«Дочку» Минфина обвинили в «подыгрыше» нужным компаниям
Центр анализа и расследования кибератак (ЦАРКА) прямо обвинил единого оператора в сфере государственных закупок АО «Центр электронных финансов», дочернюю организацию Министерства финансов РК, в организации невиданной по масштабам, наглости и простоте (даже для Казахстана) коррупционной схемы.
И та, и другая сторона сыплют терминами, которые в мире IT наверняка считаются простейшими, но автору этих строк, 100%-ному гуманитарию, пришлось изучить не одну страницу словарей. Помогли и независимые эксперты. Теперь эту коррупционную историю, плавно перетекшую в сетевой холивар (спор непримиримых оппонентов), можно описать на доступном языке.
Слово «тендер» в наших краях «благодаря» усилиям отдельных чиновников и топ-менеджеров давненько приобрело ярко выраженный негативный окрас. Попробуйте набросать ассоциативный ряд. Что получилось? У меня: коррупция, обман, мошенничество, кормушка и т.д. Положительного в голове не рождается, так как хожу по этим дорогам, вижу «упакованные» кабинеты чиновников, их «Мерсы», машины их жен, заграничный отдых наконец. Все это при официальной зарплате в «какие-нибудь» 500 тыс.
В справедливость госзакупок, пожалуй, не верят даже самые наивные, ура-патриотичные казахстанцы.
Но довольно лирики, перейдем к сути. Итак, все началось с поста в Facebook. Специалисты ЦАРКА огнем прошлись по «дочке» Минфина, позволив себе при этом язвительные комментарии:
«Чтобы понять объемы коррупции отметим, цена победы на конкурсе составляет 5-10% от стоимости лота, а на портале ежедневно разыгрываются конкурсы на миллиарды тенге. Операторы системы неоднократно утверждали, что защищённость системы и шифрование цен участников происходит таким образом, что даже администратор базы данных не может увидеть эту информацию.
Как оказалось, задача по получению доступа к закрытым данным аукционов и конкурсов реализуется достаточно просто и в то же время гениально. Администраторы сайта установили во всех разделах портала, в том числе личных кабинетах, известный инструмент - Яндекс.Метрика. По сути, это удобный инструмент для маркетологов, отслеживающий и регистрирующий всю активность пользователя на вашем сайте. Получить доступ к истории всех действий пользователей (движения мыши, нажатые клавиши и т.д.), в том числе установленные цены, можно в панели вебвизора Яндекс.Метрика. Как тебе такое, Илон Маск?»
А сейчас постараюсь пояснить более понятным языком. Яндекс.Метрика, по словам экспертов, позволяет встроить так называемые тепловые карты. То есть, некий администратор определенного ресурса с помощью такой карты может проследить за каждым действием авторизованного пользователя. Это делается для того, чтобы определить участки, больше всего приковывающие взгляд/внимание посетителя. Именно там размещается дорогая реклама, на менее популярных зонах, соответственно, дешевая. Все это в режиме онлайн-видео. Это и есть панель вебвизора.
Для справки: Вебвизор (WebVisor) - технология, благодаря которой можно анализировать действия посетителей интернет-сайта в режиме онлайн-видео. Воспользовавшись встроенным плеером, можно увидеть точное повторение всех действий посетителя на сайте, как если бы смотрели в его монитор: движения мыши, клики, прокрутка страницы, нажатия на клавиши и заполнение форм, выделение и копирование текста.
Движемся дальше. Пост продолжается справедливыми вопросами: Кто имеет доступ к панели вебвизора? Зачем установили этот инструмент? Кто занимался обеспечением информационной безопасности данных и допустил (организовал) утечку конфиденциальных данных?
«Преступление раскрыто, но, к сожалению, опять никого не накажут», - говорится в завершение поста.
Пост в соцсети, пусть и далеко небезобидный, все равно выглядит менее убедительным по сравнению с официальным так скажем комментарием. Потому я обратился за разъяснениями к директору ЦАРКА.
«Вся эта ситуация всплыла благодаря одному из кейсов. К нам обратился специалист, участник нашего чата. Он рассказал, что бился за один конкурс. Победитель в этом конкурсе зашел последним, поставил минимальную цену, с маленьким отрывом, и он победил. И после этого, говорит, мы начали разбираться: как так получилось? Один из вариантов был, что кто-то из сотрудников слил. А потом, говорит, заглянули туда и увидели, что стоит Яндекс.Метрика. Сразу же задались вопросом. Яндекс.Метрика, Гугл.Метрика и Зеро - зачем это там стоит? Любое нажатие клавиши в такой ситуации фиксируется.
Теперь Центру электронных финансов простой вопрос: зачем вы используете Яндекс.Метрику?
Они дают какие-то невнятные ответы: Для того, чтобы улучшить… То есть, им же не нужно удерживать пользователя на своем сайте?! Туда по делу заходят, им не нужно выбирать лучшее место для рекламы. Нет нормального объяснения, единственное объяснение, которое они дают, что да, мы использовали Яндекс.Метрику, что уже вызывает кучу вопросов, но мы якобы использовали ее в каком-то урезанном режиме, отключали то, что позволяет нам отслеживать. Это фактически легализованный keylogging (кейлогер – программное обеспечение или аппаратное устройство, регистрирующее различные действия пользователя — нажатия клавиш на клавиатуре компьютера, движения и нажатия клавиш мыши и т. д)», - заявил Арман Абдрасилов.
Примитивность схемы даже восхитила пользователей соцсети. Все гениальное просто. Один из комментаторов назвал происходящее «корпоративным шпионажем с помощью стандартных маркетинговых инструментов».
Так зачем «непродающему» сайту Единого оператора сферы госзакупок использовать маркетинговые уловки? И чем это могло обернуться и/или обернулось при розыгрыше сотен тысяч тендеров?
«Могли ли они теоретически видеть действия того или иного участника тендера? Да, действия каждого пользователя, который зашел в личный кабинет. Таким образом прямо влиять на процесс госзакупок? Да, они могли подыгрывать другим участникам. То есть, есть конкурс, за который вы все боритесь, и если вы знаете, что один участник поставил условно 100 млн, то вы можете поставить 99 млн 999 тыс. и вы выигрываете! А когда процесс проходит закрыто, то никто не знает, кто какую цену поставил, бьются вслепую», - пояснил директор ЦАРКА.
Касательно упомянутого выше ответа от Центра электронных финансов. Разумеется, не отреагировать на подобную «атаку» там не могли. Более того, словесная пикировка началась под тем самым постом ЦАРКА в Facebook. За компанию ответил зампред правления единого оператора Дархан Биржанов. Все обвинения он отверг, а статью назвал черным пиаром.
Забегая наперед отмечу, что я обратился к Дархану Биржанову. Следуя тренду этой истории, написал ему в соцсети. Просьба была одна: озвучит свою позицию касательно обвинений. Ответа пока не последовало.
Зато в Министерстве финансов, учитывая резонанс, отмалчиваться не стали. Пресс-служба ведомства спустя пару дней после публикации ЦАРКА предоставила следующий комментарий:
«Скрипт «Яндекс. Метрика», размещенный на портале госзакупок, не позволяет получить доступ к конфиденциальной информации потенциальных поставщиков (персональной истории всех действий пользователей, в том числе к установленным ценам), что подтверждается независимой организацией – ООО «Яндекс». По данному вопросу уже проведена соответствующая проверка компетентными органами».
Более того, в министерстве заявили, что «Центр электронных финансов» намерен привлечь ЦАРКА к ответственности за распространение заведомо ложных сведений.
Чьи аргументы в результате весомее решать вам и теперь уже, видимо, компетентным органам. Скажу одно: в ЦАРКА не стали закрываться после обнародования «информационной бомбы», а принялись терпеливо разъяснять свою позицию, технические нюансы. Это, думается, уже говорит о многом.
«Внутри этой организации (АО «Центр электронных финансов») уже началась проверка, уже изучаются исходные коды. Во вред это как минимум не пойдет. На рынке это давно известный факт, что некоторым участникам подыгрывают, можно купить. Единственное, не можем на кого-то показать пальцем, но это точно было. Все это знают», - сказал в завершение интервью Арман Абдрасилов.
Для справки: ЦАРКА - анализ и предотвращение кибератак, компьютерных преступлений, экстренное реагирование на инциденты информационной безопасности, и развитие института цифровой гигиены и защищенности граждан и организаций Казахстана внутри информационного социума. Мы тесно сотрудничаем с государственными органами и частными организациями в сфере защиты информации, оказываем услуги аудита информационной безопасности. Особая стратегия Центра – тесное сотрудничество с ВУЗами в сфере подготовки квалифицированных специалистов в области ИБ и развитие научно-исследовательской и опытно-конструкторской работы в данной сфере.
Акционерное общество «Центр электронных финансов» является юридическим лицом по законодательству Республики Казахстан, казахстанской ИТ-компанией со 100 % государственной долей участия ‒ единым оператором в сфере государственных закупок и оператором в сфере информатизации по финансовым информационным системам и ресурсам.
Матвей ЗУЕВ