Белорусское законодательство предъявляет довольно строгие требования к защите информации, не относящейся к категории общедоступной. Но при этом, почему-то именно государственные ресурсы далеко не всегда соответствуют этим требованиям. Одним из примеров таких несоответствий является организация работы площадки электронных госзакупок www.icetrade.by. По мнению нашего эксперта, специалиста в области защиты информации с многолетним опытом Владимира Николаевича Шулика, первого заместителя Генерального директора ЗАО «Белхард Групп», текущая реализация фукционала ЭТП www.icetrade.by не обеспечивает требуемого законодательством уровня защиты размещаемых на ней тендерных документов. Из-за этого государство может терять немалые деньги: ведь получив доступ к информации о ценах, предложенных участниками торгов, компании получают шанс повысить стоимость своих товаров и услуг в последний момент.
‑ Владимир Николаевич, как давно в Беларуси проводятся электронные торги, и когда возникла проблема?
- Идея создания площадки возникла еще в 2002 году. У ее истоков стоял Борис Николаевич Паньшин – профессор экономического факультета Белорусского Государственного Университета, который обобщил передовой опыт аналогичных разработок, как в странах ближнего, так и дальнего зарубежья и подготовил концепцию создания такого электронного торгового портала (ЭТП). Напомню, основной задачей создания ЭТП было внедрение в широкую практику защищенной электронной системы государственных закупок, что позволило бы решить проблемы, присущие «бумажным» тендерам. Система должна была обеспечить прозрачность всех процедур, для избежания коррупции; невозможность фальсифицировать тендерные условия и тендерные предложения претендентов; недоступность передаваемой информации сторонним лицам, автоматический контроль соблюдения сроков; сокращение затрат на проведение тендеров; расширение количества потенциальных поставщиков, участвующих в тендере... Ну, а в качестве конечных целей внедрения ЭТП можно назвать экономию бюджетных средств, выделяемых на государственные закупки и повышение эффективности их использования. Забегая вперед, скажу, что достижение последних целей можно ставить под вопрос из-за проблем с защитой информации на площадке.
Идея была хорошо принята государственными органами, и в 2002 году была создана ЭТП, а 2012 году в соответствии с постановлением Совета министров Беларуси от 22.08.2012 № 778 «О некоторых мерах по реализации Закона Республики Беларусь о государственных закупках» информационный ресурс http://www.icetrade.by/ был определен, как официальный сайт в глобальной компьютерной сети интернет для размещения информации о госзакупках и актов законодательства о госзакупках. Данный сайт в своем функционале и попытался, насколько тогда было возможно, реализовать вышеперечисленные требования.
Увы, в процессе разработки сайта некоторые требования законодательства, которые относились к сфере защиты конфиденциальной информации пользователей ресурса, почему-то не были реализованы. Конечно, можно сказать, что на тот момент многие нормативные документы в области защиты информации только разрабатывались. Но в 2008 году уже вышел Закон Республики Беларусь от 10 ноября
- В чем же заключается проблема?
- Процедура проведения электронных торгов определяется совсем свежим регламентом электронной торговой площадки РУП «Национальный центр маркетинга и конъюнктуры цен» от 15.06.2015 г. №21/О (Регламент), утвержденным директором центра. Я вижу в процедуре пробелы в законодательстве и возможные варианты утечки информации в самой информационной системе оператора электронной торговой площадки , если мы относим данную систему к государственной. Даже если данный информационный портал не является государственным, его владельцы все равно обязаны предпринимать меры по защите информации, которая хранится и обрабатывается на нем. Для этого есть законные основания.
Для участия в электронных торгах участников обязывают заключить Договор оказания услуг электронной торговой площадкой, согласившись с утвержденным регламентом. Статья 2.3.5. данного договора гласит, что оператор ЭТП обязан соблюдать конфиденциальность определенной в Регламенте информации, представленной пользователем. Значит, оператор признает, что конфиденциальная информация в информационной системе присутствует. Законодательная база по защите информации требует определить ‑ как в государственных организациях, так и в коммерческих ‑ перечень данных, относящихся к информации ограниченного распространения. В данном случае мы будем говорить о коммерческой тайне. К примеру, во многих предприятиях ценовая политика, изложенная в коммерческих предложениях, а также предлагаемые технические решения относятся к коммерческой тайне.
