Аудиторы констатировали, что утечка информации является хронической проблемой для НАБУ

Утечка информации является хронической проблемой для НАБУ и всех других украинских правоохранительных органов и прокуратуры. Соответствующий вывод содержится в отчете Комиссии по проведению внешней независимой оценки (аудита) эффективности деятельности Национального антикоррупционного бюро Украины за период с марта 2023 года по ноябрь 2024 года, которая состояла из иностранных экспертов.

Следует указать, что в результатах аудита деятельности НАБУ за 2021–2023 годы, который провела группа экспертов по инициативе посольства США в Украине и Антикоррупционной инициативы ЕС в Украине, также говорилось о том, что система внутреннего контроля НАБУ на данный момент не в полной мере способна предотвратить утечки информации, а также обеспечить «надежный внутренний контроль за персоналом НАБУ».

В нынешнем отчете аудиторы подвели итог, что «утечка информации подрывает доверие общественности к институтам, независимо от того, происходит ли утечка с незаконной целью (например, сообщение субъекту уголовного правонарушения о предстоящем обыске) или с якобы благородной целью (например, предоставление информации журналисту-расследователю)».

Указано, что в соответствии с УПК расследование разглашения данных оперативно-розыскной деятельности, досудебного расследования является ответственностью соответствующего органа. В НАБУ это должно было бы означать ГПД (главное подразделение детективов), а не УВК (управление внутреннего контроля).

Также аудиторы констатировали, что на данный момент НАБУ не имеет ни одного успешного уголовного расследования, связанного с утечками сведений досудебного расследования, совершенных сотрудниками НАБУ.

«После Технической оценки 2023 года НАБУ согласилось с двумя высокоприоритетными рекомендациями по снижению риска утечек.

Во-первых, НАБУ согласилось установить внутренние правила относительно уровня обмена следственной и оперативной информацией внутри Бюро, в частности ограничивая размер и объем информационных совещаний, чтобы избежать избыточного отчетничества и уменьшить возможности утечек информации.

Во-вторых, НАБУ согласилось внедрить такие механизмы контроля, как ограничение использования групповых чатов в мобильных телефонах для обсуждения оперативных вопросов, запрет использования личной электронной почты и внедрение шлюзов безопасности, которые не позволят сотрудникам отправлять документы на личную электронную почту или загружать их в частное облако.

Ситуация с «утечкой» 2024 года, из-за которой НАБУ оказалось в эпицентре скандала, получила огласку примерно через 6 месяцев после того, как НАБУ получило эти рекомендации», отмечают аудиторы.

Кроме того, они указывают, что НАБУ не смогло четко продемонстрировать, кто является ответственным за мониторинг внедрения новых наставлений по снижению рисков утечек. «Заместитель главы УВК номинально отвечает за надзор за выполнением наставлений, но на данный момент было предпринято немного мер. Несмотря на то, что НАБУ в целом не удалось продемонстрировать эффективность этих механизмов контроля, прежде всего это было связано с тем, что соответствующие меры еще не были внедрены или же были внедрены совсем недавно», говорится в отчете.

Что касается механизмов технического контроля для более широкой защиты информации, то здесь аудиторы назвали усилия НАБУ «неравномерными».

«В целом НАБУ не предприняло достаточно мер по информационной безопасности, чтобы защитить данные от утечек или разглашения.

В сентябре 2024 года глава УВК подготовил внутреннюю докладную записку во исполнение поручения премьер-министра Украины относительно кибербезопасности для того чтобы, среди прочих мер, запретить использование мессенджеров сотрудниками НАБУ для рабочей переписки или передачи служебной и конфиденциальной информации, а также мессенджера Telegram на рабочих компьютерах.

Во время нашего визита в январе 2025 года этот запрет не действовал.

Мы наблюдали регулярное использование мессенджера WhatsApp, а также разрешение на использование Telegram.

Как нам сообщили, детективы утверждают, что эти приложения им нужны для расследования. Это может быть правдой, однако мы не увидели практически никаких эффективных предохранителей, которые бы компенсировали этот риск.

Детективы не имеют служебных мобильных телефонов от НАБУ и регулярно осуществляют рабочие дела на личных устройствах.

НАБУ также не имеет надлежащей политики использования личных устройств для рабочих целей (политика BYOD), которая должна была бы сопровождаться программным обеспечением для управления такими устройствами, что защитило бы чувствительные данные НАБУ от утечек. Отдел информационной безопасности УВК отвечает за защиту данных. Комиссию уведомили, что это совместная ответственность с Управлением информационных технологий. Такое разделение ответственности может вызвать путаницу относительно полномочий и необходимости и срочности корректирующих мер по механизмам технического контроля», указано в отчете.

Кроме того, аудиторы установили, что в НАБУ существует нехватка персонала, особенно аналитиков, имеющих опыт проведения сложных финансовых расследований.

К тому же, НАБУ сообщило Комиссии, что не имеет права получать облачные данные как доказательство, если нет открытой сессии доступа к облачному хранилищу, несмотря на то, что облачное хранение становится более распространенным, чем локальное хранение данных на компьютерах или смартфонах. По словам прокуроров САП, детективам НАБУ в целом нужно больше цифровых криминалистов, а также специализированные инструменты для проверки специального оборудования, что позволило бы им быстро взламывать пароли на изъятых телефонах и анализировать их цифровое содержимое.

