвязи ответила (публикуем pdf-файл со сканом ответа): единственным вариантом является размещение на площадке ГП «УСС». Но там никак не могли найти сервера. Варианты развертывания системы у другого провайдера были отброшены. В НАПК напомнили (публикуем pdf-файл со сканом письма НАПК): государственная площадка является безальтернативной.

В итоге все согласовали, УСС пообещало все же найти оборудование. 15 июня в ГП «УСС» снова заверили, что техника уже есть, и даже сообщили конкретные параметры оборудования (публикуем pdf-файл со сканом письма).

Но 22 июня из УСС неожиданно сообщили… что серверов нет и не будет. Потому что их нужно закупать через тендер, а процедура длинная.

Когда выяснилось, что хостинг сорвался, а до сдачи проекта почти не осталось времени, было согласовано решение арендовать сервера за деньги ПРООН. И хотя процедуры сократили до невероятно сжатых, это удалось сделать только в начале июля.

Именно эта аренда впоследствии стала ключевой претензией к ПРООН (и, почему-то, к «Миранде»), когда Госспецсвязи зарубила аттестацию системы!

«Если проблемы, связанные с BankID и с серверным оборудованием, были с самого начала, почему было не сообщить об этом? Ведь в ГСССЗИ знали, какой будет система и знали ее параметры. Выходит, они с июня знали, что это станет преградой для аттестации, и не сообщили нам?» — удивляется Руслан Рябошапка.

А теперь самое интересное: как известно, 31 августа ГСССЗИ аттестовал систему, объявив, что проблемы с серверами решены. Для поиска и оформления законного пути понадобилось не больше недели.

Что мешало вертикали Госспецсвязи предложить и провести точно такой законный вариант в июне, в июле или в начале августа? Был ли это злой умысел и попытка любым образом сорвать аттестацию системы, или просто нежелание работать?

Оставим это вопрос открытым.

Напомним лишь, что ГП «УСС» опять всплыло в публичном пространстве в конце августа. Это именно та госструктура, которая подделала электронный ключ на имя члена НАПК Руслана Рябошапки.
Интересное «совпадение»…

И, напоследок, еще один интересный эпизод от вертикали Госспецсвязи.

Напомним, о событиях середины августа: ГСССЗИ утверждает, что получило документацию от НАПК только во второй половине дня 10 августа и только с того момента начало экспертизу системы е-деклараций. К слову, у нас есть свидетельство о том, что председатель ГСССЗИ Леонид Евдоченко был в НАПК еще 8 августа, когда там уже была вся документация, но отказался забирать ее, затянув процесс на два дня.

Но оставим это за скобками, самое интересное – другое.

Представляли ли вы, что специалисты Держпецзв’язку с рабочих компьютеров пробовали «обвалить» сайт НАПК?

Но это действительно произошло! При чем произошло еще до начала сертификации, когда никто никого не должен «проверять». И самое главное – они «ломали» не защищенную систему е-деклараций, а сайт-визитку Агентства, размещенный на обычном коммерческом хостинге!

Яркое свидетельство «квалификации»…

Вашему вниманию – скриншот сообщения, которое поступило от компании-хостера

Итак, в течение 9-10 августа кто-то организовал DoS-атаку на сайт-визитку НАПК с ip-адреса 193.29.204.19

Несложно найти, кому принадлежит этот адрес – данная информация является публичной. Это – один из адресов, которые использует Госспецсвязи!

Добавим, что руководство НАПК знает об этой истории. Но почему-то решило не делать ее публичной.
«Европейская правда» обращалась письменно к ГСССЗИ и ГП «УСС» с конкретными вопросами по ситуации с е-декларированием, но там (в нарушение законов «Об обращениях граждан» и «Об информации» письменно отказались отвечать и посоветовали «читать официальный сайт»)

Что дальше?

Итак, несмотря на все проблемы и все попытки заблокировать процесс, 1 сентября электронное декларирование заработало.

Хотя нет, «заработало» — неправильный термин.

Наиболее корректно говорить, что система получила фиктивный аттестат безопасности.

В том, что Госспецсвязи самом деле не проводила настоящей аттестации или даже тестирования системы, на утро 1 сентября убедились все.

Программный комплекс электронных деклараций доступен, но не работает.

В первый день он вообще не воспринимал электронные ключи и не позволял заполнять декларации. 2 сентября во второй половине дня подавляющее большинство ключей (но не все) стали восприниматься, но дойти до представления декларации также не всем удается.

При этом валидация данных – разрушена, к примеру, по состоянию на 1 сентября можно было написать фамилию на английском, а иметь родственников без гражданства было «запрещено».

И самое главное: отображение внесенных деклараций не работает вообще. По крайней мере, по состоянию на вечер 2 сентября.

Разработчики предполагают, что модуль отображения, который является достаточно сложным, «сломан».

Если откровенно, то такое развитие не является удивительным.

Все специалисты предупреждали, что в такие сжатые сроки просто невозможно доработать сложный программный силами госоргана, который не принимал участие в его разработке (и не имеет в штате тех, кто знаком с кодом).

Поломать – можно. Собственно, это и произошло.

Возможно ли исправить систему сейчас? Да, и это не слишком сложно (и, очевидно бесплатно), если привлечь разработчика (ведь он уже получил все средства за продукт).

В принципе, можно обойтись без услуг «Миранды», если это решение является принципиальным, привлекая стороннего подрядчика – это будет сложнее, дольше и потребует финансирования, но это также реальный вариант.

И, наконец, третья опция – продолжать работы силами Госспецсвязи. В квалификации которой убедились пожалуй все.

По логике, государство должно было бы категорически отвергнуть третий вариант. Но учитывая, что правительство после всего, что произошло, до сих пор не отправило в отставку Евдоченко, мы не можем исключить, что Госспецсвязи поручат «ломать» систему и в дальнейшем.

Единственное, что вселяет оптимизм – то, что в таком развитии событий не заинтересован прежде всего президент.

Еще 14 августа мы писали, что он знал и минимум санкционировал задержку с предоставлением аттестата. Но невероятный международный скандал, который поднялся после этого, заставил АП пересмотреть позицию.

Несколько не зависимых друг от друга источников подтвердили: именно Порошенко сыграл ключевую роль в том, чтобы система получила сертификат.

В АП наконец поняли, что Запад не простит этого Киеву.

В последнем обращении Порошенко по е-декларированию есть важные слова о том, что система должна работать «вместе с административной и уголовной ответственностью за нарушение порядка ее представления или предоставления недостоверных сведений».

И Запад будет следить, чтобы это обещание было выполнено, а план по срыву запуска системы не превратился в план «вычищения» уголовной ответственноти из законодательства.

Европейская правдаСергей Сидоренко

В ночь на 1 сентября в Украине снова появилось электронное декларирование.

Есть основания надеяться, что надолго. Но нет оснований говорить, что качественно.

Программная система, представленная «Мирандой» и заблокированная государством три недели назад, содержала ряд проблем и нарушений технического задания, но после «исправления» Госспецсвязью она вообще перестала работать в штатном режиме и, несмотря на официальное открытие, до сих пор находится на доработке.

К счастью, нынешние (и так же предыдущие) проблемы не являются сверхкритическими, они вполне могут и должны быть исправлены – лишь бы хватило профессиональных способностей тех, кто занимается системой сейчас.

И самое главное, что между ситуацией сегодня и в августе есть существенные различия.

Кое-что, конечно, не изменилось. Как и раньше, преградой к е-декларированию остается серия ошибок всех причастных сторон, которые тянутся еще с прошлого года.

Как и раньше, проблемой остается вопиющая некомпетентность отдельных игроков этого процесса.
Никуда не делось желание отдельных политиков полностью отменить или выхолостить систему е-деклараций.

Но есть и изменения – некоторые к лучшему, некоторые к худшему.

Негативом, в частности, является то, что вертикаль Госспецсвязи, которая дискредитировала себя во время конфликта вокруг е-деклараций, за последние недели только усилила позиции. Именно они почему-то получили задание разработать 4 и 5 блоки системы. Почему-то речь идет о разработке «с нуля», вместо доработки существующих блоков.

И поэтому не стоит исключать новые «сюрпризы» во внедрении е-декларирования, далее в статье – подробнее о них.

Зато главный позитив:
источники подтверждают, что президент Порошенко наконец выбрал «светлую сторону» в данном конфликте.

Его вмешательство поставило крест на идее отказаться от е-декларирования, и именно поэтому мы начали с оптимизма: похоже, что на этот раз система заработала надолго. Более того, президент публично заявил, что уголовная ответственность за ложь в декларациях будет сохранена. Похоже, в АП наконец поняли критическую важность вопроса.

