Коммерческая монополия ProZorro: почему "вирус Нефедова" может стать причиной разрушительной кибератаки на Украину
Самая передовая и новаторская система публичных закупок в мире из-за просчетов ее куратора в Минэкономразвития создала масштабную кибертеррористическую угрозу для украинской экономики.
Мозаика ProZorro
Как и обещали, продолжаем раскрывать информацию, которую идеологи и "конечные бенефициары" электронной системы госзакупок и продаж ProZorro тщательно скрывают от общественности. Напомним:
- в первом материалемы рассказали о том, как и почему Украина теряет на госзакупках 500 млн. грн в год;
- во втором материале речь шла о том, зачем на самом деле выгодополучателям от ProZorro необходима малая приватизация, и почему госбюджет потеряет на ней более 100 млн. грн;
- в третьем материалемы привели факты того, как новая система публичных закупок убивает национального производителя, нанося экономике многомиллиардные убытки, и как с помощью ProZorro зарабатывает экономика России.
В этом материале мы добавим еще один пазл в общую картину электронной системы публичных закупок, которую аудиторы Счетной палаты уже окрестили "коммерческой структурой с признаками монополии электронных рынка площадок". На этот раз речь пойдет о том, как ProZorro стала огромной дырой в системе кибербезопасности Украины и что может произойти, если кибертеррористы направят на нее свой очередной удар. Также мы расскажем, почему замминистра Минэкономразвития и куратор системы Максим Нефедов, несмотря на очевидные угрозы нацбезопасности, продолжает обслуживать интересы тех, кто вместо государства получает прибыль в сфере публичных закупок.
Выводы аудиторов
Впервые о том, что с кибербезопасностью ProZorro что-то не так, заговорили в начале 2017 года. 31 января Счетная палата Украины приняла решение № 3-1, которым утвердила Отчет "О результатах анализа состояния государственных закупок в Украине в 2015-2016 гг.". Аудиторы СП, в частности, установили, что "…система управления информационной безопасностью ProZorro, применяемая при обработке информации в системе облачных вычислений, не соответствует требованиям стандарта ISO / IEC 27001 или ISO / IEC 27001…". По этой причине Государственная служба специальной связи и защиты информации Украины (далее – Госспецсвязь), как сказано в Отчете, не выдала ProZorro аттестат соответствия требованиям КСЗИ (комплексной системы защиты информации). Это означает, что в течение 2015-2016 гг. новая электронная система госзакупок, в нарушение ст. 12 Закона Украины "О публичных закупках", "…не могла обеспечить сохранение и надлежащую защиту всей информации…", то есть была уязвимой. Счетная палата также установила, что на протяжении указанного периода ProZorro находилась в режиме опытной эксплуатации, значит, не несла ответственности за последствия возможных сбоев или кибератак. Участники рынка не знали этого, так как г-н Нефедов, видимо, не посчитал нужным рассказывать данную информацию.
Проверка системы госзакупок в 2017 году показала, что ее бенефициары и куратор в Минэкономразвития наплевательски отнеслись к рекомендациям Счетной палаты касательно проблем с кибербезопасностью. КСЗИ ProZorro так и не была создана и аттестована Госспецсвязью, а значит не прошла обязательную международную сертификацию.
Кроме того, аудит СП за 2017 год показал, что у ProZorro отсутствуют подписанные договора на сервисное обслуживание программного обеспечения, созданного на платформе Amazon Web Services (AWS). Также отсутствуют документы, которые регламентирую процессы резервирования та восстановления данных в случае чрезвычайных происшествий. Это может привести к "…недоступности ИТС "Prozorro" и задержке процесса публичных закупок на длительное время. Особенно критичными последствия могут быть в конце бюджетного года, что также является риском для обеспечения экономической безопасности государства…", - отмечается в отчете.
Таким образом, в течение 2015-2017 гг. Счетная палата дважды предупреждала о том, что система публичных закупок, через которую в год проходит около 250 млрд. грн бюджетных средств, не имеет надежной защиты от кибератак. Замминистра Максим Нефедов, как куратор, ProZorro, дважды проигнорировал эти предупреждения.
Правки раздора
В мае 2017 года Верховная Рада Украины рассматривала во втором чтении законопроект №2126а "Об основных принципах обеспечения кибербезопасности Украины". Документ был подан в парламент еще в 2015 году и с тех пор претерпел множество правок, вызванных необходимостью имплементировать решения президента Украины и СНБОУ по укреплению кибербезопасности страны. Последствия масштабных кибератак, обрушившихся на Украину в 2016-2017 гг., показали насколько уязвимым для хакеров является украинский госсектор. А госзакупки – его самый большой сегмент.
Группа народных депутатов Украины к моменту вынесения Законопроекта в зал для голосования зарегистрировали более десяти правок, направленных на усиление государственного влияния на систему киберзащиты в сфере публичных закупок. Авторы правок считали, что все государственные базы данных, сайты, информационные системы должны быть защищены комплексной системой защиты информации. Именно КСЗИ, по мнению депутатов, даст возможность предотвратить любое мошенничество на тендерах. Кроме того, правки предполагали размытие монопольного контроля Минэкономразвития над электронными площадками системы ProZorro. Последние должны были перейти в подчинение Госспецсвязи, а тендеры разрешалось проводить на альтернативных площадках.
Идеологи и симпатики ProZorro встретили предложения народных депутатов резко негативно. В СМИ и социальных сетях развернулась мощная кампания по "спасению" электронной системы публичных закупок. Во главе кампании встал заместитель министра Минэкономразвития Максим Нефедов. "#мегазрада. Зло піднімає голову!...", - так он охарактеризовал инициативы нардепов. К критике подключились активисты-грантоеды, блогеры, призывавшие не допустить очередной "зрады" и журналисты. Отметим, что большинство из них, вероятно, ничего не знали о выводах Счетной палаты за 2015-2017 гг. и масштабных убытках отечественных производителей (об этом читайте в наших предыдущих материалах). В качестве тяжелой артиллерии выступило представительство ЕС в Украине и ряд диппредставительств, которые призвали парламент не голосовать за указанные правки. Интерес иностранцев к сохранению статус-кво в украинской системе публичных закупок понятен. Нынешняя ProZorro дает иностранным компаниям выигрывать стратегически важные тендеры, оставляя украинские заводы без работы, а бюджет – без дополнительных налоговых поступлений.
Под мощнейшим давлением Верховная Рада не приняла "правки раздора", а законопроект № 2126а отправила на повторное второе чтение. 5 октября 2017 года Закон "Об основных принципах обеспечения кибербезопасности Украины" был принят в целом. ProZorro не изменилась, как и ее дырявая система киберзащиты.
Последствия взлома
Последствия халатного отношения кураторов ProZorro к усилению кибербезопасности системы публичных закупок не заставили долго ждать. 24 октября Украину атаковал вирус Bad Rabbit. По данным “Лаборатории Касперского” и Group-IB, от действий хакеров серьезно пострадали сайт Мининфраструктуры Украины, компьютерные системы киевского метрополитена и международного аэропорта Одессы. Отметим, что аэропорт и метрополитен относятся к объектам стратегического значения. Ряд независимых экспертов предположили, что заражение вирусом происходило в том числе через ProZorro. "Тот компьютер, с которого к нам в систему попал зараженный файл, работал с системой ProZorrо…", - прокомментировал ситуацию для СМИ президент Ассоциации траблшутеров Сергей Креймер.
28 августа 2018 года хакеры из волонтерской организации "Киберальянс" взломали сайт Центральной избирательной комиссии Украины. По словам хакеров, слабым местом сайта ЦИК являлась уязвимость к "…межсайтовому скриптингу типа XSS". Как выяснилось позже, аналогичная проблема есть и у системы ProZorro. Наличие такой уязвимости косвенно подтвердило слухи о том, что на рынке украинском рынке госзакупок при большом желании можно купить информацию о ставках их конкурентов в ходе проведения аукционов. Официальные лица ProZorro признали, что указанная проблема действительно существует и заявили о ее незначительности. "Межсайтовый скриптинг действительно потенциально опасен, но только при наличии функции "персональный кабинет" и необходимости авторизации пользователей. У нас этого нет", - заявила пресс-секретарь ProZorro Анна Базыма, пообещав до конца месяца устранить уязвимость.
Эксперты по кибербезопасности считают, что проблема намного глубже и намекают на ее непонимание со стороны руководства системы электронных закупок. "Благодаря этой проблеме в код сайта можно внести изменения и встроить ссылку на сайте …ProZorro. Вы откроете эту ссылку и заразите свой компьютер. Вторая угроза заключается в том, что, если эта страница открыта у администратора сайта, а скрипт должен украсть его учетные данные, то они попадут в руки злоумышленников. О проблеме в ProZorro мы говорили еще два года назад, а воз и ныне там", - отмечает директор Лаборатории компьютерной криминалистики CyberLab Сергей Прокопенко.
Чтобы продемонстрировать потенциальный масштаб угрозы, эксперты смоделировали возможные действия злоумышленников, которые могут взломать ProZorro. В этом случае они могут совершить следующее:
взломать учетные записи администратора или чиновника АМКУ, получить доступ к закрытым данным по предложениям конкурентов и таким образом выиграть любой тендер;
изменить данные, которые видят участники торгов. Например, указана сумма тендера 10 млн. грн, то участники увидят 10 грн. При этом в базе данных изменится не цифра, а ее отображение;
заблокировать возможность пользования сайтом ProZorro для конкретного пользователя;
загружать на сайт вирусы и использовать его как источник их распространения, как было с Bad Rabbit.
"Вирус Нефедова"
Как видим, арсенал у хакеров достаточно широкий. Очевидно, что в силу профессиональной этики, эксперты называют далеко не все возможные способы использования уязвимостей системы ProZorroв преступных целях. Но и приведенной выше информации достаточно, чтобы понять, - последствия целенаправленной атаки на украинскую электронную систему публичных закупок могут быть катастрофическими. Блокирование ProZorroприведет к хаосу в бюджетной системе и масштабным убыткам в экономике. Еще более разрушительными могут быть последствия глобальной кибератаки на украинский госсектор через дыры в киберзащите системы госзакупок. Пострадать могут стратегически важные объекты в энергетике и оборонном секторе. Наверное, мы будем не далеки от истины, если предположим, что спецслужбы РФ хорошо осведомлены о слабостях защиты ProZorroи планируют воспользоваться ими чтобы совершить новую кибердиверсию против Украины.
Все перечисленные угрозы будут существовать до тех пор, пока Кабмин и Верховная Рада вместе не преодолеют "вирус Нефедова". Конечно, это условное название. Но негативные последствия бесконтрольной работы главного куратора ProZorro Максима Нефедова такие как, недополучение госбюджетом доходов, убытки украинских производителей и халатное отношение к укреплению кибербезопасности системы госзакупок с оборотом около 250 млрд. грн в год, - вполне конкретны и осязаемы.
Эта статья – предупреждение всем здравомыслящим силам во власти. Если завтра из-за уязвимостей в ProZorro Украину накроет новая масштабная кибератака, то одним увольнением г-на Нефедова не обойдется. Премьер-министру Владимиру Гройсману и первому вице-премьеру Степану Кубиву вряд ли удастся оправдаться, что они ничего не знали.
Вся надежда на парламент, который осенью может заслушать Отчет Счетной палаты и заставить правительство исправить ошибки Нефедова и его покровителей.
P . S .Продолжение следует… В следующем материале мы расскажем, как коррупционеры и мошенники обходят ProZorro , и почему Минэкономразвития не может искоренить коррупцию в сфере публичных закупок.