Майстер ключів. Лише один розробник зав’язав на собі всю IT-систему митниці — як це допомагає йому переживати будь-який кадровий «шторм»

1 лютого 2022 року Кабінет міністрів України звільнив керівний склад Державної митної служби через підозри в корупції. Це сьома кадрова перестановка в цій службі за президентства Володимира Зеленського. Але один з департаментів митниці вже багато років проходить крізь цей «шторм» — IT-відділ разом з його старожилом Олександром Івашковичем, архітектором IT-системи ДМС.

«Державне управління щодо нього не працює. У нас було багато зустрічей, на яких він просто відмовлявся щось виконувати. Просто казав: „Ні, я цього робити не буду“. Він при мені та співробітниках Служби безпеки України відмовляв двом заступникам міністра фінансів — і йому нічого за це не було», — характеризує його Євген Єнтіс, колишній CDTO митниці.

DOU дослідив, що саме дозволяє Івашковичу залишатись на посаді за всіх керівників і обставин.

Хто такий Олександр Івашкович

Олександр Івашкович — начальник спецуправління проєкту та розробки інформаційних систем IT-департаменту митниці, який працює у держоргані з 1995 року. Він є одним із розробників внутрішньої інформаційної системи митниці «Інспектор-2006».

«Інспектор-2006» містить дані про перевізників та їхні товари, включно з вагою, розміром, вартістю речей тощо. При цьому система в напівавтоматичному режимі аналізує ризики та визначає, які вантажі митникам варто перевірити більш уважно, а які можуть проїхати «зеленим коридором».

Робота митних пунктів без системи з таким функціоналом неможлива — якщо вона зупиниться навіть на день, бюджет України може недоотримати від півтора мільярда гривень. У матеріалі «Бабеля» від 2021 року, спираючись на слова ексголови ДМС Максима Нефьодова та колишнього CDTO ДМС Євгена Єнтіса, йшлося: інформаційна система митниці, розроблена Івашковичем, застаріла та містить безліч корупційних ризиків. Втім замінювати її Івашкович відмовляється.

При цьому звільнити його майже неможливо: архітектура системи «Інспектор 2006» не задокументована, фактично в ній розбираються лише сам Івашкович і його команда. Тож без їхньої участі є ризик зупинки митниці, а це — надто великі грошові втрати для бюджету країни, адже до війни служба приносила близько 40% надходжень до держбюджету, нині цей показник — майже 18%.

Під час написання цього матеріалу в нас виникло безліч запитань, не на всі з яких ми можемо дати чіткі відповіді. Втім зібрана інформації допомагає зрозуміти, як працює «внутрішня кухня» в ІТ-департаменті митниці та чи є тут потенційні ризики для держави через застарілі процеси.

Для цього ми поговорили з одним з IT-керівників митниці Олександром Івашковичем, нинішнім CDTO служби Олегом Ніколайчуком, колишнім очільником ДМС Максимом Нефьодовим і попереднім керівником з цифрової трансформації держоргану Євгеном Єнтісом.

Проблеми системи «Інспектор 2006»

Документація

Одна з ключових проблем «Інспектора 2006», яку обговорювали в публічному просторі ще кілька років тому — нібито відсутність документації на систему, що унеможливлює роботу з нею розробників, не ознайомлених з початковим кодом.

«Через це виникає ситуація, коли 40% державного бюджету залежать від доброї волі, здоров’я та чесності однієї людини. Навіть якби до „Інспектора“ не було жодних технічних претензій і це була б найкраща ІТ-система митниці у всьому світі, це все одно нездорова ситуація ані для держоргану, ані для будь-якої компанії», — каже Максим Нефьодов.

🔻 То чи є документація до «Інспектора 2006»?

Ми поставили це питання самому Олександру Івашковичу, пресслужбі ДМС, Олегу Ніколайчуку та Максиму Нефьодову. Втім єдиної відповіді так і не отримали.

В офіційній відповіді на запит DOU в ДМС зазначили, що сьогодні у митної служби є всі документи для експлуатації «Інспектор 2006», а створення необхідної документації — це один з основних компонентів роботи ІТ-підрозділів Держмитслужби.

«Сьогодні у митної служби є всі документи для забезпечення експлуатації автоматизованої системи митного оформлення „Інспектор“, від настанов користувача та адміністратора до регламентних наказів щодо введення системи в експлуатацію», — стверджують у пресслужбі ДМС.

Тим часом Максим Нефьодов переконаний, що повного доступу до системи ні в кого, крім Івашковича, досі немає — як це було і за його керівництва у ДМС.

Сам Івашкович твердить, що документація до «Інспектора» є, однак визнає: задокументовано не все. Пояснює це високим темпом роботи ІТ-відділу і браком ресурсів для написання документів.

«Документації не зовсім немає. Але її справді не так багато, як хотілося б. Чому? Бо наш останній тестувальник звільнився у 2013 році. Ми просто не встигаємо робити папери, бо здебільшого працюємо на швидкість. Наприклад, нещодавно [депутати] ухвалили закон щодо контролю валютного обігу, який набуває чинності протягом 30 днів. Отже, у нас місяць на розробку цієї системи, складність якої полягає в тому, щоб об’єднати її з податковою, Нацбанком і комерційними банками. Лише уявіть обсяг роботи. Якщо разом з цим змусити програмістів писати велику кількість паперів, вони просто не вкладуться в терміни».

За його словами, до останньої системи, яку розробляв ІТ-відділ митниці — поштового клієнта, створена вся документація, попри те, що «потрібної кількості людей, щоб все це описувати» в його відділі, мовляв, немає.

Але найцікавіший момент, пов’язаний з робочими процесами в ІТ-департаменті митниці, — там немає жодного тестувальника. Івашкович каже: сьогодні на митниці шість людей відповідають за розробку, вони ж і перевіряють системи. До 2013 року в команді працювали від трьох до чотирьох тестувальників, які писали документацію та інструкції користувача/адміністратора, але вже майже 10 років цим ніхто не займається.

У розмові з DOU колишній голова митниці Нефьодов стверджує: проблеми з документацією досі є.

«Можливо, десь і лежить весь вихідний код „Інспектора 2006“. Але ніхто, хто за посадою повинен мати до нього доступ, за часів нашої команди у держоргані його не отримав, і я переконаний: це й нині так. Це не має бути таємницею. Наприклад, початковий код системи закупівель Prozorro ви можете побачити у відкритому доступі, а ось код „Інспектора 2006“ ви не знайдете ніде. Тож ІТ-система митниці фактично є приватною і належить не державі, а пану Івашковичу. Він — єдина людина, яка має до неї повний доступ; знає, як вона працює, і прямо під запис відмовлявся надавати будь-який доступ, інформацію та можливості для інтеграції системи будь-кому, хто йому особисто не подобається, навіть якщо це керівник ДМС».

CDTO української митниці Олег Ніколайчук опосередковано підтвердив слова Нефьодова про вибіркове надання доступу до IT-систем:

«Документація до „Інспектора“ є і завжди була. Чого не було раніше — так це доступу до коду системи в команди [колишнього керівника з цифрової трансформації] Євгена Єнтіса».

Але наразі доступ до первинного коду є «у всіх, кому цей код необхідний», стверджує Ніколайчук, не назвавши конкретних посад і прізвищ.

Доступи

Ключове питання щодо системи «Інспектор 2006» справді стосується доступу до неї. Якщо Олександр Івашкович єдиний, хто має повний доступ до «Інспектора», як стверджує Нефьодов, то це несе потенційну можливість корупції та безпекові ризики для митниці.

🔻 Чи справді Олександр Івашкович має повний доступ до «Інспектора»?

Максим Нефьодов і Євген Єнтіс стверджують: в Івашковича повний доступ є. Сам розробник це заперечує. У пресслужбі ДМС просто додають: доступи до системи надають за заявкою у вигляді службової записки.

