• DoS-атака, от которой нельзя закрыться: в закупках своя атмосфера



      1. Закон: площадка для торгов должна обеспечить доступ любому аккредитованному участнику.
      2. Практика: один из участников регистрирует какое-нибудь ООО «Ромашка», получает электронную подпись и начинает флудить тяжёлыми запросами площадку. Запросы включают криптографию, причём не самую быструю.
      3. Стандартное противодействие: отключить его или временно заблокировать.

      Как видите, пункты 1 и 3 — взаимоисключающие.

      А мы так живём.
      Читать дальше →
    • Как мы открывали офисы разработки



        Наша площадка для электронных торгов начиналась с пяти PHP-разработчиков 10 лет назад. Правда, сильных. Мы среди прочего обновляли основную ветку PHP в отношении криптографических алгоритмов работы с ЭП. За это время из-за многочисленных интеграций с банками, системами заказчиков и просто из-за интенсивного роста компании и развития новых сервисов департамент разработки вырос больше чем в 20 раз, и, естественно, нам понадобились отдельные офисы разработки в разных городах.

        Поскольку PHP сейчас чуть ли не в школе преподают, хороших специалистов по стране много. Вот мы и начали делать удалённые офисы. Где-то сидят команды разработчиков и аналитиков (без ПМов), а в Чебоксарах — целый отдел тестировщиков.

        Принципы просты и одинаковы по всем регионам:

        • Московская зарплата.
        • Agile-манифест в части «лучше сделать работу, чем написать бумажки» — в действии.
        • Дресс-код к разработке не относится (мы работаем с госзаказчиками, поэтому это важный пункт для тех же сейлзов).
        • Собеседование по Скайпу одновременно с эйчаром и будущим руководителем. Задач про люки нет.
        Читать дальше →
      • Краткая история электронных госзакупок на Руси



          В 2009 году решили поставить федеральный эксперимент по переводу закупок в цифровую форму. Это для открытости, чтобы активисты и конкуренты могли подавать друг на друга жалобы в ФАС и другие контролирующие органы, а ещё чтобы больше поставщиков приходило на торги, что тоже способствует снижению уровня коррупции.

          Эксперимент сначала провели на Москве, благо закупки города больше, чем у нескольких субъектов Федерации. По некоторым позициям они вообще сопоставимы с общероссийскими.

          Те, кто помнит 2010 год в Москве: у нас тут уже было цифровое общество. В регионах тогда не верили не то что в ЭЦП, а даже в оплату товаров картой. Причём не с доставкой, а просто в магазине. Именно это стало главной проблемой эксперимента: поставщики просто «не дружили» с компьютерами. Скажите спасибо, что у них (это по большинству — заводы) хотя бы Интернет был.

          Параллельно обкатывалась другая идея: сделать площадку для публикации информации о торгах и просто объявлять, что происходит в бумажных процедурах. Это то, чем сейчас стал сайт Госзакупок (ЕИС): на нём содержится вся информация о предстоящей процедуре.
          Читать дальше →
        • Какие бывают процедуры закупок (простыми словами)



            Представьте, что вам нужно выбрать поставщика, чтобы он предоставил оборудование для газопровода. Вы точно знаете, что за оборудование вам нужно. Упомянуть производителя в ТЗ вы не можете, но можете назвать технические характеристики. Дальше вы описываете все желаемые параметры оборудования, сроки поставки и прочие условия, рассчитываете начальную цену (обычно среднерыночную в текущем году или цену прошлого года с поправкой на инфляцию) и объявляете торги.

            И вот тут нужно определить схему выбора поставщика.

            Самая простая — запрос котировок. Каждый из участников в закрытом режиме предлагает цену, а затем организатор рассматривает и оценивает котировочные заявки на предмет их соответствия. У кого заявка соответствует всем требованиям, а цена при этом минимальная, тот и поставляет.

            В этой процедуре не учитывается ничего, кроме цены и факта соответствия требованиям извещения. Ни требования к оборудованию для работ по монтажу (если есть работы), ни опыт аналогичных работ, ни наличие специалистов — ничего такого можно не предоставлять заказчику. Это приводит к возникновению существенных рисков: могут привезти доступный дешёвый товар, но низкого качества.

