Провал освітньої платформи «Human»: база персональних даних українських школярів та їх батьків продається в РФ, частина 2

Продовження статтi Провал освітньої платформи «Human»: база персональних даних українських школярів та їх батьків продається в РФ. Першу частину читайте за посиланням.

Відповідальність власника системи
В КП Human порушено законодавство щодо належної відповідальності власника системи, оскільки в публічних угодах ТОВ "ЕВОЛЮШН ГРУП" в односторонньому порядку обмежила свою відповідальність, пов’язану з наданням доступу до платформи, її послуг та технічних можливостей, а частину відповідальності переклала на користувачів (адміністраторів, вчителів та учнів, - ред.).

Відповідно до Закону «Про захист інформації в інформаційно-телекомунікаційних системах» відповідальність за забезпечення захисту інформації в системі покладається на власника системи. Згідно п. 17 Правил забезпечення захисту інформації, відповідальність за забезпечення захисту інформації в системі, своєчасне розроблення необхідних для цього заходів та створення системи захисту покладається на керівника (заступника керівника) організації, яка є власником (розпорядником) системи.

Однак, згідно п.1 Розділу XIII Ліцензійного публічного договору (публічної оферти) платформа надається ТОВ “Еволюшн Груп” «як є» та без будь-яких гарантій. І хоча «в межах чинного законодавства України», але ТОВ “Еволюшн Груп” не несе будь-якої відповідальності, пов'язаної з включно, але не обмежуючись, наданням доступу до платформи в рамках технічних можливостей.

Згідно п. 2 Розділу XIII. Умов та правил використання саме користувачі будуть повністю нести відповідальність за будь-яку шкоду, заподіяну їх комп’ютерній системі, чи за втрату інформації, що викликано завантаженням будь-якого подібного контенту. Надання будь-якої особистої інформації та завантаження будь-якого контенту через платформу виконується [користувачами] на власний розсуд та ризик, які зобов’язані перевіряти будь-яку інформацію, розміщену на платформі, перш ніж використовувати її та покладатися на неї.

Ба більше, ТОВ "Еволюшн Груп" може призупинити дію або зовсім вилучити деякі послуги без попереднього повідомлення про це користувачів. ТОВ "Еволюшн Груп" не несе жодної відповідальності за можливі наслідки таких дій та можливе ненадання своєчасно інформації про такі дії. ТОВ "Еволюшн Груп" не відповідає за будь-які збитки (прямі, непрямі та випадкові), за інші матеріальні та нематеріальні втрати користувача або третіх осіб, які виникли в результаті порушення роботи платформи, в результаті її використання або неможливості використання, внаслідок втрати важливої для користувача інформації (враховуючи файли) з технічних причин, у результаті дій або бездіяльності інших користувачів.

Оскільки Класний журнал (паперовий) залишається документом суворої звітності, хто буде відповідати у разі, якщо наприкінці року електронний журнал випускного класу зникне з усіма оцінками - вчитель, учень чи Human?

Відповідно до ст. 9 Закону «Про захист інформації в інформаційно-телекомунікаційних системах» власник системи, в якій обробляється інформація з обмеженим доступом має утворити службу захисту інформації або призначити осіб, на яких покладається забезпечення захисту інформації та контролю за ним. Однак, у жодному з публічних договорів не повідомлено про конкретні заходи, які можуть здійснюватися для попередження загроз. Зокрема, відсутня інформація щодо:

- укладення з працівниками договорів про нерозголошення конфіденційної інформації, дії, у разі їх звільнення;

- правил формування паролів працівників;

- правил доступу працівників до персональних даних користувачів;

- безпеки приміщень, в яких обробляються персональні дані;

- захисту від спам-ботів та DOS і DDOS-атак;

- наявності резервного копіювання та аварійного відновлення даних, тощо.

Значно зменшує захист також те, що в Human для різних категорій користувачів з різними повноваженнями передбачене «єдине вікно» через одну реєстраційну форму (вхід до функцій «адміністрування» для адміністраторів, до функцій «електронний журнал» - для вчителів, до функцій «електронний щоденник» - для учнів), оскільки у разі проникнення та нанесення шкоди даним однієї підсистеми, можливо нанести шкоду усій платформі та складніше захистити бази даних, у разі атак чи інших несанкціонованих дій.

Ураховуючи вищевикладене, на платформі Human існують значні загрози для стабільної роботи з електронними документами та збереження конфіденційної інформації, що власники платформи визнають самі, оскільки передбачили значні обмеження своїй відповідальності.

