Хабрахабр

Модель атак: где в основном злоупотребляют на электронных закупках и как с этим борются

Я продолжаю рассказывать про то, как устроены электронные торги и вообще закупки в нашей прекрасной стране.

Сегодня поговорим не про хищения (про них уже говорили вот здесь), а про другие изобретательные нарушения.

Сначала надо понять концепцию того, что нужно участникам:

  • Поставщики хотят продать свой товар. Лучше — дороже, но если дороже не выходит, то хотя бы по цене, позволяющей заработать.
  • Государственные заказчики 44-ФЗ хотят купить что им нужно, а не что можно им продать, творчески интерпретируя ТЗ. И при этом не сесть.
  • Корпоративные заказчики 223-ФЗ хотят показать эффективность снижения цены от среднерыночной (у нас средний показатель — около 15 %, но бывает и 30 % снижения по ряду закупок).

Эти конфликты порождают ряд атак участников друг на друга. Давайте разберём некоторые из них.

Махинации с начальной ценой

В общем случае заказчик должен выставить стартовую цену для аукциона (на самом деле — редукциона, но это называется именно аукцион). Его эффективность как закупщика зависит от того, насколько эту цену снизят поставщики. В идеальном мире его задача, с одной стороны, — привлечь максимум участников, с другой — застраховаться от недобросовестных поставщиков. Чем жёстче будут сформулированы ТЗ или требования, тем меньше участников будет. Чем меньше требований к участнику — тем выше риск появления кого-то не очень благонадёжного, не способного выполнить контракт, но зато способного выиграть закупочную процедуру.

За это его могут наказать. Нарушение состоит в том, что, поскольку эффективность считается в снижении цены от начальной до итоговой (цены контракта), закупщик может повысить стартовую цену.

Но в основном используют мониторинг рынка: это ни к чему не обязывающая процедура. Кто-то прибегает к проектно-сметной истории по примеру 44-ФЗ: смотрят, что и по какой цене закупили год назад.

Потому что завышение начальной цены — это инструмент коррупции. Если ставить цену повыше — прилетят все истории про завышение цен, участники будут обращаться в ФАС. Поэтому за начальными ценами пристально следят. Если кто-то завышает цену, то поставщики делают своё стандартное снижение, но получается реальная цена плюс дельта для «отката».

На примере этого видно, как очень логично работает (или должна работать) экосистема, и что эта работа требует довольно неочевидных, на первый взгляд, механизмов.

Сговоры

До недавнего времени госзакупки курировало Минэкономразвития. Как говорят, министерство не справилось с задачей эффективного реформирования сферы закупок. Например, поручение правительства по полной электронизации госзакупок выполнялось в течение четырёх лет. В итоге сейчас всем занимается Минфин. За ЕИС отвечает Федеральное казначейство. За правильностью следит ФАС — служба, с которой мы чаще всего как площадка и контактируем. Все жалуются друг на друга. Поставщики — на заказчика, заказчик — на поставщиков, а разбирает все эти жалобы ФАС.

Практика там самая разная: от дискриминационных условий до картельного сговора.

Процедуры взаимозачёта разные, это может оказаться даже пять аффилированных компаний от одного учредителя (через сложную цепочку подчинённости). Картельный сговор — это когда участники быстро осмотрелись, поняли, что их пять компаний с одного рынка в конкурсе, и договорились до того, что ставят определённую цену и не падают ниже. Естественно, это делать запрещено, поэтому направление ИБ на том же строительном рынке имеет ряд особенностей, направленных на максимально быстрое уничтожение всех записей в случае «маски-шоу».

Или седьмая компания может подать жалобу, поняв схему остальных. Экосистемная защита — в открытости: если придут шестая и седьмая компании, то участникам будет сложнее договориться.

Дискриминационные условия — это противоположная история, когда ТЗ формируется не для достижения результата, а для отсечения неугодных участников, чтобы до финала дошёл только нужный.

«Заточка» технического задания

С одной стороны, добросовестный заказчик хочет проверить поставщика и точно описать критерии результата. С другой — недобросовестный может хотеть, чтобы выиграл один конкретный поставщик.

