Війна в митниці: як заступник голови Петухов намагається видавити Івашковича
Віртуальний меморіал загиблих борців за українську незалежність: вшануйте Героїв хвилиною вашої уваги!
В.о. директора Департаменту інформаційних технологій ДМС Олександр Івашкович відповів на звинуваченя заступника Голови Держмитслужби Сергія Петухова. За словами Івашковича, чиновники вимагали в нього надання доступу до відомчих баз даних (в тому числі з правами адміністратора), також за його спиною проводили сумнівні тендери.
OBOZREVATEL дослівно публікує відповідь Івашковича, яку він розмістив на своїй сторінці в соцмережі, а також вимагає від правоохоронців втрутитись в ситуацію та дослідити, хто і для чого намагався отримати доступ до відомчих баз установи та хто має понести за це покарання. Відповідь Олександра Івашковича:
1. Щодо претензії про невиконання перерахованих доручень повідомляю, що мною була підготовлена та подана доповідна записка на ім’я Голови ДМСУ (додається), в якій йшлося про причини невиконання вищезгаданих доручень з проханням, відповідно до п.8 ст. 9 Закону України "Про державну службу", надати письмове підтвердження або скасування доручень. На сьогоднішній день жодної реакції від Голови немає, що, відповідно до Закону, з мого боку розглядається як скасування цих доручень.
2. Щодо претензії про ненадання доступу до вихідних кодів програмного забезпечення хочу зауважити, що з самого першого дня створення "Нової митниці" до Департаменту ІТ прибула група незрозумілих осіб, які називали себе "позаштатними радниками" Голови т.зв. "Нової митниці" і всіма способами вимагали від мене надання доступу до відомчих баз даних (в тому числі з правами адміністратора), до вихідних кодів АСМО "Інспектор", до технічної документації АСМО та ін. При чому, ці доступи вимагались негайно, без будь-якого нормативного врегулювання, в досить категоричній формі. Після ввічливої, але твердої відмови з мого боку, було організовано так званий "аудит ІТ-складової", в результаті чого вищезгадані особи частково отримали запитані доступи і приступили до проведення "аудиту". Хочу зазначити, що на сьогоднішній день взагалі відсутні будь-які згадки про "аудит", його результати невідомі, принаймні, до мене вони офіційно не доводились, що свідчить про те, що ніякого аудиту не проводилось, а справжньою метою були інші причини, про які я можу тільки здогадуватись.
Більше того, від СБУ до Держмитслужби надійшов лист, де були висловлені серйозні застереження до так званого "аудиту", однак, до мене, як до в.о. Директора департаменту ІТ цей лист було доведено лише через 4 місяці з дня його надходження, що може свідчити про бажання приховати від мене цю інформацію та зробити неможливим адекватне реагування на процес з мого боку.
Крім того, хочу зазначити, що ні Петухов, ні "позаштатні радники" не є розробниками програмного забезпечення, не володіють мовами програмування C# та SQL, тому вони в принципі не можуть самостійно розібратись в програмному коді, і, з великою вірогідністю, передадуть ці коди стороннім особам, що може привести до непередбачуваних наслідків для Держмитслужби, в тому числі, можуть бути використані для несанкціонованого стороннього втручання в роботу інформаційних систем ДМСУ. Мною неодноразово пропонувалось показати в моїй присутності будь які фрагменти програмного коду та відповісти на будь-які питання, однак, це "позаштатних радників" не зацікавило, оскільки так альтернативну АСМО не напишеш.
3. Щодо відсутності тестування на вразливість коду хочу повідомити, що АСМО "Інспектор" знаходиться у внутрішній мережі Держмитслужби, і тому захищений від інтернет-вірусів, про що свідчить повне збереження працездатності АСМО під час атаки вірусу "Petya" в 2017 році, коли частина держорганів була паралізована від атаки, однак, програмне забезпечення ДФС (митний напрямок) працювало в штатному режимі.
