Счетная палата Украины по результатам аудита ГП «Прозорро» обнаружила у государственного предприятия существенные недочеты в управлении основным имуществом госпредприятия – информационно-телекоммуникационной системой Prozorro.

Аудиторы выявили, что ИТС до сих пор находиться в опытной эксплуатации, не имеет аттестата соответствия КСЗИ, а имущественные права интеллектуальной собственности на ИТС «не полностью» принадлежат госпредприятию.

Об этом говорится в отчете о результатах аудита эффективности использования и распоряжения имуществом государственного предприятия "ПРОЗОРРО", что имеет финансовые последствия для государственного бюджета, передает InternetUA.

Чьи права на Prozorro?

По данным аудиторов, ОО "Трансперенси Интернешнл Украина" не передала в пользу предприятия права интеллектуальной собственности на объекты ИАС Prozorro (включенные в ИТС Prozorro), а лишь предоставила неисключительную лицензию и остается владельцем всех прав интеллектуальной собственности на эти объекты.

Кроме того, с учетом требований статьи 429 Гражданского кодекса Украины и при отсутствии соглашения между владельцами имущественных прав на ИТС (физическое лицо и Предприятие), которое определяет отношения между ними, имущественные права интеллектуальной собственности на ИТС также принадлежат Корнийчуку В. В. (сотруднику ГП «ПРОЗОРРО», занимавшемуся созданием двух модулей системы).

– Указанное свидетельствует, что ГП «ПРОЗОРРО» не является полноправным владельцем имущественных прав на все объекты, входящие в состав ИТС "Prozorro", а, следовательно, при создании ИТС "Prozorro" не было обеспечено надлежащее соблюдение государственных интересов в части эффективности функционирования системы электронных закупок, – говорится в отчете аудиторов.

Также аудиторы обнаружили, что сопроводительная печатная документация на систему (Комплект проектной документации, Комплект эксплуатационной документации и Инструкции по ролям), предусмотренная Техническим заданием на построение ИТС "Prozorro", не разработана и не утверждена.

Более того, на момент принятия ИТС "Prozorro" в опытную эксплуатацию система не имела функционала процедуры конкурентного диалога и рамочных соглашений:

– Лишь в 2018 году ГП "ПРОЗОРРО" заключило с коммерческой организацией ООО "Группа Квинта" (Исполнитель) и ОО "Трансперенси Интернешнл Украина" (Заказчик) договор по разработке программного продукта "заключение рамочного соглашения" для программного комплекса ИТС "Prozorro" общей стоимостью 1207,3 тыс. грн (оплата услуг осуществляется Заказчиком). По договору ГП "ПРОЗОРРО" передаются неисключительные имущественные права интеллектуальной собственности на созданный программный продукт, а исключительные имущественные права принадлежат ООО "Группа Квинта", – говорится в отчете.

Нескончаемая опытная эксплуатация

Также, отмечается в отчете, ИТС "Prozorro" более 2,5 лет находится в опытной эксплуатации, которая началась с 01.04.2016 и должна была завершиться 31.12.2016, однако неоднократно продлевалась (последний раз – до 01.03.2019).

По информации Предприятия, предоставленной аудиторам, продление опытной эксплуатации обусловлено, в частности, необходимостью продолжения работы по получению Аттестата соответствия на КСЗИ ИТС "Prozorro", доработки и принятия в эксплуатацию функционала процедуры рамочных соглашений.

– Фактически, ИТС "Prozorro" на время введения в опытную эксплуатацию не имела и по состоянию на 31.10.2018 не имеет КСЗИ с подтвержденным соответствием, – говорится в отчете. – Отсутствие КСЗИ с подтвержденным соответствием на ИТС "Prozorro" делает невозможным получение международной сертификации по ISO 27001, предусмотренной законом.

Кроме того, электронные площадки, которые работают с ИТС "Prozorro", также не имели на момент проверки подтвержденной КСЗИ, и поэтому проходят только предварительную авторизацию, в то время как Законом предварительная авторизация не предусмотрена. При этом основным источником дохода ГП "ПРОЗОРРО" является плата, взимаемая Предприятием с операторов электронных площадок, хотя должна взыматься только с авторизованного оператора электронной площадки.

Одной из причин несоответствия защиты информации в ИТС "Prozorro" Техническому заданию стало размещение до марта 2018 основной базы данных ИТС "Prozorro" и ее составных частей на серверах платформы Amazon Web Services (AWS) (находится за пределами Украины — в США).