Письмовий договір
КП Human порушено законодавство щодо правових підстав співпраці, оскільки відсутній письмовий договір, безпосередньо укладений між власником системи (ТОВ "ЕВОЛЮШН ГРУП") та володільцем інформації (закладом освіти).

Згідно Закону «Про захист персональних даних» володілець ПД може доручити обробку ПД розпоряднику ПД відповідно до договору, укладеного в письмовій формі (п.4. ст.4). Розпорядник ПД може обробляти персональні дані лише з метою і в обсязі, визначених у договорі
Відповідно до Закону України «Про захист інформації в інформаційно-телекомунікаційних системах» власник системи (ТОВ "ЕВОЛЮШН ГРУП") має забезпечити захист інформації в системі в порядку та на умовах, визначених у договорі, який укладається ним із володільцем інформації (школою), якщо інше не передбачено законом – ст. 5 Закону.

У даному випадку обрано модель, коли основний договір укладається між ТОВ “Еволюшн Груп” та КП «ГІОЦ», а для клієнтів та користувачів надаються публічні угоди (ліцензії), що розміщені на сайті у відкритому доступі, і з якими можливо ознайомитися під час реєстрації (Ліцензійний публічний договір (публічна оферта), Умови та правила використання, Політика конфіденційності, - ред.).

Стороною кожної угоди є одночасно усі користувачі (школи, вчителі, учні), однак жоден з них не має можливості у разі необхідності вносити до неї зміни, а отже і впливати на покращення роботи щодо заходів безпеки.

Така практика дозволяє ТОВ "Еволюшн Груп" порушувати вимоги безпеки інформації, що розміщується на платформі. Свідченням цього є те, що товариство, як власник системи, в односторонньому порядку прийняло рішення про можливість управління інформацією (усіх видів) без повідомлення про це школи чи користувачів.

Згідно з правилами забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах конфіденційна інформація має захищатися як службова інформація. Пункт 6 правил передбачає, що під час обробки службової інформації повинен забезпечуватися її захист від несанкціонованого та неконтрольованого ознайомлення, модифікації, знищення, копіювання, поширення. Згідно Ліцензійного публічного договору (оферти) клієнт (заклад освіти) надає свою згоду на те, що ТОВ “Еволюшн Груп” може:

- аналізувати інформацію та контент, що надаються, передаються, розміщуються на Платформі (закладами освіти, або користувачами - ред.);

- передавати результати аналізів іншим особам та/або користувачам;

- надавати в публічний доступ без повідомлення про це користувача та/або клієнта;

- не видаляти контент користувача, у випадку видалення профілю (протягом часу, як це вважатиме за потрібне ТОВ “Еволюшн Груп”);

- вносити, редагувати або видаляти будь-яку інформацію, розміщену на платформі на власний розсуд, в тому числі змінювати кількість і склад контенту, розміщеного користувачем.

Слід зазначити, що угоди-оферти значно звужують права клієнтів та користувачів, які з одного боку - не можуть внести до них зміни, а з іншого - не можуть відмовитися від «мовчазної згоди», оскільки у разі відмови вчителя, він може втратити роботу, у разі відмови учня – він може втратити гарантований державою доступ до освітніх послуг.

Згода на обробку персональних даних
Існують порушення щодо наданням згоди на обробку персональних даних. В КП «Human» визначено, що заклад освіти збирає від користувачів (батьків та учнів) згоду на обробку персональних даних. Обов’язок збирання даних покладено на адміністратора, який не має права вносити на платформу будь-які персональні дані майбутніх користувачів без їх попередньої письмової згоди на обробку ПД.

Однак відсутня інформація щодо порядку дій у разі відмови користувача надавати згоду (порядок знеособлення даних).

Згідно статті 32 Конституції України не допускається збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.

Збирання такої згоди має бути обґрунтованим, зокрема: особа не повинна зазнавати тиску; має бути належно поінформована про мету і наслідки надання згоди; межі поширення її згоди повинні бути конкретними і розумними.

На думку Уповноваженого Верховної Ради країни з прав людини, безальтернативний збір згоди на обробку персональних даних порушує принцип добровільності її надання, а відмова особи від надання такої згоди в інформаційних системах не має стати перешкодою у наданні закладом освіти гарантованих Конституцією освітніх послуг.

Поширення персональних даних
КП Human порушено законодавство щодо порядку поширення персональних даних, оскільки, у разі приєднання користувача до оферти, ТОВ "ЕВОЛЮШН ГРУП" фактично отримує «попередню його згоду» щодо майбутніх подій і право передати його ПД третім особам, без належного інформування про це володільця інформації та користувачів (чи отримання від них згоди).