Правда, до готовности признать собственные ошибки государство до сих пор не созрело. Даже тогда, когда они очевидны.

Итак, как «ЕвроПравда» обещала в предыдущей публикации, мы возвращаемся к теме электронных деклараций – и к событиям прошлого, и к возможным сценариям будущего.

Кого «благодарить»?

ЕП еще три недели назад, 14 августа, опубликовала детальное расследование относительно участия Госспецсвязи (ГСССЗИ, Государственная служба специальной связи и защиты информации) в срыве своевременного запуска электронного декларирования.

Все документы и заключения, изложенные там, остаются актуальными. Есть и новые, до которых мы дойдем позже в этой статье. И хотя роль ГСССЗИ в данном процессе является действительно «выдающейся», неправильно останавливаться только на них.

К глубокому кризису е-декларирования привело совпадение злого умысла, ошибок и банального разгильдяйства со стороны всех участников процесса – от заказчиков до аудиторов.

И хотя «степень вины» – разная, стоит остановиться на каждом из учасников (просим прощения за большое количество технических деталей на следующих нескольких страницах, кто не желает углубляться в вопрос «кто виноват», может пропустить следующие блоки).

Ответственность «Миранды»

Разработчика программного комплекса е-деклараций власть назначила «официальным виновным во всех проблемах». (Одновременно был избран «неофициальный виновник» — в публичном пространстве, а также от должностных лиц, не связанных с президентской вертикалью, продвигается мысль, что виновных двое: ООО «Миранда» и ПРООН).

Дошло до того, что в разгар скандала – в начале позапрошлой недели – министр иностранных дел Павел Климкин лично звонил в Нью-Йорк, чтобы заверить руководство ПРООН: «мы уже определили виновного, все проблемы с е-декларированием возникли исключительно из-за плохого подрядчика, отобранного вами, но к самому ПРООН Киев не имеет претензий».

Сигнал, о котором узнали все международные миссии в Киеве, был воспринят как странный – Климкину не поверили.

Но это вовсе не означает, что на «Миранде» нет вины. Она есть. И значительная.

Не откроем ничего нового, и это необходимо еще раз зафиксировать: продукт, который был сдан в эксплуатацию (а по состоянию на 12 августа все верили, что речь пойдет о промышленной эксплуатации, а не тестовой), имел целый ряд проблем.

В том числе было нарушено техническое задание в части безопасности, что выяснилось после выхода системы в публичный доступ.

Для тех, кто следил за темой – речь идет о «проблеме кукиз» — на компьютере, где заполняли декларацию, оставалась техническая информация. Из-за этого другой человек, сев за этот компьютер, мог просмотреть закрытые персональные данные.

К слову, эта уязвимость не позволяла изменить чужую декларацию, для подписи декларации нужен электронный ключ, да и произвольная смена уже поданной декларации не является возможной. Но тем не менее, возможность утечки персональных данных – неприемлема.

Отвечая на запрос ЕП по этому поводу, директор «Миранды» Юрий Новиков признал ошибку. «Ее несложно исправить. Мы подготовили патч к системе, который исправлял эту уязвимость, уменьшили продолжительность сессии, и 22 августа мы были готовы установить его в систему, но не получили разрешения НАПК», — пояснил он.

Еще одна весомая проблема защиты персональных данных – то, что почта от системы е-деклараций пересылалась через почтовый сервер «Миранды». «А что нам было делать, если НАПК требовал сдать систему, а своего почтового сервера у них не было», — объясняет Новиков.

По мнению ЕП, это объяснение — не убедительное. Разработчик должен НАСТОЯТЬ, что такую систему недопустимо сдавать в эксплуатацию. Должен был предвидеть, что такая система вряд ли будет сертифицирована, а если и будет, то ее использование вызовет массу вопросов.

И это, пожалуй, самая масштабная проблема, что исходила от «Миранды».

Разработчик системы обычно является лучшим специалистом, чем ее заказчик. Именно он должен указывать на нереальные сроки аттестации в ГСССЗИ; именно он должен предлагать изменения в техзадание, когда видит, что его нынешняя редакция является проблемной и тому подобное.

Похоже, что здесь не было необходимого уровня активности.

То же самое касается претензий к неадекватному заполнению данных. Так, требования к верификации всех пунктов декларации были утверждены НАПК еще 10 июня, но если декларант указывает свой год рождения как 1800, а год рождения родителей как 2016, это должно вызывать по крайней мере предупреждение.

И в то же время стоит добавить – несмотря на серьезные претензии к «Миранде», многочисленные заявления о том, что она создала «дырявый продукт», который можно «проткнуть пальцем», остались неподтвержденными.

Даже по официальным данным НАПК (а эта структура в настоящее время является одним из публичных врагов «Миранды»!), за время работы системы не было ни одной успешной попытки постороннего вмешательства в систему.

Ни одной успешной! Хотя их было немало.

«За неделю работы система е-декларирования претерпела более чем 230 тысяч атак», —
говорит член НАПК Руслан Рябошапка. Эта цифра не «с потолка». ЕП имела возможность ознакомиться с докладом об » атаках на безопасность «, зафиксированных с 15 до 22 августа. Попытки взлома поделены на 61 тип, с количеством атак каждого типа.

Большая часть хакерских методов испытывалась несколько десятков или сотен раз. 5 типов атак имели 45-46 тысяч попыток. «Дырявая система» почему-то выстояла.

Конечно, это не гарантирует отсутствие дыр в системе, которые еще не были найдены, но – точно опровергает заявления о том, что ее так легко сломать.

Ответственность Программы развития ООН

Эта международная организация является, по сути, посредником по финансированию благотворительных проектов, и этот раз — не исключение. На этот раз ПРООН действовала по поручению правительства Дании и за деньги датского бюджета, где согласились дать средства для развития НАПК. Средства, которые Украина не смогла найти в собственном бюджете.

Мы уже упомянули, что ПРООН была назначена «вторым главным виновником».

Сторонники этой теории обычно утверждают, что «тендера не было», «Миранду назначили исполнителем» и делают вывод о коррупционном расходовании средств. Самая распространенная теория говорит, что «Миранда» связана с менеджером ПРООН данного проекта Иваном Пресняковым (хотя иллюстрация связи не приводится).

Вот только в самой ПРООН удивляются такому утверждению и говорят, что Пресняков был нанят… лишь в декабре 2015 года, когда «Миранда» уже выиграла тендер!

То есть главное обвинение просто лишено логики

Говорить об «отсутствии тендера» также нет оснований. Было 10 предложений – а это уже немалый конкурс.

«Открытый тендер был объявлен 28 сентября 2015, и завершен 18 октября 2015 года. В целом ПРООН получила 10 тендерных предложений.

Из этих 10 предложений одно было отклонено почтовой системой как содержащее вирус. ПРООН детально проверила этот случай, обратившись к ИТ департаменту штаб-квартиры ПРООН и корпорации Майкрософт, предоставляющей услуги электронной почты. Было подтверждено, что присланный архив был заражен вирусом и, соответственно, он был автоматически удален из почтовой системы.

Мы проинформировали компанию (участника тендера) об этом инциденте. Формальных письменных протестов с ее стороны не было.

С другими тендерными предложениями подобных инцидентов не возникало», — говорится в комментарии данного проекта ПРООН на запрос ЕвроПравды.

Но честность тендера еще не означает, что был отобран лучший претендент. И это, похоже, именно тот случай.

Ведь критерии отбора устанавливаются еще до начала конкурса.

В частности, важными критериями являются цена (по данным источников, предложение «Миранды» была самым дешевым) и качество оформления документации. Те, кто часто участвуют в международных тендерах, обладают такими навыками. Кстати, «Миранда» незадолго до того завершила крупный проект по построению базы данных по заказу Международной организации миграции. То есть навыки для участия в международных тендерах у них действительно были.

И это – не является незаконным.

Источник ЕП, информированный о ходе отбора, рассказал, что технические специалисты ПРООН «не склонялись к тому, чтобы отдавать победу Миранде», но отбор победителя проходил не по персональному решению, а по балльной системе. И «Миранда» — действительно победила.

Еще один вопрос, который отчасти можно адресовать ПРООН, — в отношении контроля качества. Так, для этого ПРООН наняла всемирно известную PricewaterhouseCoopers и IT-тестировщика компании Testlab2.

Но как же так случилось, что несмотря на их аудит, система содержала уязвимость в части защиты персональных данных?

