Утечка информации является хронической проблемой для НАБУ и всех других украинских правоохранительных органов и прокуратуры — соответствующее заключение содержится в отчете Комиссии по проведению внешней независимой оценки (аудита) эффективности деятельности Национального антикоррупционного бюро Украины за период с марта 2023 по ноябрь 2024 года, которая состояла из иностранных экспертов.
Следует указать, что в результатах аудита деятельности НАБУ за 2021-2023 годы, который провела группа экспертов по инициативе посольства США в Украине и Антикоррупционной инициативы ЕС в Украине, также говорилось, что система внутреннего контроля НАБУ пока не в полной мере способна предотвратить утечки информации, а также обеспечить «надежный внутренний контроль за персоналом НАБУ».
В нынешнем отчете аудиторы подытожили, что «утечка информации подрывает доверие общественности к институтам, независимо от того, происходит ли утечка с незаконной целью (например, уведомление субъекта уголовного правонарушения о предстоящем обыске) или с якобы благородной целью (например, предоставление информации журналисту-расследователю)».
Указано, что в соответствии с УПК расследование разглашения данных оперативно-розыскной деятельности, досудебное расследование является ответственностью соответствующего органа. В НАБУ это должно означать ГПД (главное подразделение детективов), а не УИК (управление внутреннего контроля).
Также аудиторы констатировали, что в настоящее время у НАБУ нет никакого успешного уголовного расследования, связанного с утечками сведений о досудебном расследовании, совершенном сотрудниками НАБУ.
«После Технической оценки 2023 года НАБУ согласилось с двумя высокоприоритетными рекомендациями по уменьшению риска утечек.
Во-первых, НАБУ согласилось установить внутренние правила относительно уровня обмена следственной и оперативной информацией внутри Бюро, в частности, ограничивая размер и объем информационных совещаний, чтобы избежать лишней отчетности и уменьшить возможности утечек информации.
Во-вторых, НАБУ согласилось ввести такие механизмы контроля, как ограничение использования групповых чатов в мобильных телефонах для обсуждения операционных вопросов, запрет на использование личной электронной почты и введение шлюзов безопасности, что не позволит работникам отправлять документы на личную электронную почту или загружать их в частное облако.
Ситуация с «утечкой» 2024 года, из-за которой НАБУ оказалось в эпицентре скандала, получила огласку примерно через 6 месяцев после того, как НАБУ получило эти рекомендации», отмечают аудиторы.
Кроме того, они указывают, что НАБУ не смогло четко продемонстрировать, кто ответственен за мониторинг внедрения новых установок по уменьшению рисков утечек. «Заместитель председателя УИК номинально отвечает за надзор за исполнением установок, но в настоящее время было принято немного мер. Несмотря на то, что НАБУ вообще не удалось продемонстрировать эффективность этих механизмов контроля, прежде всего это было связано с тем, что соответствующие меры еще не были внедрены или были внедрены совсем недавно», — говорится в отчете.
Что касается механизмов технического контроля над более широкой защитой информации, то аудиторы назвали усилия НАБУ «неравномерными».
«В целом НАБУ не приняла достаточно мер по информационной безопасности, чтобы защитить данные от истоков или разглашения.
В сентябре 2024 года председатель УИК подготовил внутреннюю докладную записку на выполнение поручения премьер-министра Украины относительно кибербезопасности для того, чтобы, среди других мер, запретить использование мессенджеров сотрудниками НАБУ для рабочей переписки или передачи служебной и конфиденциальной информации, а также мессенджеру Telegram на рабочих компьютерах.
Во время нашего визита в январе 2025 года этот запрет не действовал.
Мы наблюдали регулярное использование мессенджера WhatsApp, а также разрешение использования Telegram.
Как нам сообщили, детективы утверждают, что эти приложения нужны для расследования. Это может быть правдой, однако мы не увидели практически никаких эффективных предохранителей, компенсирующих этот риск.
У детективов нет служебных мобильных телефонов от НАБУ и регулярно осуществляют рабочие дела на личных устройствах.
НАБУ также не имеет надлежащей политики использования личных устройств для рабочих целей (политика BYOD), которая должна сопровождаться программным обеспечением для управления такими устройствами, что защитило бы чувствительные данные НАБУ от утечек. Отдел информационной безопасности УИК отвечает за защиту данных. Комиссию сообщили, что это общая ответственность с Управлением информационных технологий. Такое разделение ответственности может повлечь за собой путаницу относительно полномочий и необходимости и срочности корректирующих мер по механизмам технического контроля», — указано в отчете.
Кроме того, аудиторы установили, что у НАБУ существует нехватка персонала, особенно аналитиков, имеющих опыт проведения сложных финансовых расследований.
К тому же, НАБУ сообщило Комиссии, что не имеет права получать облачные данные как доказательство, если нет открытой сессии доступа к облачному хранилищу, несмотря на то, что облачное хранение становится более распространенным, чем локальное хранение данных на компьютерах или смартфонах. По словам прокуроров САП оборудование, позволяющее им быстро взламывать пароли на удаленных телефонах и анализировать их цифровое содержимое.
Отдельно идет речь о системе данных Memex для сбора оперативных и следственных данных среди детективов и аналитиков.
«Memex – это коммерческое программное обеспечение, которое может служить ежедневным инструментом для детективов и аналитиков для хранения информации, поиска и создания аналитических результатов, включая визуализацию. В современном органе, выявляющем и расследующем преступления, такая возможность является критически важным инструментом для каждого детектива и аналитика. Применение Memex ограничивается законодательством Украины. Для эффективного использования возможностей Memex должен содержать соответствующие сведения ОРД, составляющие государственную тайну.
На практике система Memex не сертифицирована для работы с государственной тайной.
Учитывая действующее украинское законодательство, маловероятно, что Memex или подобная система может быть сертифицирована для работы с государственной тайной. Важную информацию в Memex нельзя включить из-за ее засекречивания, следовательно, вряд ли можно ожидать создания единого хранилища данных оперативно-розыскной и следственной деятельности. Кроме того, в некоторых случаях детективам приходится выполнять двойную работу, чтобы хранить информацию в Memex и материалах ОРД. – отмечается в документе.
Среди рекомендаций, которые аудиторы предоставили НАБУ:
- пересмотреть процедуры защиты личности внутренних заявителей и обличителей, сообщающих о ненадлежащем поведении или правонарушении, включая разрешение удалять личность обличителя или заявителя из записей, предоставленных директору НАБУ и Дисциплинарной комиссии, если другого не требует закон.
- Приобрести служебные мобильные телефоны или разработать приложение для использования личных устройств с соответствующими политиками безопасности мобильных устройств и программными решениями.
- Ввести ограничение или компенсационный контроль над социальными сетями и использованием частной электронной почты для ведения дел НАБУ.
- Провести объективную оценку текущей практики моделирования ситуаций для проверки добродетели УИК и разработать политику, регулирующую эту практику.
- Провести объективную оценку процедур и практик, связанных с началом служебных расследований, и при необходимости пересмотреть процедуры, обеспечивающие объективную и своевременную оценку и расследование всех достоверных обвинений в серьезных нарушениях со стороны сотрудников НАБУ.
- Разработать процедуры для объективной проверки точности и полноты обнародованных данных, предоставленных ГПД и УИК.
- Разработать, опубликовать и имплементировать комплексный стратегический план, содержащий цели, задачи и измеряемые показатели эффективности.
- Осуществить оценку целесообразности введения конкурсного отбора, ротации или ограничения срока пребывания в должности для отдельных дополнительных руководящих должностей в НАБУ. В случае подтверждения целесообразности – инициировать соответствующие меры по внедрению указанных изменений.
- Просмотреть и при необходимости доработать процедуры определения материальных потребностей в соответствии с установленными приоритетами для финансирования из государственного бюджета и международной помощи.
- Разработать методические материалы и программу обучения для детективов, чтобы побудить их собирать доказательства, связывающие активы и соответствующие уголовные правонарушения и повысить количество мер специальной конфискации.
Кроме того, комиссия аудиторов рекомендовала следующие улучшения Верховной Раде Украины «и другим компетентным органам власти»:
- Чтобы удовлетворить немедленные потребности НАБУ, рассмотреть неотложные меры по инициированию планов действий по внедрению возможностей автономного прослушивания для НАБУ.
- Чтобы обеспечить доступ НАБУ к своевременной и беспристрастной судебной экспертизе, рассмотреть возможность установления дополнительных правовых гарантий и предохранителей для обеспечения наличия и беспристрастности независимых судебно-экспертных услуг.
- Чтобы избежать негативного влияния на способность НАБУ арестовывать активы в Украине и за рубежом, не вносить изменения в украинское законодательство, требующие пересмотра всех постановлений об аресте активов каждые два месяца, из-за непрактичности такого мероприятия.
- Чтобы предоставить НАБУ и другим правоохранительным органам достаточное время для проведения досудебных расследований и устранить другие препятствия в борьбе с высокопоставленной коррупцией, рассмотреть отмену «поправок Лозового»
- Для улучшения подотчетности НАБУ, рассмотреть возможность внесения изменений в Закон о НАБУ относительно проведения внешней оценки каждые два года, а не каждый год.
- Чтобы предотвратить нарушения подследственности НАБУ, рассмотреть возможность внесения изменений в УПК:
(1) введение четких правил, включая определение сроков, по передаче уголовного производства от одного органа досудебного расследования в другой, в частности переборки производств НАБУ
(2) установление административной или дисциплинарной ответственности для Офиса Генерального Прокурора, ГБР и других органов досудебного расследования за нарушение правил подследственности или невыполнения решений, принятых НАБУ, САП или другими прокурорами по передаче уголовного производства.
Спасибо, что вы с нами! Монобанка для поддержки редакции ЕlitЕxpert.
