Белорусское законодательство предъявляет довольно строгие требования к защите информации, не относящейся к категории общедоступной. При этом, именно государственные ресурсы далеко не всегда соответствуют этим требованиям. Одним из примеров таких несоответствий является организация работы площадки электронных госзакупок www.icetrade.by. По мнению нашего эксперта, специалиста в области защиты информации с многолетним опытом Владимира Николаевича Шулика, первого заместителя Генерального директора ЗАО «Белхард Групп», текущая реализация фукционала ЭТП www.icetrade.by не обеспечивает требуемого законодательством уровня защиты размещаемых на ней тендерных документов. Из-за этого государство может терять немалые деньги: ведь получив доступ к информации о ценах, предложенных участниками торгов, компании получают шанс повысить стоимость своих товаров и услуг в последний момент.
Идея создания площадки возникла еще в 2002 году. Основной задачей электронного торгового портала было внедрение в широкую практику защищенной электронной системы государственных закупок, что позволило бы решить проблемы, присущие «бумажным» тендерам. Система должна была обеспечить прозрачность всех процедур во избежание коррупции; невозможность фальсифицировать тендерные условия и тендерные предложения претендентов; недоступность передаваемой информации сторонним лицам, автоматический контроль соблюдения сроков; сокращение затрат на проведение тендеров; расширение количества потенциальных поставщиков, участвующих в тендере.
Идея была хорошо принята государственными органами, и в 2002 году была создана ЭТП, а 2012 году в соответствии с постановлением Совета министров Беларуси от 22.08.2012 № 778 «О некоторых мерах по реализации Закона Республики Беларусь о государственных закупках» информационный ресурс http://www.icetrade.by/ был определен, как официальный сайт в глобальной компьютерной сети интернет для размещения информации о госзакупках и актов законодательства о госзакупках. Данный сайт в своем функционале и попытался, насколько тогда было возможно, реализовать вышеперечисленные требования.
Тем не менее, в процессе разработки сайта некоторые требования законодательства в сфере защиты конфиденциальной информации пользователей ресурса не были реализованы. Но в 2008 году уже вышел Закон Республики Беларусь от 10 ноября 2008 г. № 455-З «Об информации, информатизации и защите информации» и Постановление Совета Министров Республики Беларусь от 26 мая 2009 года № 675 «О некоторых вопросах защиты информации».
Проблема состоит в том, что процедура проведения электронных торгов определяется совсем свежим регламентом электронной торговой площадки РУП «Национальный центр маркетинга и конъюнктуры цен» от 15.06.2015 г. №21/О (Регламент), утвержденным директором центра. Существуют возможные варианты утечки информации в самой информационной системе оператора электронной торговой площадки. Даже если данный информационный портал не является государственным, его владельцы все равно обязаны предпринимать меры по защите информации, которая хранится и обрабатывается на нем. Для этого есть законные основания.
А вот то, как оператор ее защищает, кроме как формальными словами «ОБЯЗАН», мы не знаем. По моему мнению, только организационными методами, что тоже возможно, но недостаточно. Прошу обратить внимание, что в Регламенте п.1.2. нет ни одного упоминания и ссылок на нормативные документы в области защиты информации, что вызывает определенное недоумение. Вся ответственность за возможные сбои и невозможность своевременно передать информацию лежит только на пользователях, за исключением сбоев оборудования на самой ЭТП.
То есть, площадка, через которую проходят государственные заказы на сотни миллиардов рублей, не обладает необходимыми средствами защиты?
— Мы не знаем об этом наверняка, но документов, показывающих наличие таких средств, у нас нет. Но кое-какие факты говорят в пользу того, что защита неадекватна важности данных. Давайте попробуем проанализировать возможные каналы утечки конфиденциальной информации, которая передана пользователем в информационную систему оператора ЭТП.
Кто же может пострадать от недостаточной защищенности сайта icetrade.by?
Заказчиками работ чаще всего бывают государственные предприятия, а это ‑ бюджетные деньги. Более того, каждая из компаний добровольно соглашается предоставить конфиденциальную информацию организаторам конкурса на закупку тех или иных товаров или услуг. Но без должной защиты подаваемых на тендер документов невозможно добиться выполнения главной цели всех тендеров, проводящихся государством, ‑ а именно, минимизации закупочных цен.
Тем не менее, выход из сложившейся ситуации видится в том, чтобы создать и провести аттестацию СЗИ системы icetrade.by в соответствии с приказом Оперативно-аналитического центра при Президенте Республики Беларусь от 30.08.2013 № 62 «О некоторых вопросах технической и криптографической защиты информации». Когда мы говорим об аттестации системы ЭТП по требованиям информационной безопасности, мы имеем в виду, что в торговой системе будут предприняты комплексные меры, не только организационные, но и ряд технических по защите информации, гарантирующих невозможность ее утечки и модификации и т.д.
В таком случае можно будет не испытывать сомнений в том, что данные об электронных госзакупках могут быть «слиты» системным администратором, и государство потеряет из-за этого серьезную сумму денег. При таком решении автоматически снимутся все вопросы, связанные с возможной утечкой информации о проводимых торгах и участники торгов будут чувствовать себя защищенными, повысится доверие к ЭТП, а государство получит большой экономических эффект от внедрения системы защиты информации ЭТП.
Просим обратить внимание, что данной статьей мы никого не пытаемся обвинить в возможной утечке информации и недобросовестном отношении к выполнению своих служебных обязанностей. Это прерогатива правоохранительных органов, ведущих оперативно-розыскную деятельность, и регулятора в области защиты информации.