Перевірка виявила серйозні проблеми з софтом Prozorro

Рахункова палата України за результатами аудиту ДП «Прозорро» виявила у державного підприємства суттєві недоліки в управлінні основним майном держпідприємства – інформаційно-телекомунікаційною системою Prozorro.

Аудитори виявили, що ІТС досі перебувати в дослідній експлуатації, не має атестату відповідності КСЗІ, а майнові права інтелектуальної власності на ІТС «в повному обсязі» належать держпідприємству.

Про це йдеться в  отчете про результати аудиту ефективності використання та розпорядження майном державного підприємства “ПРОЗОРРО”, що має фінансові наслідки для державного бюджету, передає InternetUA.

Чиї права на Prozorro?

За даними аудиторів, ГО “Трансперенсі Інтернешнл Україна” не передала на користь підприємства права інтелектуальної власності на об’єкти ІАС Prozorro (включені в ІТС Prozorro), а лише надала виключне право і залишається власником всіх прав інтелектуальної власності на ці об’єкти.

– Вказане свідчить, що ДП «ПРОЗОРРО» не є повноправним власником майнових прав на всі об’єкти, що входять до складу ІТС “Prozorro”, а, отже, при створенні ІТС “Prozorro” не було забезпечено належне дотримання державних інтересів в частині ефективності функціонування системи електронних закупівель, – йдеться в звіті аудиторів.

Також аудитори виявили, що супровідна друкована документація на систему (Комплект проектної документації, Комплект експлуатаційної документації та Інструкції по ролям), передбачена Технічним завданням на побудову ІТС “Prozorro”, не розроблена і не затверджена.

Більш того, на момент прийняття ІТС “Prozorro” в дослідну експлуатацію система не мала функціоналу процедури конкурентного діалогу і рамкових угод:

– Лише в 2018 році ДП “ПРОЗОРРО” уклало з комерційною організацією ТОВ “Група Квінта” (Виконавець) та ГО “Трансперенсі Інтернешнл Україна” (Замовник) договір з розробки програмного продукту “укладення рамкової угоди” для програмного комплексу ІТС “Prozorro” загальною вартістю 1207,3 тис. грн (оплата послуг здійснюється Замовником). За договором ДП “ПРОЗОРРО” передаються невиключні майнові права інтелектуальної власності на створений програмний продукт, а виключні майнові права належать ТОВ “Група Квінта”, – йдеться в звіті.

Незакінчена дослідна експлуатація

Також, наголошується в звіті, ІТС “Prozorro” більше 2,5 років знаходиться в дослідній експлуатації, яка почалася з 01.04.2016 і повинна була завершитися 31.12.2016, однак неодноразово продовжувалася (останній раз – до 01.03.2019).

За інформацією Підприємства, наданої аудиторам, продовження дослідної експлуатації обумовлено, зокрема, необхідністю продовження роботи по отриманню Атестату відповідності на КСЗІ ІТС “Prozorro”, доопрацювання та прийняття в експлуатацію функціоналу процедури рамкових угод.

– Фактично, ІТС “Prozorro” на час введення в дослідну експлуатацію не мала і станом на 31.10.2018 не має КСЗІ з підтвердженою відповідністю, – йдеться в звіті. – Відсутність КСЗІ з підтвердженою відповідністю на ІТС “Prozorro” унеможливлює отримання міжнародної сертифікації по ISO 27001, передбаченої законом.

Крім того, електронні майданчики, які працюють з ІТС “Prozorro”, також не мали на момент перевірки підтвердженої КСЗІ, і тому проходять тільки попередню авторизацію, в той час як Законом попередня авторизація не передбачена. При цьому основним джерелом доходу ДП “ПРОЗОРРО” є плата, що стягується Підприємством з операторів електронних майданчиків, хоча повинна стягуватися тільки з авторизованого оператора електронного майданчика.

Однією з причин невідповідності захисту інформації в ІТС “Prozorro” Технічним завданням стало розміщення до березня 2018 основної бази даних ІТС “Prozorro” і її складових частин на серверах платформи Amazon Web Services (AWS) (знаходиться за межами України – в США).

Прямий договір між комерційною компанією AWS і ДП “ПРОЗОРРО” по сервісному обслуговуванню ІТС “Prozorro” не укладався, а адміністрування системи здійснювалося ТОВ “Група Квінта” за договорами аутсорсингу. ТОВ «Група Квінта», зокрема, повинна була забезпечувати збереження і цілісність інформації на серверах платформи Amazon Web Services.

Протягом лютого-березня 2018 ІТС «Prozorro» мігрувала на захищену майданчик хмарних сервісів ТОВ “ДЕ НОВО”, у якого є КСЗІ, підтверджена атестатом відповідності.

Проблеми з посадовими інструкціями

Власні адміністратори ІТС “Prozorro” призначені наказом ДП “ПРОЗОРРО” від 03.04.2018 щодо забезпечення захисту в ІТС “Prozorro” після міграції з Amazon Web Services. При цьому, надані до аудиту інструкції адміністратора безпеки, системного адміністратора і адміністратора баз даних за станом на 31.10.2018 керівником ДП “ПРОЗОРРО” не затверджені.

Більш того, посадові інструкції фахівців, яким доручено виконання функцій системного адміністратора ІТС «Prozorro», не приведені у відповідність і не містять відповідних завдань і обов’язків:

– Так, за інформацією ДП “ПРОЗОРРО”, контроль за функціями адміністрування ІТС “Prozorro” покладено на начальника відділу інформаційних технологій та телекомунікацій, посадова інструкція якого не містить завдань з адміністрування ІТС “Prozorro” або здійснення контролю за їх виконанням, – кажуть аудитори. – У посадових інструкціях осіб, яким доручено виконання завдань з адміністрування та здійснення контролю за виконанням функцій з адміністрування, визначені тільки базові завдання щодо захисту інформації без обов’язкового звіту про стан захищеності інформаційних систем і дотримання користувачами і персоналом автоматизованої системи встановленого порядку і правил захисту інформації. Тобто на сьогодні на підприємстві не забезпечується контроль за діями компаній, залучених до адміністрування ІТС “Prozorro”.

Незважаючи на призначення власних адміністраторів, ДП “ПРОЗОРРО” також привертає комерційні структури до адміністрування ІТС “Prozorro”. Так, в 2018 році до безпосереднього адміністрування, підтримки та розробки ІТС “Prozorro” залучалося ТОВ «МК-Консалтинг», яке також надавало послуги з підтримки міграції ІТС “Prozorro” з Amazon Web Services.

– Відсутність документального закріплення і визначення за працівниками ДП “ПРОЗОРРО” функцій адміністрування та контролю за адмініструванням ІТС, а також залучення до процесу адміністрування сторонніх організацій, які мають доступ до бази даних державних закупівель, створює значні ризики, пов’язані з цілісністю, доступністю і конфіденційністю інформації , оброблюваної в ІТС “Prozorro”, і ризик виникнення загрози інформаційній безпеці України в цілому, – зазначають у Рахунковій палаті України. – Існують значні ризики уразливості ІТС “Prozorro” до надзвичайних подій, кібератаки, несанкціонованого втручання в роботу системи, що ставить під сумнів достовірність і прозорість процедур державних закупівель.

Залежність від зовнішнього фінансування

Крім того, аудитори зазначають, що функціонування ІТС “Prozorro” значно залежить від зовнішнього фінансування. Телекомунікаційні послуги, які критично необхідні для роботи ІТС “Prozorro”, Підприємству (Одержувач) за договором від першого грудня 2017 надає ПрАТ “Датагруп” (Оператор), а оплачує їх надання Фонд “Євразія” (Замовник). Станом на 31.06.2018 вже отримано послуг на 436,5 тис. Гривень.

Надання послуг, необхідних для побудови резервний майданчик, також забезпечується тристороннім договором між ТОВ “ГІГАКЛАУД” (Виконавець), Фондом “Євразія” (Замовник) та ДП “ПРОЗОРРО” (Одержувач). Сума договору – 3960,0 тис. Гривень.

– Тобто в разі припинення зовнішнього фінансування існують ризики необхідності залучення фінансування з альтернативних джерел, в т.ч. з державного бюджету для покриття витрат на зазначені вище послуги, а також некерованості і недоступності ІТС “Prozorro” (для Уповноваженого органу, адміністратора, замовників та учасників торгів) у разі затримки залучення інших джерел фінансування, – наголошується в звіті.

Loading...

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *