З наступного року усі електронні майданчики, що здійснюють держзакупівлі, мають відмовитись від співпраці з всесвітньо відомими дата-центрами, заплатити Державній службі спеціального зв'язку та захисту інформації України до 1 млн грн та, замість інформаційної безпеки, отримати "папірець". 

15 жовтня віце-прем'єрміністр — міністр цифрової трансформації України Михайло Федоров написав у Facebook про закриття "годівниці" під назвою Державна служба спеціального зв'язку та захисту інформації України (так званий Держспецзв'язок/ДССЗЗІ). Пост віце-прем’єра набрав дуже багато реакцій. Наступного дня відбулося представлення нового очільника ДССЗЗІ Валентина Петрова.

Головний сигнал, який дав Федоров чиновникам і ринку: ДССЗЗІ більше не "кошмаритиме" бізнес. Він також попросив поділитися історіями тих, хто стикався з цим органом, а найяскравіші – зачитав на представленні нового керівника ДССЗЗІ. Ми також вирішили відгукнутися на заклик пана Михайла.

А саме - звернути увагу на вимогу запровадження Комплексної системи захисту інформації (КСЗІ), що передбачена постановою КМУ №166 від 24 лютого 2016 року. Відповідно до цієї постанови, у лютому 2019 року ДП "Прозорро" отримало атестат відповідності КСЗІ свого веб-порталу. Тепер, за цією ж Постановою у лютому 2020 року такі ж атестати повинні отримати всі електронні майданчики. Забігаючи наперед, зазначимо, що цими вимогами держава піклується далеко не про захист інформації. Ниже – чотири причини, чому.

Електронні майданчики, які інвестували десятки тисяч доларів на співпрацю з потужними світовими дата-центрами, тепер мають відмовитися від цієї співпраці на користь ДССЗЗІ.

Право держави вимагати атестат КСЗІ від адміністратора (ДП "Прозорро") і операторів (електронних майданчиків, де відбуваються держзакупівлі) має бути закладено не на рівні Постанови, а Закону. Закон такої вимоги не містить.

Не містила обов’язковості атестату КСЗІ і Постанова КМУ у її первісній редакції, у чому можна переконатися на сайті Кабінету міністрів. А саме, п. 10 не передбачав обов’язку оператора здійснювати КСЗІ, а лише декларував таке право. Виходячи з права самостійно вирішувати питання комплексної безпеки інформації, майданчики здебільшого інвестували у співпрацю з потужними світовими дата-центрами, які мали всі відповідні сертифікати і гарантували (реальною безперебійною роботою, а не папірцями) безпеку даних. Незаконна, на наш погляд, вимога, з’явилася згодом саме щоб "обілечувати" майданчики.

Потрібно зазначити, що в реальності саме система Держспецзв'язку нав'язала ідею, що КСЗІ повинен отримати не лише Адміністратор електронної системи – ДП "Прозорро", а й усі підключені майданчики.  Мета схеми зрозуміла: всі підключені майданчики – це потенційні клієнти, які викладуть зі своїх кишень значну суму коштів на користь "схеми КСЗІ".

Державні стандарти з захисту інформації, що покладені в основу створення КСЗІ, затверджені в 1997-98 роках, не витримують жодної  критики та не відповідають об’єктивній реальності сьогодення. 

Ви хоч раз їздили на Tesla Model S? Чи вже володієте таким авто? А тепер уявіть, що у 2019 році на українські дороги повернулася ДАІ, і на найближчому пості у вас забирають Tesla Model S на штафмайданчик, і змушують вас пересісти на іржаву Таврію від ЗАЗ приблизно 1997 року випуску, обґрунтовуючи дії тільки тим, що Tesla не відповідає державним стандартам безпеки, що були затверджені у 90-ті.

Саме у таку ситуацію потрапили майданчики, яких, після користування, наприклад,  Amazon, змушують запроваджувати КСЗІ, розроблений у далеких 1990-х.

