У 2019-2022 роках столичних чиновників погано захищали від “кіберзагроз”

Аудитори столичної мерії продовжують перевірки на підприємствах, підпорядкованих Департаменту інформаційно-комунікаційних технологій (ІКТ) КМДА. Так, нещодавно “ревізори” відзвітувалися про аудит діяльності СКП “Київтелесервіс” при закупівлях антивірусних програм у 2019-2022 роках. В рамках цієї перевірки було встановлено факти неефективного використання бюджетних коштів на суму орієнтовно 5 млн гривень. Більшу частину цих фінансових ресурсів становить завищення цін на програмне забезпечення – подекуди “Київтелесервіс” переплачував за це більше 31%. Серед іншого, грошові кошти витрачалися на антивіруси, які вже через рік не працювали або й зовсім ніде не встановлювалися, через що низка структурних підрозділів КМДА і київських КП залишилися без “кіберзахисту”. За результатами аудиту керівництву підприємства було надано 22 рекомендації, але за пару місяців лише половина з них були враховані.

Як стало відомо KВ, нещодавно Департамент внутрішнього фінансового контролю та аудиту Київської міськдержадміністрації (КМДА) оприлюднив результати планового аудиту діяльності спеціалізованого комунального підприємства (СКП) “Київтелесервіс”.

Відповідний аудиторський звіт №070-6-1-07/33 датований 11 липня 2023 року. На сайті вищезгаданого департаменту його було опубліковано лише цього тижня – коли стало відомо відомо, які рекомендації аудиторів були враховані керівництвом СКП “Київтелесервіс”, а на які посадовці даного підприємства заплющили очі.

В рамках даного аудиту фахівці перевіряли, наскільки ефективно “Київтелесервіс” виконує Комплексну міську цільову програму “Електронна столиця” на 2019-2022 роки в частині закупівлі антивірусного програмного забезпечення (АПЗ). Перевіркою був охоплений період діяльності підприємства з 1 січня 2019 року по 31 грудня 2022 року, тривав аудит з 1 грудня 2022 року по 3 травня 2023 року.

У результаті аудитори КМДА встановили та підтвердили низку ризиків при закупівлі АПЗ. Зокрема – щодо неефективного, нераціонального і зайвого використання бюджетних коштів через неналежне планування потреби в антивірусних програмах та їхній кількості, щодо відсутності внутрішнього контролю за процесами закупівель цього програмного забезпечення, щодо завищення вартості АПЗ через недотримання принципів здійснення публічних закупівель, щодо незадоволення потреб різних структурних підрозділів столичної мерії в АПЗ через недостатній рівень координації між ними та “Київтелесервісом” тощо.

Крім того, “ревізори” встановили факти фінансових порушень з боку посадовців СКП “Київтелесервіс” при закупівлі вказаного програмного забезпечення. Їхня загальна сума в документі не зазначена, але в результаті аналізу згаданих порушень та підрахунку наведених ними сум можна стверджувати, що йдеться про неефективне використання бюджетних коштів на суму орієнтовно 5 млн гривень. Крім того, аудиторами було встановлено ризик недофінансування закупівель на суму 3,3 млн гривень.

Деталі порушень

Як зазначено в аудиторському звіті, програмою “Електронна столиця на 2019-2022 роки” (затверджена рішенням Київради №461/6512 від 18 грудня 2018 року, у минулому році термін її дії було продовжено на 2023 рік) було передбачено освоєння 28,4 млн гривень на закупівлях АПЗ. За ці кошти міська влада до поточного року включено планувала придбати 66,4 тис. примірників такого програмного забезпечення. Разом з тим, в бюджеті Києва на ці п'ять років на вказані цілі було закладено 21 млн гривень, а по факту на закупівлю АПЗ було витрачено 16,9 млн гривень. 

Виконання вказаного заходу було покладено саме на СКП “Київтелесервіс”, і більш ніж очевидним є те, що зі своєю задачею підприємство впоралося не надто вдало.