Згідно Закону «Про захист персональних даних»  суб'єкт персональних даних має право знати про володільця чи розпорядника персональних даних, а також отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані. Поширення персональних даних без згоди суб'єкта персональних даних або уповноваженої ним особи дозволяється у випадках, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.

Але згідно Ліцензійного публічного договору ТОВ "ЕВОЛЮШН ГРУП" має право передавати свої зобов’язання та права третім особам без повідомлення Клієнта. У Політиці конфіденційності зазначено, що ТОВ "ЕВОЛЮШН ГРУП" за умови дотримання конфіденційності, однак може передавати персональну інформацію користувачів у разі продажу бізнесу або частини активів третій стороні; або для повноцінної реалізації окремих функцій платформи частина персональних даних, наданих з дозволу (користувача - ред.) платформі, може бути доступна для перегляду іншими користувачами.

Однак законодавством чітко визначено, що суб’єкт персональних даних має отримувати інформацію про третіх осіб, яким передаються його персональні дані.

Використання інших програм
Згідно інформації представників Human із соціальних мереж існує намір інтегрувати програму «Zoom» безпосередньо на платформу Human, що може стати додатковою загрозою безпеці інформації. У 2020 р. спостерігався виток персональних даних та іншої інформації під час проведення Zoom-конференцій, крім того трафік онлайн уроків, а отже і персональна інформація, будуть проходити через інші країни.

Також, компанія Human при створенні програмного забезпечення використала софт австралійської компанії «Аtlassian», яка відома своєю плідною роботою з РФ, про що йдеться на її офіційному сайті, тож персональні данні українських дітей та їх батьків «розгулюють» світовими дата-центрами.

У ході журналістського розслідування виплив ще один цікавий факт – сам сайт системи «Human» розташований на російському хостингу.

Загроза витоку інформації
Існує загроза витоку інформації при здійснені доступу користувачів в системі. На платформі адміністратор кожного закладу освіти після внесення номеру телефону користувача може переглянути паролі (ліцензії) користувачів своєї школи, роздрукувати їх чи надіслати користувачам по SMS.

І хоча на друкованій сторінці є попередження про конфіденційність інформації, це значно зменшує захищеність даних у разі випадкового доступу третіх осіб до сторінки адміністратора на платформі чи до друкованої версії даних. При цьому, згідно Умов та правил використання кількість адміністраторів відповідної школи не обмежена, що підвищує рівень небезпеки.

На платформі кожний клієнт самостійно реєструє свій профіль та вносить дані, а ТОВ “Еволюшн Груп” має право їх перевіряти та вимагати у клієнта документи (копії, скан-копії), що підтверджують реєстраційні дані, чи відмовити особі в реєстрації у разі виникнення певних умов (у т.ч. якщо вона не надала підтверджуючі документи). За спеціальним кодом можливо реєструвати дані інших осіб.

На предмет чого може здійснюватися така перевірка і як “Еволюшн Груп” може визначити, що дані не відповідають дійсності? Як будуть вестися електронні журнали, у разі не бажання «клієнтів» передавати копії свої документів на платформу, та відмові їм у реєстрації?

Згідно ТЗ 2019 р., ще минулого року в Human мали бути впроваджені можливості реєстрації та авторизації за допомогою модуля авторизації KYIVSМARTCITY (за що було отримано 264 тис. грн., однак не реалізовано) та ідентифікація користувачів за допомогою КЕП (ЕЦП), чи з урахуванням інформації, отриманої з програмного модуля «Реєстр дітей» ІТС «Муніципальний Реєстр» (МР ID.OC).

На сайті IT-компанії «EVOLUTION Group» співпраця з програмою KYIVSМARTCITY зводиться до участі компанії у публічному відборі міських проектів.

Викладаються відповідні фото для ілюстрації співпраці з програмою KYIVSМARTCITY.

У кінці головної сторінки сайту «Human» KYIVSМARTCITY навіть вказали як партнера компанії. Однак зазначений функціонал для співпраці з KYIVSМARTCITY та іншими проектами і досі не реалізовано.

Тендер «під Human»
А от тепер переходимо до найцікавішого. Як «EVOLUTION Group» з такими порушеннями законодавства та ключовими недоопрацюваннями платформи взагалі вдалося виграти такі важливі тендери в сфері шкільної освіти України?

Відповідь на це питання стає очевидною, варто лише перейти на сайти публічних закупівель. Неозброєним оком видно, що ТЗ тендерів писалися саме «під Human».

Київською міськдержадміністрацію, в особі КП «ГІОЦ», проведено два тендери (у 2019 та 2020 роках, - ред.) на закупівлю ліцензійного програмного забезпечення для закладів освіти (на 9.531 млн грн.), переможцем яких двічі стало ТОВ "ЕВОЛЮШН ГРУП" (створене у 2018 р.), власник комп’ютерної програми «Human».

