Заява Держспецзв’язку стосовно надання Атестату відповідності КСЗІ Єдиного державного реєстру електронних декларацій
31 серпня спливає термін виконання Державною службою спеціального зв’язку та захисту інформації рішення Президента України та доручення Прем’єр-міністра України стосовно усунення недоліків, виявлених за результатами державної експертизи комплексної системи захисту інформації (КСЗІ) Єдиного державного реєстру декларацій осіб, уповноважених на виконання функцій держави або місцевого самоврядування (Реєстр) та забезпечення необхідних умов для його легітимного запуску. Усі недоліки, допущені компанією-розробником стосовно побудованої КСЗІ Реєстру, ДССЗЗІ усунуто. Наголошуємо, що ДССЗЗІ, діючи виключно у межах повноважень та відповідно до законів України, виконав усі зобов’язання стосовно створення умов для легітимного функціонування Реєстру з 1 вересня 2016 року.
Сподіваємося, що уповноважені структури в Україні та за її межами нададуть об’єктивну оцінку стосовно відповідальності усіх сторін, причетних до створення системи електронного декларування. І, безумовно, зроблять висновки щодо дій, бездіяльності і некомпетентності окремих суб’єктів цього процесу, щодо надання неякісного програмного забезпечення, що у свою чергу і призвело до зриву запуску Реєстру з 15 серпня.
ДССЗЗІ не очікує вибачень за усілякі брехливі звинувачення, що лунали на нашу адресу від професійних провокаторів та заангажованих ЗМІ. Штучне роздмухування проблем та безпідставне шельмування під гаслами боротьби із корупцією, намагання приховати власні прорахунки та неякісну роботу перекручуванням та підтасовкою фактів, а під час і відвертою брехнею – це реалії, у яких експерти Держспецзв’язку протягом останнього місяця працювали у цілодобовому режимі.
Ми дякуємо професійній команді експертів, всім співробітникам Держспецзв’язку, хто у цій надскладній і напруженій ситуації виявив справжню громадянську позицію, відповідальність, честь і вірність обов’язку.
Прес-служба Держспецзв’язку неодноразово висвітлювала події, що відбувалися до 15 серпня, включаючи процедури та результати державної експертизи КСЗІ Реєстру, деструктивну позицію розробника і його небажання, а скоріше, неспроможність усунути виявлені недоліки.
Наголошуємо і підтверджуємо правомірність рішення Експертної ради Держспецзв’язку від 12 серпня стосовно невідповідності КСЗІ Реєстру. Це рішення, прийняте за результатом об’єктивного аналізу виявлених державною експертизою суттєвих недоліків, ґрунтувалось на повазі та захисті конституційних прав наших громадян, безумовному забезпеченні безпеки інформації та персональних даних, що охороняються відповідно до вимог законів України.
Принципова позиція державних експертів не допустила компрометації системи електронного декларування, як важливої складової у боротьбі з корупцією в нашій країні. Надане розробником програмне забезпечення мало суттєві недоліки і прорахунки, які не дозволили б експлуатувати систему електронного декларування відповідно до ТЗ та захистити інформацію належним чином, зокрема через ризики та загрози, що пов’язані з проблемами: авторизації (автентифікації) декларантів, несанкціонованого зловмисного доступу до відомостей декларантів при їх подачі через незахищені персональні комп’ютери, уразливостей відомостей Реєстру через можливості прямого доступу до баз даних з браузерів користувачів, можливостей несанкціонованого внесення в систему сторонніх файлів, реалізації не задокументованих функцій, пов’язаних із використанням зовнішніх сервісів, ряду інших уразливостей та системних недоліків, які стали загальновідомими для фахівців ІТ-галузі за лічені дні роботи Реєстру.
Підкреслюємо, що до 23 серпня розробником не були усунуті виявлені за результатами державної експертизи недоліки, а тому співробітництво з ТОВ «Міранда» припинено. Робота над створенням КСЗІ Реєстру також виявила принципові проблеми стосовно технологічного обладнання Реєстру. Зокрема, фактично в наявності була лише третина задекларованого обладнання. Як приклад, один із мережевих маршрутизаторів був непрацюючий, а на другому, який мав забезпечувати мережевий захист даних Реєстру, закінчилася ліцензія.
На сьогодні усі недоліки, виявлені за результатами державної експертизи, та додатково встановлені під час роботи над програмним забезпеченням та документацією КСЗІ Реєстру виправлено фахівцями Держспецзв’язку. Так, внесено зміни до Технічного завдання на створення КСЗІ Реєстру в частині виключення можливості автентифікації користувачів засобами BankID. Такі зміни призвели до необхідності доопрацювання коду програми і фахівці розуміють обсяг робіт, пов’язаний із цим.
Також скориговано інтерфейси Реєстру із збереженням їх вже відомого для користувачів зовнішнього вигляду, оскільки ряд навчань із заповнення електронних декларацій вже проведено. Для забезпечення безпеки функціонування Реєстру Держспецзв’язку наразі змушений застосовувати власне обладнання мережевого захисту. Для підтвердження об’єктивності та неупередженості висновків про недоліки розробленого програмного забезпечення, їх усунення та якості внесених змін ми ініціювали створення незалежної експертної групи у складі авторитетних представників загальновідомих у світі організацій ІТ-галузі. Впевнені, що висновки цієї незалежної експертної групи дозволять суспільству переконатися у правильності прийнятого НАЗК рішення про відсторонення від даного проекту ТОВ «Міранда», як ненадійного підрядника. Інформуємо, що відповідно до укладеної 25 серпня додаткової угоди між НАЗК та Державним центром кіберзахисту, проведено необхідні дослідження, тестування системи та надано позитивний експертний висновок про відповідність КСЗІ Реєстру встановленим вимогам в обсязі, що забезпечує можливість подання, збереження та оприлюднення декларацій у захищеному режимі.
Експертною радою Держспецзв’язку 31.08.2016 прийнято рішення про відповідність створеної КСЗІ Реєстру встановленим вимогам та видачу НАЗК Атестату відповідності КСЗІ Реєстру. Водночас треба зазначити, що робота над створенням системи електронного декларування не завершена і потребує розроблення і впровадження засобів інтеграції із зовнішніми ІТ-системами, державними реєстрами і базами даних. На наше переконання це має стати пріоритетним завданням для НАЗК. У свою чергу Держспецзв’язку готовий долучитися до виконання цього важливого державного завдання. Атестат відповідності на КСЗІ Реєстру у названому обсязі функцій сьогодні буде передано до НАЗК, що дозволить здійснити легітимний запуск системи електронного декларування відповідно до вимог законодавства.
Прес-служба Держспецзв’язку