Що не так з офіційним сайтом НАЗК?

27.11.2018

На третьому році роботи електронного реєстру декларацій офіційний статус веб-сайту Національного агентства з питань запобігання корупції висить під питанням, а разом із ним більш ніж два мільйони декларацій, які через нього подавались.

Ми давно звикли до інтернет сервісів – від онлайн-банкінгу до купівлі квитків. Але між Приват24 та офіційним державним сайтом є величезна різниця, яка полягає в свободі вибору.

Ви можете вільно обрати собі банк, водночас більш ніж мільйон чиновників, державних службовців, військових, а тепер і громадських діячів зобов’язані користуватися веб-сайтом НАЗК для подачі декларацій.

Тому зі свого боку держава мала б забезпечувати законність, належний сервіс та гарантії безпечного використання системи е-декларування, але з цим є ціла низка проблем, що може звести нанівець усю роботу зі створення реєстру декларацій.

Навіть одна з наступних п’яти проблем ставить під загрозу роботу всього реєстру декларацій, а разом – це просто джек-пот.

Проблема 1 – офіційний статус веб-сайту

Офіційний статус – не іграшки, це те, що породжує права й обов’язки, а у випадку з НАЗК ще і кримінальну відповідальність за неподання декларації через офіційний веб-сайт.

Стаття 45 Закону України “Про запобігання корупції” вимагає подавати декларації тільки на офіційному веб-сайті Національного агентства.

Разом з тим Закон не визначає, що мається на увазі під терміном “офіційний веб-сайт”.

Де знайти офіційний веб-сайт Національного агентства? Можна спробувати запитати в Google. Але це не офіційне джерело. Google дозволяє собі називати Кабінет міністрів України “Кабінетом монстрів” і взагалі надає будь-яку інформацію лише з довідковою метою.

Законодавство України, зокрема в законі “Про електронні довірчі послуги”, містить таке визначення веб-сайту:

“Веб-сайт – сукупність програмних засобів, розміщених за унікальною адресою в обчислювальній мережі, у тому числі в мережі Інтернет.

Згідно з постановою КМУ №851, центральні органи виконавчої влади мають реєструвати адреси своїх офіційних веб-сайтів у Національному реєстрі електронних інформаційних ресурсів.

Наразі офіційний веб-сайт НАЗК в Національному реєстрі електронних інформаційних ресурсів відсутній.

Відповідно до тієї ж постанови, реєстрація доменного імені здійснюється реєстрантом у домені GOV.UA та в разі потреби – у домені .УКР.

Легко переконатися, що зараз наявні обидві адреси, як латинкою nazk.gov.ua так і кирилицею назк.укр (друга, схоже, не належить Національному агентству).

Як за таких умов декларанту обрати правильну адресу, та чи взагалі існує документ, що визначає офіційну адресу веб-сайту Національного агентства – невідомо.

Позиція Національного агентства полягає в тому, що потреба у визначенні “офіційний веб-сайт Національного агентства” просто відсутня. Визначайте, як хочете.

Окремої уваги варте розміщення веб-сайту реєстру декларацій на окремому від “офіційного” доменному імені, що теж варто вважати порушенням закону, оскільки передбачено існування тільки ОДНОГО офіційного веб-сайту, а вже наведене визначення веб-сайту в законодавстві передбачає наявність однієї унікальної адреси (доменного імені).

Тому, згідно з законодавством, субдомени одного домену слід розглядати як окремі веб-сайти. Так, наприклад, веб-сайт Мінкультури – http://mincult.kmu.gov.ua – і є окремим веб-сайтом відносно батьківського домену, порталу Кабінету міністрів України https://www.kmu.gov.ua.

Проблема 2 – (не)належний захист

Коли ви вводите адресу веб-сайту в браузері, однією з перших операцій іде отримання на підставі символьної адреси (наприклад, google.com) її числового представлення, також відомої як IP адреси.

Якщо числова адреса буде визначена неправильно, вас буде підключено не до того серверу, і ваші дані будуть відправлені неналежній стороні. На цьому побудовано багато хакерських атак.

Домен nazk.gov.ua від моменту створення налаштований так, що його обслуговують три сервера імен, два з яких – це безкоштовні сервіси, з якими в Національного агентства немає ніяких договірних зобов’язань.

Відтак, вони можуть надати будь-яку цифрову адресу і в результаті відправити вашу декларацію на будь-який сервер, що не належить НАЗК.

Веб-сайт nazk.gov.ua теж вразливий, він розроблений на основі відкритої системи керуванням сайту Drupal, який відомий за історією з веб-сайтом Міненерго, який було зламано в квітні 2018 року завдяки вразливості, виявленій у березні цього ж року.

Веб-сайт Міненерго було зламано в квітні 2018 року

При цьому легко переконатися, що код веб-сайту nazk.gov.ua не оновлювався з жовтня 2016 року. Це можна зробити простим порівнянням версії файлу drupal.js з публічним репозиторієм проекту Drupal.