А вот то, как оператор ее защищает, кроме как формальными словами «ОБЯЗАН», мы не знаем. По моему мнению, только организационными методами, что тоже возможно, но недостаточно. Прошу обратить внимание, что в Регламенте п.1.2. нет ни одного упоминания и ссылок на нормативные документы в области защиты информации, что вызывает определенное недоумение. Вся ответственность за возможные сбои и невозможность своевременно передать информацию лежит только на пользователях, за исключением сбоев оборудования на самой ЭТП. Возникает вопрос: а кто докажет, был ли сбой системы, или торги перенесли по просьбе одного пользователя, который, например, не успел подготовить документы?
- То есть, площадка, через которую проходят государственные заказы на сотни миллиардов рублей, не обладает необходимыми средствами защиты?
- Мы не знаем об этом наверняка, но документов, показывающих наличие таких средств, у нас нет. Но кое-какие факты говорят в пользу того, что защита неадекватна важности данных. Давайте попробуем проанализировать возможные каналы утечки конфиденциальной информации, которая передана пользователем в информационную систему оператора ЭТП.
Передавая информацию в открытом виде через интернет, мы подписываем документы своей ЭЦП, которая гарантирует целостность и подлинность данного документа, но не гарантирует невозможность перехвата данной информации, т.е. прочтения (копирования) сторонними лицами, которые могут использовать ее в корыстных целях;
Поданная нами информация не будет рассматриваться, до тех пор, пока Участник конкурса не оплатит счет-фактуру. Только после этого система допустит его к конкурсу. Таким образом, бухгалтерия оператора торгов заблаговременно, до начала конкурса, владеет информацией об участниках того или иного конкурса. Утечка информации об участниках дает возможность оценить уровень и компетентность пула участников, и таким образом маневрировать ценовой политикой своего предложения до окончательной подачи. А что мешает внести изменении в регламент, и дать возможность оплатить участие после подачи конкурсных документов, к примеру, в течение суток после вскрытия? Один канал утечки был бы перекрыт.
Есть и другие сценарии. Например, специалист IT-службы оператора ЭТП, если информационная система не аттестована по требованиям информационной безопасности, также имеет возможность прочесть все конкурсные предложения, поступившие на ЭТП, после чего удалить все журналы протоколирования событий. Это также вызывает определенную озабоченность. Кроме того, сервера, на которых обрабатывается информация, должны быть привязаны к источнику единого времени, и не иметь возможности оператору без «оставления отпечатков» переводить в ту или иную сторону время сервера, особенно при проведении аукционов.
Если в ходе тендера становится видно, что в нем есть только двое участников, причем один не соответствует в полной мере требованиям заказчика к опыту работы на рынке, наличию необходимых сертификатов и т.д., то второй участник, будучи уверенным в своей победе, может поднять цену до, предельно возможной. Возможны и другие варианты: никто не мешает специалисту, обслуживающему систему, изменить время подачи тендерной заявки, сделав предложение «опоздавшей» компании недействительным.
И в данном случае, есть решение: это передавать информацию на ЭТП, подписанную ЭЦП в зашифрованном виде, а сам сервер торговой площадки привязать к датчику единого времени, таким образом, закрывается еще один канал возможной утечки информации.
- Как могло получиться, что такая важная для государства система оказалась так плохо защищена?
- Предлагаю вернуться к законодательной базе, которую очень ловко обошли стороной руководители ЭТП, и еще раз прочесть требование Закона Республики Беларусь от 10 ноября
В статье 17 Закона № 455-З сказано: «К информации, распространение и (или) предоставление которой ограничено, относится … служебная информация ограниченного распространения; информация, составляющая коммерческую, профессиональную, банковскую и иную охраняемую законом тайну».
Также будет уместно процитировать статью 27 «Цели защиты информации». К ним относят, среди прочего, недопущение неправомерного доступа, уничтожения, модификации (изменения), копирования, распространения и (или) предоставления информации.
А в статье 28, содержащей основные требования по защите информации, говорится, что информация, распространение и (или) предоставление которой ограничено, не отнесенная к государственным секретам, должна обрабатываться в информационных системах с применением системы защиты информации, аттестованной в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь. При этом не допускается эксплуатация государственных информационных систем без реализации мер по защите информации.