«З того, що я бачив — у нього є повний доступ до системи, без обмежень. У нього і ще однієї людини. Його підлеглі теж мають доступ, але, здається, більш розподілений [відповідно до задач]: умовно, хтось пише інтерфейс системи на Blazor, і йому не потрібен доступ до центральної бази даних тощо», — каже Євген Єнтіс.

Олександр Івашкович переконує, що в ДМС діє принцип: до кожної IT-системи мають доступ троє фахівців, але жоден не володіє доступом до всіх складників програми.

«Тож в ІТ-системі ДМС є речі, до яких я не маю доступу, навіть в «Інспекторі». А інші співробітники мають. Це елемент системи безпеки. Неправильно, якщо одна людина матиме доступ до всього. Тож у разі чого — без мене в митниці нічого не «посиплеться».

Стек та архітектура системи

Ще одне питання, яке поставало щодо «Інспектора 2006», — нібито застарілість системи та «дірки» у безпеці, які потенційно можуть використовуватися для різноманітних маніпуляцій.

🔻 Який стек використано в «Інспекторі»?

За словами Олександра Івашковича, систему «Інспектор» розробляли з бета-версії .NET на початку «нульових», а в продакшн вона потрапила на другому «дотнеті». Зараз у коді системи використовується .NET 3.5.

«Якщо система вже почала створюватись на певній технології, то її модернізація можлива в розумних межах», — каже Івашкович і додає, що, на його думку, «Інспектор 2006» не застарів.

«У Німеччині митники використовують систему, розроблену в 1990-х. Наша система розроблена 2006 року, але вона дуже слабко нагадує те, що було 17 років тому, адже її весь час вдосконалюють», — стверджує він.

🔻 У чому питання до архітектури системи?

На думку Євгена Єнтіса, система все ж застаріла, але найбільше побоювань викликає не це, а децентралізація баз даних, що не відповідає сучасним вимогам безпеки.

«Система „Інспектора“ побудована на клієнт-серверному рішенні Microsoft Stack. Це працює так: на пункті пропуску сидить митник і записує дані, після чого програма зберігає їх у локальну базу, яка синхронізується з територіальною базою, а та, своєю чергою, з центральною.

Колись така децентралізована система була виправдана — через те, що онлайнові канали зв’язку були повільними, це дозволяло не зупиняти роботу митниці [завдяки поетапній обробці інформації]. Але водночас така система уможливлює витік даних, адже всі процеси відбуваються на локальних комп’ютерах і серверах, і сучасним вимогам безпеки така архітектура не відповідає».

З безпекового погляду ДМС повинна мати центральний сервер, де вся інформація збирається в режимі реального часу, ділиться думкою Єнтіс. «Нині ж дані до центральної бази надходять з „лагом“, а локальні сховища здебільшого контролюють лише місцеві адміністратори. Звісно, це створює безліч ризиків для маніпуляцій [інформацією]».

Водночас Олександр Івашкович стверджує, що з 2010 року «Інспектор» постійно централізується і нині взаємодія з системою здебільшого здійснюється саме через «центр».

При цьому розробник не може запевнити, що маніпуляції із системою на місцях неможливі.

«Я не можу повністю виключити ризик різних маніпуляцій, адже система має локальні бази даних з локальними адміністраторами. Проте всі справді суттєві речі дублюються на центральному рівні, майже в режимі онлайн, тож нічиї руки туди дістатись не можуть», — каже Івашкович.

Які речі він вважає «справді суттєвими», а які — ні, наш співрозмовник не деталізував. При цьому Івашкович наголосив редакції, що децентралізація системи частково врятувала ДМС під час повномасштабної війни — і в аргументах згадав загрозу ядерної війни.

«Не секрет, що в березні 2022 року путін кілька разів розглядав можливість застосування ядерної зброї проти України, в тому числі проти Києва. Нам необхідно було зробити так, щоб навіть попри це все [в ДМС] працювало. Тоді ж з’ясувалося, що децентралізована система має певні плюси, які важко швидко перекрити в централізованій системі».

Тим часом нинішній CDTO служби Олег Ніколайчук твердить, що жодних задокументованих доказів «дірок» у системі митниці немає.

