Госспецсвязи обнаружила системный хаос в налоговой
Недавно СМИ облетела скандальная новость о том, что из базы Государственной фискальной службы утрачено около 531 тыс. электронных документов, 26 тысяч данных в регистрационных карточках, 4,1 тыс. регистрационных карточек, 3,1 тыс. контрольных карточек и т.д.
Ранее мы пытались узнать, что же послужило реальной причиной сбоя в автоматизированной информационной системе "Управление документами" ГФС. Расследование показало, что, к сожалению, данные налогоплательщиков не защищены должным образом.
После публикации статьи мы получили письмо из Государственной службы спецсвязи и защиты информации (ГСССЗИ). Судя по данным сообщения, в ГФС не соблюдались даже элементарные нормативы по сохранности информации. Вопреки законодательству, налоговая не получила в Госспецсвязи государственную экспертизу в сфере ТЗИ комплексной системы защиты информации (КСЗИ).
В ГФС нам сообщили, что АИС «Управление документами» была разработана в 2010 году. Получается, что на протяжении более шести (!) лет в налоговой функционирует АИС без экспертизы Госспецсвязи.
«Управление документами» была приобретена в рамках контракта, заключенного между Государственной налоговой службой Украины и «Ситроникс информационные технологии Украина» (до ребрендинга "Квазар-Микро"), рассказали нам в ГФС. Стоимость закупки не раскрыли.
Примечательно, что АИС купили на кредитные деньги: в 2003 году Украина взяла $40 млн ссуды у Международного банка реконструкции и развития (МБРР) на реализацию Проекта «Модернизация налоговой службы Украины-1». На закупку товаров и технических услуг по кредиту было выделено $17,650 млн, на оплату услуг консультантов и услуг, связанных с подготовкой специалистов, включая услуги по проведению аудита, оплату услуг иностранных консалтинговых фирм и индивидуальных консультантов - $5,32 млн, оплату услуг местных консалтинговых фирм - $12 млн, учебные поездки - $480 тыс, рефинансирование предыдущих ссуд на подготовку проекта - $2 млн.
Экс-руководству ГНС каким-то образом удалось освоить кредитные деньги без соблюдения норм по защите информации. Наша страна обязалась погасить кредит МБРР до 2023 года - по сути, налогоплательщики должны расплатиться с процентами за работающую со сбоями "дырявую" АИС. Более того, помимо кредитных денег на реализацию Проекта «Модернизация налоговой службы Украины-1» было дополнительно выделено более $26 млн из общего фонда государственного бюджета Украины. Фактически страна спустила на ветер $66 млн.
Нынешний же глава ГФС Роман Насиров подписал Приказ №278 с требованием принять меры для устранения нарушений законодательства только после сбоя в АИС. А судя по "тонким" намеках в пресс-релизе ГФС о том, что одной из основных причин сбоя стало устарелое оборудование, - вскоре ведомство может объявить о новых тендерах на услуги в сфере информационных технологий. И вновь "банкет" - за счет налогоплательщиков. ГФС уже успела отметиться в проведении сомнительного тендера на сопровождение и техническую поддержку в 2016 году информационной системы «Налоговый блок» стоимостью 5,18 млн грн.
Также в Госспецсвязи нам сообщили, что ГФС проигнорировала «Порядок координации действий органов госвласти… по вопросам предотвращения, выявления и устранения несанкционированных действий в отношении государственных информационных ресурсов в … информационно-телекоммуникационных системах». Согласно документу, ГФС должна была проинформировать Госспецсвязи о сбое в течение семи рабочих дней.
Полный текст письма ГСССЗИ - здесь.
Однако почему-то руководство налоговой не пожелало привлечь специалистов Госспецсвязи к расследованию. Примечателен и тот факт, что внутренняя служебная проверка в ГФС была начата только спустя почти два месяца (!) после сбоя. Ранее опрошенные InternetUA эксперты предполагали, что к утрате электронных данных привела космическая халатность руководителей ГФС или спланированная заказная диверсия с целью зачистки некоторой информации. Выявленные факты, к сожалению, добавляют "галочки" в пользу второй версии.
Пролить свет на произошедшее могли бы данные результатов проверок состояния защищенности государственных информационных ресурсов в ГФС в 2014-2015 годах. Эти "ревизии", согласно Постановлению Кабмина №373 от 29.03.2006, регулярно должна была проводить Госспецсвязи. Однако в ведомстве почему-то не ответили на вопрос нашего издания, были ли проверки и каковы их результаты.
По словам пожелавшего остаться неназванным эксперта, регулярно общающегося с госорганами, в ГСССЗИ как и в других госструктурах осталось крайне мало толковых IT-специалистов: "Вероятно, проводить проверки попросту некому. Это лишь крошечная вершина "айсберга" комплексной проблемы утечки кадров из госорганов из-за крайне низких зарплат, демотивации сотрудников, исчерпания кредита доверия, выданного новой власти после Майдана. Решать проблему нужно крайне оперативно, иначе может "посыпаться" не только база ГФС, а важнейшие реестры, администрируемые другими госорганами".
В СБУ нам сообщили, что проинформировали Госспецсвязи о необходимости проведения проверки в ГФС. А в Генпрокуратуре рассказали о наличии двух уголовных производств по фактам незаконного вмешательства в электронную сеть. Детали пока не разглашаются.
Удастся ли контролирующим органам обязать руководство налоговой вспомнить об элементарных правилах защиты информации и побудить тратить госсредства по целевому назначению - покажет время.