Витік інформації є хронічною проблемою для НАБУ та всіх інших українських правоохоронних органів та прокуратури. Відповідний висновок міститься у звіті Комісії з проведення зовнішньої незалежної оцінки (аудиту) ефективності діяльності Національного антикорупційного бюро України за період з березня 2023 року по листопад 2024 року, яка складалася з іноземних експертів.
Слід вказати, що у результатах аудиту діяльності НАБУ за 2021-2023 роки, який провела група експертів за ініціативою посольства США в Україні та Антикорупційної ініціативи ЄС в Україні, також йшлося про те, що система внутрішнього контролю НАБУ наразі не у повній мірі здатна запобігти витокам інформації, а також забезпечити «надійний внутрішній контроль за персоналом НАБУ».
У нинішньому звіті аудитори підсумували, що «витік інформації підриває довіру громадськості до інституцій, незалежно від того, чи відбувається витік з незаконною метою (наприклад, повідомлення суб’єкту кримінального правопорушення про майбутній обшук) чи з нібито благородною метою (наприклад, надання інформації журналісту-розслідувачу)».
Вказано, що відповідно до КПК розслідування розголошення даних оперативно-розшукової діяльності, досудового розслідування є відповідальністю відповідного органу. У НАБУ це мало б означати ГПД (головний підрозділ детективів), а не УВК (управління внутрішнього контролю).
Також аудитори констатували, що наразі НАБУ не має жодного успішного кримінального розслідування, пов’язаного з витоками відомостей досудового розслідуваннях, вчиненого співробітниками НАБУ.
«Після Технічної оцінки 2023 року НАБУ погодилося з двома високопріоритетними рекомендаціями щодо зменшення ризику витоків.
По-перше, НАБУ погодилося встановити внутрішні правила щодо рівня обміну слідчою та оперативною інформацією всередині Бюро, зокрема обмежуючи розмір і обсяг інформаційних нарад, щоб уникнути зайвого звітування та зменшити можливості витоків інформації.
По-друге, НАБУ погодилося запровадити такі механізми контролю, як обмеження використання групових чатів у мобільних телефонах для обговорення операційних питань, заборона використання особистої електронної пошти та запровадження шлюзів безпеки, що не дозволить працівникам надсилати документи на особисту електронну пошту або завантажувати їх у приватну хмару.
Ситуація з «витоком» 2024 року, через яку НАБУ опинилося в епіцентрі скандалу, отримала розголос приблизно через 6 місяців після того, як НАБУ отримало ці рекомендації», зазначають аудитори.
Крім того, вони вказують, що НАБУ не змогло чітко продемонструвати, хто є відповідальним за моніторинг впровадження нових настанов щодо зменшення ризиків витоків. «Заступник голови УВК номінально відповідає за нагляд за виконанням настанов, але наразі було вжито небагато заходів. Попри те що НАБУ загалом не вдалося продемонструвати ефективність цих механізмів контролю, насамперед це було пов’язано з тим, що відповідні заходи ще не були впроваджені або ж були впроваджені зовсім нещодавно», йдеться у звіті.
Що стосується механізмів технічного контролю за більш широким захистом інформації, то тут аудитори назвали зусилля НАБУ «нерівномірними».
«Загалом НАБУ не вжило достатньо заходів щодо інформаційної безпеки, щоб захистити дані від витоків чи розголошення.
У вересні 2024 року голова УВК підготував внутрішню доповідну записку на виконання доручення прем’єр-міністра України стосовно кібербезпеки для того щоб, серед інших заходів, заборонити використання месенджерів співробітниками НАБУ для робочого листування чи передачі службової та конфіденційної інформації, а також месенджеру Telegram на робочих комп’ютерах.
Під час нашого візиту у січні 2025 року ця заборона не діяла.
Ми спостерігали регулярне використання месенджера WhatsApp, а також дозвіл на використання Telegram.
Як нам повідомили, детективи стверджують, що ці застосунки їм потрібні для розслідування. Це може бути правдою, однак ми не побачили практично жодних ефективних запобіжників, які б компенсували цей ризик.
Детективи не мають службових мобільних телефонів від НАБУ і регулярно здійснюють робочі справи на особистих пристроях.
НАБУ також не має належної політики використання особистих пристроїв для робочих цілей (політика BYOD), що мала б супроводжуватись програмним забезпеченням для управління такими пристроями, що захистило б чутливі дані НАБУ від витоків. Відділ інформаційної безпеки УВК відповідає за захист даних. Комісію повідомили, що це спільна відповідальність з Управлінням інформаційних технологій. Таке розділення відповідальності може спричинити плутанину щодо повноважень і необхідності та терміновості коригувальних заходів щодо механізмів технічного контролю», зазначено у звіті.
Крім того, аудитори встановили, що у НАБУ існує нестача персоналу, особливо аналітиків, які мають досвід проведення складних фінансових розслідувань.
До того ж, НАБУ повідомило Комісії, що не має права отримувати хмарні дані як доказ, якщо немає відкритої сесії доступу до хмарного сховища, попри те, що хмарне зберігання стає поширенішим, ніж локальне зберігання даних на комп’ютерах чи смартфонах. За словами прокурорів САП, детективам НАБУ загалом потрібно більше цифрових криміналістів, а також спеціалізовані інструменти для перевірки спеціального обладнання, що дозволило б їм швидко зламувати паролі на вилучених телефонах та аналізувати їхній цифровий вміст.
Окремо йдеться про систему даних Memex для збору оперативних та слідчих даних серед детективів та аналітиків.
«Memex – це комерційне програмне забезпечення, яке може слугувати щоденним інструментом для детективів і аналітиків для зберігання інформації, пошуку та створення аналітичних результатів, зокрема з візуалізацією. У сучасному органі, що виявляє та розслідує злочини, така можливість є критично важливим інструментом для кожного детектива та аналітика. Застосування Memex обмежується українським законодавством. Для ефективного використання можливостей, Memex має містити відповідні відомості ОРД, які становлять державну таємницю.
На практиці система Memex не сертифікована для роботи з державною таємницею.
Зважаючи на чинне українське законодавство, малоймовірно, що Memex або подібна система може бути сертифікована для роботи з державною таємницею. Важливу інформацію в Memex не можна включити через її засекречення, а отже, навряд чи можна очікувати створення єдиного сховища даних оперативно-розшукової та слідчої діяльності. Крім того, у деяких випадках детективам доводиться виконувати подвійну роботу, щоб зберігати інформацію в Memex і матеріалах ОРД», зазначається у документі.
Серед рекомендацій, які аудитори надали НАБУ:
Крім того, комісія аудиторів рекомендувала наступні покращення Верховній Раді України «та іншим компетентним органам влади»:
(1) запровадження чітких правил, включно з визначенням строків, щодо передачі кримінального провадження від одного органу досудового розслідування до іншого, зокрема перебрання проваджень НАБУ
(2) встановлення адміністративної чи дисциплінарної відповідальності для Офісу Генерального Прокурора, ДБР та інших органів досудового розслідування за порушення правил підслідності чи невиконання рішень, ухвалених НАБУ, САП чи іншими прокурорами щодо передачі кримінального провадження.
Автор: Наталя Мамченко
Підписуйтесь на наш Telegram-канал t.me/sudua та на Google Новини SUD.UA, а також на наш VIBER, сторінку у Facebook та в Instagram, щоб бути в курсі найважливіших подій.