Згідно з даними відкритих ресурсів щодо публічних закупівель, КП «ГІОЦ» у 2019 р. закуплено 7 000 ліцензій «Human школа» строком на 70 років на суму 3 651 000,00 грн.; у 2020 р. закуплено ліцензій на суму 5 880 000 грн, у т.ч.:

- 20 000 ліцензій «Human школа» строком на 70 років для усіх користувачів;

- 140 000 ліцензій «Human школа» до 01.09.21 для усіх користувачів;

- 4 351 ліцензій КП «Human Lessons» до 01.09.21 для вчителів (доступ не відкритий).

Фактично укладено угод на закупівлю: 167 000 Human школа та 4315 «Human lessons» ліцензій. Однак у публічному доступі відсутні дані, які дозволять зробити висновок про ефективність використання коштів київської громади.

У Звіті про хід виконання Програми економічного і соціального розвитку м. Києва на 2018- 2020 роки за січень-вересень 2020 року (п. 307) зазначено що вже у 2020 р. до Системи менеджменту навчального процесу було підключено 32 заклади освіти та зареєстровано близько 30 тис. користувачів. За рахунок яких коштів відбулося приєднання близько 30 тис. користувачів, якщо у 2019 р. закуплено лише 7000 ліцензій?

І на цьому етапі виникає багато питань.

Чи існує перелік закладів, користувачам яких надані перші 7000 ліцензій, якщо так, то хто його веде? Яким чином Київська міськдержадміністрація (її департаменти чи комунальні підприємства), здійснюють облік наданих ліцензій, якщо реєстрація школи проводиться безпосередньо в КП «Human»?
На сьогодні у Києві функціонують 428 заклади освіти, в яких навчається 121 тис. учнів

1-4 класів та 179 тис. учнів 5-11 класів. Який порядок надання ліцензій в рамках угоди 2020?

Як будуть розподілені ліцензії між закладами освіти, т.ч. з огляду на різний термін їх використання (ліцензії на 70 р., ліцензії до 1.09.2021)?
Як будуть розподілені ліцензії «Human Lessons» для вчителів, якщо в закладах освіти м. Києва працює 41 тис. вчителів, а закуплено для них лише 4351 ліцензія «Human Lessons»?

І найголовніше. Чи мають право голосу педагогічні ради щодо приєднання до КП «Human», оскільки в рамках автономії та згідно ст. 40 Закону України «Про повну загальну середню освіту» саме педагогічна рада приймає рішення щодо провадження експериментальної чи інноваційної діяльності, чи використання інформаційних технологій?

А в Положенні про дистанційну форму здобуття повної загальної середньої освіти чітко зазначено, що для забезпечення єдиних підходів до створення електронного освітнього середовища заклад освіти може обирати та педагогічна рада схвалювати використання конкретних інформаційно-телекомунікаційних систем (електронних освітніх платформ), комунікаційних онлайн сервісів та інструментів (наказ МОН від 08.09.20 №1115).

Конкурентність та корупція
Взагалі, щодо самих процедур закупівель існують підстави вважати, що під час їх проведення були порушені принципи конкурентності, що також може свідчити про наявність корупційних дій та зловживань.

Мета закупівлі 2020 р. - «отримання додаткових ліцензій програмного забезпечення, необхідного для організації дистанційної роботи вчителів та учнів у період карантину». Однак відсутні дані щодо позитивного досвіду використання ліцензій закупівлі 2019.

Під час обох закупівель не подавалася інформація про позитивний досвід використання платформи в комунальних закладах освіти: у 2019 наведено приклад угоди з ФОП - послуги з вивчення іноземних мов (720 грн. за 1 ліцензію), у 2020 р. наведено приклад Угоди з приватним закладом (600 грн. на рік).

«Human Lessons», який необхідний для дистанційної роботи, наразі перебуває ще на етапі тестування. Онлайн заняття пропонується проводити на платформі «ZOOM» чи в інших соціальних мережах.

Під час проведення конкурентної закупівлі 2020 року здійснено «приховане» застосування переговорної процедури в інтересах «КП Human». Зокрема і тому, що в умовах тендерних документів конкурентної закупівлі (п.1.5 додатку 4) назву «Human» наведено як програму, що закуповується, а також зазначено про необхідність додаткових ліцензій.

Стаття 14 Закону «Про публічні закупівлі» дозволяє здійснювати посилання на існуючі торгівельні марки лише у випадку спрощених закупівель, а з огляду на обсяги фінансування (вартість закупівель >1 млн. грн.) можливо застосовувати лише конкурентну процедуру.

