З чого все почалося?
Для тих, хто не слідкував за розвитком подій, варто наголосити, що спроба старту вищезгаданого е-декларування робиться не вперше. Так, два тижні тому, 15.08.16, після відкритого тестового запуску сайту portal.nazk.gov.ua експертне середовище ІТ-фахівців виявило чисельні нарікання на якість побудови системи, попри те, що громадська антикорупційна спільнота до того анонсувала 100% готовність і надійність програмного продукту. Наслідком фальстарту стало критичне посилення тиску на українську владу з боку громадськості та європейського політикуму на межі міжнародного скандалу, і зрештою – епічне перенесення запуску е-декларування на день, коли першокласники йдуть до школи. З тією різницею, що наш "першокласник" вдруге на місяць складає той самий вступний іспит…
Відмотуючи у хронологічному порядку всі події стосовно впровадження е-декларування, у мене як дослідника, стали виникати запитання: що ж дійсно відбулося, хто за це відповідає і як бути далі? Інформація, яку вдалося зібрати, не мала б ніякої цінності, якби не консультативна допомога ІТ-експертів, котрі розповіли, як насправді має проходити процес впровадження програмних продуктів, від А до Я. Порівнявши промислові стандарти з тим, що зроблено в цій історії, я вирішив зробити підсумкову публікацію, а також підвести попередні висновки.
Отже, повернемося до самого початку.
Ідея електронного урядування виникла в 2014. Того ж року, в жовтні, внаслідок прийняття Верховною Радою пакету антикорупційних законів, повинні були утворитися нові державні органи: Національне антикорупційне бюро України (НАБУ) та Національне агентство з питань запобігання корупції (НАЗК). Закон України «Про запобігання корупції», в статті 47 визначив способи обліку та оприлюднення декларацій державних службовців. А саме, Законом визначено, що подані через сайт НАЗК декларації включаються до Єдиного державного реєстру, який має контролювати Національне агентство.
Варто зазначити, що з цього моменту й розпочинаються різні тлумачення, а місцями й – маніпулювання суспільною думкою. Зверніть увагу: в тексті закону не існує жодного посилання на "систему електронного декларування".
Старший партнер адвокатської компанії "Кравець і партнери", Ростислав Кравець, підтверджує мій попередній висновок: "Правильніше було б говорити не про електронне декларування, а про централізацію подання декларацій та розміщенні їх в електронній формі. Це викладено в статтях 45 та 47 Закону.
Ст. 45. п1: Особи, зазначені у пункті 1, підпункті "а" пункту 2 частини першої статті 3 цього Закону, зобов'язані щорічно до 1 квітня подавати шляхом заповнення на офіційному веб-сайті Національного агентства декларацію особи, уповноваженої на виконання функцій держави або місцевого самоврядування (далі - декларація), за минулий рік за формою, що визначається Національним агентством… Ст. 47. п1: Доступ до Єдиного державного реєстру декларацій осіб, уповноважених на виконання функцій держави або місцевого самоврядування, на офіційному веб-сайті Національного агентства надається шляхом можливості перегляду, копіювання та роздруковування інформації, а також у вигляді набору даних (електронного документа), організованого у форматі, що дозволяє його автоматизоване оброблення електронними засобами (машинозчитування) з метою повторного використання."
Тобто, Закон, як бачимо, напряму не визначає ані форми подання, ані назви способу введення декларованих даних, ані моделі обліку та обробки декларацій.
Сюрпризи, приховані в Технічному завданні на е-декларування
То ж звідки взялася вимога Євросоюзу до автоматизованої захищеної системи електронних декларацій, якщо ми діємо у рамках українського законодавства?
Відповідь на це запитання можна знайти на сайті Програми Розвитку ООН (ПРООН) в технічному завданні на розробку цієї системи.
Як бачимо, ПРООН обґрунтовує доцільність відмови від паперових носіїв тим, що це буде ефективніше. І тут нема з чим сперечатися. Та неправдива інформація про те, що Закон зобов'язує створити саме "систему електронного декларування" вже викликає сумніви принаймні щодо компетентності розробників ТЗ. Саме тому і виникло питання: хто ж опрацьовував ТЗ на систему і які ще сюрпризи в ньому приховані?