Заявлено, что PwC проводили тест на проникновение, он гарантированно должен был выявить проблему с cookies! Возможно, просто задача была поставлена некорректно?

И мы не зря отметили, что ответственность ПРООН за контроль качества – лишь частичная. И эта доля меньше половины. Вот почему.

Ответственность НАПК

Национальное агентство по вопросам предотвращения коррупции сейчас уверяет, что «не имело никакого влияния» на подготовку программы, но документы свидетельствуют, что это не так – представители НАПК принимали участие в рабочих группах, принимавших продукт.

«У нас был активный диалог с мая, когда в НАПК определили, что за это направление отвечает Руслан Радецкий. Также с ним всегда был технический специалист НАПК, на тот момент еще внештатный, но потом он вошел в штат, – рассказывает Юрий Новиков. –

Более того, они в июне давали свои замечания, точнее, просьбы переделать некоторые элементы. Поэтому говорить, что они ничего не могли изменить – неправильно».
(обновлено: Радецкий в письменном комментарии ЕП заявил, что он не был ответственным за техническую составляющую декларирования, а только за проверку деклараций; он утверждает, что техническая сторона является зоной ответственности Натальи Корчак)

По словам Новикова, все замечания касались интерфейса «бэкофиса», то есть рабочих мест операторов НАПК. Ни одной из претензий к веб-интерфейсу электронных деклараций, которые звучат сейчас, тогда не было.

В общем, складывается впечатление, что в Нацагентстве подошли крайне формально к процессу подготовки системы е-деклараций и контроля за ней.

Хотя именно НАПК придется работать с этим инструментом. И они должны быть заинтересованы в его качестве как никто другой. Но…

ЕП пыталась получить комментарий председателя НАПК Натальи Корчак и ответственного за проверку электронных деклаций члена агентства Руслана Радецкого, но в последние дни они не имели времени для встречи.

Зато член агентства Руслан Рябошапка, с которым мы пообщались, утверждает: самым большим генератором проблем, которые в конечном итоге привели к задержке с аттестацией, стала Госспецсвязи.

«Сейчас я убежден, что это был умысел со стороны Госспецсвязи. Ведь была совокупность событий, сгенерированных с их стороны, каждая из которых отнимала несколько дней или недель.

Мне кажется, что была поставлена задача отсрочить запуск системы. Именно поэтому мы слышали от руководителя ГСССЗИ, что им нужно два месяца на экспертизу. А тогда сказали бы – видите, декларирование будет тянуться до декабря, то какой смысл подавать декларации.

И мы бы потеряли год», — пояснил он.

Ответственность Госспецсвязи

Преграды, которые были сгенерированы Госслужбой спецсвязи, мы подробно описывали в публикации от 14 августа. Тогда читатели обратили внимание на «особое мнение» представителя ГСССЗИ на протоколе приемки системы.

Источник ЕП в правительстве, видевший эти документы, уточнил: представитель Госспецсвязи написал о незащищенности системы BankID, которая в итоге стала одним из оснований отказать в аттестации е-декларирования.

Рябошапка подтвердил эти данные: «О BankID они написали, что не гарантируется безопасность, но ни разу от ГСССЗИ не прозвучало, что они не дадут сертификат. Если бы мы от них это услышали, это не стало бы такой неожиданностью перед 15 августа».

Рябошапка также рассказал о проблеме, из-за которой было потеряно два месяца для запуска системы.

Эта проблема имеет двух авторов: компанию УСС («дочку» Госспецсвязи), и собственно НАПК.
«Сначала они говорили, что должны были предоставить свои серверы для системы, впоследствии почему-то не нашли серверов и уже говорили об аренде, и в итоге – не смогли даже арендовать. Более того, были проблемы с помещением для хостинга серверов», — утверждает член НАПК.

Как выяснила ЕвроПравда, еще в середине апреля рассматривалась возможность того, что серверы системы е-деклараций будут размещены в ГП «УСС», ведь это логично – государственная система работает на государственной площадке. На тот момент программная часть трех модулей уже была готова и принята у разработчика. Оставалось только «положить» ее на сервер.

18 апреля датировано первое письмо Всемирного банка на главу НАПК Наталью Корчак, о котором известно ЕП, с просьбой решить этот вопрос как можно быстрее. Впоследствии, в конце апреля – поступило еще одно письменное напоминание. Но дальше разговоров дело не шло, у НАПК не было ни средств для финансирования серверов, ни даже понимания, когда они займутся решением проблемы.

Успокаивало лишь то, что госкомпания заверила: она найдет сервера, как только будут решены организационные вопросы.

В мае, когда ожидание стало слишком длительным, ПРООН решила финансировать развертывание системы за свой счет. Чтобы запустить эту процедуру, 20 мая разработчик обратился письмом к ПРООН (а ПРООН – к НАПК), напоминая о необходимости поставить серверы хоть где-нибудь, но с обеспечением требований ГСССЗИ.

Ответ не заставил себя ждать – и Госспецсвязи ответила (публикуем pdf-файл со сканом ответа): единственным вариантом является размещение на площадке ГП «УСС». Но там никак не могли найти сервера. Варианты развертывания системы у другого провайдера были отброшены. В НАПК напомнили (публикуем pdf-файл со сканом письма НАПК): государственная площадка является безальтернативной.

В итоге все согласовали, УСС пообещало все же найти оборудование. 15 июня в ГП «УСС» снова заверили, что техника уже есть, и даже сообщили конкретные параметры оборудования (публикуем pdf-файл со сканом письма).

Но 22 июня из УСС неожиданно сообщили… что серверов нет и не будет. Потому что их нужно закупать через тендер, а процедура длинная.

Когда выяснилось, что хостинг сорвался, а до сдачи проекта почти не осталось времени, было согласовано решение арендовать сервера за деньги ПРООН. И хотя процедуры сократили до невероятно сжатых, это удалось сделать только в начале июля.

Именно эта аренда впоследствии стала ключевой претензией к ПРООН (и, почему-то, к «Миранде»), когда Госспецсвязи зарубила аттестацию системы!

«Если проблемы, связанные с BankID и с серверным оборудованием, были с самого начала, почему было не сообщить об этом? Ведь в ГСССЗИ знали, какой будет система и знали ее параметры. Выходит, они с июня знали, что это станет преградой для аттестации, и не сообщили нам?» — удивляется Руслан Рябошапка.

А теперь самое интересное: как известно, 31 августа ГСССЗИ аттестовал систему, объявив, что проблемы с серверами решены. Для поиска и оформления законного пути понадобилось не больше недели.

Что мешало вертикали Госспецсвязи предложить и провести точно такой законный вариант в июне, в июле или в начале августа? Был ли это злой умысел и попытка любым образом сорвать аттестацию системы, или просто нежелание работать?

Оставим это вопрос открытым.

Напомним лишь, что ГП «УСС» опять всплыло в публичном пространстве в конце августа. Это именно та госструктура, которая подделала электронный ключ на имя члена НАПК Руслана Рябошапки.
Интересное «совпадение»…

И, напоследок, еще один интересный эпизод от вертикали Госспецсвязи.

Напомним, о событиях середины августа: ГСССЗИ утверждает, что получило документацию от НАПК только во второй половине дня 10 августа и только с того момента начало экспертизу системы е-деклараций. К слову, у нас есть свидетельство о том, что председатель ГСССЗИ Леонид Евдоченко был в НАПК еще 8 августа, когда там уже была вся документация, но отказался забирать ее, затянув процесс на два дня.

Но оставим это за скобками, самое интересное – другое.

Представляли ли вы, что специалисты Держпецзв’язку с рабочих компьютеров пробовали «обвалить» сайт НАПК?

Но это действительно произошло! При чем произошло еще до начала сертификации, когда никто никого не должен «проверять». И самое главное – они «ломали» не защищенную систему е-деклараций, а сайт-визитку Агентства, размещенный на обычном коммерческом хостинге!

Яркое свидетельство «квалификации»…

Вашему вниманию – скриншот сообщения, которое поступило от компании-хостера

Итак, в течение 9-10 августа кто-то организовал DoS-атаку на сайт-визитку НАПК с ip-адреса 193.29.204.19

Несложно найти, кому принадлежит этот адрес – данная информация является публичной. Это – один из адресов, которые использует Госспецсвязи!

Добавим, что руководство НАПК знает об этой истории. Но почему-то решило не делать ее публичной.
«Европейская правда» обращалась письменно к ГСССЗИ и ГП «УСС» с конкретными вопросами по ситуации с е-декларированием, но там (в нарушение законов «Об обращениях граждан» и «Об информации» письменно отказались отвечать и посоветовали «читать официальный сайт»)

Что дальше?

