По данным, дошедшим до «Азаттыкка», Государственная регистрационная служба (ГРС) КР из-за нерешенных вопросов с финансированием уже более года не может приобрести более десяти лицензий на программное обеспечение. В самом ведомстве эту информацию подтвердили частично.
Специалисты отмечают: если лицензии не обновлять, возникает риск безопасности персональной информации, что в итоге может повлиять и на выборы, проведение которых тесно связано с использованием биометрических данных граждан.
Что за лицензии?
На этот вопрос ГРС обязала ответить находящее в его ведении государственное предприятие (ГП) «Инфоком», которое и работает с базой биометрических данных граждан.
Заместитель директор «Инфокома» Асель Кененбаева сообщила следующее:
‒ Для хранения биометрических данных граждан мы выбрали систему управления базами данных (СУБД) компании Oracle. В 2014 году была приобретена первая лицензия, потом каждый год докупались другие, в итоге получилось 10 лицензий, но необходимо купить еще четыре. По правилам это делается каждый год. Лицензия гарантирует, что компания, которая владеет ею, обеспечивает нас технической поддержкой. Кроме того, она обновляет программное обеспечение, отвечающее за информационную безопасность.
Асель Кененбаева пояснила, почему запаздывают с приобретением лицензий:
‒ Стоимость этих лицензий - 374 тысячи долларов или же 26 млн 180 тысяч сомов. Эти средства должны выделяться ГРС и республиканским бюджетом. Мы ежегодно докладываем об этом соответствующим органам и с поступлением денег сразу приобретаем необходимое. В этом году из-за ситуации с коронавирусом средства не выделялись. Но на деятельность нашей базы это не влияет, мы продолжаем работать в прежнем режиме. Безопасность обеспечивается на прежнем уровне.
По теме: Биометрика – гарантия честных выборов?В ГРС и ГП «Инфоком» другие детали этой проблемы раскрывать не стали. Но ранее «Азаттык» получил копии различных документов по этой теме. Среди них – письма, которые ГРС направлял в Минфин, аппарат правительства, ГКНБ и ГСБЭП (финансовая полиция). Но данные оттуда разительно отличаются от того, что официально было озвучено ведомством. В частности, указано, что необходимо приобрести не четыре, а гораздо больше лицензий, соответственно и сумма больше той, что указана выше.
К примеру, в одном из документов говорится, что необходимо приобрести четыре лицензии на конфигурацию СУБД Oracle Database Enterprise Edition, а также восемь лицензий конфигурации Real Application Clusters. Их общая стоимость составляет 26 млн сомов.
В другой заявке уже указано, что необходимо шесть лицензий первой конфигурации и 8 - второй. И сумма тогда уже другая ‒ 471 тысяча 400 долларов или же 33 млн сомов.
ГРС запрашивает эти средства у Минфина с начала 2019 года. Несколько обращений было и в начале 2020 года. В этих же бумагах указано, что ведомство не закупало лицензии с 2016 года.
Заведующий госсектором Минфина Талантбек Стамалиев дал «Азаттыку» пояснения по этому поводу:
‒ На эти запросы ГРС мы уже давали ответ. Мы предложили им приобрести эти лицензии на СУБД на средства со спецсчета ведомства. Потому что они зарабатывают на изготовлении биометрических паспортов и оказании других услуг населению. Вы сами знаете, какой у нас дефицит бюджета, эти суммы непосильны для него. Государство в начале выделило средства на разработку базы, но Oracle ежегодно обновляет свои системы. И если государство будет ежегодно финансировать это, то бюджет будет тратить миллионные суммы! Поэтому мы разработали специальную тарификацию и разрешили ведомству использовать для этих целей спецсредства.
По теме: Обеспокоенность безопасностью биометрических данныхВ Минфине добавили, что у ГРС имеется два спецсчета, на которые в 2020 году поступили 163 млн и 410 млн сомов соответственно. Другими словами, это доходы ведомства, которые формируются за счет оказания услуг гражданам. И эти деньги есть у ГРС помимо тех средств, что выделяются бюджетом.
