26 июля 2016

Новый виток коррупции в Национальном банке Украины и цифровая подпись?

Современная банковская система не мыслима без развитых информационных технологий, которые позволяют автоматизировать все рутинные действия и существенно ускорить банковские процессы. В свою очередь, это приводит к уходу от бумажных документов и переходу к электронным! Для придания электронным документам юридической значимости применяют электронную цифровую подпись (ЭЦП). В нашей стране действует несколько законов в сфере ЭЦП:
• Закон Українивід 22.05.2003 № 851-IV "Про електронні документи та електронний документообіг"
•  Закон України від 22.05.2003 № 852-IV "Про електронний цифровий підпис"
А также использование ЭЦП в банковской сфере:
• Закон України від 05.04.2001 № 2346-III "Про платіжні системи та переказ коштів в Україні"
Вы спросите, а что же в этом плохого? И я с вами соглашусь, что все просто отлично! ЭЦП позволяет существенно упростить жизнь банкирам и не только. Сейчас в нашем Национальном банке Украины (НБУ) УЖЕ УСПЕШНО работает несколько Центров сертификации ключей (ЦСК), которые занимаются управлением ключами для ЭЦП. Один из них выдает ключи сотрудниками НБУ, другой выдает ключи для Системы электронных платежей (СЭП). НБУ даже построили свой удостоверяющий центр (УЦ), чтобы упростить банкам создание собственных ЦСК. Вижу, мои читатели уже устали от множества сложных терминов и непонятных аббревиатур. Да, вот за этим всем и кроется коррупция!
НБУ решил построить еще один ЦСК и аккредитовать его в Центральном удостоверяющем органе Украины (ЦУО). И объявил тендер в виде открытых торгов (любой может ознакомиться с тендерной документацией на "http://tender.me.gov.ua"):
•    Оголошення № 140850. Бюллетень 124 (04.07.2016).
•    Програмнез абезпечення як завантажні файли, (Пакети програмного забезпечення для забезпечення безпеки), (програмно-технічний комплекс "Акредитований центр сертифікації ключів Національного банку України"). Код Державного класифікатора продукції та послуг ДК 016:2010 - 58.29.3 (код ДК 021:2015: 48730000-4).
Вы спросите, тендер - как тендер, что здесь такого? Может НБУ очень нужен ЕЩЕ ОДИН ЦСК! Странным является, не то, что НБУ решил не только построить ЦСК, а ТО, что НБУобъявляеттендер ДО ТОГО МОМЕНТА (01.08.2016), когда вступает в силу Закон Украины "О публичных закупках", когда проведение тендерных процедур ДЕЙСТВИТЕЛЬНО ЯВЛЯЕТСЯ ОТКРЫТЫМ и ПОРЗРАЧНЫМ!
Ну что, же давайте вместе попытаемся вникнуть в тендерные требования, возможно они смогут пролить свет на подноготную данной закупки и той спешки в построении ЕЩЕ ОДНОГО ЦСК.
Обладая регистрацией на http://tender.me.gov.ua можно легко найти тендерную документацию, что само по себе дает возможность, ХОТЬ УЗНАВАТЬ О ТАКИХ ЗАКУПКАХ. Нашел. Загрузил. Читаю. В моей жизни,познания об ЭЦП появлялись «набегами», когда появлялись новости о подаче налоговой отчетности, электронном правительстве и электронном документообороте и нисколько меня не интересовали. Зато совсем недавно …
Недавно общался со своим знакомым, так он мне рассказал очень интересную историю о том, как в Пограничной службе Украины хотели автоматизировать документооборот. Все понимаю, что Погранслужба довольно большая территориально-распределенная организация, а в свете последних событий так вообще … очень распределенная. Вот решили они автоматизироваться. Создали план закупок на 2015 год и выделили 8 млн. грн на документооборот. Ну сами понимаете, в стране «война», солдаты голые, босые, голодные, а тут нужно срочно документооборот. Ну да ладно, это тоже оборона нашей страны. И тут, появляется распоряжение с верху, мол вот есть такая хорошая организация ИИТ (как выяснилось Институт информационных технологий), которая нам все сделает «под ключ». Я спрашиваю у своего товарища: «Андрюха, так за такие бабки можно что угодно построить!». В ответ, он сказал: «Можно не только построить, но и запустить в космос!» Он понятное дело, пытался аккуратно повозмущаться перед начальством, мол надо тендер организовать и все такое, а ему говорят, что компания ИИТ очень хорошая и нужно закупать ЦСК для ключей ЭЦП именно у нее, по упрощенной процедуре у одного заказчика. Ну Андрей по-возмущался, но он ведь обычный майор в Управлении связи, а ему еще до пенсии горбатиться долго. Так вот и провели закупку ЦСК у одной компании ИИТ без тендера. Прошло уже более года, а ЦСК все строится! Создали новые штаты во всех региональных управлениях, набрали людей … И все офицеры, которые служат в ЦСК теперь, как положено ходят на службу, но не знают, чем заниматься потому как ЦСК вроде бы есть, но зачем он и какой от него прок – непонятно! Ведь в Погранслужбе нет еще ни одной информационно-телекоммуникационной системы, где бы использовались ключи ЭЦП! От слова вообще! Так самое главное, что ЦСК купили, уже вроде как почти поставили, а документооборота то нету и не предвидится! Деньги то потрачены на ЦСК!! Вот и имеем, купили, «что попало», а к конечной цели так и не продвинулись! А в Погранслужбе по сей день все делают по-старинке, на бумажках.
Вот так я впервые «близко» познакомился с ЦСК и ЭЦП, а также компанией ИИТ, к ней мы еще вернемся неоднократно.
Сейчас продолжим изучение тендерной документациина постройку ЦСК в НБУ. Учитывая, что в тендерной документации есть много специальных терминов, то я попытался поискать экспертов в этой области. И тут вспомнил, о Погранслужбе и «рассказе Андрея о ЦСК и ЭЦП» и конечно же о знатном коррупционере компании ИИТ. Решил поискать, кто же кроме ИИТ занимается ЦСК и ЭЦП у нас в стране, с помощью "Гугла":
•    Само-собой компания "ИИТ" - http://iit.com.ua.
•    Компания "НОКК" - http://nokk.kiev.ua -  поставщик одного из ЦСК в НБУ, по крайней мере об этом написано на их сайте. Много внедрений в банках.
•    Компания "Сайфер" - http://cipher.kiev.ua - большое количество внедрений в банках.
•    Компания "Автор" - http://author.kiev.ua - про внедрения ничего не нашел на сайте, зато много узнал об их продукции - много всяких устройств для шифрования и хранения ключей.
•    Компания "Унит" - http://unit.com.ua - вообще одна из самых молодых, но продвинутых компани: внедряет ID-карты "киевлянина" и делает "электронный паспорт гражданина Украины"(!).
•    Компания "Алтерсайн" - http://altersign.com.ua.
•    Компания "Криптософт" - http://cryptosoft-ua.com.
•    Компания "Цезарис" (AMB Group) - https://cesaris.itsway.kiev.ua/public/default.aspx.
•    Есть еще ряд компаний и организаций из реестра "http://czo.gov.ua/ca-registry (прим. автора: об их существовании, я узнал только из этого списка и в Интернете вообще не встречал).
О последних двух компаниях ("Криптософт" и "Цезарис") и их продуктах, оказалось, много нелесного написано в Интернете.Как говорится, знатные коррупционеры. Мне кажется, что если бы контролирующие органы хоть иногда читали Интернет, то руководство последних двух компаний ходило бы в Прокуратуру «как на работу». Наверное, действительно ЦСК и ЭЦП это «золотая жила» для коррупционера.
Посмотрел я на отечественных разработчиков, и написал электронные письма в "ИИТ", "НОКК", "Сайфер", "Автор" и "Унит" с просьбой прокомментировать тендерные требования в НБУ (прим. автора: их ответы были мною обработаны, оформлены и предстанут перед вами чуть ниже по тексту). А тем временем, решил углубиться в тематику, Слава Богу, с компьютером «на ты».
