Перейти до основного вмісту

Хакер, збери мені тендер

Нє, не кумівство, просто співпадіннячко

– Агов, полковнику, відправ до мене в кабінет двох толкових підполковників!
– Для чого, пане генерале?
– Та шафу треба пересунути.
(народна творчість)

Як відомо, в нашій правовій державі давно побороли корупцію. Лишились виключно таємничі збіги в таких важливих справах, як тендери. І є в мене свіжа історія про те, як Нацполіція купує комп’ютери — формально для потреб кіберполіції. Здавалося б, справа потрібна, та й гроші держава щедро виділяє.

Цей тендер і привернув мою увагу своєю зухвалістю. За документами назвали ноутбуки вишукано: «Апаратно програмний комплекс на базі HP EliteBook 850 G6 UMA i7-8565U 850 G6 / 15.6 FHD AG UWVA 250 HD NarrowBezel / 16GB (1x16GB) DDR4 2400 / 512GB PCIeNVMeValue» — 340 штук.

І ще 27 одиниць «Обчислювальний комплекс обробки криміналістичної інформації Forensic Desktop Dell Precision 7920 Tower XCTO Base Intel Xeon Gold 5218R» (тобто теж комп’ютери). Загальна сума закупівлі: 26,3 мільйонів гривень.

Питання цінової обґрунтованості я надто глибоко не вивчав. Впевнений, якщо уважно порахувати — сума має бути разу в півтора-два менша. Але ж поки що організатори лише оголосили попередню вартість на ProZorro. За логікою, тендерні пропозиції мають знизити ціну ближче до реальної. Дорого чи дешево, але зі своїх податків ми це вже оплатили наперед.

Проте виникає цікава деталь.

Учасник тендеру повинен надати:

  • скан-копії всіх зазначених у Довідці сертифікатів рівня кваліфікації СЕН (Certificated Ethical Hacker);
  • ...та/або CISA (Certified Information Systems Auditor);
  • ...та/або CISSP (Certified Information System Security Professional), дійсних на дату розкриття тендерних пропозицій;
  • усе це щастя — на кожного працівника, відображеного учасником у довідці.

А тепер увага, моє скромне запитання. От нахіба для постачання комп’ютерів мати у штаті кваліфікованих хакерів та аудиторів?

"

"

За цією ж логікою, щоб продати клієнту медичну маску, аптека повинна мати у штаті доктора наук із нейрохірургії? Звучить цікаво, свіжа ідея ще ніде не застосовувалась. Тоді в найгіршому автосалоні продавець має бути чемпіоном ралі Париж-Дакар — і це мінімум. У нормальних виключно чемпіони F1 сімейні малолітражки продаватимуть.

Ну що ж це за цирк. Чисто теоретично, замисліться — чим саме кваліфікований хакер із професійним сертифікатом зможе допомогти у постачанні комп’ютерної техніки. І тоді мій жарт про чемпіона перегонів, що працює в автосалоні, не здаватиметься таким уже приводом посміятись. Ну от чим допоможе магістр «знайти та поламати» — системний блок підніме якось витонченіше, чи блок живлення швидше у розетку встромить? Зараз системні адміністратори неньки-України хором витимуть — серед них багато профі, але до біса мало хакерів. От не додумались хлопці років десять тому, що це важливий критерій.

Але якщо вже потрібні саме професійні хакери для перенесення коробок із комп’ютерами, тоді вже вимагайте собі OSCP (Offensive Security Certified Professional) або OSWE (Offensive Security Web Expert), що там уже прибіднятися. Сподіваюсь, хоча б ремонт у приміщенні кіберполіції робитимуть не хакери.

Там внизу ще є коментарі, де закупівельник виправдовує наявність сертифікатів так: «…щоб налаштування обладнання проводили фахівці відповідної кваліфікації, які мають необхідні знання та досвід з вибудування ІТ інфраструктури, захисту її від зловмисних проникнень та збоїв, інтеграції та налаштування існуючого обладнання з новим…»

Але ж предметом закупівлі є лише техніка, ніяких послуг: «ДК 021:2015: 30210000-4 — Машини для обробки даних (апаратна частина)». До того ж, я взагалі не уявляю ситуацію, щоб фахівці кіберполіції пустили у свої мережі кваліфікованого хакера просто підключити лептоп. Тим більше, що вони там теж дещо тямлять у хакінгу.

Очевидно, що вимога наявності сертифікатів CEH, CISA та CISSP була вписана суто під конкретного продавця. От хочеться вам протягти на тендері знайомого дядька, але бажаючих надто багато. І тоді ви починаєте шукати слабкі сторони суперників: те, що точно є у вашого свояка, але відсутнє у решти претендентів.

Але почекайте! Знайомий постачальник крім постачання техніки, займається також і послугами з кібербезпеки. Відповідно, вже має у штаті відповідних сертифікованих фахівців. Цим не може похвалитися жоден зі звичайних постачальників заліза. То ось же вона, слабка ланка, якою можна скористатись. Так ви перетворюєте тендер на формальні перегони з давно відомим чемпіоном.

Примітка редактора. Типу влаштовуєте заплив щуки, страуса й діда Миколи, аби потім зображати щирий подив.

Це справжня корупційна вимога. Якщо її залишити на місці й не чіпати, не прибираючи навіть на словах, годі мріяти: не буде ніякої чесної конкуренції за ціною. Тому що за зручними умовами виграють тендер саме ті люди, з якими вже домовилися. Ще й за спеціальною ціною, яку розпиляють між напряму зацікавленими особами.

Усі подібні закупівлі начебто «контролює» МінЦифри. Начебто усе ретельно перевіряють, порівнюють. Коли треба — навіть чесно та безкомпромісно скасовують тендери, прямо на раз-два. Але чи розуміють жижиталізатори, що таке CEH, CISA, CISSP, OSCP чи там OSWE?

Тобто розуміють (сподіваюся), що це професійні сертифікати. Але до чого вони і у якій сфері застосовуються — велике питання, відповідь на яке мені давно відома. Десь із вересня 2019 року.

Це саме той випадок, коли непрофесіоналізм прямо впливає на суму вкрадених грошей. Але прийом заявок на тендер триватиме ще до 14 вересня. Як думаєте, приберуть цю дискримінаційну корупційну вимогу?

Рубрика "Гринлайт" наполняется материалами внештатных авторов. Редакция может не разделять мнение автора.

В самурая немає мети, є лише шлях.
Ваш донат – наша катана. Кнопки нижче!