Мнения

Врятувати систему. Олександр Царук - про перспективи е-декларування

12 октября 2016 | 18:53

Експерт з управління інтернетом Олександр Царук — про перспективи е-декларування

Від провалу системи е-декларування держслужбовців може врятувати лише її передача Державній фіскальній службі (ДФС).

Початок жовтня знову відзначився ще одними скандалами навколо системи е-декларування, яка спільними зусиллями громадськості, Національного агентства з питань запобігання корупції (НАЗК) та Держспецзв’язку було все ж таки запущено в роботу після фальстарту 15 серпня, коли всупереч очікуванням та заявам президента України систему не було атестовано через значні технологічні недоліки, пов’язані з системою захисту даних.

Першою краплею «дьогтю» була заява директора НАБУ Артема Ситника в інтерв'ю Громадському, де він вказав на відмінність форми декларації, затвердженої НАЗК, та доступної для заповнення декларантом. У цьому, на його думку, вбачається великий ризик для всього процесу е-декларування, оскільки саме затверджена і опублікована форма декларації може бути доказовим предметом злочину, що передбачено законодавством.

У разі, коли заповнена форма відрізняється від затвердженої в офіційних документах, вона автоматично втрачає свою доказовість і юридичну силу.

На думку Ситника, навіть відмінність у стовпчиках чи колонках є формальною причиною стверджувати, що це не та декларація, і відповідно обвинувачуваний може використати цей момент для спростування основного доказу в суді. Тобто, намагання поліпшити і доопрацювати «сиру» систему е-декларуванн, може вилитися врешті-решт в юридичну нікчемність самих декларацій.

Намагання поліпшити і доопрацювати «сиру» систему е-декларування може вилитися врешті-решт в юридичну нікчемність самих декларацій

Одночасно створення державного реєстру е-декларування виявилось дорогою забавкою. Причиною цього є низька ІТ-культура та освіченість юристів, які працювали із законопроектом, відсутність відкритого діалогу та консультацій з експертами з кібербезпеки та інформаційно-комунікаційних технологій.

Створення і функціонування окремого державного реєстру як цілісного програмно-апаратного комплексу з доступом до інших державних реєстрів та об'єктів критичної інфраструктури вимагає значних коштів. Адже відкритий для моніторингу в інтернеті реєстр є доступним для будь-яких кіберзагроз та хакерських атак, при цьому об'єктами може бути навіть не сам реєстр декларацій, а й інші інформаційні системи держави.

Подібні інформаційні системи з усіма компонентами захисту коштують не один мільйон доларів, а обслуговування вимагає залучення спеціалістів, яких просто не може найняти державна структура через жалюгідний рівень заробітних плат у державному секторі.

Тому не дивно, що голова НАЗК Наталія Корчак заявила, що відомство звернулося до Кабміну з проханням про додаткове виділення 27 млн грн. для закупівлі обладнання в 2016 році. Це зважаючи на те, що ще у липні було здійснено перерозподіл коштів обсягом 8 млн грн на такі цілі, що тепер дозволить агентству купити сервер та облаштувати мережу.

Даний запит був відразу сприйнятий прем'єр-міністром Володимиром Гройсманом, який дав доручення Мінфіну передбачити у змінах до держбюджету кошти для закупівлі обладнання.

Враховуючи, що реєстр е-декларування є відкритим для громадськості через мережу інтернет, дивним видається сам факт придбання обладнання більше ніж на мільйон доларів, оскільки за умови функціонування цієї системи в публічній «хмарі» цих коштів вистачило б не менше ніж на 10 років, з усіма необхідними системами захисту.

Cтворення державного реєстру е-декларування виявилось дорогою забавкою

Останнім ударом у дошкульне місце системи е-декларування була заява позафракційного народного депутата Остапа Єднака про стороннє втручання та фальсифікацію його електронної декларації, поданої ним у понеділок, 10 жовтня.

На доказ своїх слів він опублікував для аналізу скріншоти вихідного файлу поданої ним декларації та відомостей цієї декларації в електронному реєстрі доступних онлайн-даних, які були доступні наступного дня. За його словами, у вихідному файлі зазначено, що народний депутат є членом громадського об'єднання «Рада лісового сектора»; у той самий час в його декларації, доступній онлайн, ця інформація відсутня.

Якщо факт міфічного зникнення навіть такої другорядної інформації з декларації буде доведено, потрапляє під сумнів легітимність функціонування всієї системи е-декларування як з технологічної, так і юридичної точок зору.

Раніше я вже писав про проблеми із застосуванням електронного цифрового підпису суб'єктами декларування. За умови, коли персональний ключ електронного цифрового підпису (ЕЦП) не зберігається на спеціальному носії (смарт-карті або захищеній флешці - токені), він може бути викраденим.

Наприклад, комп’ютерними вірусами, якими може бути заражений комп’ютер депутата чи хакерськими програмами, спеціально інстальованими на неліцензійне програмне забезпечення, чи іншими способами, відомими спеціалістам з кібербезпеки.

Таким чином, деякі держслужбовці можуть заявити про те, що це не вони подавали декларацію, а та, яку розміщено в реєстрі, не є легітимною. ЕЦП, яким підписана декларація, не може бути прирівняно до власноручного підпису, оскільки всупереч закону про електронний цифровий підпис (ст. 3) процес подання декларації відбувався без застосування так званого «надійного засобу цифрового підпису».

Деякі держслужбовці можуть заявити про те, що це не вони подавали декларацію, а та, яку розміщено в реєстрі, не є легітимною

Варто відзначити, що в країні вже не перший рік функціонує система подання електронної звітності із застосуванням ЕЦП, при чому без гучних скандалів про факти злому, модифікації даних, як з реєстром НАЗК. Йдеться про систему подання електронної звітності ДФС України.

Для її функціонування держава витратила величезні кошти, було навіть створено центр сертифікації ключів, який видає безкоштовно ЕЦП для осіб, котрі подають декларації в електронному вигляді. Крім того, у ДФС є спеціалісти з аудиту звітності, інформаційних систем, систем захисту інформації з підтвердженою відповідністю, а належні програмно-апаратні комплекси вже давно сертифіковані Держспецзв’язком.

Отже, для чого було лише в 2016 році витрачати мільйон гривень грантових коштів для побудови «тестової» версії реєстру е-декларування, а з державного бюджету — додатково 35 млн грн. на придбання серверу та облаштування мережі, коли на рівні закону можна було просто прописати не створення нового, нікому не потрібного реєстру, а просто додаткової форми електронної звітності для такої окремої категорії платників податків, як державні службовці, у системі подання електронної звітності ДФС.

Це, у свою чергу, взагалі не вимагало б додаткових коштів, а 35 млн грн. на псевдоборотьбу з корупцією могли б бути витрачені на придбання комп’ютерів та книжок для школярів.

В такому разі, знаючи про можливості ДФС, сама НАЗК мала б вимагати від уряду внесення змін до закону, щоб перевести систему декларування на потужності ДФС, а не вимагати додаткових коштів на функціонування «дірявого» реєстру, зробленого нашвидкуруч спеціалістами не найвищого рівня.