Прямой договор между коммерческой компанией AWS и ГП "ПРОЗОРРО" по сервисному обслуживанию ИТС "Prozorro" не заключался, а администрирование системы осуществлялось ООО "Группа Квинта" по договорам аутсорсинга. ООО «Группа Квинта», в частности, должна была обеспечивать сохранность и целостность информации на серверах платформы Amazon Web Services.

В течение февраля-марта 2018 ИТС «Prozorro» мигрировала на защищенную площадку облачных сервисов ООО "ДЕ НОВО", у которого есть КСЗИ, подтвержденная аттестатом соответствия.

Проблемы с должностными инструкциями

Собственные администраторы ИТС "Prozorro" назначены приказом ГП "ПРОЗОРРО" от 03.04.2018 по обеспечению защиты в ИТС "Prozorro" после миграции с Amazon Web Services. При этом, предоставленные к аудиту инструкции администратора безопасности, системного администратора и администратора баз данных по состоянию на 31.10.2018 руководителем ГП "ПРОЗОРРО" не утверждены.

Более того, должностные инструкции специалистов, которым поручено выполнение функций системного администратора ИТС «Prozorro», не приведены в соответствие и не содержат соответствующих задач и обязанностей:

– Так, по информации ГП "ПРОЗОРРО", контроль за функциями администрирования ИТС "Prozorro" возложен на начальника отдела информационных технологий и телекоммуникаций, должностная инструкция которого не содержит задач по администрированию ИТС "Prozorro" или осуществления контроля за их выполнением, – говорят аудиторы. – В должностных инструкциях лиц, которым поручено выполнение задач по администрированию и осуществлению контроля за выполнением функций по администрированию, определены только базовые задачи по защите информации без обязательного отчета о состоянии защищенности информационных систем и соблюдения пользователями и персоналом автоматизированной системы установленного порядка и правил защиты информации. То есть на сегодня на предприятии не обеспечивается контроль за действиями компаний, привлеченных к администрированию ИТС "Prozorro".

Несмотря на назначение собственных администраторов, ГП "ПРОЗОРРО" также привлекает коммерческие структуры к администрированию ИТС "Prozorro". Так, в 2018 году к непосредственному администрированию, поддержке и разработки ИТС "Prozorro" привлекалось ООО «МК-Консалтинг», которое также предоставляло услуги по поддержке миграции ИТС "Prozorro" с Amazon Web Services.

– Отсутствие документального закрепления и определения за работниками ГП "ПРОЗОРРО" функций администрирования и контроля за администрированием ИТС, а также привлечение к процессу администрирования сторонних организаций, которые имеют доступ к базе данных публичных закупок, создает значительные риски, связанные с целостностью, доступностью и конфиденциальностью информации, обрабатываемой в ИТС "Prozorro", и риск возникновения угрозы информационной безопасности Украины в целом, – отмечают в Счетной палате Украины. – Существуют значительные риски уязвимости ИТС "Prozorro" к чрезвычайным событиям, кибератакам, несанкционированному вмешательству в работу системы, что ставит под сомнение достоверность и прозрачность процедур публичных закупок.

Зависимость от внешнего финансирования

Кроме того, аудиторы отмечают, что функционирование ИТС "Prozorro" значительно зависит от внешнего финансирования. Телекоммуникационные услуги, которые критически необходимы для работы ИТС "Prozorro", Предприятию (Получатель) по договору от первого декабря 2017 предоставляет ЧАО "Датагруп" (Оператор), а оплачивает их предоставление Фонд "Евразия" (Заказчик). По состоянию на 31.06.2018 уже получено услуг на 436,5 тыс. гривен.

Предоставление услуг, необходимых для построения резервной площадки, также обеспечивается трехсторонним договором между ООО "ГИГАКЛАУД" (Исполнитель), Фондом "Евразия" (Заказчик) и ГП "ПРОЗОРРО" (Получатель). Сумма договора – 3960,0 тыс. гривен.

– То есть в случае прекращения внешнего финансирования существуют риски необходимости привлечения финансирования из альтернативных источников, в т.ч. из государственного бюджета для покрытия расходов на указанные выше услуги, а также неуправляемости и недоступности ИТС "Prozorro" (для Уполномоченного органа, администратора, заказчиков и участников торгов) в случае задержки привлечения других источников финансирования, – отмечается в отчете.

С полным отчетом Счетной палаты Украины можно ознакомиться здесь.