Дира на митниці
Нова митниця відкрила дисциплінарне провадження через можливі ризики витоку інформації.
У вересні 2019 Нова митниця анонсувала проведення внутрішнього IT-аудиту, аби виявити сильні та слабкі місця, можливі вразливості, а також потенціал розвитку своєї IT-інфраструктури. Ми вдячні Євросоюзу, який профінансував роботу експертів міжвідомчої робочої групи, які — із дотриманням норм конфіденційності та під наглядом співробітників СБУ — детально проаналізували стан справ.
Нещодавно завершений аудит показав, на жаль, серед іншого: існують ризики витоку інформації та несанкціонованого доступу до неї (власне, дані Митниці майже відкрито продаються на піратських сайтах). Серед головних причин — деякі особливості архітектури та відсутність Комплексної системи захисту інформації (КСЗІ) на Автоматизовану систему митного оформлення “Інспектор-2006”, включно з повноцінною технічною документацією до неї. Іншими словами, немає гарантії, що головна програма, у якій здійснюються митні формальності, є безпечною та надійною.
Упродовж 14 років — з часу введення в експлуатацію АСМО “Інспектор-2006” — Держмитслужба (в тому числі ДФС, від якої Нова митниця отримала у спадок АСМО) порушувала вимоги Закону України “Про захист інформації в інформаційно-телекомунікаційних системах”, в тому числі упродовж 10 років — Закону України “Про захист персональних даних”. Обидва закони зобов’язують органи державної влади здійснювати обробку інформації в інформаційно-телекомунікаційних системах із застосуванням КСЗІ з підтвердженою Держспецзв’язком відповідністю. За законодавством саме цей сертифікат є доказом того, що функція захисту інформації реалізована, належний рівень цілісності та конфіденційності даних забезпечений, ризики несанкціонованого доступу до інформації мінімізовані, внутрішні процедури та рівні доступу визначені тощо.
Для того, аби визначити роль і можливі порушення працівниками Держмитслужби та/або ДФС, відповідальних за цей напрямок розробки та супроводження програмного забезпечення, було порушено дисциплінарне провадження. Натепер триває внутрішнє розслідування.
Нова митниця, яка виконує, серед інших, фіскальну функцію та забезпечує дохідну частину держбюджету, не може собі дозволити легковажити захищеністю даних — саме тому ми вдосконалюємо IT-платформу. Це зведе нанівець потенційні вразливості АСМО “Інспектор-2006”, технічної документації на яку наразі немає, а відтак оперативно отримати атестат відповідності КСЗІ — нереально. На сьогодні за підтримки проекту TAPAS ми провели перші три тендери на створення порталу, Єдиного вікна та Електронного кабінету користувача.
Нова митниця — нова не лише за назвою. Ми готові прощатися із кадрами, які не поділяють розбудову клієнтоорієнтованих прозорих — і, головне, — безпечних та надійних сервісів на Митниці. Так, як було раніше, вже не буде. Цифрову трансформацію на Митниці не зупинити.
