Разделы

Безопасность Документооборот Стратегия безопасности

Скандал во Втором мединституте: взгляд с позиции документооборота

Интернет обошла новость об очередном коррупционном скандале. Программист Виктор Симак раскрыл схему зачисления "выгодных" абитуриентов в РНИМУ имени Пирогова (или попросту "Второй мед"). Суть аферы и последствия ее раскрытия для фигурантов этого дела и для самих абитуриентов широко освещались в СМИ, не будем повторяться. Гораздо интереснее разобрать эту ситуацию с чисто профессиональной стороны, с позиции документооборота. Поскольку дело касается медицины, воспользуемся медицинской терминологией.

Анамнез

Жулики действовали просто. В базу данных приемной комиссии заносились фиктивные записи об отличниках, которых положено зачислять вне конкурса, потом они не являлись, а на освободившиеся места, когда все реальные претенденты уже отчаялись и ушли в другие вузы, брали "своих".

Однако поражает масштаб аферы — проверка обнаружила 536 "мертвых душ". Ректор говорит, что не понимает, как такое могло произойти. Знал он о происходящем или нет, пусть разбирается следствие. Но вместе с доктором Ватсоном хочется воскликнуть: "Но, Холмс, черт возьми, как?" Как можно было вести эту нелегальную деятельность с таким размахом?


Недавно интернет обошла новость о коррупционном скандале в РНИМУ имени Пирогова

Ведь зачисление в ВУЗ – это строго регламентированный и вполне бюрократический процесс, в него вовлечено множество людей, и все должно четко документироваться. Версия, что все там жулики, несостоятельна чисто экономически: если доход от предполагаемых взяток поделить на всех участников бизнес-процесса, то едва ли сумма будет настолько интересной, чтобы так рисковать.

Диагноз

По всей видимости, реализация коррупционной схемы стала возможной из-за ошибочного подхода к проектированию бизнес-процесса, сочетающего работу с бумажными и электронными документами. Важную роль здесь сыграл психологический фактор: люди уже почти безусловно доверяют данным "из компьютера". Если кому-то удалось занести в систему фиктивные данные, дальше их никто никогда не проверяет. Мы практически слепо доверяем различным информационным системам. В ЗАГСе вам легко напечатают дубликат свидетельства о рождении или смерти, налоговая инспекция даст выписку из ЕГРЮЛ, и при этом никто не обращается к реальным документам, взаимодействие идет только с базой данных. То, что там записано, и есть правда.

Скорее всего, в приемной комиссии РНИМУ имени Пирогова работала система, построенная на такой же архитектуре. Первичные документы обрабатываются оператором, данные заносятся в некую экранную форму и сохраняются в базе. Потом бумажные документы идут в хранилище, дальнейшая работа происходит только с базой данных.

Получается, что все эти системы действуют на основании допущения, что оператор, отвечающий за ввод данных, является абсолютно аккуратным и неподкупным человеком, честно исполняющим свои обязанности за мизерную зарплату. Мы абсолютно верим тем данным, которые он ввел. Это очень смелое допущение.

Лечение

Решение в приемной комиссии ВУЗа определенно должно считаться продуктом класса Records Management, поскольку его задача - удостоверять важные юридические факты поступления или непоступления человека в институт. Поэтому проектировать и разрабатывать такие системы необходимо с учетом существующих лучших практик и стандартов, в частности, того же Moreq. Тогда столь массовая фальсификация данных будет затруднена.

Техподдержка «Базальт СПО» — гарантия надежной работы вашей ИТ-инфраструктуры
Маркет

На всех этапах бизнес-процесса у его участников должен быть доступ к первичным документам: к заявлению абитуриента, его фотографии, результатам ЕГЭ и пр., а не только к формам базы данных.

Также очевидно, что информационная система приемной комиссии занимается обработкой персональных данных и должна по уровню защищенности отвечать требованиям 152-ФЗ. Само по себе это не гарантирует отсутствия коррупции, но в этом частном случае с учетом открывшихся фактов злоупотреблений модель нарушителя для систем такого назначения может быть доработана.

В перспективе следует предусмотреть использование электронной подписи. Когда у всех граждан, в том числе и у абитуриентов, будет на руках универсальная электронная карта с их личной электронной подписью, то каждая запись о поступающем должна быть заверена ЭП. Тогда мертвых душ будет значительно меньше.

Эпикриз

Облегченная миграция с Oracle: как осуществить переход на новую СУБД быстрей и проще
Импортозамещение

Все современные отечественные СЭД обладают достаточной степенью функциональности и защищенности, чтобы решить задачу автоматизации деятельности приемных комиссий в наших вузах. Бизнес-процессы можно настроить таким образом, чтобы минимизировать риск фальсификации данных.

Самописные системы, разработанные студентами-медиками или студентами-химиками по заказу родного ВУЗа, всегда могут содержать какие-то лазейки. Но достаточно было бы на уровне Министерства образования принять нормативный документ, устанавливающий технические требования к информационным системам приемных комиссий, и обратиться к нашим разработчикам СЭД с просьбой оснастить ВУЗы своими системами на льготных условиях. Наверное, никто бы не отказался.

Станислав Макаров / CNews