Але повернемося до конкретики. Чи дійсно КСЗІ, що базуються на технологіях і нормативній базі кінця ХХ-го століття, здатна вирішити проблеми та виклики в галузі інформаційної безпеки сьогодення? Складається враження, що Держспецзвязок – це орган, який залишився як пережиток 90-тих, та має піти в історію назавжди, принаймні в тому вигляді в якому від є зараз. 

Саме тому, багато компаній (електронних майданчиків), що йдуть в ногу з часом, використовують системи хмарних обчислень AWS (і не тільки), що мають європейські сертифікати з безпеки та захисту інформації, керуються виключно вимогами чинного законодавства, здоровим глуздом, не вбачають підстав для впровадження КСЗІ і розцінюють цю вимогу, виключно, як один із способів, що обмежує, спотворює конкуренцію.

КСЗІ – це не про захист інформації, а про купу нікому не потрібних паперів за сотні тисяч.

Орієнтовний бюджет на отримання атестату КСЗІ для майданчика з урахуванням усіх накладних витрат сягає від 500 000 до 800 000 грн. Це без урахування трудових витрат компанії. З цієї суми біля 300 000 грн піде на закупівлю ліцензій на необхідне ПО (у заздалегідь визначених компаній).

Звідки так багато? Пояснення просте: при побудові комплексної системи інформації  фірми повинні використовуватися компоненти, програми, що мають атестат відповідності КСЗІ. Щоб отримати КСЗІ, їм потрібно було "оплатити білет", тому використання таких програм в десятки разів дорожче, ніж використання аналогічних (в рази кращих програм, сервісів). 200-300 тис. – оплата послуг компанії, що має ліцензію на впровадження КСЗІ, ще 200-300 тис (кому як пощастить) – на отримання в Держспецзв'язку атестату відповідності.  

Що потрібно буде зробити?

-  Змінити дата центр на "Деново" або "Парковий", відмовившись від сучасних світових лідерів.
-  Погодити технічне завдання на впровадження КСЗІ з ДП "Прозорро".
-  Впровадити КСЗІ.
-  Отримати атестат відповідності.

Весь процес займе від 6 до 8 місяців. Заради чого? Щоб пересісти з Tesla на Таврію і регулярно платити "ДАІвцям"?

Головна проблема – нормативка не відповідає на питання: як же захистити інформацію? Вона лише описує, як описати папірці для КСЗІ.

Проте, судячи з тексту чинної редакції Постанови № 166, Кабінет Міністрів України разом з Держспецзв’язок досі вважають, що дотримання європейських стандартів з безпеки обробки та захисту інформації є ніщо, в порівняні з побудовою КСЗІ. 

Хоча за роки існування системи Prozorro саме робота зі світовими дата-центрами і користування сучасними хмарними сервісами гарантували безперебійну роботу майданчиків і захищеність інформації. В той час як примусовий перехід на українські "потужності" і КСЗІ викликає у майданчиків обґрунтоване незадоволення через технічну недосконалість і відсутність реальних гарантій захисту даних. 

Водночас, вихід із цієї ситуації є:

1. Терміново переглянути підходи до забезпечення захисту інформації, вимог до побудови КСЗІ та отримання відповідного атестату;

2. Внести зміни в нормативну документацію з метою унеможливити відключення/зупинки функціонування організацій, які не отримали атестат КСЗІ відповідно до вимог, що дійсні на сьогодні;

3. Як мінімум, відтермінувати отримання атестату електронними майданчиками ДП "Прозорро" і за цей час кардинально змінити підходи до КСЗІ.

Матеріал написано у співавторстві з директором асоціації "Біржові та електронні майданчики" Олегом Падалко

Републікація повної версії матеріалу заборонена (без письмового дозволу редакції)

Хотите стать колумнистом LIGA.net - пишите нам на почту. Но сначала, пожалуйста, ознакомьтесь с нашими требованиями к колонкам.

Статьи, публикуемые в разделе "Мнения", отражают точку зрения автора и могут не совпадать с позицией редакции LIGA.net
prozorroгосзакупкиГосспецсвязи