«Виступи в публічній площині старої команди ДМС зі звинуваченнями у корупційних ризиках нічим не підкріплені. Як посадова особа я не бачив жодного документа, який би фіксував наявність потенційних корупційних „дірок“. Я не заперечую, що такі „дірки“ можуть бути, але якщо вони є — це вже справа відповідних органів. Ми готові надати код на перевірку Службі безпеки, Держбюро розслідувань та іншим структурам, якщо така потреба виникне», — каже він.

Щодо ризиків на місцях, то Ніколайчук додає: дії інспекторів у системі фіксуються, і ці дані можна витягнути як з локальних баз, так і з центральної.

«Інспектора» намагалися замінити, але невдало

Заміну «Інспектору» почали готувати ще за часів Євгена Єнтіса на посаді CDTO митниці. При цьому команда екскерівника з цифрової трансформації намагалася долучити до розробки Олександра Івашковича та його підлеглих, але взаємодія не вдалася, говорить Єнтіс.

Його наступник Олег Ніколайчук зазначає: всі системи, що розробляли під час пошуків аналога «Інспектора», такі як Електронний журнал пункту пропуску, не пройшли випробування митними органами.

У розмові з DOU Олександр Івашкович звинуватив команди Максима Нефьодова та Євгена Єнтіса в неефективності: «Вони просто ходили та показували слайди», — каже він.

Деталі про підготовку системи на заміну «Інспектору» нам розповів Євген Єнтіс. Далі — його пряма мова.

❓ Чому «Інспектора» потрібно замінювати

Розробники не можуть мати доступу до виробничої системи, адже вони цілковито знають, як саме ця система працює. На митниці ж чи не всі в ІТ-департаменті мають до неї доступ й потенційно можуть вносити будь-які зміни, не залишаючи слідів. Звісно, це величезний ризик. Якщо архітектура системи уможливлює такі дії — її потрібно замінювати або ж добре «латати дірки» та переробляти. Але Олександр Івашкович і його команда не хотіли цього робити.

Ми тоді розглядали кілька варіантів. Перший — отримання митної системи від інших країн, як було з NTCS. Але на той час європейські системи не надто добре координувалися з нашим законодавством, треба було вносити багато змін.

Довідка:

Нова комп’ютеризована транзитна система (New Computerized Transit System, або ж NCTS) — це система, в основі якої лежить Конвенція про процедуру спільного транзиту. NCTS пов’язує митні служби в країнах-учасницях Конвенції, дозволяючи обмін митними даними для контролю за транзитними переміщеннями.

Другий варіант — писати систему з нуля. Ми обрали саме цю опцію.

❓ Якою могла бути нова система

Це мала бути мікросервісна система з двома окремими модулями — системою оформлення та системою ризиків. Тобто ми будували дві різні, але пов’язані між собою системи. Робили це на Kafka, працювало все як open source модель. Зараз таку ж використовує платформа Мінцифри, у неї «під капотом» схожі рішення.

Писали все на двох стеках — Java і Python. Концентрувалися на тому, щоб спростити взаємодію митника із системою, прибрати зайві поля і зайві дії, узгодити бізнес-процеси в системі тощо.

❓ Хто розробляв

У нас були тендери на розробку окремих мікросервісів і рішень. Нас фінансували міжнародні донорські організації. І роботу частини девелоперської команди, яку ми залучали, а це продакт-овнери, бізнес-аналітики, архітектор, головний DevOps, головний QA, — оплачували ці організації. Ця частина команди координувала роботу над системою.

При цьому в мене була позиція: ключові кадри ми повинні мати «на борту». Але штат митниці був обмежений, я не міг наймати необхідну кількість людей — і тоді виникав конфлікт. Частина команди розробки була на боці підрядників. Ми також пропонували команді Івашковича розробляти нові системи разом — вони відмовилися.

Потім ми запропонували, щоб ми робили свій модуль, а вони свій — і згодом все це інтегрували б, при цьому стек і компетенцію їхньої команди врахували б. Ми одразу прописали єдині правила взаємодії всіх команд, підходи до баз даних і написання коду, який має бути рівень покриття юніт-тестами тощо. Це базові речі, які використовують усі ІТ-компанії. Олександр Івашкович переглянув їх і сказав, що не готовий працювати в такому режимі.

❓ Коли розробка нової системи припинилась

Протягом усієї роботи над проєктом у ДМС змінювалися керівники. Кожному доводилося доводити, що нову систему потрібно робити, — і це не завжди вдавалося. Попри все ми продовжували створювати систему. Коли модуль з оцінкою ризиків був готовий, хотіли інтегрувати системи, змішувати дані тощо. Але нам не дали доступів — мовляв, зачекаймо на повну систему. І почалися вічні обговорення, що затягували процес. У результаті модуль так і не вийшло впровадити.

Я казав, що впровадити всю систему за один день складно. Треба робити це помодульно і постійно тестувати. У нової системи оцінки ризиків була купа нового функціоналу, з повним відстежуванням того, хто вніс цей ризик і чому. Система мала аналізувати всі дані й показувати, який саме ризик блокує митні операції.

❓ Чи можна «перехопити» контроль над «Інспектором-2006»

Коли я побачив, що інтеграції нової системи не буде, то сказав, що готовий взяти на себе відповідні ризики. Розписав погодинний план, що треба зробити, щоб вийти з цієї ситуації. Описав, як чинити, якщо Івашкович буде недоступний, і як ми зможемо підхопити цю систему. Яка команда мені потрібна — а це близько 10 людей з певним рівнем компетенції та знань. І сказав, що ми або це робимо, або продовження проєкту не має сенсу.

Цей план не прийняли.

Нова система готова на 50%

У розмові з DOU Івашкович повідомив, що повністю централізовану систему в ДМС запустити таки планують — нині вона перебуває на стадії розробки і готова на 50%. Програмний продукт впроваджують частинами: наприклад, функції митного оформлення коштів, експрес-відправлення — це елементи нової системи.

У пресслужбі ДМС кажуть: роботи зі створення нової Автоматизованої системи митного оформлення (АСМО) «відбуваються на постійній основі», а сама розробка почалася в третьому кварталі 2021 року.

«Але щодо переведення на нову систему пунктів пропуску та митних декларацій, то такі речі краще притримати до кінця війни й уже потім поширювати на регіони. Навіть у мирний час для централізованої системи потрібно тричі все зарезервувати — і бази даних, і канали зв’язку тощо. Ми рухаємось у цьому напрямку, але в нас немає такої інфраструктури, яку ми б хотіли», — каже Івашкович.

На запитання, коли саме централізована система буде готова на 100%, один з керівників IT-департаменту ДМС відповісти не може:

«Нам важко прогнозувати роботу. В умовних Швеції та Німеччині програміст знає, що робитиме через півтора року. Ми не знаємо, що робитимемо завтра. Ухвалюють новий закон — ми терміново вносимо зміни й відкладаємо довгострокові плани на потім, і так постійно».

Питання про звільнення Івашковича

Після того як 2019 року Державну митну службу очолив Максим Нефьодов, між ним і старожилом ДМС Івашковичем виник конфлікт довкола «Інспектора». Розробник співпрацювати з новою командою не захотів і навіть написав заяву про відставку, сам Нефьодов у той час проводив дисциплінарне розслідування і домагався його звільнення. Втім екскерівника ДМС звільнили швидше, ніж Івашкович встиг піти з посади.

У розмові з DOU Нефьодов згадує, що питання про звільнення Івашковича розглядали на «найвищому державному рівні».

«І врешті, наскільки мені відомо, ухвалили рішення залишити його на місці. Це рішення цинічне, але обґрунтоване, бо з погляду зовнішнього стейкхолдера, який нічого не тямить в ІТ, це виглядає так: до тебе приходять бородаті хіпстери й кажуть, що в IT-системі на митниці пекло, просто жах, і це треба змінювати. Стверджують, що на це потрібно два роки, багато грошей. І водночас це несе великі ризики, адже немає жодної гарантії, що, коли Івашкович зрозуміє, що „День X“ настав, він не зайде в систему і не обнулить всю базу даних», — каже колишній керівник ДМС.

Нефьодов вважає, що незамінність Івашковича ґрунтується саме на супутніх ризиках, пов’язаних з його звільненням, і водночас відсутністю миттєвих результатів для держави від впровадження нової IT-системи:

«Чи після всіх цих ризиків, з’ясувань і сварок наступного дня в державі стане більше надходжень від митниці? Не стане. Нові зручні сервіси можна буде впроваджувати згодом, і в довгостроковій перспективі це забезпечить більше надходжень. Але це потім.

І ти обираєш: ось тут є великі ризики, аж до зупинки митниці й відповідних втрат, ось тут — примарна стабільність. На цьому і базується незамінність Івашковича вже багато років: кожен новий керівник, який хоче щось змінити, стикався з такою ситуацією і врешті приходив до опції озброєного нейтралітету».

Доручення Івашкович виконував лише ті, які хотів, і з цим неможливо було нічого зробити, характеризує його Євген Єнтіс.

«Державне управління щодо нього не працює. У нас було багато зустрічей, на яких він просто відмовлявся щось виконувати. Просто казав: „Ні, я цього робити не буду“. Він при мені та співробітниках Служби безпеки України відмовляв двом заступникам міністра фінансів — і йому нічого за це не було».

У нас було багато зустрічей щодо цієї ситуації на рівні керівництва Мінфіну, Мінцифри та інших відомств. Всі одноголосно казали: ми не можемо зупинити роботу митниці, а він єдиний, хто знає, як працює ця система. Чому так? Бо немає доступу до вихідного коду. Так не може продовжуватись — це питання безпеки«.

Водночас чинний CDTO Олег Ніколайчук стверджує, що раніше зауваження до роботи Івашковича справді були, але наразі він працює «як слід» та «виконує всі доручення», а його дії протоколюються. Він додає, що доступ до коду системи «Інспектор» є не тільки в Івашковича, а й в інших членів IT-команди.

Чи очікувати на IT-трансформацію митниці?

Схоже, документувати всі IT-процеси в ДМС митники, як зазначав Івашкович, справді не встигають: попри те, що цифровізація структури почалась ще 2020 року, а відповідальний за неї посадовець уже змінився, на сайті служби «відповідальним за митну ІТ-політику, а також за реалізацію проєкту «е-Митниця» досі вказаний Євген Єнтіс, а більшість новин у сфері диджиталізації структури датуються літом минулого року.

Останній допис у цьому розділі містить посилання на стратегічний план з IT-трансформації української митниці у 2023-2025 роках.

Крім загальних намірів щодо «трансформації митних послуг в електронну форму» і «готовності до швидкої гармонізації митних сервісів до європейського законодавства», там йдеться про розробку Єдиної автоматизованої інформаційної системи митних органів України, до складу якої входитимуть автоматизовані системи митного оформлення та управління ризиками, а також митного аудиту.

Розробляти та підтримувати IT-системи, вочевидь, буде той самий Олександр Івашкович. Наостанок ми запитали його, чи готовий він залучати зовнішніх спеціалістів до трансформацій на митниці.

«Так вийшло, що для ДМС всі системи ми розробляємо самі. У нас була спроба залучити аутстаф, є європейські фонди, які дають можливість профінансувати зарплати фахівцям, але через специфіку нашої роботи навіть на високу компенсацію важко знайти нормальних фахівців. Якихось шлафуцерів — легко, вони прибігають натовпом, але нічого не роблять.

Ми використовуємо такі стеки: фронтенд — Blazor, вебсервіси — .NET 4.7, бази даних — Microsoft SQL Server. Такі фахівці є, і ми знаходили їх в Україні, пробували їх залучити й обіцяли їм більшу зарплату, ніж за ринком. Але їх мало, і всі вони вже працюють на західні компанії з хорошими стабільними умовами та не готові кидати все це заради нас».

Все про українське ІТ в телеграмі — підписуйтеся на канал DOU