Опитування фахівців ІТ галузі та пошук у відкритих джерелах не дали жодного результату. Хто конкретно розробляв технічне завдання державного рівня, які експертизи воно пройшло, які висновки по якості документу, достеменно не відомо. Єдина згадка про розробника ТЗ зустрічається у статті сайту ain.ua під назвою "ПР ООН ищет IT-компанию, которая создаст систему онлайн-деклараций для всех украинских чиновников". В матеріалі згадується Дмитро Чаплінський як технічний спеціаліст, котрий брав участь у створенні ТЗ під егідою Всесвітнього Банку. Подальший пошук інформації про рівень компетенції Дмитра та його портфоліо проектів вивів на проект Дениса Бігуса "Канцелярська сотня", де він вперше і позиціонувався в публічній площині. Примітно, що в ІТ-середовищі про нього ніхто з опитаних "мастодонтів" вітчизняного ринку не чув, хоча він отримав статус радника Світового банку і увійшов у міжвідомчу групу з впровадження Єдиного державного реєстру, котра супроводжує проект е-декларування. Дмитро Чаплінський має свій персональний блог на bihus.info. В його описовій частині наводиться чи то креативна довідкова інформація про автора, чи зашифроване послання інопланетянам, цитую: "блаблабла пітон блаблабла реєстр блаблабла 600 гривень".
Подальший пошук інформації про активність і компетенції радника Світового банку до 2015 року виводить на факт, що він мав на фейсбуці інші ім'я та прізвище, а саме – Анатолій Черненко. Аби переконатися в цьому, можна перейти за лінком.
Зазнавши повне фіаско в справі пошуку розробників ТЗ, беруся аналізувати його зміст. Для цього мені знадобляться досвідчені фахівці з програмування та інформаційної безпеки. Звертаюся до них із запитаннями про якість постановки задачі.
"Насамперед зверніть увагу на наявність у ТЗ конкретних вимог до функцій захисту (послуг безпеки) та до гарантій. А саме, в завданні мають бути описані критерії конфіденційності, цілісності, доступності, у відповідності до вимог НОРМАТИВНИХ ДОКУМЕНТІВ СИСТЕМИ ТЕХНІЧНОГО ЗАХИСТУ ІНФОРМАЦІЇ, а також профіль захищеності майбутньої системи. Якщо цього в ТЗ немає, але написано загальними фразами, що система має бути захищена, це перша ознака низької якості документу. І водночас – серйозний привід турбуватися про подальшу долю проекту," – радить директор по захисту інформації компанії Global Intecraty Дмитро Дніпровський.
Детальне дослідження мною ТЗ на предмет вищевказаних критеріїв підтвердило мої сумніви у належній якості документу ПРООН. Посилання на державні стандарти дійсно відсутнє. Тим не менше, у якості вимог Технічного Завдання щодо кібербезпеки знайдені наступні рядки: "Постачальник повинен перевірити систему електронного декларування на захищеність за списком вразливостей OWASP Top 10 vulnerabilities 2013." Що ж розповість гугл про загадковий OWASP, який ПРООН бере за стандарт? Намагаючись осилити нову, незнану досі термінологію, знаходжу довідку з Вікіпедії: "Open Web Application Security Project (OWASP) – відкритий проект забезпечення безпеки веб-додатків. Фонд OWASP це благодійна організація, що надає підтримку і здійснює управління проектами та інфраструктурою OWASP."
Олексій Шевело, SoftServe Senior Python Developer, висловлює свою думку стосовно вимог ПРООН: "OWASP, на який посилається ПРООН – це відкритий проект забезпечення безпеки веб-додатків, якщо перекладати дослівно. По суті – співтовариство людей, які вирішили акумулювати і видавати загальні рекомендації стосовно веб-додатків. Те, що видає OWASP, може бути частиною вимог, але ніяк не підмінювати собою внутрішнє законодавство країни-користувача системи. Це обов'язковий, але зовсім не достатній рівень захисту для таких систем. В ТЗ дійсно є посилання на топ-десятку вразливостей від "OWASP". Але перші ж дні тестування системи виявили порушення з боку Міранди (розробника програми декларування) саме цих рекомендацій. OWASP має 10 позицій, позначених А1-А10. А в кожному з цих пунктів є підпункти. Так в A2 (Broken Authentication and Session Management) порушені підпункти 5 та 6, в A5 (Security Misconfiguration) – підпункти 2, 3, 4. A10 по суті весь порушено! До речі, я вже описував про це в коментарях на фейсбуці досить детально."
Юрій Сивицький, член наглядової ради Inteсracy Group, який понад 20 років реалізує складні ІТ-проекти в Україні та Європі, підтверджує вищенаведене та доповнює: "Окрім того, що уповноважені представники держави (майбутнього користувача системи) зобов'язані брати участь у розробці ТЗ, всі вимоги мають посилатися на українські стандарти, а не лише на рейтинги таких спільнот, як OWASP. До того ж, в складі групи розробників ТЗ має бути обов'язково присутній представник Держспецзв'язку, адже саме цій організації приймати роботи, порівнюючи кінцевий результат з завданням. Поясню на простому прикладі. Коли вам дарують авто, то ви, як користувач (кінцевий бенефіціар), відповідаєте за технічний стан власної машини на дорозі. Тож вам, а не дарувальнику доведеться відповідати у суді в разі ДТП. Ось чому до складу робочої групи при конструюванні ТЗ обов'язково має входити й профільний юрист від держави. А в нашій ситуації державу змушують прийняти "троянського коня, не дивлячись йому у зуби". Це безвідповідально і непрофесійно, ба більше – потенційно загрожує державі чисельними позовами від користувачів, які можуть постраждати внаслідок некоректної роботи системи."
