Аудитори констатували, що витік інформації є хронічною проблемою для НАБУ

Витік інформації є хронічною проблемою для НАБУ та всіх інших українських правоохоронних органів та прокуратури. Відповідний висновок міститься у звіті Комісії з проведення зовнішньої незалежної оцінки (аудиту) ефективності діяльності Національного антикорупційного бюро України за період з березня 2023 року по листопад 2024 року, яка складалася з іноземних експертів.

Слід вказати, що у результатах аудиту діяльності НАБУ за 2021-2023 роки, який провела група експертів за ініціативою посольства США в Україні та Антикорупційної ініціативи ЄС в Україні, також йшлося про те, що  система внутрішнього контролю НАБУ наразі не у повній мірі здатна запобігти витокам інформації, а також забезпечити «надійний внутрішній контроль за персоналом НАБУ».

У нинішньому звіті аудитори підсумували, що «витік інформації підриває довіру громадськості до інституцій, незалежно від того, чи відбувається витік з незаконною метою (наприклад, повідомлення суб’єкту кримінального правопорушення про майбутній обшук) чи з нібито благородною метою (наприклад, надання інформації журналісту-розслідувачу)».

Вказано, що відповідно до КПК розслідування розголошення даних оперативно-розшукової діяльності, досудового розслідування є відповідальністю відповідного органу. У НАБУ це мало б означати ГПД (головний підрозділ детективів), а не УВК (управління внутрішнього контролю).

Також аудитори констатували, що наразі НАБУ не має жодного успішного кримінального розслідування, пов’язаного з витоками відомостей досудового розслідуваннях, вчиненого співробітниками НАБУ.

«Після Технічної оцінки 2023 року НАБУ погодилося з двома високопріоритетними рекомендаціями щодо зменшення ризику витоків.

По-перше, НАБУ погодилося встановити внутрішні правила щодо рівня обміну слідчою та оперативною інформацією всередині Бюро, зокрема обмежуючи розмір і обсяг інформаційних нарад, щоб уникнути зайвого звітування та зменшити можливості витоків інформації.

По-друге, НАБУ погодилося запровадити такі механізми контролю, як обмеження використання групових чатів у мобільних телефонах для обговорення операційних питань, заборона використання особистої електронної пошти та запровадження шлюзів безпеки, що не дозволить працівникам надсилати документи на особисту електронну пошту або завантажувати їх у приватну хмару.

Ситуація з «витоком» 2024 року, через яку НАБУ опинилося в епіцентрі скандалу, отримала розголос приблизно через 6 місяців після того, як НАБУ отримало ці рекомендації», зазначають аудитори.

Крім того, вони вказують, що НАБУ не змогло чітко продемонструвати, хто є відповідальним за моніторинг впровадження нових настанов щодо зменшення ризиків витоків. «Заступник голови УВК номінально відповідає за нагляд за виконанням настанов, але наразі було вжито небагато заходів. Попри те що НАБУ загалом не вдалося продемонструвати ефективність цих механізмів контролю, насамперед це було пов’язано з тим, що відповідні заходи ще не були впроваджені або ж були впроваджені зовсім нещодавно», йдеться у звіті.

Що стосується механізмів технічного контролю за більш широким захистом інформації, то тут аудитори назвали зусилля НАБУ «нерівномірними».

«Загалом НАБУ не вжило достатньо заходів щодо інформаційної безпеки, щоб захистити дані від витоків чи розголошення.

У вересні 2024 року голова УВК підготував внутрішню доповідну записку на виконання доручення прем’єр-міністра України стосовно кібербезпеки для того щоб, серед інших заходів, заборонити використання месенджерів співробітниками НАБУ для робочого листування чи передачі службової та конфіденційної інформації, а також месенджеру Telegram на робочих комп’ютерах.

Під час нашого візиту у січні 2025 року ця заборона не діяла.

Ми спостерігали регулярне використання месенджера WhatsApp, а також дозвіл на використання Telegram.

Як нам повідомили, детективи стверджують, що ці застосунки їм потрібні для розслідування. Це може бути правдою, однак ми не побачили практично жодних ефективних запобіжників, які б компенсували цей ризик.

Детективи не мають службових мобільних телефонів від НАБУ і регулярно здійснюють робочі справи на особистих пристроях.

НАБУ також не має належної політики використання особистих пристроїв для робочих цілей (політика BYOD), що мала б супроводжуватись програмним забезпеченням для управління такими пристроями, що захистило б чутливі дані НАБУ від витоків. Відділ інформаційної безпеки УВК відповідає за захист даних. Комісію повідомили, що це спільна відповідальність з Управлінням інформаційних технологій. Таке розділення відповідальності може спричинити плутанину щодо повноважень і необхідності та терміновості коригувальних заходів щодо механізмів технічного контролю», зазначено у звіті.

Крім того, аудитори встановили, що у НАБУ існує нестача персоналу, особливо аналітиків, які мають досвід проведення складних фінансових розслідувань.

До того ж, НАБУ повідомило Комісії, що не має права отримувати хмарні дані як доказ, якщо немає відкритої сесії доступу до хмарного сховища, попри те, що хмарне зберігання стає поширенішим, ніж локальне зберігання даних на комп’ютерах чи смартфонах. За словами прокурорів САП, детективам НАБУ загалом потрібно більше цифрових криміналістів, а також спеціалізовані інструменти для перевірки спеціального обладнання, що дозволило б їм швидко зламувати паролі на вилучених телефонах та аналізувати їхній цифровий вміст.

Окремо йдеться про систему даних Memex для збору оперативних та слідчих даних серед детективів та аналітиків.

«Memex – це комерційне програмне забезпечення, яке може слугувати щоденним інструментом для детективів і аналітиків для зберігання інформації, пошуку та створення аналітичних результатів, зокрема з візуалізацією. У сучасному органі, що виявляє та розслідує злочини, така можливість є критично важливим інструментом для кожного детектива та аналітика. Застосування Memex обмежується українським законодавством. Для ефективного використання можливостей, Memex має містити відповідні відомості ОРД, які становлять державну таємницю.

На практиці система Memex не сертифікована для роботи з державною таємницею.

Зважаючи на чинне українське законодавство, малоймовірно, що Memex або подібна система може бути сертифікована для роботи з державною таємницею. Важливу інформацію в Memex не можна включити через її засекречення, а отже, навряд чи можна очікувати створення єдиного сховища даних оперативно-розшукової та слідчої діяльності. Крім того, у деяких випадках детективам доводиться виконувати подвійну роботу, щоб зберігати інформацію в Memex і матеріалах ОРД», зазначається у документі.

Серед рекомендацій, які аудитори надали НАБУ:

• переглянути процедури захисту особи внутрішніх заявників і викривачів, які повідомляють про неналежну поведінку або правопорушення, включно з дозволом видаляти особу викривача чи заявника з записів, наданих директору НАБУ та Дисциплінарній комісії, якщо іншого не вимагає закон.
• Придбати службові мобільні телефони або розробити програму для використання особистих пристроїв із належними політиками безпеки мобільних пристроїв і програмними рішеннями.
• Запровадити обмеження або компенсаційний контроль над соціальними мережами та використанням приватної електронної пошти для ведення справ НАБУ.
• Провести об’єктивну оцінку поточної практики моделювання ситуацій для перевірки на доброчесності УВК та розробити політику, яка регулює цю практику.
• Провести об’єктивну оцінку процедур і практик, пов’язаних з початком службових розслідувань, і за необхідності переглянути процедури, щоб забезпечити об’єктивну та своєчасну оцінку та розслідування всіх достовірних звинувачень у серйозних порушеннях з боку співробітників НАБУ.
• Розробити процедури для об’єктивної перевірки точності та повноти оприлюднених даних, наданих ГПД та УВК.
• Розробити, опублікувати та імплементувати комплексний стратегічний план, який містить цілі, завдання і вимірювані показники ефективності.
• Здійснити оцінювання доцільності запровадження конкурсного відбору, ротації або обмеження строку перебування на посаді для окремих додаткових керівних посад в НАБУ. У разі підтвердження доцільності — ініціювати відповідні заходи для впровадження зазначених змін.
• Переглянути та, за потреби, доопрацювати процедури визначення матеріальних потреб відповідно до встановлених пріоритетів для фінансування з державного бюджету та міжнародної допомоги.
• Розробити методичні матеріали та програму навчання для детективів, щоб спонукати їх збирати докази, які пов’язують активи і відповідні кримінальні правопорушення та підвищити кількість заходів спеціальної конфіскації.

Крім того, комісія аудиторів рекомендувала наступні покращення Верховній Раді України «та іншим компетентним органам влади»:

• Щоб задовольнити негайні потреби НАБУ, розглянути невідкладні заходи щодо ініціювання планів дій для впровадження можливостей автономного прослуховування для НАБУ.
• Щоб забезпечити доступ НАБУ до своєчасної та неупередженої судової експертизи, розглянути можливість встановлення додаткових правових гарантій і запобіжників для забезпечення наявності та неупередженості незалежних судово-експертних послуг.
• Щоб уникнути негативного впливу на спроможність НАБУ арештовувати активи в Україні та за кордоном, не вносити зміни до українського законодавства, які вимагають перегляд усіх ухвал про арешт активів кожні два місяці, через непрактичність такого заходу.
• Щоб надати НАБУ та іншим правоохоронним органам достатнього часу для проведення досудових розслідувань та усунути інші перешкоди у боротьбі з високопосадовою корупцією, розглянути скасування «поправок Лозового»
• Для покращення підзвітності НАБУ, розглянути можливість внесення змін до Закону про НАБУ, щодо проведення зовнішньої оцінки кожні два роки, а не щороку.
• Щоб запобігти порушенням підслідності НАБУ, розглянути можливість внесення змін до КПК щодо:

(1) запровадження чітких правил, включно з визначенням строків, щодо передачі кримінального провадження від одного органу досудового розслідування до іншого, зокрема перебрання проваджень НАБУ

(2) встановлення адміністративної чи дисциплінарної відповідальності для Офісу Генерального Прокурора, ДБР та інших органів досудового розслідування за порушення правил підслідності чи невиконання рішень, ухвалених НАБУ, САП чи іншими прокурорами щодо передачі кримінального провадження.

Автор: Наталя Мамченко

Підписуйтесь на наш Telegram-канал t.me/sudua та на Google Новини SUD.UA, а також на наш VIBER, сторінку у Facebook та в Instagram, щоб бути в курсі найважливіших подій.