Отдельно говорится о системе данных Memex для сбора оперативных и следственных данных среди детективов и аналитиков.

«Memex – это коммерческое программное обеспечение, которое может служить ежедневным инструментом для детективов и аналитиков для хранения информации, поиска и создания аналитических результатов, в частности с визуализацией. В современном органе, который выявляет и расследует преступления, такая возможность является критически важным инструментом для каждого детектива и аналитика. Применение Memex ограничивается украинским законодательством. Для эффективного использования возможностей, Memex должен содержать соответствующие сведения ОРД, которые составляют государственную тайну.

На практике система Memex не сертифицирована для работы с государственной тайной.

Учитывая действующее украинское законодательство, маловероятно, что Memex или подобная система может быть сертифицирована для работы с государственной тайной. Важную информацию в Memex нельзя включить из-за ее засекреченности, а следовательно, вряд ли можно ожидать создания единого хранилища данных оперативно-розыскной и следственной деятельности. Кроме того, в некоторых случаях детективам приходится выполнять двойную работу, чтобы сохранять информацию в Memex и материалах ОРД», отмечается в документе.

Среди рекомендаций, которые аудиторы предоставили НАБУ:

• Пересмотреть процедуры защиты личности внутренних заявителей и разоблачителей, которые сообщают о ненадлежащем поведении или правонарушениях, включая разрешение удалять личность разоблачителя или заявителя из записей, предоставленных директору НАБУ и Дисциплинарной комиссии, если иное не требуется законом.
• Приобрести служебные мобильные телефоны или разработать программу для использования личных устройств с надлежащими политиками безопасности мобильных устройств и программными решениями.
• Внедрить ограничения или компенсационный контроль над социальными сетями и использованием частной электронной почты для ведения дел НАБУ.
• Провести объективную оценку текущей практики моделирования ситуаций для проверки на добросовестность УВК и разработать политику, которая регулирует эту практику.
• Провести объективную оценку процедур и практик, связанных с началом служебных расследований, и при необходимости пересмотреть процедуры, чтобы обеспечить объективную и своевременную оценку и расследование всех достоверных обвинений в серьезных нарушениях со стороны сотрудников НАБУ.
• Разработать процедуры для объективной проверки точности и полноты опубликованных данных, предоставленных ГПД и УВК.
• Разработать, опубликовать и внедрить комплексный стратегический план, который содержит цели, задачи и измеримые показатели эффективности.
• Осуществить оценку целесообразности внедрения конкурсного отбора, ротации или ограничения срока пребывания в должности для отдельных дополнительных руководящих должностей в НАБУ. В случае подтверждения целесообразности — инициировать соответствующие меры для внедрения указанных изменений.
• Пересмотреть и, при необходимости, доработать процедуры определения материальных потребностей в соответствии с установленными приоритетами для финансирования из государственного бюджета и международной помощи.
• Разработать методические материалы и программу обучения для детективов, чтобы побуждать их собирать доказательства, которые связывают активы и соответствующие уголовные правонарушения и повысить количество мер специальной конфискации.

Кроме того, комиссия аудиторов рекомендовала следующие улучшения Верховной Раде Украины «и другим компетентным органам власти»:

• Чтобы удовлетворить неотложные потребности НАБУ, рассмотреть срочные меры по инициированию планов действий для внедрения возможностей автономного прослушивания для НАБУ.
• Чтобы обеспечить доступ НАБУ к своевременной и беспристрастной судебной экспертизе, рассмотреть возможность установления дополнительных правовых гарантий и предохранителей для обеспечения наличия и беспристрастности независимых судебно-экспертных услуг.
• Чтобы избежать негативного влияния на способность НАБУ арестовывать активы в Украине и за рубежом, не вносить изменения в украинское законодательство, которые требуют пересмотра всех постановлений об аресте активов каждые два месяца, из-за непрактичности такого мероприятия.
• Чтобы предоставить НАБУ и другим правоохранительным органам достаточно времени для проведения досудебных расследований и устранить другие препятствия в борьбе с высокопоставленной коррупцией, рассмотреть отмену «поправок Лозового».
• Для улучшения подотчетности НАБУ, рассмотреть возможность внесения изменений в Закон о НАБУ, относительно проведения внешней оценки каждые два года, а не ежегодно.
• Чтобы предотвратить нарушения подследственности НАБУ, рассмотреть возможность внесения изменений в УПК относительно:

(1) внедрения четких правил, включая определение сроков, относительно передачи уголовного производства от одного органа досудебного расследования другому, в частности принятия производств НАБУ;

(2) установления административной или дисциплинарной ответственности для Офиса Генерального прокурора, ГБР и других органов досудебного расследования за нарушение правил подследственности или невыполнение решений, принятых НАБУ, САП или другими прокурорами относительно передачи уголовного производства.

Автор: Наталя Мамченко

Подписывайтесь на наш Тelegram-канал t.me/sudua и на Google Новости SUD.UA, а также на наш VIBER, страницу в Facebook и в Instagram, чтобы быть в курсе самых важных событий.