fbpx

Підвищення безпеки прозорих закупівель

Економіка 17:25, 28.07, 2020

Інновації для державного підприємства

Ще не встигли користувачі повноцінно освоїти нову редакцію Закону про державні закупівлі, як команда Прозорро на чолі з генеральним директором підприємства Василем Задворним впроваджує нові сучасні зміни.

Вже з 1 червня запрацювала нова прогресивна ініціатива Bug Bounty, що ніяк не стосується шоколадних жуків, а полягає у виявленні вразливих місць системи перед кібернетичною загрозою у сучасному світі. Прозорість використання державних коштів, видалення корупції та безпека всіх учасників закупівельного процесу були, є і завжди будуть головними пріоритетами невгамовної  команди Задворного. А тому вже фільтрований досвід світових акул великого бізнесу, як-то Гугл, Амазон чи Фейсбук, активно впроваджується у нашому економічному середовищі з метою видалення заскорузлої цвілі економічних злочинів.

Кібербезпека

У вересні минулого року був вперше проведений моніторинг системи провідними хакерами. Тоді не було виявлено жодного недоліку у функціоналі центральної бази даних та аукціонному модулі,  а лише виправлено незначні помилки та покращено інтерфейс для більш комфортної комунікації.

Раніше до подібної практики в Україні приходили лише приватні компанії, тоді як більшість державних установ в основному працювали з тими програмами, що залишилися після радянських систем, що за своєю природою не стійкі до вимог сучасного кібернетичного середовища. Ще з 2013 року під час масових протестів було повідомлено про перші атаки на приватні підприємства та державні установи, коли постраждала енергосистема, стали очевидними вади, недоліки та необхідність укріплення інформаційних баз та підвищення безпеки кіберпростору.

6 грудня 2016 року відбулась хакерська атака на урядові ресурси, у тому числі Держказначейства, а також 14 квітня та 27 червня 2017 року були проведені масштабні атаки на українські системи, коли хакери отримали доступ до 80% підприємств шляхом автоматизованого обходу стандартних процедур аутентифікації та віддаленого доступу до техніки. Тоді сталося вірусне ураження закордонних дотичних систем, що призвело до ураження близько п’ятисот тисяч комп’ютерів по усьому світу.

Bug bounty у світі

Через вимушену готовність до кібернетичних атак державних підприємств по всьому світу все більше впроваджується принцип bug bounty. До прикладу, Пентагон у 2016 році започаткував власний регулярний моніторинг і виплатив «білим» хакерам понад 330 тис. дол. винагороди за ідентифікацію більше як трьох сотень «дірок» у безпеці.

Сінгапур практикує такий  пошук недоліків з 2018 року, а за 26 впольованих багів минулого року було сплачено винагороди 11 750 тис. дол.

Що ж до української практики, то за червень 2020 року команда з семи багхантерів виявила та успішно усунула 53 загрози різного рівня небезпеки. Найбільш продуктивним був пошук Вадима Шовкуна, багхантера на прізвисько Jarvis, що за свою валідну роботу отримав цінні подарунки. Пошуки проходили у тестовому середовищі системи Прозорро, що ніяк не порушувало прав користувачів та засад конфіденційності, а сама система працювала у звичному режимі. Керівництво вирішило лишити Bug Bounty у постійному застосуванні, а тому до регулярної участі запрошуються талановиті кібераудитори.

Водяні знаки

Від 19 червня 2020 року при завантаженні пакета документів у систему електронних закупівель можна використовувати функцію нанесення діагонального напівпрозорого «водяного» знаку на сканкопії. Функція рекомендована до використання для підвищення рівня захисту персональних даних учасників закупівельного процесу. Інформація такого маркеру включатиме код ЄДРПОУ постачальника та напис «Для участі у закупівлях», що у свою чергу унеможливить використання копій документів поза системою у шахрайських цілях.

Такі водяні знаки – це буденна практика аналогічних європейських систем закупівель, і відтепер, у відповідь на запит користувачів системи щодо захисту відкритих даних, їх включено і до ЕСЗ Прозорро та супутніх майданчиків. Важливо, що Закон України «Про публічні закупівлі» жодним чином не виключає використання подібних поміток на сторінках пакета тендерної документації, а тому адміністрація ресурсу закликає включити до постійної практики таке нововведення.

Через те, що нова редакція Закону жодним чином не регулює збір, захист та обробку персональних даних учасників, доступ до яких мають усі зацікавлені користувачі мережі, сторона постачальника завжди може обґрунтовано оскаржити вимогу замовника надати сканкопії паспорта та ідентифікаційного коду, до прикладу. Замовник зобов’язаний надати обґрунтовану відповідь по суті такого запиту особистих даних та перебільшеної необхідності таких документів у складі тендерного пакета.

Згідно з Законом Україні «Про захист персональних даних» у площині електронних комерційних стосунків підприємці, що надають сканкопії особистих документів шляхом їх публікації, автоматично дають згоду на їх використання. Виходячи з цього, підприємці мають своєчасно та уважно аналізувати умови та склад тендерної документації та реагувати на перевищення регламенту зі сторони замовника.

Аналітика з боку майданчиків

Цього року також включено додаткові механізми аналітики та простеження корупційних схем у стосунках між учасниками закупівель у системах деяких майданчиків. Можливість спрогнозувати не тільки вірогідних конкурентів майбутнього аукціону та їхню цінову пропозицію, а ще й кроки пониження під час раундів аукціону, відтепер дозволить продуктивніше планувати роботу  та краще готувати цінову пропозицію. Вивчаючи репутацію фірми-постачальника або замовника та причинно-наслідкові зв’язки вже сталих відносин, можна глибше зрозуміти ринок, ефективніше оцінювати свої можливості та тактично маневрувати як активний користувач системи.

Тож відтепер держзакупівлі онлайн будуть проходити за умов підвищеної безпеки, що регулярно вдосконалюється не тільки на рівні комп’ютерних систем та технологій, а й завдяки законодавчим ініціативам.

Реклама

Якщо ви знайшли помилку, будь ласка, виділіть фрагмент тексту та натисніть Ctrl + Enter
Повідомити про помилку

Текст, який буде надіслано нашим редакторам: