Что помогает, а что мешает бизнесу преодолеть последствия кибератаки.
Вирус Petya.A, атаковавший Украину посредством программы бухгалтерской отчетности ME Doc, дестабилизировал работу огромного количества предприятий. Последствия этой кибернапасти оказались куда более серьезными, чем казалось ранее, и они не устранены до сих пор.
По данным компании ESET, разрабатывающей программное обеспечение для борьбы с вредоносными компьютерными программами, на Украину пришлось 75,24% атак вируса. Также Petya атаковал Германию (9,06% атак), Польшу (5,81%), Сербию (2,87%), Грецию (1,39%), Румынию (1,02), а также менее одного процента от всех атак вируса пришлось на Россию и Чехию.
Вирусная атака, заблокировавшая одну из самых популярных бухгалтерских программ в Украине, не позволила многим предприятиям зарегистрировать налоговые накладные, привела к утере важной информации и электронных ключей, дестабилизировав их работу. Бухгалтеры предприятий дезориентированы, они признают, что не помнят такого тяжелого периода в своей практике и часто не понимают, каким образом им удастся устранить все возникшие проблемы. И, пожалуй, первое, что должны были сделать власти, — это предоставить бизнесу обобщающую консультацию, описав в ней алгоритм действий плательщика, столкнувшегося с различными проблемами вследствие кибератаки.
После же следовало попытаться минимизировать потери компаний, спровоцированные внешними факторами, от них не зависящими. И в идеале, сделать все для того, чтобы в будущем, если вирусные атаки повторятся, бизнес мог им противостоять. Подобные события — тот редкий случай, когда вмешательство государства в работу частных компаний полностью оправдано. Но правительство, наоборот, отстранилось от предпринимателей, оставив их один на один с возникшей проблемой.
На заседании Кабмина 4 июля с.г одобрен проект закона, отменяющего штрафы за несвоевременную регистрацию налоговых накладных. Премьер-министр всех заверил, что будет защищать бизнес, и улетел в Лондон. Проект остался лежать на подписи и ждать сначала его возвращения, а потом вообще непонятно чего. Несмотря на то, что уходящая неделя была последней сессионной, зарегистрировали в Верховной Раде документ лишь в среду поздним вечером. Впрочем, принятие этого законопроекта все равно не облегчило бы жизнь налогоплательщикам. Суть предложений правительства сводилась к тому, чтобы освободить компании от штрафов за несвоевременную регистрацию НН, составленных в период с 1 по 15 июня, при условии, что они будут зарегистрированы до 15 июля. Но проблемы, с которыми столкнулся бизнес, намного глубже, многие компании по сей день не оправились от случившегося, и сохраняются риски того, что они не смогут зарегистрировать накладные за весь июнь.
Попытался откликнуться на проблемы бизнеса и парламентский налоговый комитет, также за два дня до окончания последней пленарной недели зарегистрировавший альтернативный правительственному законопроект. Депутаты предложили считать своевременно зарегистрированными налоговые накладные, составленные с 1 по 30 июня, если их зарегистрировали не позднее 31 июля. То есть дали предпринимателям еще месяц на восстановление работы. А заодно обязали плательщиков в течение десяти дней с момента принятия законопроекта сообщить фискальной службе об утере или повреждении информации, документально подтвердив, что произошло это из-за кибератаки, чтобы фискальная служба отстрочила проведение проверок на таких предприятиях до восстановления утерянных данных, но не позднее 31 декабря 2017 г. Этот проект в итоге и был принят парламентом. Он на голову выше правительственного, но все равно, увы, не гарантирует практического решения всех проблем предпринимателей, возникших из-за атаки хакеров.
Крупные компании, ведущие активную деятельность и имеющие большое число контрагентов, из-за последствий кибератаки не могут элементарного — собрать информацию обо всех тех обязательствах, которые они не могут выполнить. "Вирус "положил" саму систему подачи отчетности, с которой работало большое количество компаний. Потеряв доступ к ее сервисам, они утратили возможность не только регистрации налоговых накладных, но и подачи отчетности, — объяснила налоговый консультант Киевского центра поддержки и развития бизнеса Александра Томашевская. — Подать отчеты можно через другие сервисы, например тот же электронный кабинет плательщика. Это неудобно, но возможно. Куда сложнее возобновить регистрацию налоговых накладных".
"Шеф, все пропало!"
По словам Александры Томашевской, суть проблемы не столько в недоступности привычных сервисов, сколько в невиданной ранее по объемам потере данных компаний. Справедливости ради надо признать, что многие фирмы не были готовы к атаке — они сохраняли информацию на альтернативных носителях, но не так часто и регулярно, как хотелось бы. У многих предпринимателей даже после восстановления сохраненных данных точка их актуальности далека от желаемой. Восстанавливать эту информацию сложно и трудоемко, для этого компании нужно запрашивать данные у каждого ее контрагента, большинство из которых испытывает аналогичные проблемы с потерей данных.
"Многие предприятия просто не афишируют эту информацию, чтобы не вредить своей репутации. Но для понимания масштабов надо отметить, что многие крупные компании использовали ME Doc не только для подачи отчетности или для регистрации накладных, они пользовались электронным документооборотом в этой системе, то есть они абсолютно всю документацию перестали хранить в бумажном виде, а перевели в цифровой формат. То есть у них может быть потеряна первичная документация за несколько лет. Это колоссальная потеря данных. Это скандал, и компании, которые не хотят в этом признаваться, можно понять, ведь если это обнаружится, они элементарно могут потерять клиентов и контрагентов, — рассказала налоговый консультант. — И если вы потеряли все данные, вам мало поможет то, что вам отменили штрафные санкции лишь в отношении обязательств с 1 по 15 июня, так как на восстановление всего утерянного массива информации нужно намного больше времени".
Естественно, в такой ситуации не исключено, что у компаний будут просрочки не только по июньским и июльским налоговым, но и в будущем. На данный момент многие фирмы не могут получить элементарную информацию — есть ли у них достаточный остаток для регистрации этих налоговых накладных. Сама программа ME Doc вроде как восстановлена, но в действительности проблемы с ней у бухгалтеров все еще возникают каждый день. Переход на другие сервисы возможен, но тоже требует времени, а главное — утерянных данных. И тут правительство снова не может подставить бизнесу плечо, ведь государственный электронный кабинет плательщика до сих пор не в состоянии удовлетворить даже минимальные требования предпринимателей.
Претензий к электронному кабинету — море. С одной стороны, это неудивительно, полноценно заработать он должен только с 2018 г. С другой — его начали создавать еще во времена Миндоходов, и скорость, с которой этот процесс движется, мягко говоря, удручает. При этом совсем не обязательно, что финальная версия кабинета составит конкуренцию тем коммерческим продуктам, которые уже есть на рынке. Кабинет годами делают, переделывают и улучшают. Но он все еще работает не во всех браузерах корректно. Распечатать накладные из него нельзя, даже открыть — невозможно, только увидеть в реестре. Квитанции то есть, то нет, как повезет. Иногда накладные не принимаются, потому что... "такой документ уже существует". Приложения не загружаются. Документы не отправляются. Даже элементарный вход в электронный кабинет — это квест и испытание. Естественно, компании с большими объемами, которым необходимо регистрировать сотни налоговых накладных, обходят электронный кабинет стороной — загруженность их персонала просто не позволяет тратить столько времени на регистрацию каждого документа. Тем более что на рынке есть масса программных продуктов, которые быстрее, лучше и удобнее. По крайней мере, так было до кибератаки.
ME Doc, например, до недавнего времени по праву считался одним из лучших сервисов на рынке. Его массово использовали именно из-за удобства и качества. И зачастую именно крупные предприятия. Существует вероятность, что этот сервис выбрали для атаки именно потому, что это наиболее популярная программа на рынке, охватывающая наибольшее количество пользователей. Но есть ощущение, что в правительстве масштаба проблем, с которыми столкнулись все эти многочисленные пользователи, до сих пор не осознают.
Лежачего бьют
С 1 июля, невзирая ни на что, была запущена система автоматической блокировки налоговых накладных с признаками фиктивности. Новая, и как все новое, требующая доработки. По статистике Минфина, под блокировку подпадает лишь 1% накладных — с начала месяца из 3,7 млн поданных на регистрацию накладных было заблокировано чуть больше 40 тыс. Действительно немного, только надо учесть, что под блокировку ряд фирм автоматически не подпадает, например, те из них, которые за прошлый год уплатили налогов и сборов на 5 млн грн или у которых объем поставок за месяц не превышает 500 тыс. грн.
Да и само количество поданных накладных смущает, ранее ГФСУ сообщала, что в месяц в системе электронного администрирования регистрируется порядка 20 млн НН, а тут за две недели — только 3,7 млн. Что дает нам представление о количестве тех компаний, которые просто не могут подать документы на регистрацию.
Система проверяет каждую налоговую накладную, исходя из заложенных в нее критериев риска, и в случае подозрения фиктивности НДС-накладной блокирует ее дальнейшую регистрацию. Фирма, чья накладная была заблокирована, должна подать в фискальную службу документы, подтверждающие реальность операции, а специальная комиссия на основании этих документов должна в течение пяти дней решить, разблокировать регистрацию или нет.
В тестовом режиме система работает с апреля, но как таковая блокировка не осуществлялась, а фирмы лишь получали квитанции о том, что их накладные классифицировались как рисковые. Рисковость определяется по соответствию товара той хозяйственной деятельности, которую ведет компания. Упрощая, если вы купили песок, а продали бетон — это реальная операция, а если купили яблоки, а продали гвозди — фиктивная. Но в жизни все, как правило, сложнее, тем более что утвержденный перечень товаров, которые могут использоваться для формирования фиктивного налогового кредита, довольно обширен — от труб и шин до бумаги, одежды и пищевых продуктов. И при всей пользе данной системы для борьбы с налоговыми злоупотреблениями, она однозначно создает дополнительную административную нагрузку на плательщиков, которые на сегодняшний день с трудом справляются даже со своими рядовыми обязанностями.