Придёт ФАС и вставит всем по первое число. По законодательству второе запрещено.

На заре торгов в 2012 году байкой стало ТЗ на закупку автомобиля, в котором предлагалось достать любую машину, но в требованиях было наличие круглой эмблемы, разделённой на четыре сектора, причём два синих, два серых. Например, нельзя указывать конкретные бренды, поэтому важная часть формулировки ТЗ — это консультация с юристом на предмет того, всё ли правильно.

Получается корректно. На практике сейчас заказчик часто идёт к своему проверенному поставщику, просит составить ТЗ, тот составляет (если не тупой, то пишет про себя, родного), потом заказчик меняет часть пунктов, проверяет с юристом и публикует.

Например, был конкурс на открытки А4. Надо сказать, что заказчик не всегда может сам сформулировать ТЗ корректно. Логично: 4 на 2 поделить — получится 2. Дальше ход мысли: «А4 — формат, получаемый складыванием А2 пополам». Им объяснили тогда, что есть ещё А3.

Мы регулярно видим конкурсы с требованиями лицензий на электрику чуть ли не под ЛЭП для вкручивания лампочек. В требованиях могут завысить необходимое наличие оборудования (например, когда строителям надо 10 экскаваторов на балансе для проведения работ), опыт персонала, наличие лицензий. Участники при таком несоответствии могут пожаловаться в ФАС, и там приведут конкурс в порядок.

Срывы процедур

Иногда торги стараются целенаправленно сорвать. Например, выпустить компанию-камикадзе, которая снизит цену на аукционе до предела, чтобы другие участники не могли ничего противопоставить. К моменту подписания договора она уже будет слита-поглощена в палатке у метро, и дальше надо будет или подписываться со вторым участником, или играть процедуру заново. Выгодоприобретателей много.

В ходе этих хакерских атак злоумышленники заваливают торговую систему и сайт площадки таким огромным количеством запросов с разных IP-адресов, что серверы становятся недоступными для пользователей. Ещё один способ сорвать закупку — это устроить DoS или DDoS-атаку на электронную площадку. Системы виснут, и участники торгов не могут подать свои заявки или ценовые предложения.

Поэтому приходится разрабатывать свои методы защиты. Самое смешное, что мы фактически не можем ставить типовую DDoS-защиту, поскольку по закону должны отвечать за каждую транзакцию: мы обязаны допускать каждого пользователя на площадку, а любая случайно отсечённая транзакция будет нарушением закона. Про это тоже расскажем отдельно позже.

Подборка особенных случаев

Ну и напоследок — несколько известных в нашей сфере случаев, которые уже почти все стали байками.

Потом эту компанию отклоняли за нарушения в документации, но она доводила торги до такой низкой цены, что даже второй участник, который в случае выкидывания первого имел бы шансы заключить контракт, отказывался от такого шанса. К одному федеральному заказчику постоянно приходила одна и та же контора, которая тащила аукционы вниз. Хотели эти срывалы-камикадзе одного — выбить денег за «несрыв» процедуры закупки. А государственный заказчик — с деньгами, но без поставщика и под угрозой срыва важного федерального проекта.

Не те, кто действительно ратует за конкуренцию в своей отрасли, чистоту экосистемы закупок и т.д., а реальные мошенники. Другой популярный тренд – профессиональные жалобщики. В кулуарах слышал, что их боятся даже в региональных подразделениях ФАС, потому что эти наглецы пишут просто огромное количество угрожающих писем как заказчикам, так и поставщикам. Такие жалобщики срывают процедуры даже не в ходе торгов, а еще на этапе публикации извещений об их проведении. А закупка отменяется или катастрофически затягивается. В своих письмах заказчикам они пишут о том, что нашли нарушения в документации и требуют определенных действий, поставщиков запугивают другими способами, а в сам ФАС строчат жалобы и на тех, и на других.

Мы тут на Хабре, в частности, — ради открытости. Так что помните: почти все злоупотребления убивает открытость.

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть