Разделы

Безопасность Документооборот Стратегия безопасности

Скандал во Втором мединституте: взгляд с позиции документооборота

Интернет обошла новость об очередном коррупционном скандале. Программист Виктор Симак раскрыл схему зачисления "выгодных" абитуриентов в РНИМУ имени Пирогова (или попросту "Второй мед"). Суть аферы и последствия ее раскрытия для фигурантов этого дела и для самих абитуриентов широко освещались в СМИ, не будем повторяться. Гораздо интереснее разобрать эту ситуацию с чисто профессиональной стороны, с позиции документооборота. Поскольку дело касается медицины, воспользуемся медицинской терминологией.

Анамнез

Жулики действовали просто. В базу данных приемной комиссии заносились фиктивные записи об отличниках, которых положено зачислять вне конкурса, потом они не являлись, а на освободившиеся места, когда все реальные претенденты уже отчаялись и ушли в другие вузы, брали "своих".

Однако поражает масштаб аферы — проверка обнаружила 536 "мертвых душ". Ректор говорит, что не понимает, как такое могло произойти. Знал он о происходящем или нет, пусть разбирается следствие. Но вместе с доктором Ватсоном хочется воскликнуть: "Но, Холмс, черт возьми, как?" Как можно было вести эту нелегальную деятельность с таким размахом?


Недавно интернет обошла новость о коррупционном скандале в РНИМУ имени Пирогова

Ведь зачисление в ВУЗ – это строго регламентированный и вполне бюрократический процесс, в него вовлечено множество людей, и все должно четко документироваться. Версия, что все там жулики, несостоятельна чисто экономически: если доход от предполагаемых взяток поделить на всех участников бизнес-процесса, то едва ли сумма будет настолько интересной, чтобы так рисковать.

Диагноз

По всей видимости, реализация коррупционной схемы стала возможной из-за ошибочного подхода к проектированию бизнес-процесса, сочетающего работу с бумажными и электронными документами. Важную роль здесь сыграл психологический фактор: люди уже почти безусловно доверяют данным "из компьютера". Если кому-то удалось занести в систему фиктивные данные, дальше их никто никогда не проверяет. Мы практически слепо доверяем различным информационным системам. В ЗАГСе вам легко напечатают дубликат свидетельства о рождении или смерти, налоговая инспекция даст выписку из ЕГРЮЛ, и при этом никто не обращается к реальным документам, взаимодействие идет только с базой данных. То, что там записано, и есть правда.

Скорее всего, в приемной комиссии РНИМУ имени Пирогова работала система, построенная на такой же архитектуре. Первичные документы обрабатываются оператором, данные заносятся в некую экранную форму и сохраняются в базе. Потом бумажные документы идут в хранилище, дальнейшая работа происходит только с базой данных.

Получается, что все эти системы действуют на основании допущения, что оператор, отвечающий за ввод данных, является абсолютно аккуратным и неподкупным человеком, честно исполняющим свои обязанности за мизерную зарплату. Мы абсолютно верим тем данным, которые он ввел. Это очень смелое допущение.

Лечение

Решение в приемной комиссии ВУЗа определенно должно считаться продуктом класса Records Management, поскольку его задача - удостоверять важные юридические факты поступления или непоступления человека в институт. Поэтому проектировать и разрабатывать такие системы необходимо с учетом существующих лучших практик и стандартов, в частности, того же Moreq. Тогда столь массовая фальсификация данных будет затруднена.

Бесплатная российская замена Active Directory упрощает переход на отечественное ПО
Безопасность

На всех этапах бизнес-процесса у его участников должен быть доступ к первичным документам: к заявлению абитуриента, его фотографии, результатам ЕГЭ и пр., а не только к формам базы данных.

Также очевидно, что информационная система приемной комиссии занимается обработкой персональных данных и должна по уровню защищенности отвечать требованиям 152-ФЗ. Само по себе это не гарантирует отсутствия коррупции, но в этом частном случае с учетом открывшихся фактов злоупотреблений модель нарушителя для систем такого назначения может быть доработана.

В перспективе следует предусмотреть использование электронной подписи. Когда у всех граждан, в том числе и у абитуриентов, будет на руках универсальная электронная карта с их личной электронной подписью, то каждая запись о поступающем должна быть заверена ЭП. Тогда мертвых душ будет значительно меньше.

Эпикриз

CNews подготовил инфографику по одной из крупнейших информационных систем России
Цифровизация

Все современные отечественные СЭД обладают достаточной степенью функциональности и защищенности, чтобы решить задачу автоматизации деятельности приемных комиссий в наших вузах. Бизнес-процессы можно настроить таким образом, чтобы минимизировать риск фальсификации данных.

Самописные системы, разработанные студентами-медиками или студентами-химиками по заказу родного ВУЗа, всегда могут содержать какие-то лазейки. Но достаточно было бы на уровне Министерства образования принять нормативный документ, устанавливающий технические требования к информационным системам приемных комиссий, и обратиться к нашим разработчикам СЭД с просьбой оснастить ВУЗы своими системами на льготных условиях. Наверное, никто бы не отказался.

Станислав Макаров / CNews