Хто і як переміг на тендері?
Як відомо з відкритих джерел, ПРООН впроваджує спільно з урядом Данії проект «Прозорість та доброчесність публічного сектору в Україні», з бюджетом 3 254 973 доларів США. Частина грошей, які пожертвувала Данія на реформи в Україні, вже використана на розробку системи електронного врядування та супровідні заходи (йдеться про 97 тис. долл). З цього моменту прозорість процедур і мета використання датських коштів завершується та розпочинається багатосерійна мильна опера під назвою "Як приховати публічну інформацію"…
Прикладів достатньо. Взяти хоча би тендер на розробку системи е-декларування. Доти ПРООН тримала ім'я переможця в секреті, аж допоки публічний скандал стосовно зриву першого запуска системи не виплеснувся в соціальні мережі. Перші згадки про ТОВ "Міранда" – розробника програми – спливли саме в публічних заявах Державної служби спецзв'язку, на котру були покладені функції атестації системи. Так, 12 серпня 2016 року адміністрація Держспецзв'язку оприлюднила офіційний звіт про результати державної експертизи КСЗІ. Згідно висновків державної установи на атестацію передано розроблене Мірандою програмне забезпечення системи електронного декларування України у обсязі тільки трьох результатів з п'яти, визначених договором (це орієнтовно 60% передбаченого обсягу робіт, які мали завершитися у повному обсязі ще 30 червня 2016 року).
В той же час представництво Євросоюзу розповсюдило політичну заяву, в якій звинуватило державу Україна в зриві проекту: "Твердження про те, що невдала видача технічного сертифікату вчасно спричинена технічними недоліками, є протилежним до публічних заяв, зроблених ПРООН та іншими надійними експертами. Вони чітко підкреслюють: система повністю відповідає міжнародним стандартам та вже зараз може бути використана для збору та публікації декларацій в абсолютно законний спосіб."
Однак, попри чисельні прохання озвучити імена "надійних експертів", з боку ПРООН та представництва Євросоюзу досі триває мовчання. Де-факто, прізвища фахівців, на яких посилаються європейські установи, засекречені так само, як і звіт ПРООНівскі підсумки тендеру.
Повертаючись до компанії-переможця тендеру ПРООН, варто відзначити, що ТОВ "Міранда" набула впізнання лише внаслідок вищезгаданого міжнародного скандалу. Про інші досягнення "Міранди" пошуковик Google майже нічого не знає, окрім того, що ця компанія програла тендер на оснащення кабінету математики в Мукачевській РДА, має доісторичний примітивний сайт http://miranda.net.ua рівня початкової шкільної підготовки. Окремої уваги заслуговує приховування низки розділів корпоративного сайту перед тендером ПРООН та штучне збільшення історії компанії на 8 років. Як бачимо, прихований розділ "про компанію" посилається на 2001-й рік заснування (в нього можна потрапити лише через цей лінк), а відкритий для публіки та тендерної комісії ПРООН – на 1993.
Також містер GOOGLE допоміг виявити зв'язок між відомим вже розробником ТЗ на е-декларування Дмитром Чаплінським та майбутнім переможцем тендеру – ТОВ "Міранда". Річ в тім, що ці імена спливають у звіті від 1 липня 2015 року про діяльність спільних робочих груп з підготовки Закону України "Про здійснення державних закупівель". За логікою подій виходить, що консультант (за сумісництвом розробник ТЗ) проекту е-декларування і переможець тісно співпрацювали до тендеру. Як говорять в Одесі, шах і мат!
Після оприлюднення мною в соцмережі цих суперечностей, хвиля резонансу докотилася й до ТОВ "Айкюжн" – одного з учасників того самого тендеру. Надіслані від цієї фірми документи про підставу її зняття тендерною комісією ПРООН з перегонів змусять переглянути весь професійний досвід навіть найдосвідченіших ІТ-фахівців. Згідно офіційного листа ПРООН, "Айкюжн" вибула зі змагання по рекомендації Майкрософт через ураження вірусом архіву з тендерною пропозицією.
Чи варто згадувати, що скарга в ПРООН щодо проведення процедури закупівлі ЗНП UKR/2015/097 від 9/29/2015 лишилася без відповіді? Чи потрібно офіційно звертатися в Microsoft, аби пересвідчитися у абсурдності ситуації? Чи доцільно комплексно перевірити український підрозділ ПРООН на предмет непрозорості, ангажованості, порушення міжнародних стандартів? Це — риторичні питання.
