Второй год жители столицы пользуются «Карточкой киевлянина», которая была внедрена вместо инвестиционного проекта с аналогичным названием. Но оказывается, городской продукт все это время работает без гарантии надёжной защиты информации.

Сначала – экспертиза, потом – широкое использование

За появление нового электронного документа Киевсовет проголосовал еще в декабре 2018 года. Тогда было принято решение №549/6600 «О внедрении в городе Киев многофункциональной электронной карточки «Муниципальная карточка «Карточка киевлянина», которая согласно распоряжению начинала функционировать с 1 января 2019 года.

Как требует законодательство, «Муниципальная Карточка киевлянина» должна получить комплексную систему защиты информации (КСЗИ), а также пройти государственную экспертизу. Она подтверждает защиту программы.

Вопрос сохранности данных также поднимался на заседании горсовета, когда депутаты обсуждали внедрение муниципальной карточки. Некоторые из них интересовались, имеет ли КП «ГИВЦ» соответствующую КСЗИ для нового программного продукта. Руководитель Департамента информационно-коммуникационных технологий КГГА Юрий Назаров уверял, что все информационные системы в мэрии, которые работают с персональными данными, имеют построенные КСЗИ. Чиновник даже обещал показать депутатам соответствующий сертификат на «Муниципальную Карточку киевлянина».

В защиту Юрия Назарова выступил мэр Киева Виталий Кличко. Он заявлял, что информация во всех городских информационных системах надежно защищена. В столице всего лишь меняется один электронный паспорт горожанина на другой, поэтому волноваться не о чем.

На самом деле комплексная система защиты информации так до сих пор и не появилась у муниципального документа. Об этом свидетельствует тендер КП «ГИВЦ» на разработку КСЗИ за 3 млн грн. Его провели в апреле 2019 года. В торгах победило госпредприятие «Украинские специальные системы». В свою очередь для создания комплексной системы защиты компания наняла подрядчика – ООО «Авалекс Сольюшн», заключив для этого два договора, один на сумму 805 тыс. грн., и второй - на 750 тыс. грн. 

А вот этап государственной экспертизы «Карточка киевлянина» еще не проходила. Только 11 февраля 2020 года КП «ГИВЦ» объявило тендер на проведение государственной экспертизы КСЗИ «Реестра держателей многофункциональной электронной карточки «Муниципальная карточка «Карточка киевлянина» за 2,9 млн грн. Как указано в тендерной документации, срок проведения данной процедуры продлится до 28 декабря 2020 года.

«Так делать нельзя. Даже при наличии системы защиты остаются риски. Как мне известно, на банковскую систему «Кредитная история» совершается по 40 хакерских атак в день. Городу надо сначала разработать систему защиты на бумаге, утвердить ее, причем она должна быть связана с другими системами и реестрами. Ведь «Карточка киевлянина» — это связь с городским транспортом, банками, аптеками, то есть должны использоваться унифицированные форматы обмена данными, а над этим надо очень тщательно поработать. После разработки КСЗИ действительно нужно пройти государственную экспертизу. Но у нас нет системного подхода к подобным вопросам. Одна команда заменяют другую, а на создание защитных систем часто берут своих людей», - рассказала в интервью DATA.UA старший научный сотрудник Института кибернетики им. В.М. Глушкова НАНУ Вера Глушкова.

Отсутствие защиты данных нарушает закон

Почему город медлит с созданием системы безопасности для собственного продукта, пояснений нет. На запрос DATA.UA в КП «ГИВЦ» объяснили, что новая «Карточка киевлянина» действительно требует государственной экспертизы, которая и стала предметом упомянутой закупки.

«Не волнуйтесь, проблемы с тендерами – исключительно наши, мы своевременно все сделали. Пользоваться карточками безопасно», - заявил в интервью DATA.UA Юрий Назаров.

По данным КГГА, сейчас «Карточкой киевлянина» пользуется около 670 тысяч горожан. Документ содержит информацию о ее держателе (имя, адрес, телефон, электронная почта, категория льгот, данные об использовании городского транспорта и других коммунальных услуг), а гарантий защиты все еще нет.

Такие промедления со стороны КГГА нарушают закон «О защите информации в информационно-телекоммуникационных системах». Согласно статье 8, если у документа есть КСЗИ, но нет сертификата о прохождении госэкспертизы, как с «Карточкой киевлянина», запускать продукт в широкое использование нельзя.

«Возможно, киевским властям не стоило спешить с заявлениями о готовности системы защиты. У Киева очень большая база данных, почти 4 миллиона населения, много видов транспорта, все это надо объединить. На разработку системы защиты изначально нужно закладывать больше времени. Ведь чем больше система, тем она сложнее», - сообщил в интервью DATA.UA руководитель аналитического центра «Институт города» Александр Сергиенко.

На защиту данных одного программного продукта тратится около 6-9 месяцев. В истории с «Карточкой киевлянина» финала еще не видно. КП «ГИВЦ» оглашает новые торги, связанные с безопасностью данных. Причем некоторые тендеры проводятся по второму разу. По данным сайта «Prozorro», 25 февраля 2020 года коммунальное предприятие объявило о закупке услуг по модернизации реестра держателей муниципальной «Карточки киевлянина» за 10,5 млн грн. Эту же услугу КП «ГИВЦ» закупал у ООО «Эф Ди Ай Компани» в июне прошлого года. Тендерные условия идентичны. Отличается только цена закупки - предыдущая составила 9 млн грн.

Стоит отметить, что у «Карточки киевлянина», которую внедрял инвестор, была готова комплексная система защиты информации, а также сертификат соответствия Государственной службы специальной связи и защиты информации. Инвестиционный проект закрыли, а город оказался не готов к замене одного электронного документа на другой.

Подписывайтесь на канал свежих новостей DATA.ua в telegram, а так же на официальные страницы в facebook и twitter, чтобы быть первым в курсе событий.