Офіційні сайти й автоматизовані системи прийняття рішень: питання захисту інформації

Як функціонують офіційні сайти органів державної влади та місцевого самоврядування і що являють собою автоматизовані системи прийняття рішень: розбираємо на прикладі Полтавської обласної ради.

 


 

Полтавською обласною радою поширюються відомості про виконання останньою повних і остаточних формальностей і процедур, пов’язаних з дотриманням вимог Закону України «Про захист інформації в інформаційно-телекомунікаційних системах» щодо системи голосування для ухвалення рішень шляхом отримання Атестату відповідності (виданого Полтавській обласній раді) Товариством з обмеженою відповідальністю «Науково-технічна компанія «Технології безпеки» (ідентифікаційний код 34860601, 03110, м. Київ, вул. Олександра Пироговського, 19/2, директор Бікбулатов Сергій Юрійович), зареєстрованими в Адміністрації Державної служби спеціального зв’язку та захисту інформації України 20 грудня 2019 року за № 20978.

 

Перший заступник директора Центру економіко-правових дослідженьОлексій Святогор подав адвокатський запит на адресу Адміністрації Державної служби спеціального зв’язку та захисту інформації України з проханням підтвердити або спростувати вказану інформацію (наявність Атестату відповідності з указаними реквізитами), а також повідомити, чи є вказані дії достатніми та повними для того, аби вважати систему голосування (щодо якої видано сертифікат) такою, що відповідає вимогам законодавства.

 

Було поставлено й питання про таке:

 

  • законодавчі та фактичні підстави, на яких діє ТОВ «Науково-технічна компанія «Технології безпеки», здійснюючи вказану експертизу і видаючи Атестат відповідності (ліцензія, дозвіл, допуск, атестат, сертифікат тощо);
  • рівень організації та існування/запровадження системи голосування (прийняття рішень) Полтавської обласної ради до отримання вказаного Атестату (а саме, чи можна вважати відомості, які в ній обліковуються та обліковувалися достатньо достовірними та такими, що не піддавалися змінам, корегуванням, несанкціонованому доступу тощо);
  • стан офіційного сайту Полтавської обласної ради (зважаючи на наявність вимог законодавства про обов’язковість такого сайту, необхідності поширення на ньому інформації про ухвалені акти або їх проекти, громадські обговорення, публічну інформацію тощо) – чи дотримано вимоги Закону України «Про захист інформації в інформаційно-телекомунікаційних системах» щодо функціонування вказаного сайту?

 

Подання даного запиту було пов’язано з необхідністю повного і всебічного дослідження ситуації, що склалася, оскільки наші фахівці отримали відомості про інших суб’єктів правовідносин, які нехтують виконанням вимог законодавства про захист інформації в інформаційно-телекомунікаційних системах, про які негайно поінформуємо отримувачів цього запиту задля проведення щодо них необхідної роботи по забезпеченню повноти та правильності діяльності.

 

Отримана нами інформація і пропозиції щодо усунення виявлених проблем стануть у нагоді іншим науковцям і практикам, які займаються діяльністю на рівні аналізу інформаційно-аналітичних систем.

 

Відповідно до вимог чинного законодавства кожен орган державної влади та місцевого самоврядування повинен мати свій офіційний сайт, а також електронну систему голосування (прийняття рішень). Проте практика показує, що поняття «офіційний сайт» і «автоматизовані системи прийняття рішень» деякі органи тлумачать довільно й на власний розсуд.

 

«Автоматизовані системи прийняття рішень» – це не просто якісь технічні комплекси та програмне забезпечення, що складається з кнопок і дротів чи програми, котру міг написати аматор. Цю систему використовують депутати під час голосування та прийняття рішень, і тому вона має відповідати вимогам, передбаченим законодаством.

 

Аналогічні вимоги встановлені щодо функціонування офіційних сайтів органів державної влади та місцевого самоврядування. Тобто для цього неможна зареєструвати просто якийсь сайт і назвати його «офіційним».

 

Закон встановлює, що всі технічні нюанси повинні пройти низку формальних процедур і здійснюватися під контролем уповноваженого на те державного органу – Державної служби спеціального зв’язку та захисту інформації України. Офіційні сайти й автоматизовані системи прийняття рішень (голосування) повинні використовуватися з дотриманням вимог, які передбачають високий рівень захищеності від несанкціонованого доступу і втручання в результати голосування. Такі вимоги обумовлено необхідністю унеможливити несанкціонований доступ сторонніх осіб в електронні системи з метою внесення змін або знищення інформації.

 

Зокрема такі загальні правила встановлені для того, щоб забезпечити вільний доступ громадян до ознайомлення з інформацією, змістом нормативно-правових актів тощо, запобігти викривленню відомостей, змісту, внесення інших несанкціонованих коригувань.

 

В частині голосування це означає, що система не передбачає «ручного управління» результатами голосувань: коли «за» прийняття того чи іншого рішення проголосувала певна кількість осіб, то ці відомості фіксуються системою та ніхто не може довільно змінити результати підрахунку голосів.

 

Тому всі ці системи перебувають під контролем спеціально уповноважених державних органів, які видають відповідні дозвільні документи на їх використання (сертифікати, висновки тощо).

 

Про це докладно роз’яснено в листі, що надійшов у відповідь на адвокатський запит від Адміністрації Держспецзв’язку.

 

Офіційні сайти й автоматизовані системи прийняття рішень: питання захисту інформації

Офіційні сайти й автоматизовані системи прийняття рішень: питання захисту інформації

Офіційні сайти й автоматизовані системи прийняття рішень: питання захисту інформації

 

 

Як бачимо, переважна більшість сайтів, інформаційних баз і автоматизовані системи прийняття рішень перебувають приблизно в такому первісному стані, як у Полтаві. Мають місце недоліки в їх роботі та інші проблеми, що потребують вжиття заходів реагування. Фактично основна проблема полягає в тому, що результати голосування у значній кількості рішень, ухвалених під час голосування з використанням таких електронних систем можуть бути скасовані чи оспорювані.

 

Так, за умови проведення належної правової роботи та за ініціативою зацікавлених осіб (перш за все, адвокатів, юристів) можна добитися скасування ухваленого рішення в силу відсутності верифікації результатів голосування. Це означає, що інформація не захищена належним чином, і дотепер існують неусунені прогалини в роботі систем, а саме розміщена інформація може бути змінена чи знищена, й навіть результати підрахунку голосів під час прийняття рішень, що виводяться на екран монітору, можуть вважатися нікчемними.

 

Загальнодержавний бюлетень «Говори!» запрошує до співпраці в частині поширення достовірних відомостей про необхідність і процедури дотримання вимог законодавства всіма суб’єктами правовідносин, з тим, аби жоден з них не мав змоги ухилитися від здійснення експертних досліджень та не користувався інформаційним ресурсами сумнівного і протиправного характеру.

 

Читайте також: 

Електронні шахраї з Полтавської обласної ради