Висновок антикорупційної експертизи проєкту постанови Кабінету Міністрів України «Про затвердження Порядку пошуку та виявлення потенційних вразливостей інформаційних (автоматизованих), електронних комунікаційних, інформаційно-комунікаційних систем, електронних комунікаційних мереж»

Картка проєкту

Розробник проєкту постанови: Адміністрація Державної служби спеціального зв’язку та захисту інформації України

Мета проєкту – визначення та затвердження на законодавчому рівні можливості легально тестувати інформаційні системи на наявність вразливостей

Проєкт постанови надіслано відповідно до § 372 Регламенту Кабінету Міністрів України

 

Резюме антикорупційної експертизи

За результатами проведення антикорупційної експертизи Національне агентство ідентифікувало у проєкті постанови корупціогенні фактори, зокрема: не встановлено підстав та умов визначення координатора під час проведення пошуку та виявлення потенційних вразливостей інформаційних (автоматизованих), електронних комунікаційних, інформаційно-комунікаційних систем, електронних комунікаційних мереж; не визначено строків та порядку вчинення запропонованих дій учасників пошуку та виявлення зазначених вразливостей.  

Опис виявленого корупціогенного фактора

1. Неналежне визначення змісту й обсягу прав чи обов’язків фізичних (юридичних) осіб 1.1. У проєкті постанови пропонується затвердити Порядок пошуку та виявлення потенційних вразливостей інформаційних (автоматизованих), електронних комунікаційних, інформаційно-комунікаційних систем, електронних комунікаційних мереж (далі – проєкт Порядку). Проєкт Порядку визначає процедуру організації та проведення пошуку і виявлення потенційних вразливостей інформаційних (автоматизованих), електронних комунікаційних, інформаційно-комунікаційних систем, електронних комунікаційних мереж на підставі публічної пропозиції. Відповідно до п. 2 проєкту Порядку дослідник – фізична або юридична особа, яка діє відповідно до вимог Порядку та, знайшовши потенційну вразливість, має повідомити про неї власника системи згідно з умовами публічної пропозиції. Власник (володілець) системи – фізична або юридична особа, якій належить право власності на систему або до повноважень і функцій якої належить функція технічного адміністратора системи. В абз. 1 п. 3 проєкту Порядку визначено, що цей Порядок є обов’язковим для державних органів, органів місцевого самоврядування, державних і комунальних підприємств, організацій та установ, у статутному капіталі яких більше ніж 50 відсотків акцій (часток) належить державі, територіальній громаді, які прийняли рішення про необхідність проведення пошуку та виявлення потенційних вразливостей їх інформаційних (автоматизованих), електронних, комунікаційних, інформаційно-комунікаційних систем, електронних комунікаційних мереж на підставі публічної пропозиції. Отже, перелік суб’єктів, які згідно із проєктом Порядку виступатимуть «власниками системи», є дуже широким. Відповідно до п. 4 проєкту Порядку «власник системи, який прийняв рішення про проведення пошуку та виявлення потенційних вразливостей своїх систем на підставі публічної пропозиції, публікує на офіційному вебсайті таку публічну пропозицію. Розробка та оприлюднення публічної пропозиції можуть бути доручені власником системи координатору на підставі окремого договору». В абз. 7 п. 2 проєкту Порядку зазначено, що координатор – залучена власником системи непідконтрольна та непідпорядкована йому фізична або юридична особа, яка за дорученням власника системи оприлюднює публічну пропозицію та виконує інші пов’язані з цим дії, роз’яснює дослідникам положення цього Порядку та координує процес розкриття вразливостей, у тому числі у співпраці з іншими координаторами, бере участь у вирішенні спірних ситуацій тощо. Однак положення проєкту Порядку не визначають підстав залучення такого координатора. Це може зумовити прийняття власником системи необґрунтованих та суб’єктивних рішень. Застосоване формулювання «можуть бути доручені» наділяє власника системи дискреційними повноваженнями при прийнятті рішення щодо самостійної розробки та оприлюднення публічної пропозиції або залучення для цих завдань координатора. Окрім цього, проєкт Порядку не містить положень щодо процедури визначення координатора (відкритий конкурс, публічні закупівлі тощо). Не передбачено у проєкті Порядку і вимог до координатора, а отже, його функції може виконувати будь-яка фізична та юридична особа. Такий підхід ініціатора проєкту є необґрунтованим та обумовить зловживання власника системи при визначенні координатора. У проєкті Порядку відсутні положення щодо платності чи безоплатності договірних відносин власника системи та координатора. Також проєкт Порядку і супровідні документи не містять обґрунтування щодо необхідності функціонування координатора загалом. З огляду на відсутність до нього будь-яких вимог, завдання координатора, наприклад в органах державної влади, можуть якісно виконувати відповідні структурні підрозділи. Зважаючи на відсутність механізмів контролю, окремі із завдань, визначених проєктом Порядку, зокрема можливість здійснення власником системи матеріальної або грошової винагороди досліднику через координатора (п. 14 ), зумовлять зловживання під час використання бюджетних коштів. Рекомендації НАЗК: визначити у проєкті Порядку:

• вичерпні підстави для залучення координатора;
• порядок та умови визначення координатора, в тому числі вимоги до нього;
• механізм здійснення винагороди досліднику.

  1.2. Положення проєкту Порядку не містять чітких строків та порядку вчинення відповідних дій. Зокрема, у п. 9 проєкту Порядку передбачено, що після отримання звіту про вразливість власник системи/координатор повідомляє дослідника про те, що звіт про вразливість отримано із зазначенням його унікального ідентифікатора, дати реєстрації звіту про вразливість і подальших дій. Положення проєкту Порядку не визначають строків (порядку) реєстрації звіту власником системи та повідомлення дослідника про отримання звіту. Зважаючи на положення абз. 1 п. 10 проєкту Порядку, згідно з яким власник системи/координатор перевіряє, чи ця вразливість не була виявлена іншими дослідниками раніше, визначення черговості реєстрації звіту є важливим для уникнення зловживань власника системи/координатора та спірних правовідносин. Окрім цього, в абз. 1 п. 11 проєкту Порядку передбачено, що власник системи/координатор після проведення перевірки звіту про вразливість повідомляє дослідника про прийняте рішення щодо доцільності або недоцільності виправлення вразливості, наступні кроки, період ембарго, розмір та форму винагороди. У цьому положенні також не встановлено строку, протягом якого власник системи/координатор повідомляє дослідника про прийняте рішення, суб’єкта та критеріїв визначення розміру і форми винагороди, що зумовить ризик зловживань та негативно впливатиме на досягнення мети запропонованого проєкту. Рекомендації НАЗК: у проєкті Порядку визначити чіткі строки та порядок вчинення дій, передбачених у пп. 9, 11.  

Висновок:

проєкт постанови містить корупціогенний фактор та потребує доопрацювання з урахуванням наданих рекомендацій.   Голова Національного агентства з питань запобігання корупції                                                                      Олександр НОВІКОВ