Код веб-сайту nazk.gov.ua не оновлювався з жовтня 2016 року

Це означає, що в найгарячішу пору подання декларацій у березні 2018 року веб-сайт, який Національне агентство називає офіційним, був і залишається вразливим.

Крім того, навіть поверхневий аналіз коду сайту показує, що він використовує код та ресурси з зовнішніх джерел, що містяться поза межами України.

Це дозволяє дистанційно внести будь-які зміни в кінцевий зміст веб-сайту, який бачить користувач. Наприклад, змінити поведінку кнопки “Подати декларацію”.

Сайт НАЗК використовує код та ресурси з зовнішніх джерел, що містяться поза межами України

Національне агентство заявляє, що має Атестат відповідності комплексної системи захисту інформації на реєстр декларацій. На наш запит, чи покриває цей атестат веб-сайт nazk.gov.ua, Національне агентство відповідати відмовилося, посилаючись на те, що це службова інформація.

Проблема 3 – форма декларації

Згідно зі статтею 45 Закону України “Про запобігання корупції”, декларант має подавати декларацію за минулий рік за формою, що визначається Національним агентством.

На наш запит на отримання копії форми ми одержали набір скріншотів (знімків екрану), який свідчить про те, що не система декларування створювалася під затверджену форму, а навпаки – форма “підганялася” під уже наявну систему. Ці скріншоти не мають нічого спільного з електронною декларацією, яку ми звикли бачити в публічній частині реєстру.

За такою формою неможливо самостійно створити документ хоча б тому, що вимог до декларації як електронного документа в затвердженій формі декларації просто немає.

Якість скріншотів подекуди настільки жахлива, що неможливо прочитати текст.

Чи можна вважати належною офіційною формою те, що неможливо прочитати, і чи можна за такою формою заповнити декларацію – кожен може вирішити сам для себе.

Проблема 4 – відсутність вимог

Подаючи декларацію через веб-сайт Національного агентства, декларант змушений використовувати власне обладнання – комп’ютер чи смартфон, підключений до інтернету.

У разі, коли веб-сайт не працює (як це було в багатьох декларантів), проблема може бути як на стороні Національного агентства, так і через те, що ви використовуєте неналежне обладнання чи програмне забезпечення.

Тому вимоги до обладнання, програмного забезпечення та навичок декларанта мали бути офіційно затверджені та доступні публічно.

Але вони відсутні. Ба більше, Національне агентство наполягає на тому, що вони не зобов’язані їх мати.

Таким чином, навіть невдалу спробу подати декларацію за допомогою старої Nokia 1100 слід вважати поважною причиною, що не залежить від декларанта, оскільки вимог використовувати якесь конкретне обладнання чи програмне забезпечення просто немає.

Проблема 5 – ігнорування проблем

В останні тижні березня система е-декларування постійно збоїла і зависала. Фейсбук-стрічка була заповнена десятками скріншотів непрацюючої системи.

На наш запит до Національного агентства про кількість зафіксованих збоїв та вжитих заходів щодо їхнього уникнення ми отримали відповідь, що збоїв у системі не було. Зовсім. Нуль. Жодного.

Це лише вказує на те, що ніякий моніторинг просто не ведеться.

Замість підсумку

Ключовим питанням роботи будь-якого державного органу є дотримання 19 статті Конституції України, а саме:

“Органи державної влади та органи місцевого самоврядування, їхні посадові особи зобов’язані діяти лише на підставі, у межах повноважень та в спосіб, що передбачені Конституцією та законами України”.

Якщо чиновник або цілий орган робить щось, що не передбачено законом, або а спосіб, який не передбачено Конституцією та законами України – він порушує закон.

Наразі ми маємо веб-сайт, який Національне агентство хоче називати офіційним, але його адресу не вказано в жодному офіційному документі.

Веб-сайт, який є потенційно вразливим і використовує код та ресурси з серверів поза межами України.

Без нормальної форми декларації. З відсутніми вимогами до декларанта та обладнання, необхідного для подачі декларації.

Якщо в перший рік такі проблеми можна було пояснити унікальністю системи та відсутністю досвіду в новоствореного агентства, то на третій рік роботи це більше схоже на продуманий і послідовний план з дискредитації системи електронного декларування.

Уже за 40 днів розпочнеться подача декларацій за 2018 рік, разом з цим почнеться відлік часу, коли декларанти можуть уникнути декларування, справедливо посилаючись на існуючі проблеми.

Подальше ігнорування цих проблем ставить під ризик усі досягнення антикорупційної реформи, серцем якої є реєстр декларацій. І відповідати за це мають конкретні керівники Національного агентства.

Володимир Фльонц, громадська організація “Електронна демократія”

Спеціально для УП

Джерело