Итак, несмотря на все проблемы и все попытки заблокировать процесс, 1 сентября электронное декларирование заработало.

Хотя нет, «заработало» — неправильный термин.

Наиболее корректно говорить, что система получила фиктивный аттестат безопасности.

В том, что Госспецсвязи самом деле не проводила настоящей аттестации или даже тестирования системы, на утро 1 сентября убедились все.

Программный комплекс электронных деклараций доступен, но не работает.

В первый день он вообще не воспринимал электронные ключи и не позволял заполнять декларации. 2 сентября во второй половине дня подавляющее большинство ключей (но не все) стали восприниматься, но дойти до представления декларации также не всем удается.

При этом валидация данных – разрушена, к примеру, по состоянию на 1 сентября можно было написать фамилию на английском, а иметь родственников без гражданства было «запрещено».

И самое главное: отображение внесенных деклараций не работает вообще. По крайней мере, по состоянию на вечер 2 сентября.

Разработчики предполагают, что модуль отображения, который является достаточно сложным, «сломан».

Если откровенно, то такое развитие не является удивительным.

Все специалисты предупреждали, что в такие сжатые сроки просто невозможно доработать сложный программный силами госоргана, который не принимал участие в его разработке (и не имеет в штате тех, кто знаком с кодом).

Поломать – можно. Собственно, это и произошло.

Возможно ли исправить систему сейчас? Да, и это не слишком сложно (и, очевидно бесплатно), если привлечь разработчика (ведь он уже получил все средства за продукт).

В принципе, можно обойтись без услуг «Миранды», если это решение является принципиальным, привлекая стороннего подрядчика – это будет сложнее, дольше и потребует финансирования, но это также реальный вариант.

И, наконец, третья опция – продолжать работы силами Госспецсвязи. В квалификации которой убедились пожалуй все.

По логике, государство должно было бы категорически отвергнуть третий вариант. Но учитывая, что правительство после всего, что произошло, до сих пор не отправило в отставку Евдоченко, мы не можем исключить, что Госспецсвязи поручат «ломать» систему и в дальнейшем.

Единственное, что вселяет оптимизм – то, что в таком развитии событий не заинтересован прежде всего президент.

Еще 14 августа мы писали, что он знал и минимум санкционировал задержку с предоставлением аттестата. Но невероятный международный скандал, который поднялся после этого, заставил АП пересмотреть позицию.

Несколько не зависимых друг от друга источников подтвердили: именно Порошенко сыграл ключевую роль в том, чтобы система получила сертификат.

В АП наконец поняли, что Запад не простит этого Киеву.

В последнем обращении Порошенко по е-декларированию есть важные слова о том, что система должна работать «вместе с административной и уголовной ответственностью за нарушение порядка ее представления или предоставления недостоверных сведений».

И Запад будет следить, чтобы это обещание было выполнено, а план по срыву запуска системы не превратился в план «вычищения» уголовной ответственноти из законодательства.

Европейская правда

Кто сорвал электронное декларирование имущества: хронология и документыКто сорвал электронное декларирование имущества: хронология и документы

Сергей Сидоренко

Выходные, которые принесли в Киев похолодание, для многих оказались на удивление горячими. В последние несколько дней велась и до сих пор продолжается борьба за и против запуска системы электронных деклараций.

Украина еще несколько месяцев назад обещала, что е-декларации заработают 15 августа в 00:00. Мы привыкли делать все в последний момент, поэтому казалось, что успеем и сейчас.

Ведь стимул есть. На кону серьезные средства – $3 млрд от МВФ, 1.2 млрд евро макрофинпомощи от Евросоюза, а также значительное финансирование от Всемирного банка и других международных институтов.

И в дополнение, о чем писалось и говорилось много раз, запуск декларирования 15 августа – последнее обязательство Киева для внедрения безвизового режима

Cейчас можно уверенно говорить: график сорван. Система не заработает в срок.

И сейчас мы – на распутье. У Киева есть два пути: плохой и худший. Плохой путь – это срыв дедлайна и нарушение обязательств перед Западом.

Еще хуже – если в ночь на 15 августа Украина запустит в работу несертифицированную систему. Нам скажут, что Киев все выполнил. А на самом деле – этот шаг выведет из-под уголовной ответственности высоких чиновников.

Вероятность второго пути – достаточно высокая. И возникает вопрос, не является ли нынешнее обострение лишь ширмой для того, чтобы привести систему к «фиктивному запуску». Тем более, что некоторые источники в этом полностью убеждены.

Поэтому за вопросом о том, «что делать?», не стоит пропустить и другой – «кто виноват?».

У «Европейской правды» есть достаточно документальных доказательств того, что
Госспецсвязь умышленно сорвала запуск системы, изначально имея такую задачу.

Никаких сомнений, что ведомство, тесно связанное с секретарем СНБО Александром Турчиновым, сделало это сознательно. И вполне возможно, что противостояние вокруг е-декларирования выльется в серьезные кадровые изменения в стране.

Часть документов, подтверждающие обвинения в адрес Госспецсвязи, «Европейская правда» готова обнародовать. Об этом и другом подробнее – далее в статье.

Как врала Госспецсвязь

Круговорот выходных запустила новость пятничного вечера. Звучала она довольно обыденно и неинтересно – орган со сложным названием ГССЗЗИ (Государственная служба специальной связи и защиты информации, или Госспецсвязь) заявил о неготовности аппаратно-программного комплекса сбора и хранения электронных деклараций и отказался его аттестовать.

Но на самом деле такая сложная формулировка означает срыв процесса электронного декларирования.

Большой неожиданностью это не стало. О том, что электронное декларирование под угрозой срыва из-за проблем с аттестацией системы, знали все причастные. Ведь еще в начале августа ГССЗЗИ сорвала первые сроки и именно тогда конфликт стал публичным.

Действительно обидно, что приходится оперировать такими терминами как «ложь», «служебный подлог» или «преднамеренный срыв», но последние действия Госспецсвязи не оставляют сомнений – речь идет именно о лжи, сознательном срыве электронного декларирования и о фальсификации доказательств. К тому же, публичную фальсификацию – недавно ГССЗЗИ включился в борьбу в медийном пространстве – на официальной странице в Facebook.

Стоит проанализировать их главные тезисы. Предупреждаем: этот блок сложный и технический, но важный, ведь это – наглядная иллюстрация лжи со стороны госоргана. Дальше будет живее.

Ложь 1: Система е-деклараций готова на 60%, ее принять невозможно

Этот аргумент сейчас постоянно звучит от Госспецсвязи, повторяется в пресс-релизах и выступлениях.

«Разработано программное обеспечение в объеме только трех результатов из пяти, определенных договором. Это ориентировочно 60% предусмотренного объема работ, которые должны были завершиться в полном объеме еще 30 июня», — говорит ГССЗЗИ.

Как обычно в пропаганде, речь идет о полуправде.

Откровенной ложью является тезис о «60% предусмотренного объема». Еще в прошлом году планировалось, что система электронных деклараций будет запущена именно в нынешнем объеме, с тремя компонентами – заполнение деклараций, их защищенное хранение и публикация. Все, точка!

Второй этап – обработка и анализ деклараций – должен был подключиться позже.

«С самого начала техническое задание говорило о том, что программный комплекс создается поэтапно», — утверждает руководитель программы ПРООН Иван Пресняков (именно Программа развития ООН выделила Украине средства на создание системы е-деклараций).

Первый документ — акт приема-передачи комплекса (pdf, 4 страницы), в котором ПРООН показывает, что не имеет претензий к первой части.

Более того, Госспецсвязь прекрасно знала об этапности разработки. Нынешние заявления руководителя органа о том, что это стало для них сюрпризом, также являются ложью. Вашему вниманию – сканкопия заключения межведомственной группы, которая также показала готовность системы к эксплуатации (pdf, 17 страниц). В составе группы были представители ГССЗЗИ.

И, наконец, еще один важный момент, который мы не можем подтвердить сканом, но знаем из нескольких источников, что такой документ существует. 3 августа ДССЗЗИ утвердила техзадание на КСЗИ именно на первый этап, то есть на 3 из 5 компонентов, согласовав тем самым достаточность данного этапа. Это также означает, что в своих оценках эксперты службы должны были бы оставаться в рамках этого ТЗ. Однако в спецсвязи избрали другую тактику.

Упоминание же о 30 июня является полуправдой. Действительно, в начале процесса, когда ПРООН заказывала разработку программного обеспечения, завершение работ было предусмотрено на 30 июня. Но тогда были ожидания, что первый этап системы сертифицируют еще весной.

