|
Алан Байтенов Центр анализа и расследований кибератак (ЦАРКА) выступил с сенсационным заявлением. Дословно: “ЦАРКА раскрыл коррупционную схему оператора портала госзакупок”. Вслед за столь громким заголовком сообщения представители ЦАРКА в подробностях рассказывают, как, по их мнению, могла утекать закрытая информация по ценовому предложению и как вследствие этого некоторым организациям удавалось побеждать в тендерах с минимальной формальной разницей в предложенной цене. Министерство финансов РК официально ответило, что не вся информация в сообщении ЦАРКА соответствует действительности. Поэтому оператор портала государственных закупок АО “Центр электронных финансов” (ЦЭФ) (дочерняя структура Минфина) намерен привлечь ЦАРКА за распространение недостоверной информации
Столь серьезное обвинение относительно оператора портала государственных закупок (в принципе, всей конкурсной системы) мы наблюдаем впервые. Масштаб судебных разбирательств, если факт утечки конфиденциальной информации докажут в суде, представить сложно. Ведь персональная ответственность - это в данном случае не существенно. Куда серьезнее, если примут решение пересмотреть результаты тендеров. Для комментария по ситуации, а также относительно нынешнего состояния взаимодействия с Минфином и ЦЭФ мы обратились к Арману Абдрасилову, директору ЦАРКА. Спикер отметил, что столь публичный, скажем так, перформанс со стороны ЦАРКА был вынужденной мерой: “Мы неоднократно сообщали о том, что у этой организации (ЦЭФ. - “НП”) есть утечка, что надо проводить внутреннее служебное расследование. В том числе мы говорили об этом и самому ЦЭФу”. Немного о сути произошедшего. По словам специалистов ЦАРКА, на портале государственных закупок, в том числе и в личном кабинете пользователя, где содержится важная коммерческая тайна, были установлены инструменты наблюдения и регистрации действий пользователей - Google Analytics и “Яндекс.Метрика”. Так, в частности, “Яндекс.Метрика”, будучи инструментом для понимания наиболее выгодного использования интернет-ресурса в маркетинговых целях, позволяет полностью отслеживать активность пользователя на странице ресурса вплоть до фиксирования нажатия определенной клавиши. Естественно, этот инструмент подвластен администратору сайта, в этом случае сотруднику государственного портала. Между тем в разговоре с нашим изданием Арман Абдрасилов уточнил: ЦАРКА предполагает, что установка подобных механизмов сбора информации могла быть результатом активности небольшой группы людей, которые использовали ее в своих целях. В Минфине признали, что “Яндекс.Метрика” была установлена, однако согласно их позиции “скрипт “Яндекс.Метрика”, размещенный на портале госзакупок, не позволяет получить доступ к конфиденциальной информации потенциальных поставщиков (персональной истории всех действий пользователей, в том числе установленным ценам), что подтверждает независимая организация - ООО “Яндекс”.
Ситуация как минимум неординарная. Итак, слово привлеченному эксперту - Арману Абрасилову, директору ЦАРКА. - Наше сообщение инициировало масштабную проверку в упомянутой организации - ЦЭФ (Центр электронных финансов. - “НП”). Как сообщил один из руководителей организации, проверяющие изучают исходные коды и журналы событий. Отмечу, что инструменты, которые мы обсуждаем (на сайте были установлены “Яндекс. Метрика” и Google Analytics), позволяют восстановить хронологию событий и действий каждого пользователя. Мы задаем простой вопрос: для чего использовали названные инструменты? Их применение логично и объяснимо на сайтах, которые, предположим, что-то продают, например рекламную площадь. “Яндекс.Метрика” позволяет строить так называемые тепловые карты - зоны повышенного внимания пользователя. Основываясь на этих данных, можно принимать меры для удержания посетителя на сайте - показывать следующую новость или партнерскую информацию. Однако все это неприменимо в случае с порталом госзакупок - задачи развлекать человека контентом нет, рекламы тоже нет, все пользователи заходят с конкретной задачей. ЦЭФ неоднократно заявлял, что принимаются все меры для ограничения доступа к информации в личном кабинете. Неоднократно заявлялось, что даже администраторы портала не имеют доступа к такого рода информации, но этот кейс доказывает обратное. Мы и другие пользователи портала повторили эксперимент - заходили в личный кабинет, вводили информацию и фиксировали “отстук” вводимой информации в кабинет администратора ресурса с помощью “Яндекс.Метрики”. Мы считаем, что это могло стать одним из источников утечки конфиденциальной информации. - Но все же формулировка заявления организации звучала как, условно говоря, “ЦАРКА раскрыла коррупционную схему оператора портала госзакупок”. То есть складывается впечатление, что речь идет о свершившемся факте раскрытия преступления... - К сожалению, за руку пока никого не поймали и нельзя обвинить конкретного человека. В то же время мы понимаем, что в ЦЭФ работают сотни сотрудников и, конечно же, большинство работников Министерства финансов или ЦЭФ ни при чем. На наш взгляд, это малочисленная преступная группа, которая продает важную информацию. Поэтому мы выступаем за проведение прозрачной проверки с привлечением экспертов. - Какова реакция Минфина или ЦЭФ на это по отношению к вашей организации? - Пока официальную переписку мы не начали. Было заявление пресс-службы, в котором ведомство признало наличие “Яндекс. Метрики” в личном кабинете. Однако утверждается, что функционал был ограничен. Отмечу, однако, что переключение приложения в полнофункциональный режим сбора информации и обратно осуществляется в несколько кликов мыши. Запустить подобный инструмент на ресурсе может только его администратор. Между тем подтверждение утечки данных может послужить основанием для оспаривания результатов других прошедших конкурсов. На наш взгляд, Минфин сам заинтересован разобраться в сложившейся ситуации. “НП” продолжит следить за развитием ситуации и готово предоставить слово как оператору портала госзакупок АО “Цеф”, так и представителям Министерства финансов. |