При блокировке накладной компания должна подать в налоговую перечень утвержденных документов, загрузить которые в электронный кабинет получается далеко не у всех и не в полном объеме. Да и "утвержденность" самого списка, как показывает практика, может варьироваться: у кого-то фискалы просят минимум, потому что не справляются с объемами, у кого-то, наоборот, запрашивают даже то, чего в перечне нет, например данные о количестве сотрудников и об уплате налогов. Многие бухгалтеры уже сопоставляют суммы заблокированных налоговых кредитов с будущими судебными издержками, решая, что дешевле для предприятия.
В другой ситуации все это не воспринималось бы так болезненно, да, пришлось бы потратить несколько месяцев на устранение недоразумений, но в итоге система была бы отлажена, и сознательные налогоплательщики научились бы с ней работать. Но сейчас ситуация далека от стандартной.
"Представьте, что к неработающей системе подачи отчетности, к невозможности выполнять текущие задачи добавлена еще одна проблема. Бухгалтеры и без этого не справляются. А теперь тем, кто все-таки смог зарегистрировать хоть что-то, начали приходить ответы, что их накладные заблокированы. При этом бухгалтеры хотят отправить подтверждающие документы, чтобы убедить налоговую в том, что оснований для блокировки нет, а эта функция в системе не работает, сервис обратной связи еще не настроен, — объясняет Александра Томашевская. — У таких компаний деятельность вообще парализована. И ведь беда не в штрафах, их всегда можно оспорить, если ты добросовестный плательщик. Беда в том, что с такими компаниями просто никто не захочет работать. Если ты не монополист или бюджетообразующее предприятие, твои клиенты просто уйдут к конкурентам, если ты не научишься быстро решать подобные проблемы".
Конечно, правительство могло бы сделать шаг навстречу и продлить тестовый режим работы системы еще на месяц, избавив предпринимателей хотя бы от этой головной боли, но на Грушевского свое, очень специфическое, видение заботы о бизнесе.
Докажи, что не верблюд
Помимо доказательства реальности сформированного налогового кредита, компании столкнулись еще и с необходимостью доказательства того, что они действительно пострадали от кибератаки. Предприниматели понимают, что все обещания правительства пойти навстречу надо делить на 16, и уже готовятся к тому, что в будущем им предстоят длительные прения с фискальной службой.
Начиная с 27 июня Торгово-промышленная палата ежедневно получает от бизнеса по сотне обращений о подтверждении форс-мажорных обстоятельств, вызванных кибератакой. При этом ТПП единолично не может засвидетельствовать форс-мажор в данном случае, ей для этого нужны соответствующие документы, полученные от Киберполиции. Там приняли уже свыше полутора тысяч заявлений, из которых только 200 поступили от госструктур, остальные — от частного сектора. В Киберполиции открыли уже 800 уголовных производств по статье "несанкционированное вмешательство в работу компьютерных систем и сетей".
Увы, далеко не все пострадавшие сразу сориентировались в ситуации и обратились в органы правопорядка, чтобы те засвидетельствовали заражение вирусом и невозможность ведения деятельности. Были и те, кто сначала обратился к программистам и восстановил работоспособность своих предприятий, а уже потом задумался о перспективах дрязг с фискальной службой и контрагентами. Впрочем, и те, кто в полицию обратился, не уверены, что это им поможет в будущем, ведь до сих пор неясно, что именно является юридическим основанием, подтверждающим совершение кибератаки. ТПП обратилась с соответствующим запросом в Киберполицию. Там задумались...
На сегодняшний день в перечне обстоятельств непреодолимой силы понятие "кибератака" отсутствует, естественно, это существенно усложняет доказательство добросовестным плательщиком того факта, что он не по собственной воле, а в силу обстоятельств не смог выполнить свои обязательства. И решение этого вопроса тоже в юрисдикции государства, причем подойти к нему нужно очень взвешенно. Всех одной гребенкой не расчесать, ведь среди действительно пострадавших из-за форс-мажора вполне могут оказаться и недобросовестные плательщики, желающие под шум хакерской атаки "кинуть" своих контрагентов.
Аврально устраняя последствия вируса Petya.A, правительство упускает из виду, что это событие может повториться и потребовать очередных авральных решений. Может быть, есть смысл в выработке комплексных мер и создании механизмов, позволяющих минимизировать потери в будущем. Увы, на сегодняшний день ни одна госструктура не предложила предпринимателям алгоритм выхода из сложившейся ситуации. Рекомендации для предпринимателей озвучила лишь Госслужба спецсвязи и защиты информации, но их советы узкоспециализированные (http://cert.gov.ua/?p=2771) и не помогут плательщикам в полной мере наладить свою текущую деятельность.
Юлия Самаева, zn.ua
Комментарии
RSS лента комментариев этой записи