Ключевая причина того, что работа над вторым этапом затянулась – вообще детективная история.

Другие государственные органы не имеют права предоставлять НАПК доступ к своим базам (иначе будут санкции ГССЗЗИ) до тех пор, пока эта служба не аттестует комплекс НАПК. А теперь ГССЗЗИ говорит, что не даст аттестат до тех пор, пока комплекс не будет иметь доступа к базам других государственных органов.

Заколдованный круг…

Ложь 2. Но работы затянулись. А теперь Госспецсвязь заставляют за два дня провести аттестацию, на которую нужно два месяца.

Тезис про «два месяца» прозвучала от главы ГССЗЗИ Леонида Евдоченко на заседании НАПК только в субботу и крайне удивил присутствующих.

Евдоченко, видимо, не думал, что в прессу попадет документ, который он лично согласовал более месяца назад. 5 июля руководитель ГССЗЗИ направил в НАПК письмо, где говорится, что служба «согласовывает без замечаний график построения комплексной системы защиты информации». Согласно этому документу, сертификация должна состояться между 5 и 12 августа.

Так когда Евдоченко врал – месяц назад в официальном документе, или же сейчас, в официальных заявлениях? Надо определиться.

А дальше ГССЗЗИ дополнительно сократил себе время для анализа системы , чтобы дать себе повод для новых претензий о «нехватке времени». В начале августа (то есть в период цейтнота, а не раньше, когда оставалось вдоволь времени) в службе инициировали смену подрядчика, который должен был проводить экспертизу защищенности продукта. ГССЗЗИ заставила НАПК отказаться от услуг независимых экспертов и передать работу своему дочернему предприятию.

Это вызвало удивление и со стороны ПРООН, и со стороны Евросоюза, но шансы успеть до 15 августа еще оставались.

И в ДССЗЗИ на этом не остановились. Следующий шаг – воспользовавшись тем, что смена подрядчика заняла несколько дней на подписание документов, в службе отказались брать у разработчика для анализа техническую документацию до тех пор, пока бюрократический процесс не завершится. Вроде все правильно, но времени на анализ осталось совсем мало.

Есть и другие обвинения в затягивании процесса, не подтвержденные документально. В частности, члены НАЗК на открытом заседании сообщили, что пять (!) раз присылали к ГССЗЗИ флешку с кодом, но она «где-то терялась» в ведомстве. Евдоченко этот момент не стал отрицать. Но в пресс-релизе его ведомство не упустило возможности пожаловаться на нехватку времени для работы с системой.

Ложь 3: Разработчик не проводил независимое тестирование системы и не предоставил необходимых документов.

Этот миф – самый интересный.

Еще в субботу поводом для шуток стало официальное заявление ГССЗЗИ о том, что среди предоставленных документов «отсутствуют акты завершения опытной эксплуатации, завершения работ по созданию КССИ, протокол ее предварительных испытаний».

Компания разработчик в ответ просто опубликовала три фото – стопка папок, переданных в ГССЗЗИ, титульные листы двух папок, якобы «отсутствующих» в пакете документов.

В следующих сообщениях Госспецсвязь уже не жаловалась на отсутствие документов – видимо, нашла их.

Но еще интереснее тезис об отсутствии посторонних тестирований. Как выяснилось, в распоряжении ГССЗЗИ еще в июле были данные тестирования, проведенного PricewaterhouseCoopers и авторитетной тестувальної компании TestLab2.

Глава ГССЗЗИ лично видел и согласовывал положительные выводы этих компаний, ведь они легли в основу межведомственного заключения (при участии этой службы) о полной готовности комплекса. Мы уже давали линк на это 17-страничное заключение, а теперь вашему вниманию два фрагмента из него.

Не наша задача – выбирать авторитетные организации, но можем предположить, что для многих читателей слово ГССЗЗИ кажется менее авторитетным, чем слово, скажем, PricewaterhouseCoopers. И хотя здесь они анализировали различные аспекты работы системы, само по себе обвинение ГССЗЗИ об отсутствии независимых тестирований системы выдается абсурдным.

И, как уже стало привычным для этого органа – лживым.

Ложь 4: ГССЗЗИ нашла массу проблем в комплексной системе защиты комплекса.

После открытого заседания НАПК, где руководителя службы постоянно ловили на лжи, а также на незнании особенностей работы собственного ведомства, глава Госспецсвязи вряд ли будет стремиться к публичности, это было очевидно.

И такого развития событий не предполагал никто.

В субботу, после завершения скандального заседания НАПК, глава Госспецсвязи снова нарушил свое обещание.

Утром того дня, на открытом заседании, перед телекамерами, он сообщил, что вывод об отказе в аттестации готов (а как иначе, ведь вчера о нем было сообщено!) и гарантировал, что через час, в 12.30 документ будет в НАПК – только поедет в офис и привезет его.

Тогда представители НАПК предложили «для гарантии» увеличить срок до двух часов. Также Евдоченко публично пообещал, что специалисты Госспецсвязи лично приедут в помещение НАПК или в офиса компании разработчика ПО, чтобы вместе с программистами сесть за работу и оперативно исправить «10 критических уязвимостей программного кода системы.

Время шло. Ни в 13.30, ни в 15:00 вывод так и не приехал.

Похоже что готового документа на тот момент просто не было, и это – служебный подлог, уголовно наказуемое деяние.

Однако в ГССЗЗИ и после этого смогли поразить. Когда в 17 часов документ наконец привезли в НАПК, оказалось, что служба спецсвязи… запретила передавать его разработчикам, наложив на него гриф «для служебного пользования».

Зачем нужен гриф ограниченного доступа в заключении относительно документов, которые не имеют грифа – вопрос открытый. Два источника ЕП, причастные к работе Госспецсвязи, говорят что ГССЗЗИ всегда ставит гриф на свои заключения.

Но в этом случае возникает вопрос к Евдоченко, почему он публично давал противоположные обещания на заседании НАПК? Что это – вопиющая некомпетентность, или опять попытка затянуть процесс?

И главное даже не то, что ГССЗЗИ прячет свои выводы. Главное – их содержание.

Сначала над претензиями службы, на основании которых и отказали в аттестате, смеялись в НАПК, отмечая, что не могут сообщить все детали – ведь документ секретный. Поздно ночью текст наконец увидела компания-разработчик, «Миранда».

Выяснилось, что ГССЗЗИ вообще не проводила анализ программного кода. Громкие заявления Евдоченко о том, что «написанный код десятилетней давности, его пальцем можно проткнуть», похоже, снова оказались ложью.

«Во-первых, сам экспертный вывод ни содержит НИ ОДНОГО ЗАМЕЧАНИЯ к программному обеспечению реестра. Все письменные замечания касаются сопроводительной документации. Некоторые из них можно считать не лишенными смысла, получили бы мы этот вывод в 14.00 субботы, как и было обещано — документация уже была бы поправлена», — написал в четверть четвертого ночи директор «Миранды» Юрий Новиков

Но в ГССЗЗИ избрали тактику затягивания процесса.

И когда в воскресенье в 11 утра «Миранда» пришла в ГССЗЗИ, в службе их в течение часа не пускали внутрь, а впоследствии – пустили, но не дали на ознакомление документы.

«Кто виноват?» и «Что делать?»

Срыв сроков запуска электронного декларирования – дело несомненное. Успеть до утра или даже до ночи 15 августа невозможно чисто технически. Да и развитие событий воскресенья свидетельствует, что ГССЗЗИ твердо настроена не аттестовать систему.

Руководитель ГССЗЗИ Леонид Евдоченко – особа настолько скомпрометированная, что обсуждать его вину просто нет смысла. Дискутировать можно разве что о том, окажется ли этот чиновник за решеткой.

Ведь даже если не брать во внимание его устные заявления, которые сложно «подшить к делу», господин Евдоченко оставил слишком много документальных доказательств.

Его увольнение в настоящее время является, по сути, неизбежным. Как минимум, власть должна принести в жертву стрелочника. Тем более, что служба – если исходить из вопиющего непрофессионализма руководителя – ничего не потеряет. Премьер Гройсман уже объявил о начале служебного расследования относительно его работы на этой должности.

И дальнейшие действия будут индикатором.

Вряд ли кто-то верит, что Евдоченко решился на блокирование транша МВФ и на срыв «безвиза» исключительно по своей инициативе, без указания кого-то из первых лиц государства.

Поэтому если правительство просто уволит без громких последствий, это будет означать именно «вариант стрелочника».

События ближайших суток, и даже ближайших часов дадут возможность определить, кто блокирует е-декларирование «наверху»

Есть две опции. 1) Это действия Александра Турчинова и близких к нему людей и 2) За срывом стоит Турчинов вместе с Петром Порошенко.

У нас пока нет ответа, какой из этих вариантов является правильным.

На первый взгляд это может показаться странным, ведь формально – если исходить из законодательной базы – секретарь Совбеза здесь ни причем.

Однако все без исключения собеседники ЕП «из системы» утверждают, что Евдоченко является человеком Турчинова, а ГССЗЗИ по неофициальным распределениям полномочий входит в сферу влияния аппарата Совбеза.

45-летний генерал-майор спецсвязи Леонид Евдоченко работал в структурах СБУ до периода «раннего Януковича». Дальше был уволен, а весной 2014 года – восстановился в должности директора НИИ спецтехники и судебных экспертиз СБУ. В тот период СБУ была в сфере влияния и.о. президента Турчинова.

1 июля 2015 года Кабмин по представлению премьера Яценюка назначил Евдоченко руководителем ГССЗЗИ. В окружении Яценюка ЕП убеждают, что «здесь не было единоличного решения».

Интересная деталь: представлять нового руководителя в Госспецсвязи поехал именно Турчинов, хотя положение этой службы не содержит никаких упоминаний об отношениях Госспецсвязи и аппарата Совбеза (а кулуарное распределение сфер влияния в документах не прописано).

Юридически ГССЗЗИ подчиняется правительству.

Яценюк за время своего премьерства был политическим партнером Турчинова, а вот про Гройсмана этого не скажешь. Сейчас, по крайней мере публично, премьер больше похож на врага Евдоченко, а в начале острой стадии конфликта даже прямо угрожал ему отставкой.

Еще одним косвенным доказательством того, что Евдоченко является членом команды Турчинова, являются действия главы НАПК Натальи Корчак, которая также представляет в агентстве политическую группу Турчинова.

В большинстве случаев – и на заседаниях, и в публичных комментариях Корчак становится в защиту позиции ГССЗЗИ, даже если ее мнение противоречит аргументам профильных специалистов агентства.

Отдельного внимания заслуживает роль Порошенко.

Соцсети убеждены: за срывом е-деклараций стоит президент. У ЕП пока нет данных ни в подтверждение, ни для опровержения этой версии.

В субботу на скандальном заседании НАПК все представители группы Порошенко были, похоже, искренне возмущены тем, что происходит.

Ни один не поддержал Евдоченко. Министр финансов Александр Данилюк предупредил всех, что они близки к срыву транша МВФ. Член НАПК по «президентской квоте» Руслан Радецкий также был среди критиков ГССЗЗИ.

И точный ответ на вопрос о том, какова роль Порошенко мы узнаем скоро – когда НАЗК будет голосовать по том, как выходить из кризиса. Именно тогда придется выбирать один из двух путей – плохая и еще хуже.

И именно тогда выяснится, что имел в виду президент в своем обращении в четверг, когда требовал что-запустить электронное декларирование в ночь на понедельник.

Дальнейшие варианты

Сейчас действует решение решении НАПК о том, что программный комплекс электронного декларирования будет запущен в полночь 15 августа. Агентство приняло это решение, когда еще не было известно, что аттестация системы будет сорвана.

Сегодня это решение не отменят. На это просто не хватит голосов. Против выступает Наталья Корчак, да и другой член НАПК по «квоте Турчинова», Александр Скопич, не пойдет против «политики партии».

И если не будет найден какой-то альтернативный вариант – допустим, деактивация формы ведения деклараций, мы будем близки к катастрофе.

Эксперты уже предупреждали: запуск е-декларирования без сертификата будет означать, что агентство дает разрешение на безнаказанность высшим должностным лицам страны.

Пока все идет по худшему сценарию.

Наталья Корчак, которая еще вчера говорила, что не активирует форму заполнения деклараций, в воскресенье «неожиданно» изменила мнение на противоположное и теперь отстаивает худшую опцию: «запуск системы в режиме опытной эксплуатации».

Что это означает на деле и как это позволит чиновникам избежать уголовного наказания, лучше всего описал исполнительный директор Transparency International Ярослав Юрчишин.

«Поймают (чиновника) на горячем — апартаменты в Лондоне не задекларировал и не может объяснить откуда деньги на них. Сидел бы он года два, но он идет в суд и говорит: система в опытной эксплуатации, привлечь меня по закону не можете. Потому что у вас система не настоящая. И вносить еще раз я не буду, ибо закон я выполнил», — описывает эксперт схему избежания уголовного наказания.

Возможно, это и было целью тех, кто добился срыва полноценного запуска системы?

Обновлено: В воскресенье вечером глава НАПК Наталья Корчак подтвердила опасения ЕП и избрала худший для страны путь: окончательно отказалась от своих слов о запуске системы без пользовательского ввода персональных данных и одобрила запуск системы декларирования без аттестации системы защиты.

На пресс-конференции она признала: это означает невозможность привлечь чиновников к ответственности за ложь в декларациях. Мотивы запуска системы в таком виде госпожа Корчак не объяснила.

За решение о том, чтобы возложить ответственность за срыв декларирования на «Миранду», проголосовали трое членов НАЗК — все, назначенные по квотам Турчинова и Порошенко. Ни один из них также не возразил против запуска системы без сертификата.

PS: в пресс-службе Арсения Яценюка прокомментировали его позицию относительно конфликтного вопроса.

«Мы убеждены, что программа электронного декларирования должна быть запущена с 15 августа, как предусмотрено законом. Если соответствующее программное обеспечение имеет недостатки – необходимо публично продемонстрировать это и назвать сроки, в которые эти недостатки будут устранены.»

На уточняющий вопрос о том, поддерживает ли он запуск систему в «исследовательском режиме», который позволит избежать уголовной ответственности, пресс-служба Яценюка не ответила.

Европейская ПравдаСергей Сидоренко

Выходные, которые принесли в Киев похолодание, для многих оказались на удивление горячими. В последние несколько дней велась и до сих пор продолжается борьба за и против запуска системы электронных деклараций.

Украина еще несколько месяцев назад обещала, что е-декларации заработают 15 августа в 00:00. Мы привыкли делать все в последний момент, поэтому казалось, что успеем и сейчас.

Ведь стимул есть. На кону серьезные средства – $3 млрд от МВФ, 1.2 млрд евро макрофинпомощи от Евросоюза, а также значительное финансирование от Всемирного банка и других международных институтов.

И в дополнение, о чем писалось и говорилось много раз, запуск декларирования 15 августа – последнее обязательство Киева для внедрения безвизового режима

Cейчас можно уверенно говорить: график сорван. Система не заработает в срок.

И сейчас мы – на распутье. У Киева есть два пути: плохой и худший. Плохой путь – это срыв дедлайна и нарушение обязательств перед Западом.

Еще хуже – если в ночь на 15 августа Украина запустит в работу несертифицированную систему. Нам скажут, что Киев все выполнил. А на самом деле – этот шаг выведет из-под уголовной ответственности высоких чиновников.

Вероятность второго пути – достаточно высокая. И возникает вопрос, не является ли нынешнее обострение лишь ширмой для того, чтобы привести систему к «фиктивному запуску». Тем более, что некоторые источники в этом полностью убеждены.

Поэтому за вопросом о том, «что делать?», не стоит пропустить и другой – «кто виноват?».

У «Европейской правды» есть достаточно документальных доказательств того, что
Госспецсвязь умышленно сорвала запуск системы, изначально имея такую задачу.

Никаких сомнений, что ведомство, тесно связанное с секретарем СНБО Александром Турчиновым, сделало это сознательно. И вполне возможно, что противостояние вокруг е-декларирования выльется в серьезные кадровые изменения в стране.

Часть документов, подтверждающие обвинения в адрес Госспецсвязи, «Европейская правда» готова обнародовать. Об этом и другом подробнее – далее в статье.

Как врала Госспецсвязь

Круговорот выходных запустила новость пятничного вечера. Звучала она довольно обыденно и неинтересно – орган со сложным названием ГССЗЗИ (Государственная служба специальной связи и защиты информации, или Госспецсвязь) заявил о неготовности аппаратно-программного комплекса сбора и хранения электронных деклараций и отказался его аттестовать.

Но на самом деле такая сложная формулировка означает срыв процесса электронного декларирования.

Большой неожиданностью это не стало. О том, что электронное декларирование под угрозой срыва из-за проблем с аттестацией системы, знали все причастные. Ведь еще в начале августа ГССЗЗИ сорвала первые сроки и именно тогда конфликт стал публичным.

