Баг Prozorro: цену конкурента можно подсмотреть еще до аукциона
Специалисты пытаются оперативно залатать брешь. Воспользоваться ей сейчас может любой желающий.
Участникам торгов на площадках, работающих через систему Prozorro, стали поступать странные предложения. Некоторые дельцы обещали, что могут продать информацию о ценах, предложенных их конкурентами в ходе проведения государственных аукционов. Об этом редакции стало известно от собеседников на IT-рынке.
LIGA.net решила выяснить, откуда дельцы могут брать закрытые данные. Как оказалось, в ходе подготовки к проведению электронного аукциона действительно есть одна серьезная уязвимость, из-за которой данные могут попадать в руки к спекулянтам.
Эксперты компаний Автор (интегратор систем информационной безопасности) и ИТ-Интегратор (системный интегратор) выяснили, что уязвимым местом в процедуре подготовки и проведения некоторых типов тендеров стал порядок использования его участниками ЭЦП (электронной цифровой подписи).
Как это происходит
Участники торгов публикуют весь обязательный пакет документов на площадке, включая документ с ценовым предложением. “И 70-80% из них подписывают этот пакет документов электронной цифровой подписью, которая прикрепляется отдельным файлом”, — отмечают в компании Автор. Участники тендера, как правило, не обязаны подписывать свой пакет ЭЦП. Но большинство, по информации экспертов, автоматически делает это. В некоторых случаях заказчик, проводящий закупку, требует ЭЦП в обязательном порядке.
Для того, чтобы проверить действительность ЭЦП, на сайте Минюста есть специальная опция. Данные из файла с цифровой подписью можно загрузить в отдельный фрейм, который подтвердит, что подпись действительна. “Но есть один нюанс: под этим фреймом есть еще одна кнопка — "сохранить". Нажав ее, вы сохраняете данные о всем пакете документов, включая данные о ценовом предложении (тот файл, к которому вы не можете получить доступ до начала аукциона)”, — отмечают в ИТ-Интеграторе. После этого сохраненный документ можно открыть в обычном Блокноте и увидеть, сколько предлагает за ту или иную услугу конкурент.
Такую манипуляцию может провести любой желающий. В качестве эксперимента журналист выяснил, какая цена подана по одному из предложений на объявленном конкурсе Энергоатома, аукцион по которому запланирован на 4 сентября. Предприятие решило закупить панели датчиков. Ожидаемая стоимость в 34,384 млн грн. В тендере участвуют две компании — Logrus Komplexni Dodavky и Киевское центральное конструкторское бюро арматуростроения. Второй участник подписал пакет документов ЭЦП. И оказалось, что он предложил на 2 тысячи меньше ожидаемой стоимости.
Шаг 1. Найти файл sign.p7s с ЭЦП на сайте площадки или Prozorro
Шаг 2. Загрузить этот файл в окно на сайте Минюста и нажать "Сохранить"
Шаг 3. Открыть сохраненный файл в блокноте и поискать по ключевому слову "value", "currency" или "UAH"
Чем это чревато
Основатель компании Октава Киберзахист Александр Кардаков считает, что такие данные [о ценовых предложениях участников] дают явное конкурентное преимущество перед началом аукциона. “Ведь информированный участник может спланировать заранее стратегию торгов, поняв, например, что предложил самую высокую цену”, — уточняет он. Свое предложение при этом уже нельзя подкорректировать, так как квалификационный отбор на тот момент уже завершится.
“Такая проблема на самом деле есть. И мы ее взяли в работу”, — говорит генеральный директор ГП Прозорро Василий Задворный. По его словам, у команды Prozorro был ряд приоритетных задач. Да и не было специалистов, которые могли все пофиксить. не было. А теперь команда пытается закрыть эту брешь. Кардаков добавляет, что его спецы готовы оперативно помочь решить проблему.
“Нужно учитывать, что такой баг есть только на открытых европейских процедурах, когда есть преквалификация. И он НЕ ДАЕТ возможности жульничать”, — считает Задвроный. Ведь участник, который узнает цену своего конкурента, никак не сможет изменить свое предложение до аукциона. “Эффект будет, только если участников больше двух: только тогда есть интрига на аукционе: где, чья цена”, — подчеркивает он. Василий Задворный добавляет, что потенциально проблемных закупок на площадке все равно остается очень мало. В 2017 году таковых было около 0,9% от всех процедур.
Можно ли отменить тендер? Мнение юристов
Партнер юридической фирмы Астерс Юрий Котляров считает, что получение данных о цене предложения до его раскрытия теоретически может быть основанием для признания договора недействительным.
“Законодательством установлены как требования к защите информации, так и порядок действий в случае их возникновения. И их нарушение можно квалифицировать как нарушение законодательства в сфере публичных закупок”, — говорит юрист.
Но для того, чтобы признавать договора недействительными, такая уязвимость, во-первых, должна быть задокументирована, а во-вторых, придется доказывать причинно-следственную связь с определенной закупкой. Простого заявления о теоретической возможности получения конкурентного преимущества через несанкционированное подглядывание за предложенной ценой конкурента может и не хватить, считает юрист.
Оспорить результат тендера можно, нужно только доказать нарушение своего права, соглашается управляющий партнер ЮФ Evris Игорь Кравцов.
Его комментарий очень похож на мнение коллеги. «Самой по себе уязвимости недостаточно. Необходимо, чтобы было установлено наличие причинно-следственной связи между ошибкой в программе, ее использованием и ущербом для потенциального истца. Если эти условия будут выполнены, то можно рассчитывать на то, что суд примет аргументы», — отмечает юрист.
Источник: facenews.ua
Еще никто не комментировал данный материал.
Написать комментарий