Згідно пункту 5 частини сьомої ст.3 Закону України «Про публічні закупівлі» закупівля додаткових аналогічних робіт чи послуг у того самого учасника здійснюється протягом 3 років після укладення договору про закупівлю, якщо загальна вартість таких робіт чи послуг не перевищує 50 відсотків ціни основного договору про закупівлю, укладеного за результатами проведення тендеру/спрощеної процедури.

В той самий час, вартість закупівлі 1 склала 3 386 980 UAH, а вартість закупівлі 2 - 5 880 000 грн., що на 74% більше вартості основного договору.
ТЗ навіть не передбачало необхідності мати дозволи та ліцензії, необхідні для використання ІКТ в закладах освіти, що також може свідчити про наявність корупційних дій та зловживань.

ТЗ навіть не передбачало необхідності мати дозволи та ліцензії, необхідні для використання ІКТ в закладах освіти, що також може свідчити про наявність корупційних дій та зловживань

«Сире» програмне забезпечення
Як зазначалося раніше, під час закупівлі 2020 року не впроваджено деякий функціонал, доступ до якого мав надаватися згідно ТЗ закупівлі 2019 року (на 01.12.20 цей функціонал також відсутній, - ред.). Зокрема наразі відсутні:

- реєстрація та авторизація за допомогою Модуля авторизації KYIVSМARTCITY;

- налаштування електронної взаємодії з KYIVSМARTCITY  ідентифікація користувачів за допомогою КЕП (ЕЦП), чи з урахуванням інформації отриманої з програмного модуля «Реєстр дітей» ІТС «Муніципальний Реєстр» (МР ID.OC);

- підтримка версії інтерфейсу для користувачів з поганим зором (збільшення розміру шрифту від 150% до 200%, перехід в режим збільшення кольорового контрасту).

- функціонал «HUMAN Lessons», що зазначено окремо в предметі постачання, ще тестувався;

Нажаль, розробники програмного забезпечення «Human» компанії «EVOLUTION Group» не змогли гарантувати ані його функціонал, ані відповідність його українському законодавству, не кажучи вже про його безпеку.

Українцям вкрай важко захистити себе від витоків персональної інформації, коли бази даних потрапляють в мережу і активно продаються, завдяки таким недобросовісним гравцям ринку, як IT-компанія «EVOLUTION Group».

Українцям вкрай важко захиститися від витоків персональної інформації, коли бази даних потрапляють в мережу і активно продаються завдяки недобросовісним гравцям ринку ІТ послуг, зокрема таким, як «EVOLUTION Group».

За даними експертів, найбільшу небезпеку несе саме прив’язка імені до телефона й адреси проживання, а не поширення логінів і паролів електронної пошти. А телефони, імена і адреси, безумовно, мають бути у шкільному журналі, електронну версію якого розробили в «EVOLUTION Group». Як виявилося, програмне забезпечення вкрай незахищене, в результаті чого у відкритий доступ потрапили персональні дані десятків тисяч українських школярів та їх батьків.

Саме персональні дані (імена і телефони з адресами) з легкої руки пройдисвітів з «EVOLUTION Group» опинилися в руках росіян, що служить «наводками» для криміналу або ж місцевих проросійських сил і ставить під загрозу безпеку наших дітей.

А питання кібербезпеки має бути одним із наріжних каменів політики сучасної держави. Проблема витоків персональних баз даних не є суто українською, та, нажаль, це не дуже хвилює українські правоохоронні органи та владу. А у базі «Human» є персональні дані понад 50 тисяч осіб, більше третини з яких – школярі. І цей кейс мав би зацікавити правоохоронні органи, в першу чергу – Службу безпеки України.

Якщо програмне забезпечення компанії «EVOLUTION Group» «сире» і незахищене, можливо варто відмовитися від нього, поки ще не пізно і до бази даних «Human» не потрапили персональні дані взагалі усіх українських школярів та їх батьків? Чому не довірити розробку програмного забезпечення іншим українським IT-компаніям, які здатні не тільки зробити це правильно та функціонально, а і забезпечити захист баз даних клієнтів?
Втім, наразі ці питання залишаються без відповідей.


- відсутня можливість вести електронний класний журнал згідно вимог чинного законодавства (не усі сторінки класного журналу активні та його друк не відповідає паперовій версії), що не дозволяє закладу освіти перейти на безпаперове ведення шкільного журналу та зменшує мотивацію педагогів вести електронні документи.

Тож виходить, що запитань до IT-компанії «EVOLUTION Group» та її продукту - КП «Human» набагато більше, аніж відповідей.