Действительно обидно, что приходится оперировать такими терминами как «ложь», «служебный подлог» или «преднамеренный срыв», но последние действия Госспецсвязи не оставляют сомнений – речь идет именно о лжи, сознательном срыве электронного декларирования и о фальсификации доказательств. К тому же, публичную фальсификацию – недавно ГССЗЗИ включился в борьбу в медийном пространстве – на официальной странице в Facebook.

Стоит проанализировать их главные тезисы. Предупреждаем: этот блок сложный и технический, но важный, ведь это – наглядная иллюстрация лжи со стороны госоргана. Дальше будет живее.

Ложь 1: Система е-деклараций готова на 60%, ее принять невозможно

Этот аргумент сейчас постоянно звучит от Госспецсвязи, повторяется в пресс-релизах и выступлениях.

«Разработано программное обеспечение в объеме только трех результатов из пяти, определенных договором. Это ориентировочно 60% предусмотренного объема работ, которые должны были завершиться в полном объеме еще 30 июня», — говорит ГССЗЗИ.

Как обычно в пропаганде, речь идет о полуправде.

Откровенной ложью является тезис о «60% предусмотренного объема». Еще в прошлом году планировалось, что система электронных деклараций будет запущена именно в нынешнем объеме, с тремя компонентами – заполнение деклараций, их защищенное хранение и публикация. Все, точка!

Второй этап – обработка и анализ деклараций – должен был подключиться позже.

«С самого начала техническое задание говорило о том, что программный комплекс создается поэтапно», — утверждает руководитель программы ПРООН Иван Пресняков (именно Программа развития ООН выделила Украине средства на создание системы е-деклараций).

Первый документ — акт приема-передачи комплекса (pdf, 4 страницы), в котором ПРООН показывает, что не имеет претензий к первой части.

Более того, Госспецсвязь прекрасно знала об этапности разработки. Нынешние заявления руководителя органа о том, что это стало для них сюрпризом, также являются ложью. Вашему вниманию – сканкопия заключения межведомственной группы, которая также показала готовность системы к эксплуатации (pdf, 17 страниц). В составе группы были представители ГССЗЗИ.

И, наконец, еще один важный момент, который мы не можем подтвердить сканом, но знаем из нескольких источников, что такой документ существует. 3 августа ДССЗЗИ утвердила техзадание на КСЗИ именно на первый этап, то есть на 3 из 5 компонентов, согласовав тем самым достаточность данного этапа. Это также означает, что в своих оценках эксперты службы должны были бы оставаться в рамках этого ТЗ. Однако в спецсвязи избрали другую тактику.

Упоминание же о 30 июня является полуправдой. Действительно, в начале процесса, когда ПРООН заказывала разработку программного обеспечения, завершение работ было предусмотрено на 30 июня. Но тогда были ожидания, что первый этап системы сертифицируют еще весной.

Ключевая причина того, что работа над вторым этапом затянулась – вообще детективная история.

Другие государственные органы не имеют права предоставлять НАПК доступ к своим базам (иначе будут санкции ГССЗЗИ) до тех пор, пока эта служба не аттестует комплекс НАПК. А теперь ГССЗЗИ говорит, что не даст аттестат до тех пор, пока комплекс не будет иметь доступа к базам других государственных органов.

Заколдованный круг…

Ложь 2. Но работы затянулись. А теперь Госспецсвязь заставляют за два дня провести аттестацию, на которую нужно два месяца.

Тезис про «два месяца» прозвучала от главы ГССЗЗИ Леонида Евдоченко на заседании НАПК только в субботу и крайне удивил присутствующих.

Евдоченко, видимо, не думал, что в прессу попадет документ, который он лично согласовал более месяца назад. 5 июля руководитель ГССЗЗИ направил в НАПК письмо, где говорится, что служба «согласовывает без замечаний график построения комплексной системы защиты информации». Согласно этому документу, сертификация должна состояться между 5 и 12 августа.

Так когда Евдоченко врал – месяц назад в официальном документе, или же сейчас, в официальных заявлениях? Надо определиться.

А дальше ГССЗЗИ дополнительно сократил себе время для анализа системы , чтобы дать себе повод для новых претензий о «нехватке времени». В начале августа (то есть в период цейтнота, а не раньше, когда оставалось вдоволь времени) в службе инициировали смену подрядчика, который должен был проводить экспертизу защищенности продукта. ГССЗЗИ заставила НАПК отказаться от услуг независимых экспертов и передать работу своему дочернему предприятию.

Это вызвало удивление и со стороны ПРООН, и со стороны Евросоюза, но шансы успеть до 15 августа еще оставались.

И в ДССЗЗИ на этом не остановились. Следующий шаг – воспользовавшись тем, что смена подрядчика заняла несколько дней на подписание документов, в службе отказались брать у разработчика для анализа техническую документацию до тех пор, пока бюрократический процесс не завершится. Вроде все правильно, но времени на анализ осталось совсем мало.

Есть и другие обвинения в затягивании процесса, не подтвержденные документально. В частности, члены НАЗК на открытом заседании сообщили, что пять (!) раз присылали к ГССЗЗИ флешку с кодом, но она «где-то терялась» в ведомстве. Евдоченко этот момент не стал отрицать. Но в пресс-релизе его ведомство не упустило возможности пожаловаться на нехватку времени для работы с системой.

Ложь 3: Разработчик не проводил независимое тестирование системы и не предоставил необходимых документов.

Этот миф – самый интересный.

Еще в субботу поводом для шуток стало официальное заявление ГССЗЗИ о том, что среди предоставленных документов «отсутствуют акты завершения опытной эксплуатации, завершения работ по созданию КССИ, протокол ее предварительных испытаний».

Компания разработчик в ответ просто опубликовала три фото – стопка папок, переданных в ГССЗЗИ, титульные листы двух папок, якобы «отсутствующих» в пакете документов.

В следующих сообщениях Госспецсвязь уже не жаловалась на отсутствие документов – видимо, нашла их.

Но еще интереснее тезис об отсутствии посторонних тестирований. Как выяснилось, в распоряжении ГССЗЗИ еще в июле были данные тестирования, проведенного PricewaterhouseCoopers и авторитетной тестувальної компании TestLab2.

Глава ГССЗЗИ лично видел и согласовывал положительные выводы этих компаний, ведь они легли в основу межведомственного заключения (при участии этой службы) о полной готовности комплекса. Мы уже давали линк на это 17-страничное заключение, а теперь вашему вниманию два фрагмента из него.

Не наша задача – выбирать авторитетные организации, но можем предположить, что для многих читателей слово ГССЗЗИ кажется менее авторитетным, чем слово, скажем, PricewaterhouseCoopers. И хотя здесь они анализировали различные аспекты работы системы, само по себе обвинение ГССЗЗИ об отсутствии независимых тестирований системы выдается абсурдным.

И, как уже стало привычным для этого органа – лживым.

Ложь 4: ГССЗЗИ нашла массу проблем в комплексной системе защиты комплекса.

После открытого заседания НАПК, где руководителя службы постоянно ловили на лжи, а также на незнании особенностей работы собственного ведомства, глава Госспецсвязи вряд ли будет стремиться к публичности, это было очевидно.

И такого развития событий не предполагал никто.

В субботу, после завершения скандального заседания НАПК, глава Госспецсвязи снова нарушил свое обещание.

Утром того дня, на открытом заседании, перед телекамерами, он сообщил, что вывод об отказе в аттестации готов (а как иначе, ведь вчера о нем было сообщено!) и гарантировал, что через час, в 12.30 документ будет в НАПК – только поедет в офис и привезет его.

Тогда представители НАПК предложили «для гарантии» увеличить срок до двух часов. Также Евдоченко публично пообещал, что специалисты Госспецсвязи лично приедут в помещение НАПК или в офиса компании разработчика ПО, чтобы вместе с программистами сесть за работу и оперативно исправить «10 критических уязвимостей программного кода системы.

Время шло. Ни в 13.30, ни в 15:00 вывод так и не приехал.

Похоже что готового документа на тот момент просто не было, и это – служебный подлог, уголовно наказуемое деяние.

Однако в ГССЗЗИ и после этого смогли поразить. Когда в 17 часов документ наконец привезли в НАПК, оказалось, что служба спецсвязи… запретила передавать его разработчикам, наложив на него гриф «для служебного пользования».

Зачем нужен гриф ограниченного доступа в заключении относительно документов, которые не имеют грифа – вопрос открытый. Два источника ЕП, причастные к работе Госспецсвязи, говорят что ГССЗЗИ всегда ставит гриф на свои заключения.

Но в этом случае возникает вопрос к Евдоченко, почему он публично давал противоположные обещания на заседании НАПК? Что это – вопиющая некомпетентность, или опять попытка затянуть процесс?

И главное даже не то, что ГССЗЗИ прячет свои выводы. Главное – их содержание.

Сначала над претензиями службы, на основании которых и отказали в аттестате, смеялись в НАПК, отмечая, что не могут сообщить все детали – ведь документ секретный. Поздно ночью текст наконец увидела компания-разработчик, «Миранда».

Выяснилось, что ГССЗЗИ вообще не проводила анализ программного кода. Громкие заявления Евдоченко о том, что «написанный код десятилетней давности, его пальцем можно проткнуть», похоже, снова оказались ложью.

«Во-первых, сам экспертный вывод ни содержит НИ ОДНОГО ЗАМЕЧАНИЯ к программному обеспечению реестра. Все письменные замечания касаются сопроводительной документации. Некоторые из них можно считать не лишенными смысла, получили бы мы этот вывод в 14.00 субботы, как и было обещано — документация уже была бы поправлена», — написал в четверть четвертого ночи директор «Миранды» Юрий Новиков

Но в ГССЗЗИ избрали тактику затягивания процесса.

И когда в воскресенье в 11 утра «Миранда» пришла в ГССЗЗИ, в службе их в течение часа не пускали внутрь, а впоследствии – пустили, но не дали на ознакомление документы.

«Кто виноват?» и «Что делать?»

Срыв сроков запуска электронного декларирования – дело несомненное. Успеть до утра или даже до ночи 15 августа невозможно чисто технически. Да и развитие событий воскресенья свидетельствует, что ГССЗЗИ твердо настроена не аттестовать систему.

Руководитель ГССЗЗИ Леонид Евдоченко – особа настолько скомпрометированная, что обсуждать его вину просто нет смысла. Дискутировать можно разве что о том, окажется ли этот чиновник за решеткой.

Ведь даже если не брать во внимание его устные заявления, которые сложно «подшить к делу», господин Евдоченко оставил слишком много документальных доказательств.

Его увольнение в настоящее время является, по сути, неизбежным. Как минимум, власть должна принести в жертву стрелочника. Тем более, что служба – если исходить из вопиющего непрофессионализма руководителя – ничего не потеряет. Премьер Гройсман уже объявил о начале служебного расследования относительно его работы на этой должности.

И дальнейшие действия будут индикатором.

Вряд ли кто-то верит, что Евдоченко решился на блокирование транша МВФ и на срыв «безвиза» исключительно по своей инициативе, без указания кого-то из первых лиц государства.

Поэтому если правительство просто уволит без громких последствий, это будет означать именно «вариант стрелочника».

События ближайших суток, и даже ближайших часов дадут возможность определить, кто блокирует е-декларирование «наверху»

Есть две опции. 1) Это действия Александра Турчинова и близких к нему людей и 2) За срывом стоит Турчинов вместе с Петром Порошенко.

У нас пока нет ответа, какой из этих вариантов является правильным.

На первый взгляд это может показаться странным, ведь формально – если исходить из законодательной базы – секретарь Совбеза здесь ни причем.

Однако все без исключения собеседники ЕП «из системы» утверждают, что Евдоченко является человеком Турчинова, а ГССЗЗИ по неофициальным распределениям полномочий входит в сферу влияния аппарата Совбеза.

45-летний генерал-майор спецсвязи Леонид Евдоченко работал в структурах СБУ до периода «раннего Януковича». Дальше был уволен, а весной 2014 года – восстановился в должности директора НИИ спецтехники и судебных экспертиз СБУ. В тот период СБУ была в сфере влияния и.о. президента Турчинова.

1 июля 2015 года Кабмин по представлению премьера Яценюка назначил Евдоченко руководителем ГССЗЗИ. В окружении Яценюка ЕП убеждают, что «здесь не было единоличного решения».

Интересная деталь: представлять нового руководителя в Госспецсвязи поехал именно Турчинов, хотя положение этой службы не содержит никаких упоминаний об отношениях Госспецсвязи и аппарата Совбеза (а кулуарное распределение сфер влияния в документах не прописано).

Юридически ГССЗЗИ подчиняется правительству.

Яценюк за время своего премьерства был политическим партнером Турчинова, а вот про Гройсмана этого не скажешь. Сейчас, по крайней мере публично, премьер больше похож на врага Евдоченко, а в начале острой стадии конфликта даже прямо угрожал ему отставкой.

Еще одним косвенным доказательством того, что Евдоченко является членом команды Турчинова, являются действия главы НАПК Натальи Корчак, которая также представляет в агентстве политическую группу Турчинова.

В большинстве случаев – и на заседаниях, и в публичных комментариях Корчак становится в защиту позиции ГССЗЗИ, даже если ее мнение противоречит аргументам профильных специалистов агентства.

Отдельного внимания заслуживает роль Порошенко.

Соцсети убеждены: за срывом е-деклараций стоит президент. У ЕП пока нет данных ни в подтверждение, ни для опровержения этой версии.

В субботу на скандальном заседании НАПК все представители группы Порошенко были, похоже, искренне возмущены тем, что происходит.

Ни один не поддержал Евдоченко. Министр финансов Александр Данилюк предупредил всех, что они близки к срыву транша МВФ. Член НАПК по «президентской квоте» Руслан Радецкий также был среди критиков ГССЗЗИ.

И точный ответ на вопрос о том, какова роль Порошенко мы узнаем скоро – когда НАЗК будет голосовать по том, как выходить из кризиса. Именно тогда придется выбирать один из двух путей – плохая и еще хуже.

И именно тогда выяснится, что имел в виду президент в своем обращении в четверг, когда требовал что-запустить электронное декларирование в ночь на понедельник.

Дальнейшие варианты

Сейчас действует решение решении НАПК о том, что программный комплекс электронного декларирования будет запущен в полночь 15 августа. Агентство приняло это решение, когда еще не было известно, что аттестация системы будет сорвана.

Сегодня это решение не отменят. На это просто не хватит голосов. Против выступает Наталья Корчак, да и другой член НАПК по «квоте Турчинова», Александр Скопич, не пойдет против «политики партии».

И если не будет найден какой-то альтернативный вариант – допустим, деактивация формы ведения деклараций, мы будем близки к катастрофе.

Эксперты уже предупреждали: запуск е-декларирования без сертификата будет означать, что агентство дает разрешение на безнаказанность высшим должностным лицам страны.

Пока все идет по худшему сценарию.

Наталья Корчак, которая еще вчера говорила, что не активирует форму заполнения деклараций, в воскресенье «неожиданно» изменила мнение на противоположное и теперь отстаивает худшую опцию: «запуск системы в режиме опытной эксплуатации».

Что это означает на деле и как это позволит чиновникам избежать уголовного наказания, лучше всего описал исполнительный директор Transparency International Ярослав Юрчишин.

«Поймают (чиновника) на горячем — апартаменты в Лондоне не задекларировал и не может объяснить откуда деньги на них. Сидел бы он года два, но он идет в суд и говорит: система в опытной эксплуатации, привлечь меня по закону не можете. Потому что у вас система не настоящая. И вносить еще раз я не буду, ибо закон я выполнил», — описывает эксперт схему избежания уголовного наказания.

Возможно, это и было целью тех, кто добился срыва полноценного запуска системы?

Обновлено: В воскресенье вечером глава НАПК Наталья Корчак подтвердила опасения ЕП и избрала худший для страны путь: окончательно отказалась от своих слов о запуске системы без пользовательского ввода персональных данных и одобрила запуск системы декларирования без аттестации системы защиты.

На пресс-конференции она признала: это означает невозможность привлечь чиновников к ответственности за ложь в декларациях. Мотивы запуска системы в таком виде госпожа Корчак не объяснила.

За решение о том, чтобы возложить ответственность за срыв декларирования на «Миранду», проголосовали трое членов НАЗК — все, назначенные по квотам Турчинова и Порошенко. Ни один из них также не возразил против запуска системы без сертификата.

PS: в пресс-службе Арсения Яценюка прокомментировали его позицию относительно конфликтного вопроса.

«Мы убеждены, что программа электронного декларирования должна быть запущена с 15 августа, как предусмотрено законом. Если соответствующее программное обеспечение имеет недостатки – необходимо публично продемонстрировать это и назвать сроки, в которые эти недостатки будут устранены.»

На уточняющий вопрос о том, поддерживает ли он запуск систему в «исследовательском режиме», который позволит избежать уголовной ответственности, пресс-служба Яценюка не ответила.

Европейская Правда