ИТ-система бизнес-регистра Румынии, стоимость которой составляет 38 миллионов евро и которая была недоступна в течение нескольких недель в 2024 году, а сейчас работает с перебоями, подверглась антикоррупционному расследованию после аудитов, выявивших проблемы с управлением и нарушениями безопасности.
Румынские антикоррупционные прокуроры изучают проект ИТ-системы стоимостью 38 миллионов евро (44,6 млн долларов) в Национальном торговом регистре (ONRC) после того, как система вызвала серьезные сбои в работе и утечки персональных данных, сообщает центр Public Record, входящий в OCCRP.
Платформа, начавшая свою работу летом 2024 года, задержала более 130 000 регистраций компаний на несколько недель, нарушая процесс создания новых предприятий по всей стране и вызывая недовольство пользователей.
Реестр, находящийся под контролем Министерства юстиции, ведет официальные записи более чем для 1,7 миллиона человек и компаний.
Черновые аудиторские отчеты Национального счетного суда и Министерства юстиции выявили серьезные проблемы. Аудиторы отметили, что система была запущена без надлежащего тестирования, агентство никогда не получало исходный код, а проверки безопасности и функциональности были неполными. Следователи оценили убытки в более чем 12 миллионов леев ($2,7 млн) из-за того, что штрафы за задержки и ошибки тестирования не применялись.
Бывший директор реестра Валентина Бурдеску, которая была уволена в 2024 году после аудита, но продолжает работать в агентстве, также находится под наблюдением. Ее муж занимает высокую должность в той же организации, что вызывает опасения по поводу конфликта интересов. Аудиторы также сообщили о неправомерном предоставлении финансовых преимуществ.
Основной ИТ-контракт получил Vodafone Румыния, которая передала разработку программного обеспечения субподрядчику Total Soft SA — компании, зарегистрированной через фирмы на Кипре и в Турции. Аудиторы отметили, что Total Soft должен был предоставить исходный код, но неясно, получил ли его реестр, что может означать, что агентство не может самостоятельно исправлять или проверять систему.
Public Record поговорил с ИТ-менеджером Владом Гереску, который отметил, что подрядчик может удерживать исходный код, чтобы клиент зависел от него в вопросах поддержки, скрывать неполноту функционала или маскировать низкое качество программирования, которое может представлять угрозу безопасности.
Vodafone Румыния заявила, что «выполнила все контрактные обязательства», и что внедрение координировалось руководством реестра, однако не ответила на вопросы о коде и предполагаемых уязвимостях, а Total Soft перенаправила запросы обратно к Vodafone.
Сбой ИТ-системы также привел к утечке данных, затронувшей более 3 000 человек. Министерство юстиции сообщило, что платформа была нестабильной и недостаточно протестированной на момент запуска. ONRC признал первоначальные сбои, но объяснил их необычно высоким количеством запросов.
Аудиторы пришли к выводу, что проект был утвержден за девять месяцев до запуска, что создало юридические, финансовые и операционные риски. Дело остается на расследовании, а аудит Счетного суда продолжается. ONRC не ответил на запросы Public Record о комментариях.