Що відбулося та як бути далі?
Викладені факти без зайвих сумнівів вказують на наявність серйозних проблем, що приховані в корені процесів впровадження ІТ-продуктів. І робити глобальні висновки лише за матеріалами цієї сумної історії було би передчасно.
Власне, про масштаби українського ІТ-лиха і причини системних негативних тенденцій розповідає Владислав Бовсуновський, співголова PR-комітету асоціації IT Ukraine, в публікації "Зрив е-декларування: хто винуватий та що робити?" на Цензор.нет. Автор виділяє системні проблеми. Серед них: підміна технологічних вимог політичною доцільністю, тотальна непрозорість закупівель з боку грантових організацій, які використовують у схемах держзакупівель в обхід тендерів, згубне нехтування неурядовими організаціями сертифікації з боку Держспецзв'язку, низька якість технічних завдань на розробку софту. Серед всіх виявлених проблем Владислав надає найбільшу вагу саме непрозорості, наводячи приклади з вітчизняної практики. Співголова PR-комітету IT Ukraine обґрунтовує необхідність співпраці з Держзв'язком від початку створення ТЗ, завершуючи стадіями впровадження системи.
В. Бовсуновський обурюється тим, що камені внаслідок зриву е-декларування несправедливо полетіли в Україну. "Гроші виділялися урядом Данії, тендер проводила організація ПРООН. Учасники тендеру засекречені, процес проходження тендеру засекречений, імена експертів, які сказали, що система повністю готова до експлуатації, також зберігаються в таємниці. Тендера (і навіть конкурсу) держструктури не проводили, техзавдання з боку держави не складалося. А відповідальним назвали саме керівництво країни, хоча воно не брало ніякої участі в процесі. Якщо через цю причину нам відмовлять у безвізовому режимі, то, виходить, що постраждають всі українці, хоча до процесу були причетні лише міжнародні організації та їх афілійовані особи, а також реципієнти грантів – громадські організації," – констатує Владислав.
Автор підводить підсумки, згадуючи сумнозвісне дискредитоване грантовими організаціями е-декларування: "На даному етапі потрібно закінчувати всі процедури, оголосивши на публіку (і міжнародній спільноті), що система працює і введена в експлуатацію. Й відразу ж почати нову розробку, вибравши підрядника на тендер, який потрібно провести дуже оперативно. До кінця року, якщо підрядник і всі задіяні держструктури будуть працювати синхронно, розробку можна завершити, а декларації, які будуть подані в системі, розробленої Мірандою, просто перенести в нову, захищену систему. За документами (і щоб було менше питань) це можна оформити як модернізацію існуючої. А тепер – про глобальне. Практику розробки і впровадження державних інформаційних систем за гранти пора припиняти. Раз і назавжди. Замовником і бенефіціаром може бути тільки держава і ніхто інший. А вибір виконавця повинен відбуватися тільки через передбачені законодавством тендерні процедури, в умовах яких закладено умова захисту інформації згідно з чинним законодавством."
Напевно, ця повчальна історія увійде у підручники менеджменту, збагативши розділ "як не можна керувати ґрантовими програмами".
Вважаю, навіть такої кількості фактів достатньо, аби європейські антикорупційні інституції (наприклад, OLAF – свого роду "НАБУ" від Євросоюзу) здійснили відповідне розслідування стосовно розтрати датських грошей і розставили всі крапки над "і". Адже огидно спостерігати, як професійна непридатність бере верх над експертним рівнем та досвідом, морок – над прозорістю, брехня – над правдою, змова – над прозорим конкурсом, а гучні політичні гасла цинічно прикривають тиху безвідповідальність, дискредитуючи високі цінності, за які кращі сини України досі віддають свої життя.
P.S. Сьогодні, 31.08.2016, був присутнім на брифінгу Держспецзв'язку стосовно надання системі електронного декларування Атестату відповідності КСЗІ Єдиного державного реєстру електронних декларацій. Аби не переповідати восьмихвилинну промову голови установи Леоніда Євдоченка, просто залишу тут посилання на повний текст його заяви. А для тих, хто стомився від такої кількості букв, просто висловлю стисло сутність оприлюдненої інформації: ТОВ "Міранда" передала державі на атестацію непридатний для користування продукт разом з несправним обладнанням. І чисельні недоліки системи довелося самотужки усувати фахівцями Держспецзв'язку в екстреному режимі, а отже систему таки буде введено в експлуатацію вчасно, 1 вересня. Ну і пару слів про справедливість. Міранду – ганебно вигнано зі світлою перспективою юридичної відповідальності за скоєне. На інших учасників "розпилу" датських грошей також чекають веселі часи.