Наткнулся на выступление советника нашего гаранта - Дмитрия Шимкива, которое касалось применения ЭЦП в Госорганах http://itvesti.com.ua/interview/dmitriy-shimkiv-ya-hochu-realnyh-izmeneniy-v-nashem-gosudarstve и обратил внимание на фразу:
"Часто слышу «слезную» историю о том, что «українські інститути розробили супер криптографічну систему, яка більше ніде в світі не використовується». Но в этой истории ключевое слово «не використовується», никто из крупных разработчиков программного обеспечения не хочет встраивать ее в свои продукты.  Поэтому, нам сейчас нужно очень хорошо подумать над этим вопросом.
Все разговоры о том, что у нас есть «супер технология» электронной подписи не состоятельны. И то, что 65 процентов рынка этой технологии сконцентрировано в одной компании в Харькове меня очень сильно смущает. Я буду настаивать на том, что это неправильно..."
Оказалось, что эта пресловутая харьковская компания и есть, хорошо знакомая по нашей статье, компания "ИИТ", офис которой действительно находится в Харькове. Кроме того, оказывается, компания "ИИТ" – монополист на рынке Украины ЦСК для госорганов, а соответственно на нее распространяется и Закон Украины "Про природні монополії". Странно, что наш Антимонопольный комитет ничего не регулирует! Надо будет им обязательно написать!
Что касается тендера НБУ, то я получил следующие замечания от специалистов (надеюсь НБУ на них отреагирует, а со своей стороны я обязательно поделюсь своими исследования и с контактным лицом из тендерного комитета НБУ) Сразу оговорюсь, я не очень большой специалист в данной тематике, поэтому вставляю ответы-комментарииэкспертов, как есть (немножко исправлю ошибки и «сглажу» формулировки):
•    Квалификационные требования, п.3.7 требует от участника обладать сразу двумя лицензиями в области Криптографической защиты информации (КЗИ) и Технической защиты информации (ТЗИ).Лицензия в области ТЗИ, насколько я понимаю, требуется для проведения экспертизы комплексной системы защиты информации (КСЗИ) ЦСК. Регулятор, в лице Госспецсвязи, уже несколько лет не лицензирует вид деятельности (Постанова Кабінету міністрів України № 517 від 18.05.2011), как разработка КСЗИ для информационно-телекоммуникационных систем с конфиденциальной информацией (для секретной информации наличие лицензии ТЗИ является обязательной). Т.е. налицо завышенные требования для поставщика ЦСК. (Прим. Автора. По информации доступной на сайте Госспецсвязи сайтах разработчиков, единственная компания, которая обладает одновременно лицензией в области ТЗИ и КЗИ – компания ИИТ).
•    В п.3.8 указано о недопустимости привлечения субподрядчиков для решения задач в рамках тендера. Т.е. компания должна поставить ПТК ЦСК, развернуть и настроить ПТК ЦСК, разработать КСЗИ, поставить защищенные ключевые носители и провести государственную экспертизу в области ТЗИ. Сам факт, что разработка ЦСК это одно направление деятельности, а построение КСЗИ это совсем другое. Особенно интересен тот факт, что компания разработчик КСЗИ обязана выступать в качестве эксперта для проведения экспертизы! Это даже указано в тексте проекта договора! Такое вообще, не то чтоНЕДОПУСТИМО, это ЗАПРОЩЕНО!
•    Среди квалификационных требований указывается наличие опыта в аккредитации ЦСК в ЦЗО Украины. Т.е. компания, которая занимается разработкой корпоративных ЦСК, но не специализируется на аккредитации в ЦЗО даже не может быть допущена к тендеру? А что такого сложного в процедуре аккредитации? Или только «Боги горшки лепят»? Подготовить стандартный набор документов? С другой стороны в НБУ есть свой удостоверяющий центр, почему бы не аккредитовать или зарегистрировать ЦСК в нем?
•    В приложении к тендерным требованиям, есть п.3.2, который полностью идентичен документации на ПТК ЦСК АТ ИИТ. Програмно-технічний комплекс центру сертифікаціїключів. Загальнийописсистеми" (доступен на сайте http://iit.com.ua) В составе требований присутствуют наименования компонентов, которые присутствуют лишь в решениях АТ ИИТ: CMP-сервер, Сервер взаимодействия, Комплекс криптографических соединений. Данные компоненты соответствуют уникальным разработкам АТ ИИТ. Удивляет, что требования сформированы не в общем виде, согласно нормативной документации Госспецсвязи и Минюста Украины, а на основе документации одного из потенциальных участников тендера!
•    В приложении к тендерным требованиям, есть п.4.1.1, который полностью идентичен описанию, которое приведено на странице http://www.iit.com.ua/index.php?page=itemdetails&gtype=1&type=1&id=37. Здесь явное совпадение 45 пунктов. Т.е у всех должно быть только так, как это сделано у ИИТа.
•    В п.4.2.10 приложения к тендерным требованиям, есть перечень функций программного обеспечения подписантов. Пять пунктов этого перечня идентичны приведенным на странице http://www.iit.com.ua/index.php?page=itemdetails&gtype=1&type=1&id=37.  Это уже не в какие ворота не лезет.
•    В приложении к тендерным требованиям, есть п.5.1. Вимоги до криптографічнихалгоритмів в ПТК АЦСК НБУ. Там приводится перечень национальных криптографических алгоритмов ДСТУ 7564-2014 и ДСТУ 7624:2014, которые были официально опубликованы только в апреле 2016 года. В нашей стране стандарты могут быть доступны разработчику КЗИ только после публикации Держстандартом, а каких-то других способов получения этих документов не существует, даже неофициальных.За те несколько месяцев с момента публикации стандарта ДСТУ 7624:2014 по дату объявления тендера, физически невозможно запрограммировать и потом на программную реализацию получить экспертное заключение Госспецсвязи. Даже имея вундеркиндов в штате, за 3-4 месяца, данную работу выполнить просто НЕВОЗМОЖНО. Учитывая, тот факт, что АО ИИТ является разработчиком этих стандартов и уже получил экспертное заключение на реализацию этих стандартов, то напрашивается вывод, что к разработке тендерных требований причастна компания ИИТ. Что является недопустимым! С другой стороны, отсутствуют нормативные документы Минюста и Госспецсвязи по применению в ЦСК новых национальных стандартов.
•    П.4.2. Присутствуют требования к архитектуре ЦСК идентичные архитектуре ПТК ЦСК АО ИИТ, с указанием протокола CMP, который используют в своих решения только ПАО ИИТ. Другие компании разработчики ЦСК пользуются другим протоколами.
•    П. 5 содержит перечень криптографических алгоритмов, которые содержат международные криптографические алгоритмы RSA, AES, ECDSA, однако, не содержит более точной идентификации согласно какому стандарту и его версии необходимо наличие соответствия. А отличия в номерах этих стандартов и версиях являются принципиальными, с точки зрения совместимости и корректности реализации!
•    П. 5.2.3. Специально не содержит требований к носителям ключевой информации, которые обязаны быть выполнены по технологии смарт карт. Данное требование является принципиальным, т.к. исключает извлечение ключа. Отсутствие данного требования, позволяет допустить в качестве защищенных аппаратных носителей изделия ИИТаАлмаз и Кристал, выполненные на базе процессоров общего назначения,что по отзывам специалистов является недопустимым!
•    Вызывает подозрение указание цифр в п 5.2.4. Такой производительностью не обладают изделия основанные на технологии смарт карт. Такая производительность присуща лишь ключевым носителям на процессорах общего назначения (из них можно извлекать ключ с помощью специального оборудования, которым обладают технологически развитые страны США, Россия, Израиль, Франция, Германия и Китай).Т.е. компании производители защищенных носителей Автор и Унит не могут предложить свои изделия для участия в тендере! Даже в качестве субподрядчиков. Такое положение вещей является контрпродуктивным и попахивает коррупционным сговором.
•    Текст договора в приложении к тендерным требованиям идентичен договору компании ИИТ, который она заключает со своими заказчиками.