Обеспечение целостности и сохранности информации, содержащейся в государственных информационных системах, осуществляется путем установления и соблюдения единых требований по защите информации от неправомерного доступа, уничтожения, модификации (изменения) и блокирования правомерного доступа к ней, в том числе при осуществлении доступа к информационным сетям.
Если мы посмотрим на официальный сайт РУП «Национальный центр маркетинга и конъюнктуры цен» Министерства иностранных дел Республики Беларусь, то из одного названия можем сделать вывод, что это государственная информационная система, а значит, должны быть реализованы меры по защите информации в полном объеме.
- Кто страдает от недостаточной защищенности сайта icetrade.by? Знают ли о проблеме в организациях, ответственных за работу площадки?
- Заказчиками работ чаще всего бывают государственные предприятия, а это ‑ бюджетные деньги. Более того, каждая из компаний добровольно соглашается предоставить конфиденциальную информацию организаторам конкурса на закупку тех или иных товаров или услуг. Но без должной защиты подаваемых на тендер документов невозможно добиться выполнения главной цели всех тендеров, проводящихся государством, ‑ а именно, минимизации закупочных цен.
В Национальном центре маркетинга и конъюнктуры цен о существовании проблемы знают. Знают об этом и в органе, отвечающем за госзакупки в целом – Минторге. Но проблему решать не торопятся, поскольку для этого требуется взаимодействие нескольких профильных ведомств. В результате Минторг «кивает» на НЦМиКЦ, тот – на вышестоящее Министерство иностранных дел, а в итоге побеждает бюрократия, а не здравый смысл.
- Что же можно сделать для решения проблемы?
- Выход из сложившейся ситуации в том, чтобы создать и провести аттестацию СЗИ системы icetrade.by в соответствии с приказом Оперативно-аналитического центра при Президенте Республики Беларусь от 30.08.2013 № 62 «О некоторых вопросах технической и криптографической защиты информации». Когда мы говорим об аттестации системы ЭТП по требованиям информационной безопасности, мы имеем в виду, что в торговой системе будут предприняты комплексные меры, не только организационные, но и ряд технических по защите информации, гарантирующих невозможность ее утечки и модификации и т.д.
В таком случае можно будет не испытывать сомнений в том, что данные об электронных госзакупках могут быть «слиты» системным администратором, и государство потеряет из-за этого серьезную сумму денег. При таком решении автоматически снимутся все вопросы, связанные с возможной утечкой информации о проводимых торгах и участники торгов будут чувствовать себя защищенными, повысится доверие к ЭТП, а государство получит большой экономических эффект от внедрения системы защиты информации ЭТП.
Прошу обратить внимание, что данной статьей мы никого не пытаемся обвинить в возможной утечке информации и недобросовестном отношении к выполнению своих служебных обязанностей. Это прерогатива правоохранительных органов, ведущих оперативно-розыскную деятельность, и регулятора в области защиты информации.
Беседовал Вадим Станкевич
Комментарии
Неожиданная тема для статьи, а такие, как правило, не появляются на пустом месте, видимо БелХард с подобным столкнулся
Информация к размышлению для Следственного комитета
После прочтения статьи сложилось стойкое впечатление, что товарищ из Белхард пытается втюхать услуги своей конторки, по созданию электронной системы торгов. Либо очень обижен на разрабочика icetrade.by, что не получил заказ на разработку и бюджетные деньги прошли мимо его кармана.
"Национальный центр маркетинга" - разрабочик и оператор данной системы - негосударственное предприятие. И у него нет требований к обязательной сертификации. Все утечки данных будут только на его совести.
Нормальная тема. Таки вещи надо "светить".
> как правило, не появляются на пустом месте.
Это да. Но это лучше, чем дожидаться статьи "Инфа о всех гостендерах/ценах/участниках/etc слита и доступна на Фейсбуке". ;)
> И у него нет требований к обязательной сертификации. Все утечки данных будут только на его совести.
Так а о чем статья? Требований, может, и нет - но кому от этого лучше?
Как ЭТО может быть негосударственным?!
Судя по коментам mrdoggy, товарищ далек от элементарных знаний нормативки , как от космоса! Утверждает, что: "Национальный центр маркетинга -негосударственное предприятие, и тут же "бюджетные деньги прошли мимо его кармана." Если деньги бюджетные, значит и предприятие государственное, а деньги точно прошли мимо его личного кармана... Вот в том то и смысл, что нельзя путать свой карман с государственным!