Так, в рамках договору з ТОВ "Амріта комплексні рішення" від 28 грудня 2018 року СКП "Київтелесервіс" закупив АПЗ на загальну суму 2,7 млн гривень. Цією угодою в тому числі було передбачено постачання програмного забезпечення "Panzor Anti-virus" (термін його використання – 3 роки, передбачено встановлення на 900 робочих станціях) на суму 712,8 млн гривень.

Разом з тим, СКП "Київтелесервіс" не надало аудиторам КМДА сертифікат ліцензійності або аналогічний документ на право встановлення та використання цього АПЗ, а також не надало документального підтвердження використання даного антивірусу підрозділами столичної мерії, підпорядкованими їй КП та іншими "бюджетними" структурами. Виключенням стало тестування цього АПЗ комунальним концерном "Центр комунального сервісу" у квітні 2019 року, але до повноцінного використання справа не дійшла, адже "Київтелесервіс" не підписав акт встановлення програмного забезпечення. 

При цьому, в зазначеному концерні повідомили аудиторам, що з 5 січня 2020 року це програмне забезпечення не функціонує та не підтримується, тобто – фактично припинило своє існування. Зважаючи на цю обставину, а також враховуючи факт відсутності в Україні офіційного дистриб'ютора компанії "Panzor", аудитори припустили, що це АПЗ не оновлювалося в 2020-2021 роках. А тому, відповідно, "Київтелесервіс" ніяк не міг його використовувати протягом трьох років, як це передбачено договором на постачання даного антивірусу. На переконання "ревізорів", через те, що вказане СКП не провело претензійну роботу з ТОВ "Амріта комплексні рішення", було неефективно використано бюджетні кошти на суму 712,8 млн гривень. 

Також в рамках аудиту було встановлено факти придбання “зайвих” одиниць АПЗ. Наприклад, у 2020 році СКП “Київтелесервіс” закупило у ТОВ “Софтнет Груп” за 5,9 млн гривень низку програмних продуктів компанії “ESET”, у тому числі 2,3 тис. одиниць “ESET Enterprise Inspector” (використовується для протидії кібератакам). Разом з тим, за інформацією "ревізорів", лише 1278 одиниць цього програмного продукту було встановлено в 11 "бюджетних" структурах Києва. Тобто, в цьому випадку надлишкове придбання програмного забезпечення призвело до неефективного використання бюджетних коштів на суму 922 тис. гривень.

"Ревізори” мали й інші претензії до закупівлі АПЗ “ESET Enterprise Inspector”. Йдеться про те, що даний програмний продукт за своєю класифікацією не є антивірусом, а є засобом моніторингу та контролю кіберпезпеки. У зв'язку з цим, на переконання аудиторів, СКП "Київтелесервіс" мало фінансувати його придбання в рамках іншого заходу програми "Електронна столиця" – "Створення та впровадження центру моніторингу та кібербезпеки міських сервісів, закупівля програмного забезпечення для підвищення рівня кіберзахисту інформаційних систем”. 

Усього на закупівлю цього програмного забезпечення у 2019-2020 роках було витрачено 3,3 млн гривень – крім вищезгаданих 2,3 тис. одиниць, було придбано 1,6 тис. екземплярів даного продукту. Через це, як вважають “ревізори”, було створено ризик недофінансування закупівель АПЗ – ймовірно, йдеться про те, що на ці кошти можна було придбати більше антивірусів для столичних “бюджетників”.

Крім того, аудитори встановили факти завищення вартості закупівель АПЗ в 2019-2022 роках на загальну суму 2,8 млн гривень, що призвело до неефективного використання цих коштів. За даними "ревізорів", це сталося через те, що при визначенні очікуваної вартості закупівель СКП "Київтелесервіс" не здійснювало аналізу ринку, тобто – не запитували ціни на антивіруси у виробників та офіційних дистриб'юторів та не вивчали аналогічні тендери на "Prozorro".

Зокрема, за інформацією аудиторів, у 2020 році "Київтелесервіс" переплатив близько 21% за придбання програмного забезпечення "ESET Endpoint Protection Advanced" – підприємство закуповувало його по 267,9 гривень за одиницю, тоді як, наприклад, ДП "НАЕК "Енергоатом" платило за це 221,1 гривень. А в 2022 році вказане СКП заплатило 307,9 гривень за одиницю АПЗ "ESET Protect Entry", тоді як середня ціна на на цей продукт на ринку складала близько 234,1 гривень, через що "Київтелесервіс" міг переплатити орієнтовно 31,5%.

Крім того, “ревізорам” стало відомо, що частина  АПЗ “ESET Protect Entry”, придбаного “Київтелесервісом” у вересні 2022 року, не була розподілена між “бюджетниками” та не використовувалось. За інформацією аудиторів, це призвело до неефективного використання бюджетних коштів на орієнтовну суму 355,9 тис. гривень. І при цьому, дана обставина призвела до того, що Київрада, низка структурних підрозділів КМДА та Оболонська районна в Києві державна адміністрація (РДА) не були забезпечені антивірусним програмним забезпеченням.

Також під час перевірки було встановлено низку організаційних проблем у роботі СКП “Київтелесервіс”. Наприклад, аудитори з'ясували, що повноваження цього підприємства щодо виконання функції адміністратора антивірусного захисту робочих місць чиновників та комунальників на визначено відповідними розпорядчими документами. Тобто, потрібен певний "папірець", яким би було передбачено, як фахівці цього підприємства обслуговують антивірусне програмне забезпечення в "бюджетних" структурах. 

На думку аудиторів, це призводить до ризику несанкціонованого доступу до інформації або втрати даних "бюджетниками" через неефективну організацію антивірусного захисту, а також до ризику несанкціонованого втручання працівників "Київтелесервісу" в діяльність структурних підрозділів КМДА і столичних КП.

Фахівці аудиторського підрозділу дійшли висновків, що усі зазначені вище проблеми та недоліки є наслідком неефективних управлінських рішень керівництва СКП “Київтелесервіс”, а також відсутності контролю за виконанням заходів програми “Електронна столиця”, у тому числі з боку Департаменту ІКТ КМДА, якому підпорядковане вказане підприємство.

За результатами перевірки Департамент внутрішнього фінансового контролю та аудиту КМДА надав СКП “Київтелесервіс” 22 рекомендації щодо усунення виявлених порушень та їхнього недопущення в майбутньому. Станом на сьогодні половина з цих зауважень – 11 – були враховані посадовцями вказаного підприємства, 6 рекомендацій – враховано частково, решта 5 – не враховані.

Зокрема, керівництво “Київтелесервісу” не виконало рекомендацію щодо притягнення до відповідальності підлеглих, які не поінформували їх та Департамент ІКТ КМДА про неможливість використання вищезгаданого “Рanzor Anti-virus” з 2020 року. При цьому, підприємство частково виконало рекомендацію щодо проведення претензійно-позовної роботи з постачальником вищезазначеного АПЗ – у серпні 2023 року “Київтелесервіс” направив до ТОВ “Амріта комплексні рішення” вимогу щодо відшкодування збитків на суму 475,2 тис. гривень. Серед виконаних рекомендацій – СКП “Київтелесервіс” своїм наказом визначив посадовця, який буде відповідальним за визначення очікуваної вартості закупівель.

Скандальний бекграунд

Як повідомляла KВ, діяльність СКП “Київтелесервіс” неодноразово звертала на себе увагу різних контролюючих органів через факти можливих корупційних правопорушень.

Так, у жовтні 2019 року Головне управління Служби безпеки України у Києві та Київській області розпочало слідство за фактами можливого присвоєння бюджетних коштів під час закупівель цим підприємством різного обладнання та програмного забезпечення за завищеними цінами. Тоді правоохоронців зацікавили договори на загальну суму 693 млн гривень, які “Київтелесервіс” протягом 2017-2019 років укладало з двома підрядниками – ТОВ “ВМ Констракшн Україна” і ТОВ “Білінтех Україна” (тієї компанії, офіс якої поліцейські обшукували в рамках вищеописаного провадження. – KВ). 

Читайте: СБУ заинтересовалась “бюджетными распилами” в СКП “Киевтелесервис”

Втім, станом на сьогодні СБУ, схоже, не проводить активних дій по цьому слідству – остання судова ухвала по відповідному кримінальному провадженню датована 24 вересня 2021 року.

Крім того, з грудня 2022 року Голосіївське управління Нацполіції розслідує факти можливого нанесення збитків “Київтелесервісу” на суму близько 14 млн гривень. Саме стільки грошових коштів, на думку правоохоронців, посадовці цього СКП переплатили ТОВ “Софтнет Груп” у 2021 році при розбудові безпроводової мережі LoRaWan. За інформацією слідства, вказана компанія, якою володіє ексголова Оболонської РДА Микола Тихонов, продала “Київтелесервісу” апаратні маршрутизатори майже втричі дорожче ринкових цін. Що цікаво, претензії до співпраці СКП і цієї ТОВки раніше також мали фахівці Держаудитслужби, через що сторонам навіть довелося судитися.

Читайте: Як заробити 14 млн гривень: Нацполіція розслідує “бюджетні розпили” в СКП “Київтелесервіс”

Зазначимо, що “цифровізація та діджиталізація” столиці, за яку відповідає Департамент ІКТ КМДА, обходиться міському бюджету у мільярди гривень, які не ефективно витрачаються на багатьох напрямках.

Наприклад, у минулому році аудитори столичної мерії встановили, що три КП, які підпорядковані вказаному департаменту (вищезгадані “Інформатика” і “Київтелесервіс”, а також “ГІОЦ”) у 2018-2020 роках допустили фінансових порушень на суму 274,86 млн гривень, що призвело до втрати близько 61,33 млн бюджетних гривень. Зокрема, “ревізори” з'ясували, що ці підприємства закуповували обладнання, яке потім ніяк не використовувалось, виплачували своїм контрагентам “зайву” винагороду за надані послуги, проводили тендери за завищеними цінами, бездіяли у питанні впровадження більш ніж двох десятків цифрових сервісів (наприклад, оплата харчування в дитсадках через “Особистий кабінет киянина”) тощо. 

За результатами перевірки порушникам було надано 100 рекомендацій щодо усунення недоліків, але станом на лютий 2023 року лише дві з них були повністю враховані. У Департаменті ІКТ КМДА, наприклад, проігнорували вимоги аудиторів щодо зміни менеджменту в цих КП та стосовно притягнення до відповідальності осіб, винних у фінансових порушеннях.

Читайте: Фінансові порушення у сфері ІКТ не підштовхнули керівництво Києва до звільнень та покарань

Обов'язки директора СКП “Київтелесервіс” з 11 лютого 2021 року тимчасово виконує заступник керівника цього підприємства з юридичних питань Павло Черніков. Протягом 2019-2021 років на цьому підприємстві чотири рази змінювалося керівництво – його почергово очолювали Сергій Бондаренко (на посаді директора працював найдовше – з березня 2008 року по червень 2019 року), Олег Бакаєв, Андрій Приступа і Олег Ващенок.

Департамент ІКТ КМДА, у підпорядкуванні якого знаходиться “Київтелесервіс”, з 27 серпня 2021 року очолює Олег Половинко (на колажі ліворуч). З 3 березня 2017 року по 29 квітня 2020 року, цією структурою керував Юрій Назаров , який був “обличчям цифровізації в Києві” та з персоною якого пов'язують численні порушення в даній сфері. Після його звільнення та до призначення Половинка Департаментом ІКТ КМДА на правах “т. в.о. директора” керувала Ганна Лисик.

Діяльність Департамента ІКТ КМДА з 2 квітня 2021 року контролює заступник голови КМДА з питань здійснення самоврядних повноважень Петро Оленич (на колажі праворуч). 

Фото: колаж КВ