«Риск безопасности персональных данных»
Система управления базами данных (СУБД) или Database Management System (DBMS) ‒ это комплекс программ, позволяющих создать базу данных и манипулировать ими (вставлять, обновлять, удалять и выбирать). Используются они во многих сферах.
Используя систему Оracle Кыргызстан в этой базе хранит персональные идентификационные номера (ПИН) граждан, сведения об их семейном положении, биометрические данные (отпечатки пальцев и скан сетчатки глаза), образец подписи, а также паспортные и другие данные. Это база называется Единым государственным реестром населения, где хранятся все сведения о человеке, начиная с рождения и до смерти.
Базу биометрических данных ГРС использует при изготовлении биометрических паспортов и для оказания других услуг гражданам. Этой базой также могут пользоваться некоторые другие госорганы, в том числе правоохранительные. На сегодня в этой базе содержатся данные более 3 млн 400 тысяч кыргызстанцев.
В ГРС с 2014 года, когда были введена система биометрических данных, заверяют, что угрозы содержащейся в базе персональной информации нет. Но как было сказано выше, в случае если программное обеспечение этой базы не обновляется полностью, то возможно возникновение некоторых рисков. Потому что постоянно появляются новые вирусы, не исключены и различные кибератаки.
Эксперт в этой сфере Таалайбек Жумадылов перечислил возможные сценарии в случае отсутствия текущих лицензий программного обеспечения:
‒ Во-первых, система управления базами данных – это программное обеспечение. В составлении СУБД языки могут быть разные. Oracle – это один из языков программирования. Но создание и использование базы данных без наличия лицензии СУБД считается использованием чужой интеллектуальной собственности. Поэтому тот, кто владеет авторскими правами, имеет право предъявить претензии и требовать деньги. Возможны судебные иски. Потому что это будет расцениваться как контрафакт, хищение, воровство. Тогда пострадает имидж страны. Во-вторых, если даже они создавали базы данных с лицензированными программами, надо каждый год обновлять их. Программист или производитель обеспечивает защиту персональных данных. Ведь каждый год появляются новые вредоносные программы, вирусы. А если ты не будешь покупать лицензию, то у тебя полетит софт, базу данных можно потерять. Возникает угроза хакерской атаки и утери данных. Хакер может украсть сведения, опубликовать в открытом пространстве, или использовать в чужих целях, а может и просто уничтожить.
База биометрических данных Кыргызстана с 2015 года также связана с выборными процессами в стране, так как на ее основании составляются списки избирателей. Без наличия в базе биометрических данных проголосовать гражданин не сможет. В этом плане уязвимость информационной базы может поставить под угрозу проведение предстоящих выборов.
Примерно такие же доводы приводит в своем письме Минфину и председатель ГРС Акын Мамбеталиев. Вот что говорится в его обращении от марта 2020 года:
‒ Учитывая факт, что со стороны производителя не обеспечивается техническая поддержка, производитель не гарантирует информационную безопасность базы данных и снимает с себя ответственность за возможные риски (простой в случае компонентов СУБД, технические ошибки, уязвимость, отказоустойчивость, масштабирование, резервное копирование, быстрое восстановление системы, контроль и аудит пользователей). В связи с постоянным использованием базы биометрических данных (при изготовлении паспортов 2017 года, в связи с предстоящими выборами в Жогорку Кенеш, запуске электронных общегражданских паспортов, а также в рамках реализации межведомственного взаимодействия с государственными органами КР в сфере национальной безопасности и в сфере обеспечения общественного правопорядка, пересечения и расследования различных видов преступлений) особую важность приобретает техническая поддержка на постоянной основе, лицензирование СУБД и связанная с этим информационная безопасность и отказоустойчивость.
Системой управления базами данных (СУБД) Oracle владеет одноименная международная корпорация в США. Это крупная компания, которая является вторым по величине доходов производителем программного обеспечения после Microsoft.
В Кыргызстане на 4 октября назначены выборы депутатов Жогорку Кенеша VII созыва. С 4 сентября началась предвыборная агитация. Для участия в них ЦИК зарегистрировала 16 партий, полные списки кандидатов от них опубликованы в специальном номере государственной газеты «Эркин Тоо».
NO
Перевод с кыргызского. Оригинал статьи здесь.