Проблеми з безпекою даних. Чому державні ІТ-сервіси не належать Україні?

25 вересня 2020, 08:00
Вы также можете прочесть этот материал на русском языке

99% державних органів замовляють розробку IT-продуктів у приватних компаній. Це негативно впливає на ІТ-безпеку держави. Чи можливо позбавитися від цієї залежності та яким чином?

Сьогодні без ІТ-підтримки неможливо представити жодну приватну або державну компанію, жоден орган державної влади. В українській державі ІТ-послуги замовляють і величезні структури на кшталт Єдиного державного реєстру, Нацполіції та міністерств, і дрібні організації: ОТГ, школи, лікарні. Зазвичай йдеться як про масштабні ІТ-проєкти, так і про просте налаштування серверів.

Відео дня

Все було б нормально, якби ці послуги повністю не замовлялися у приватних компаній. А на сьогодні ситуація така, що приватні компанії ледве не скрізь обслуговують державний сектор.

Як результат: держава стає заручником приватного бізнесу. Ризики очевидні навіть не фахівцям: ніколи не можна бути впевненими, що розробник ІТ-послуги не передасть дані іншим особам, не знищить їх, не внесе в них зміни або не збільшить вартість своїх послуг в кілька разів. Останнє, до речі, найбільш поширене явище.

У світі ця проблема називається «vendor lоck-in», і вважається реальною загрозою для державної ІТ-безпеки. В Україні це величезна проблема, але про неї чомусь майже не прийнято говорити.

Грошей немає, фахівців теж

Нещодавно ми у ДП Прозорро провели дискусію на тему вендор-локу в українських державних органах влади. Від профільних спеціалістів я почув невтішні висновки. Розвиток інформаційної безпеки фінансується державою за залишковим принципом — тобто коли коштів особливо й не залишається.

Невідповідність зарплат державного сектору ринковим — напевно одна із найбільших проблем ІТ-сектору. Про це свідчить, зокрема, статистика зарплат у приватних компаній. Відповідно, державним установам набагато складніше залучати IT-фахівців. Ситуація ліпша у держпідприємств, які можуть встановлювати ринкові зарплати й проєктів, у яких можна залучити донорське фінансування. Утім там, де не вдається встановити ринкові заробітні плати, держструктури віддають свої IT-процеси на аутсорсинг приватним компаніям.

Залежність від одного постачальника ІТ-послуги — це фактично поглинання ІТ-процесів державної установи одним розробником. Часто тільки та компанія, що розробляла продукт/послугу, може в подальшому його підтримувати, адже вона із самого початку зацікавлена у тому, щоб замовник не міг ані самостійно обслуговувати продукт, ані передав його іншій компанії.

Кожного разу розраховувати на порядність виконавців — погана стратегія. Одного разу може не пощастити

За словами Ольги Макогон, яка у 2019−2020 роках очолювала Державний центр зайнятості, 80% бюджету на закупівлю IT-рішень направлялося на підтримку вже існуючої ІТ-системи ДЦЗ, а не на її розвиток. У зв’язку з цим постачальник послуг не був зацікавлений працювати над покращенням продукту, оскільки поточні договори все одно гарантували оплату його послуг. Існуюча ІТ-залежність від постачальника пов‘язана була з обмеженими фінансовими та кадровими ресурсами служби.

Існує чимало випадків, коли постачальники ІТ-послуг брали за будь-які додаткові сервіси чималі гроші з держустанов. «Випадки, коли роботи на 10 хвилин, а рахунок — на $600 — дуже розповсюджені в державному секторі», — каже Євген Поремчук, технічний директор компанії BWN Group LLC, що займається розробкою та впровадженням рішень у сфері e-government.

Що робити?

Для початку необхідно визнати наявність проблеми вендор-локу і створити прості настанови для державних органів, що робити у тому чи іншому випадку. «Мені, як людині без технічного досвіду, не вистачає державних рекомендацій щодо технічних вимог, реалізації того чи іншого ІТ-рішення та взагалі того, як позбавитися вендор-локу або як поводитися з приватними виконавцями,» -- каже Ольга Макогон. Тобто потрібен чек-лист, завдяки якому людина без технічного бекграунду могла б визначити, як запобігти потраплянню в пастку приватного виконавця при підписанні договорів та як з неї вийти, якщо вже потрапив.

По-друге, побудувати стабільні, захищені і сталі ІТ-системи без фінансування та компетенцій всередині просто неможливо. Система Prozorro була створена волонтерами майже безкоштовно, і той факт, що вона сьогодні повністю належить та адмініструється державою — заслуга чесних і порядних людей, які створювали цю систему. Схожа ситуація з системою Дія, яку також на волонтерських засадах створювала приватна компанія EPAM і яка відходить від її розробки, передаючи усі права державній компанії DIIA.

Але кожного разу розраховувати на порядність виконавців — погана стратегія. Одного разу може не пощастити. Отже, висновок другий: держава має забезпечити необхідне фінансування розробки та підтримки своїх ІТ-рішень.

Гарна практика — створити власну ІТ-команду і самостійно керувати всім процесом розробки. Саме так ми в Prozorro зробили свого часу, аби у вирішенні наших поточних потреб не залежати від компанії-підрядника.

Але далеко не всі міністерства та відомства можуть створити власний ІТ-департамент. Це справді складно і інколи просто не потрібно: достатньо мати кількох гарних фахівців, які зможуть налагодити роботу з підрядником.

Для початку потрібно юридично оформити права на доступ до вихідного коду. На жаль, у великої кількості держустанов вихідний код не належить державі. Насправді ж замовник повинен мати виключні права на код та зберігати його на власних серверах. І це друга умова: побудова власних серверів для зберігання вихідного коду.

І зрештою: розробляйте свої ІТ системи так, аби вони були максимально незалежними від платформ (операційних систем, систем управління базами даних, тощо), якими ви користуєтесь.

В цілому державні дані та ІТ-системи — одна із складових нашої безпеки. Тому проблему вендор-локу необхідно вирішувати централізовано та цілісно.

Приєднуйтесь до нас у соцмережах Facebook, Telegram та Instagram.

poster
Картина ділового тижня

Щотижнева розсилка головних новин бізнесу і фінансів

Розсилка відправляється по суботах

Показати ще новини
Радіо НВ
X