Модель атак: где в основном злоупотребляют на электронных закупках и как с этим борются

в 7:03, , рубрики: Блог компании Единая электронная торговая площадка, еэтп, Законодательство в IT, закупки, махинации, нарушения, сговоры, управление проектами, ФАС, электронные торги

Модель атак: где в основном злоупотребляют на электронных закупках и как с этим борются - 1

Я продолжаю рассказывать про то, как устроены электронные торги и вообще закупки в нашей прекрасной стране.

Сегодня поговорим не про хищения (про них уже говорили вот здесь), а про другие изобретательные нарушения.

Сначала надо понять концепцию того, что нужно участникам:

  • Поставщики хотят продать свой товар. Лучше — дороже, но если дороже не выходит, то хотя бы по цене, позволяющей заработать.
  • Государственные заказчики 44-ФЗ хотят купить что им нужно, а не что можно им продать, творчески интерпретируя ТЗ. И при этом не сесть.
  • Корпоративные заказчики 223-ФЗ хотят показать эффективность снижения цены от среднерыночной (у нас средний показатель — около 15 %, но бывает и 30 % снижения по ряду закупок).

Эти конфликты порождают ряд атак участников друг на друга. Давайте разберём некоторые из них.

Махинации с начальной ценой

В общем случае заказчик должен выставить стартовую цену для аукциона (на самом деле — редукциона, но это называется именно аукцион). Его эффективность как закупщика зависит от того, насколько эту цену снизят поставщики. В идеальном мире его задача, с одной стороны, — привлечь максимум участников, с другой — застраховаться от недобросовестных поставщиков. Чем жёстче будут сформулированы ТЗ или требования, тем меньше участников будет. Чем меньше требований к участнику — тем выше риск появления кого-то не очень благонадёжного, не способного выполнить контракт, но зато способного выиграть закупочную процедуру.

Нарушение состоит в том, что, поскольку эффективность считается в снижении цены от начальной до итоговой (цены контракта), закупщик может повысить стартовую цену. За это его могут наказать.

Кто-то прибегает к проектно-сметной истории по примеру 44-ФЗ: смотрят, что и по какой цене закупили год назад. Но в основном используют мониторинг рынка: это ни к чему не обязывающая процедура.

Если ставить цену повыше — прилетят все истории про завышение цен, участники будут обращаться в ФАС. Потому что завышение начальной цены — это инструмент коррупции. Если кто-то завышает цену, то поставщики делают своё стандартное снижение, но получается реальная цена плюс дельта для «отката». Поэтому за начальными ценами пристально следят.

На примере этого видно, как очень логично работает (или должна работать) экосистема, и что эта работа требует довольно неочевидных, на первый взгляд, механизмов.

Сговоры

До недавнего времени госзакупки курировало Минэкономразвития. Как говорят, министерство не справилось с задачей эффективного реформирования сферы закупок. Например, поручение правительства по полной электронизации госзакупок выполнялось в течение четырёх лет. В итоге сейчас всем занимается Минфин. За ЕИС отвечает Федеральное казначейство. За правильностью следит ФАС — служба, с которой мы чаще всего как площадка и контактируем. Все жалуются друг на друга. Поставщики — на заказчика, заказчик — на поставщиков, а разбирает все эти жалобы ФАС.

Практика там самая разная: от дискриминационных условий до картельного сговора.

Картельный сговор — это когда участники быстро осмотрелись, поняли, что их пять компаний с одного рынка в конкурсе, и договорились до того, что ставят определённую цену и не падают ниже. Процедуры взаимозачёта разные, это может оказаться даже пять аффилированных компаний от одного учредителя (через сложную цепочку подчинённости). Естественно, это делать запрещено, поэтому направление ИБ на том же строительном рынке имеет ряд особенностей, направленных на максимально быстрое уничтожение всех записей в случае «маски-шоу».

Экосистемная защита — в открытости: если придут шестая и седьмая компании, то участникам будет сложнее договориться. Или седьмая компания может подать жалобу, поняв схему остальных.

Дискриминационные условия — это противоположная история, когда ТЗ формируется не для достижения результата, а для отсечения неугодных участников, чтобы до финала дошёл только нужный.

«Заточка» технического задания

С одной стороны, добросовестный заказчик хочет проверить поставщика и точно описать критерии результата. С другой — недобросовестный может хотеть, чтобы выиграл один конкретный поставщик.

По законодательству второе запрещено. Придёт ФАС и вставит всем по первое число.

Например, нельзя указывать конкретные бренды, поэтому важная часть формулировки ТЗ — это консультация с юристом на предмет того, всё ли правильно. На заре торгов в 2012 году байкой стало ТЗ на закупку автомобиля, в котором предлагалось достать любую машину, но в требованиях было наличие круглой эмблемы, разделённой на четыре сектора, причём два синих, два серых.

На практике сейчас заказчик часто идёт к своему проверенному поставщику, просит составить ТЗ, тот составляет (если не тупой, то пишет про себя, родного), потом заказчик меняет часть пунктов, проверяет с юристом и публикует. Получается корректно.

Надо сказать, что заказчик не всегда может сам сформулировать ТЗ корректно. Например, был конкурс на открытки А4. Дальше ход мысли: «А4 — формат, получаемый складыванием А2 пополам». Логично: 4 на 2 поделить — получится 2. Им объяснили тогда, что есть ещё А3.

В требованиях могут завысить необходимое наличие оборудования (например, когда строителям надо 10 экскаваторов на балансе для проведения работ), опыт персонала, наличие лицензий. Мы регулярно видим конкурсы с требованиями лицензий на электрику чуть ли не под ЛЭП для вкручивания лампочек. Участники при таком несоответствии могут пожаловаться в ФАС, и там приведут конкурс в порядок.

Срывы процедур

Иногда торги стараются целенаправленно сорвать. Например, выпустить компанию-камикадзе, которая снизит цену на аукционе до предела, чтобы другие участники не могли ничего противопоставить. К моменту подписания договора она уже будет слита-поглощена в палатке у метро, и дальше надо будет или подписываться со вторым участником, или играть процедуру заново. Выгодоприобретателей много.

Ещё один способ сорвать закупку — это устроить DoS или DDoS-атаку на электронную площадку. В ходе этих хакерских атак злоумышленники заваливают торговую систему и сайт площадки таким огромным количеством запросов с разных IP-адресов, что серверы становятся недоступными для пользователей. Системы виснут, и участники торгов не могут подать свои заявки или ценовые предложения.

Самое смешное, что мы фактически не можем ставить типовую DDoS-защиту, поскольку по закону должны отвечать за каждую транзакцию: мы обязаны допускать каждого пользователя на площадку, а любая случайно отсечённая транзакция будет нарушением закона. Поэтому приходится разрабатывать свои методы защиты. Про это тоже расскажем отдельно позже.

Подборка особенных случаев

Ну и напоследок — несколько известных в нашей сфере случаев, которые уже почти все стали байками.

К одному федеральному заказчику постоянно приходила одна и та же контора, которая тащила аукционы вниз. Потом эту компанию отклоняли за нарушения в документации, но она доводила торги до такой низкой цены, что даже второй участник, который в случае выкидывания первого имел бы шансы заключить контракт, отказывался от такого шанса. А государственный заказчик — с деньгами, но без поставщика и под угрозой срыва важного федерального проекта. Хотели эти срывалы-камикадзе одного — выбить денег за «несрыв» процедуры закупки.

Другой популярный тренд – профессиональные жалобщики. Не те, кто действительно ратует за конкуренцию в своей отрасли, чистоту экосистемы закупок и т.д., а реальные мошенники. Такие жалобщики срывают процедуры даже не в ходе торгов, а еще на этапе публикации извещений об их проведении. В кулуарах слышал, что их боятся даже в региональных подразделениях ФАС, потому что эти наглецы пишут просто огромное количество угрожающих писем как заказчикам, так и поставщикам. В своих письмах заказчикам они пишут о том, что нашли нарушения в документации и требуют определенных действий, поставщиков запугивают другими способами, а в сам ФАС строчат жалобы и на тех, и на других. А закупка отменяется или катастрофически затягивается.

Так что помните: почти все злоупотребления убивают открытость. Мы тут на Хабре, в частности, — ради открытости.

Автор: Korneev_N

Источник

* - обязательные к заполнению поля