Щодо кіберінциденту 27.02.2020, про який згадується в доповідній Петухова, хочу зазначити, що або Петухов свідомо вводить Голову в оману, або Петухова вводять в оману "позаштатні радники", оскільки вказаний інцидент не має жодного відношення до функціонування АСМО "Інспектор", а трапився по причині виходу з ладу телекомунікаційного обладнання, про що "позаштатним радникам" було відомо, однак, інтерпретовано ними у вигідному їм світлі.
4. Для мене особисто досить дивним є той факт, що я, виконуючи обов’язки Директора департаменту ІТ, дізнавався про тендери та розробки незрозумілих сайтів з мережі Інтернет, тобто мене, як особу, яка була відповідальна за ІТ напрямок Держмитслужби, фахівцями т.зв. "Нової митниці" було усунуто від прийняття будь-яких рішень по моєму напрямку, тому для мене незрозумілі претензії Петухова щодо розробки веб-порталу Єдиного вікна. А його вимога зняти з веб-порталу можливість подання декларації на митне оформлення автомобілів виглядала взагалі дикістю, тим більше, що цей тренд був однією з передвиборчих обіцянок Президента України, і ми намагались виконати це завдання якнайшвидше та найякісніше. Довідково повідомляємо, що через вищезгаданий сервіс вже подано близько 300 декларацій, і близько 80 з них оформилось, що дозволило заощадити власникам автомобілів значні кошти і має велике соціальне значення.
Особливо викликає подив те, що Петухов дуже завзято вимагає від мене технічну документацію на АСМО "Інспектор", яка функціонує в ДМСУ вже другий десяток років, та веб-портал, який розроблений власними силами і не коштував ні державі, ні міжнародним донорам жодної копійки, однак він не проявляє жодної зацікавленості і не видав жодного розпорядження щодо надання документації на "Мастер", калькулятор, скарги, BI і т.д..
Те, що "Майстер", який невідомо звідки взявся, на який не було завершено тендер або будь-яку іншу передбачену законодавством процедуру закупівель, містить в собі суттєві проблеми безпеки (зокрема, нестандартний протокол роботи сервера застосунку з базою даних, що вимагає відкриття додаткових портів та спільного дискового доступу на сервері СУБД), його не турбує. Як і не турбує його те, на якій підставі митниці Держмитслужби вносять особисті дані про посадових осіб (номери паспортів та банківських рахунків, родичів, адреси проживання і т.д.) до незрозумілого програмного забезпечення.
Так само його не турбує, що калькулятор та скарги розміщено невідомо де в мережі Інтернет, при цьому там обробляються персональні дані громадян та працівників Держмитслужби, а також використовуються дані з інформаційних систем ДМСУ.
Петухова ні разу не турбує збирання "позаштатними радниками" персональних даних митників через гугл диск (доручення від 02.04.2020 № 25-12/1-д) начебто з метою проведення навчання. При тому, що подібний прецедент кілька років тому мав місце в ДФС, коли результати тестування співробітників потрапили на обробку в одну дружню країну і є її цінним надбанням.
Його не турбує, що "позаштатні радники" всупереч діючому порядку виготовили собі проходи з мережі Інтернет в Відомчу телекомунікаційну мережу Держмитслужби, самовільно встановлюють в ній програмне забезпечення невідомого походження для моніторингу за збору статистики.
5. Стосовно відсутності КСЗІ з підтвердженою відповідністю на АСМО "Інспектор". Дане програмне забезпечення не є власністю Держмитслужби та знаходиться у власності ДФС. Більше того, на всі інформаційні системи, які використовуються Держмитслужбою, в тому числі ЄАІС, відсутні діючі сертифікати про підтвердження відповідності КСЗІ. Відповідно, запитувана ним документація відсутня і не могла бути йому надана. Але зацікавлення Петухова в цьому напрямку також чомусь носить виключно вибірковий характер.
Таким чином, вважаю, що предметом розгляду Дисциплінарної комісії в даному випадку повинно бути не стільки ігнорування Івашковичем окремих доручень Петухова, скільки правомірність видання їх останнім.
Як раніше повідомляли OBOZREVATEL, експерти впевнені: міністр фінансів України Ігор Уманський, йдучи у відставку, показує свою слабкість на цій посаді.