Прочитав замечания, полученные от экспертов, я обратил внимание, что практически во всех пунктах тендерных требований НБУ неприкрыто продвигает продукты одной харьковской компании – "ИИТ". Такое неприкрытое лоббирование, заставляет задуматься … А в других организациях закупка ЦСК для ЭЦП проходила также? А может быть еще круче?! Откуда взялись ЦСК в Погранслужбе, МВД, Министерстве обороны, других госорганах? В открытом доступе я не нашел публикации и любые другие упоминания о проводимых тендерах на поставку ЦСК в эти организации. Тут же напрашивается вывод, как это происходило. Поставщик и заказчик сели за круглый стол, обсудили тему и договорились! Именно таким образом компании ИИТ удалось занять 65% рынка услуг ЭЦП в нашей стране!Только за счет коррупционных схем и личных контактов руководства АТ ИИТ с руководством потенциальных заказчиков. И все это для того, что бы можно было спокойно дерибанить государственные денежки!!!.
Давайте уточним, а кто же стоит за этой "провинциальной харьковской компанией "ИИТ", которая держит 65% рынка ЦСК для ЭЦП в нашей стране. Компания  ИИТ - акционерное общество. владельцами акций которой являются:
•    Отец и сын Горбенко.
•    Сергей Синаюк.
•    Александр Потий.
•    Еще группа из двух и более человек, которая обладает 14%. Кто именно – неизвестно.
Руководит компанией – генеральный директор Виктор Оноприенко.
Кто же стоит за "ИИТ"? Вопрос задан ответа нет!
Хорошо, давайте разберемся, а что же происходит в самом НБУ? Почему вдруг стало возможно проведение такого тендера? Возможно, вы слышали, что в 2016 году, в НБУ идет реформа и одно из подразделений - Департамент информационной безопасности – оптимизировали. Другими словами, большую часть сотрудников уволили, а оставшихся «1,5 человека» влили в другой департамент –Департамент (банковской) безопасности. Этот департамент обычно занимался физической безопасностью и прочими вопросами, которые к информационным технологиях имели отдаленное отношение. За начальника, ныне расформированного департамента Безопасности информационных технологий, был некий Дмитрий Лукьянов, которого уволили не смотря на заслуги перед НБУ.
Как выяснилось, помочь с трудоустройством Дмитрию Лукьянову помогли Сергей Синаюк, вместе с Виктором Оноприенко. Они подсуетились и помогли ему занять «сладкое место» Директора департамента ИТ в Фискальной службе Украины. Вы подумаете откуда у Синаюка и Оноприенко есть выход на Фискальную службу, так оказывается в Фискальной службе еще при «злочинной владе» и «попередниках» компания "ИИТ" поставила свой ЦСК и ежемесячно «качает» оттуда деньги за обслуживание, ремонт, обновление и т.д. чего только можно, наверное и принтеры в ЦСК заправляют! Теперь становится понятно, что тесное финансовое сотрудничество компании "ИИТ" с любым руководством Фискальной службы налажено на постоянной основе! При любом руководстве! Поменять ведь ничего нельзя! Вся отчетность в Фискальную службу подписывают ЭЦП и ключи выдаются в АЦСК Фискальной службы!
Не для кого не является секретом, что долг платежам красен, поэтому Дмитрию Лукьянову пришлось теперь помогать компании "ИИТ" – как-то зацепиться за НБУ. Было предложено построить еще один, новый (кажется четвертый или пятый) ЦСК в НБУ. Лукьянов попытался было аргументировать мол, так там уже есть! А Оноприенко предложил сначала построить, а те, что есть –  оптимизировать (т.е. потом закроем)! От Лукьянова потребовали активизировать свои знакомства для организации встречи с руководством НБУ, а в качестве аргумента предложили хорошие комиссионные. Обычным является 10% от суммы, в виде благодарности! Вот так и возник «тесный» контакт "ИИТ" с НБУ, который и привел к организации тендера на поставку ЦСК АТ "ИИТ".
Мы говорим о борьбе с коррупцией, а она у нас просто процветает!
Будем надеяться, что моя статья окажет свое воспитательное действие на коррупционеров, и заинтересует компетентные органы. Всем желающим можно мне писать, постараюсь ответить!

Николай Парасочка (paa-a@ukr.net), специально для издания "Ар₴ументум"