            И что делать, чтобы защитить себя от некачественной продукции, пусть и по дешёвой цене?
            Читать дальше →
          • Модель атак: где в основном злоупотребляют на электронных закупках и как с этим борются



              Я продолжаю рассказывать про то, как устроены электронные торги и вообще закупки в нашей прекрасной стране.

              Сегодня поговорим не про хищения (про них уже говорили вот здесь), а про другие изобретательные нарушения.

              Сначала надо понять концепцию того, что нужно участникам:

              • Поставщики хотят продать свой товар. Лучше — дороже, но если дороже не выходит, то хотя бы по цене, позволяющей заработать.
              • Государственные заказчики 44-ФЗ хотят купить что им нужно, а не что можно им продать, творчески интерпретируя ТЗ. И при этом не сесть.
              • Корпоративные заказчики 223-ФЗ хотят показать эффективность снижения цены от среднерыночной (у нас средний показатель — около 15 %, но бывает и 30 % снижения по ряду закупок).

              Эти конфликты порождают ряд атак участников друг на друга. Давайте разберём некоторые из них.
              Читать дальше →
            • Для чего нужны закупки, и как это выглядит с точки зрения ИТ



                Есть четыре группы тендерных закупок:

                • Госзакупки — когда что-то закупает госорган вроде Минздрава или госучреждение типа школы. Они проводятся в жёстких рамках 44-ФЗ, там каждый чих строго регламентирован.
                • Корпоративные закупки — когда, например, закупаются компании с госучастием, их «дочки» и «внучки», естественные монополии. Такие закупки проводятся в более мягких рамках 223-ФЗ.
                • Коммерческие закупки — когда закупку полностью проводит частная компания, которая хочет просто подешевле что-то купить.
                • Закрытые закупки — когда приглашаются поставщики из закрытого списка, например, из-за наличия гостайны.

                О коммерческих закупках я ещё расскажу отдельно. А пока нас интересуют закупки по 44-ФЗ и 223-ФЗ. Начиналось всё это с бумаги. И в этом была большая проблема.
                Читать дальше →
                • +18
                • 6,4k
                • 9
              • Электронная подпись для участия в закупках



                  Как инструмент электронная подпись (ЭП) нужна для участия в закупках (тендерах), а также для электронного документооборота. Сама ЭП — это не привычная для многих из нас «флешка» или какой-то конкретный предмет, а информация в электронном виде, которая позволяет идентифицировать личность её владельца во время использования электронных сервисов.

                  Как это выглядит? На определённый носитель записывается «ключевая пара» в виде ключа ЭП и сертификата ключа проверки ЭП. А сама «электронная подпись» создаётся владельцем сертификата в момент подписания документа.

                  Несмотря на то, что защищённые носители внешне и выглядят как флешка, в них имеется особая начинка. В эту начинку, помимо микросхем, входит специализированный апплет, обеспечивающий взаимодействие ОС с содержимым носителя. Выдаётся носитель со всем указанным содержимым в удостоверяющих центрах (УЦ). Для большинства современных IT-шников данные понятия хорошо известны в разрезе получения и использования Code Signing и SSL-сертификатов.

                  Давайте разберём основные понятия, связанные с ЭП и УЦ.
                  Читать дальше →
                • Экосистема цифрового мира закупок (чтобы воровали меньше)



                    Не секрет, что на госзакупках порой неслабо злоупотребляют. Иногда миллиардами рублей. Термин «воруют» в данном контексте не совсем применим, скорее мы говорим о различных коррупционных составляющих. Так вот, если получится у нас снизить масштаб этих злоупотреблений хотя бы на четверть, то экономика России совершит небывалый рывок вперёд.

                    Важно, что мы можем повлиять на эту ситуацию с хищениями в госзакупках, и влияем уже почти 10 лет.

                    Суть проблемы такова: процесс «бумажных» оффлайновых закупок полон всевозможных багов. Прозрачность усложняет процессы злоупотреблений. Электронная форма добавляет прозрачности.

                    Вся эта история с переходом в дивный мир информационных технологий началась в 2007–2009 годах, то есть, учитывая масштабы процесса, совсем недавно.
                    Читать дальше →

                  Самое читаемое