Высокие риски. Чиновники могут читать и удалять записи в системе выдачи разрешений на строительство
3 июля 2024
10:30
1224
С момента введения нового закона о строительстве чешские строительные органы столкнулись с техническими проблемами и недостатками в обеспечении безопасности. Системные администраторы обнаружили ошибку, которая позволяет незаконно просматривать и даже редактировать все записи.
После вступления в силу нового строительного закона чиновники строительных управлений второй день осваивают цифровую систему, которую принесло с собой законодательство. В первый день ряд ведомств сообщили о проблемах с подключением и работой в новом веб-интерфейсе.
Теперь, по информации, подтвержденной SZ Byznys в Министерстве регионального развития (ММР), министерство вынуждено решать еще одну техническую проблему. На нее указали администраторы новой информационной системы строительных процедур (ISCR), которая обрабатывает все новые заявки.
Технический сбой позволяет им манипулировать всеми записями в заявках на строительство, редактировать их и даже отменять. О том, какие действия администраторы могут совершать в системе, рассказал один из них в анонимном письме редактору.
«Я думаю, что это серьезный недостаток безопасности (не говоря уже о защите данных), который может проявиться и в других местах системы. Поэтому систему следует закрыть, исправить ошибку и снова тщательно протестировать», — сказал администратор. Материалы, свидетельствующие об ошибках, имеются в распоряжении редакции и были подтверждены министерством в ответ на запрос.
По мнению Михала Младека, адвоката и партнера юридической фирмы Invicta, очевидно, что министерство как покупатель программного обеспечения не могло рассчитывать на то, что информационная система позволит каждому чиновнику получить доступ ко всем строительным процедурам в стране.
«По нашему мнению, такая возможность должна была быть только у аудиторского органа министерства или у IT-специалистов ММР, например, чтобы они могли оказывать техническую поддержку отдельным чиновникам», — сказал Михал Младек SZ Byznys.
С юридической точки зрения, по его мнению, ММР может вступить в противоречие с положениями GDPR, так широко устанавливая доступ к приложениям и содержащимся в них персональным данным. В основных принципах этого закона уже указано, что персональные данные должны обрабатываться таким образом, чтобы обеспечить надлежащую безопасность персональных данных, включая защиту с помощью соответствующих технических или организационных мер.
Этот недостаток будет устранен
Министерство регионального развития отвечает на выявленные недостатки, заверяя, что доступ к строительным процедурам различных строительных органов является намеренной особенностью системы для содействия координации и сотрудничеству между органами власти и другими заинтересованными органами. Однако министерство подтверждает, что возможность изменения записей, не относящихся к данному органу власти, является техническим недостатком.
«Возможность редактирования других записей — это технический недостаток, который мы устраняем вместе с подрядчиком. Он будет устранен к концу недели. В ограниченном тестовом режиме, без подключения к живым данным и без пользователей, его нельзя было обнаружить раньше», — сообщил редакции пресс-секретарь министерства Петр Валецко.
В MMR подчеркивают, что чиновники не должны намеренно изменять данные, которые им не принадлежат, уподобляя это ситуации, когда чиновник случайно получает файл, который ему не предназначен. «Если кто-то неправомерно отредактирует заявку, в системе останется точная запись об этом», — добавляет представитель MMR.
По словам адвоката Михала Младека, несмотря на этот системный недостаток информационной системы, строителям не стоит беспокоиться о неправомерном использовании их данных строительными чиновниками.
«Уже сегодня эти же чиновники имеют доступ к персональным данным, содержащимся в заявлениях на получение разрешения на строительство, и мы не читаем ежедневных сообщений о неправомерном использовании персональных данных. Необходимо также помнить, что чиновники обязаны по закону соблюдать свои обязательства в отношении информации, содержащейся в административном досье, — говорит Младек.
По его словам, если бы они неправильно использовали, изменили или удалили всю заявку застройщика во время процедуры строительства, то, скорее всего, совершили бы преступление, связанное со злоупотреблением служебным положением.
«За это им грозит как наказание в виде запрета на деятельность и лишения свободы на срок до 12 лет, так и последующая выплата ущерба застройщику, который может достигать миллионов в случае крупных строительных проектов», — добавляет Младек.
Есть и другие недостатки
Однако это не единственный недостаток, с которым борется недавно запущенная система. Уже в понедельник, например, строительные власти сообщили о перегрузке системы из-за огромного потока заявок, поданных строителями в последнюю минуту перед вступлением в силу нового законодательства.
В новой оцифрованной системе обнаружились и другие недостатки и сбои. Некоторые органы власти в Чешской Республике сообщили о проблемах с входом в систему, нестабильности системы и недоступности необходимых функций. Однако Министерство регионального развития пока не зафиксировало широкомасштабных сбоев.
«У нас есть информация о том, что в некоторых строительных бюро местный администратор не распределил должным образом роли между чиновниками. В таких случаях чиновники фактически не могут войти в систему. Процедуру назначения ролей можно найти в руководстве для администраторов или получить консультацию в колл-центре MMR», — пояснил пресс-секретарь министерства Валецко, объясняя одну из причин, по которой некоторые офисы в настоящее время не могут получить доступ к системе.
В то же время он добавил, что именно реальное поведение пользователей должно выявить слабые места, как в пользовательском интерфейсе, так и в инфраструктуре системы.
«В ближайшие недели и месяцы министерство также опубликует дорожную карту, основанную на отзывах пользователей, в которую будут внесены изменения, расширения и улучшения системы», — сказал Валецко.
ЧИТАЙТЕ ПО ТЕМЕ :