Вірус Petya.A, який атакував Україну з допомогою програми бухгалтерської звітності ME Doc, дестабілізував роботу величезної кількості підприємств. Наслідки цієї кібернапасті виявилися набагато серйознішими, ніж здавалося раніше, і їх не усунуто дотепер.
Вірусна атака, що заблокувала одну з найпопулярніших бухгалтерських програм в Україні, не дала змоги багатьом підприємствам зареєструвати податкові накладні, призвела до втрати важливої інформації та електронних ключів, дестабілізувавши їхню роботу. Бухгалтери підприємств дезорієнтовані, вони визнають, що не пам'ятають такого важкого періоду у своїй практиці й часто не розуміють, як саме їм удасться усунути всі проблеми, що виникли. І, мабуть, перше, що мала зробити влада, - це надати бізнесу узагальнюючу консультацію, описавши в ній алгоритм дій платника, який зіштовхнувся з різними проблемами внаслідок кібератаки.
Уже потім потрібно було спробувати мінімізувати втрати компаній, спровоковані зовнішніми чинниками, які від них не залежали. І в ідеалі, зробити все для того, щоб у майбутньому, якщо вірусні атаки повторяться, бізнес міг їм протистояти. Подібні події - той рідкісний випадок, коли втручання держави в роботу приватних компаній повністю виправдане. Але уряд, навпаки, відсторонився від підприємців, залишивши їх наодинці з проблемою, що виникла.
На засіданні Кабміну 4 липня ц.р. було схвалено проект закону, який скасовує штрафи за несвоєчасну реєстрацію податкових накладних. Прем'єр-міністр усіх запевнив, що захищатиме бізнес, і полетів у Лондон. Проект залишився лежати на підпису й чекати спочатку його повернення, а потім узагалі незрозуміло чого. Попри те, що тиждень, який минає, був останнім сесійним, зареєстрували у Верховній Раді документ лише в середу пізно ввечері. Утім, ухвалення цього законопроекту все одно не полегшило б життя платникам податків. Суть пропозицій уряду зводилася до того, щоб звільнити компанії від штрафів за несвоєчасну реєстрацію ПН, складених у період з 1 по 15 червня, за умови, що їх буде зареєстровано до 15 липня. Але проблеми, з якими зіштовхнувся бізнес, набагато глибші, багато компаній донині не оговталися від того, що сталося, і зберігаються ризики того, що вони не зможуть зареєструвати накладні за весь червень.
Спробував відгукнутися на проблеми бізнесу й парламентський податковий комітет, який також за два дні до закінчення останнього пленарного тижня зареєстрував альтернативний урядовий законопроект. Депутати запропонували вважати вчасно зареєстрованими податкові накладні, складені з 1 по 30 червня, якщо їх зареєстрували не пізніше 31 липня. Тобто дали підприємцям ще місяць на відновлення роботи. А заодно зобов'язали платників упродовж десяти днів із моменту прийняття законопроекту повідомити фіскальну службу про втрату або пошкодження інформації, документально підтвердивши, що сталося це через кібератаку, щоб фіскальна служба відтермінувала проведення перевірок на таких підприємствах до відновлення втрачених даних, але не пізніше 31 грудня 2017 р. Цей проект у результаті й було ухвалено парламентом. Він на голову вищий за урядовий, але однаково, на жаль, не гарантує практичного розв'язання всіх проблем підприємців, що виникли через атаку хакерів.
Великі компанії, які ведуть активну діяльність і мають велику кількість контрагентів, через наслідки кібератаки не можуть елементарного - зібрати інформацію про всі ті зобов'язання, яких вони не можуть виконати. "Вірус "поклав" саму систему подачі звітності, з якою працювала велика кількість компаній. Втративши доступ до її сервісів, вони втратили можливість не лише реєстрації податкових накладних, а й подачі звітності, - пояснила DT.UA податковий консультант Київського центру підтримки та розвитку бізнесу Олександра Томашевська. - Подати звіти можна через інші сервіси, наприклад той самий електронний кабінет платника. Це незручно, але можливо. Набагато складніше відновити реєстрацію податкових накладних".
"Шеф, усе пропало!"
За словами Олександри Томашевської, суть проблеми не стільки в недоступності звичних сервісів, скільки в небаченій раніше за обсягами втраті даних компаній. Задля справедливості треба визнати, що багато фірм не були готові до атаки - вони зберігали інформацію на альтернативних носіях, але не так часто й регулярно, як хотілося б. У багатьох підприємців навіть після відновлення збережених даних точка їхньої актуальності далека від бажаної. Відновлювати цю інформацію складно та трудомістко, для цього компанії потрібно запитувати дані в кожного її контрагента, більшість із яких відчуває аналогічні проблеми з утратою даних.
"Багато підприємств просто не афішують цієї інформації, щоб не зашкодити своїй репутації. Але для розуміння масштабів слід зазначити, що багато великих компаній використовували ME Doc не тільки для подачі звітності або для реєстрації накладних, вони користувалися електронним документообігом у цій системі, тобто вони абсолютно всю документацію перестали зберігати в паперовому вигляді, а перевели в цифровий формат. Отже, в них може бути втрачена первинна документація за кілька років. Це колосальна втрата даних. Це скандал, і компанії, які не хочуть у цьому зізнаватися, можна зрозуміти, адже якщо це з'ясується, вони елементарно можуть втратити клієнтів і контрагентів, - розповіла DT.UA податковий консультант. - І якщо ви втратили всі дані, вам мало допоможе те, що вам скасували штрафні санкції лише щодо зобов'язань із 1 по 15 червня, тому що на відновлення всього втраченого масиву інформації потрібно набагато більше часу".
Природно, у такій ситуації не виключено, що в компаній будуть прострочення не лише по червневих і липневих податкових, а й у майбутньому. Нині багато фірм не можуть одержати елементарної інформації - чи є в них достатній залишок для реєстрації цих податкових накладних. Саму програму ME Doc нібито відновлено, але насправді проблеми з нею в бухгалтерів усе ще виникають щодня. Перехід на інші сервіси можливий, але теж потребує часу, а головне - втрачених даних. І тут уряд знову не може підставити бізнесу плече, адже державний електронний кабінет платника і досі не в змозі задовольнити навіть мінімальних вимог підприємців.
Претензій до електронного кабінету - море. З одного боку, це не дивно, повноцінно запрацювати він має тільки з 2018 р. З іншого - його почали створювати ще за часів Міндоходів, і швидкість, з якою цей процес рухається, м'яко кажучи, пригнічує. При цьому зовсім не обов'язково, що фінальна версія кабінету складе конкуренцію тим комерційним продуктам, які вже є на ринку. Кабінет роками роблять, переробляють і поліпшують. Але він усе ще працює не у всіх браузерах коректно. Роздрукувати накладні з нього не можна, навіть відкрити - неможливо, лише побачити в реєстрі. Квитанції то є, то немає, як пощастить. Іноді накладні не приймаються, тому що... "такий документ уже існує". Додатки не завантажуються. Документи не відправляються. Навіть елементарний вхід в електронний кабінет - це квест і випробування. Природно, компанії з великими обсягами, яким необхідно реєструвати сотні податкових накладних, обходять електронний кабінет стороною - завантаженість їхнього персоналу просто не дозволяє витрачати стільки часу на реєстрацію кожного документа. Тим паче, що на ринку є чимало програмних продуктів, які швидші, кращі та зручніші. Принаймні так було до кібератаки.
ME Doc, наприклад, донедавна по праву вважався одним із найкращих сервісів на ринку. Його масово використовували саме через зручність та якість. І найчастіше саме великі підприємства. Існує ймовірність, що цей сервіс вибрали для атаки саме тому, що це найпопулярніша програма на ринку, яка охоплює найбільшу кількість користувачів. Але є відчуття, що в уряді масштабу проблем, з якими зіштовхнулися всі ці численні користувачі, досі не усвідомлюють.
Лежачого б'ють
З 1 липня, попри все, була запущена система автоматичного блокування податкових накладних із ознаками фіктивності. Нова, і як усе нове, вона потребує доопрацювання. За статистикою Мінфіну, під блокування підпадає лише 1% накладних - з початку місяця з 3,7 млн поданих на реєстрацію накладних було заблоковано трохи більше 40 тис. Справді небагато, тільки слід врахувати, що під блокування ряд фірм автоматично не підпадає, наприклад, ті з них, які за минулий рік сплатили податків і зборів на 5 млн грн або в яких обсяг поставок за місяць не перевищує 500 тис. грн.
Та й сама кількість поданих накладних бентежить, раніше ДФСУ повідомляла, що на місяць у системі електронного адміністрування реєструється близько 20 млн ПН, а тут за два тижні - лише 3,7 млн. Що дає нам уявлення про кількість тих компаній, які просто не можуть подати документи на реєстрацію.
Система перевіряє кожну податкову накладну, виходячи із закладених у неї критеріїв ризику, і у разі підозри фіктивності ПДВ-накладної блокує її подальшу реєстрацію. Фірма, чию накладну було заблоковано, має подати у фіскальну службу документи, які підтверджують реальність операції, а спеціальна комісія на підставі цих документів повинна впродовж п'яти днів вирішити, розблокувати реєстрацію чи ні.
У тестовому режимі система працює з квітня, але як таке блокування не здійснювалося, а фірми лише отримували квитанції про те, що їхні накладні класифікувалися як ризикові. Ризикованість визначається за відповідністю товару тій господарській діяльності, яку веде компанія. Словом, якщо ви купили пісок, а продали бетон - це реальна операція, а якщо купили яблука, а продали цвяхи - фіктивна. Але в житті все, як правило, складніше, тим паче, що затверджений перелік товарів, які можуть використовуватися для формування фіктивного податкового кредиту, досить великий - від труб і шин до паперу, одягу та харчових продуктів. І за всієї користі цієї системи для боротьби з податковими зловживаннями, вона однозначно створює додаткове адміністративне навантаження на платників, які на сьогодні з трудом можуть впоратися навіть зі своїми рядовими обов'язками.
При блокуванні накладної компанія повинна подати в податкову перелік затверджених документів, завантажити які в електронний кабінет виходить далеко не в усіх і не в повному обсязі. Та й "затвердження" самого списку, як показує практика, може варіюватися: у когось фіскали просять мінімум, тому що не можуть впоратися з обсягами, у когось, навпаки, запитують навіть те, чого в переліку немає, наприклад дані про кількість співробітників і про сплату податків. Багато бухгалтерів уже зіставляють суми заблокованих податкових кредитів із майбутніми судовими витратами, вирішуючи, що дешевше для підприємства.
В іншій ситуації все це не сприймалося б так болісно, так, довелося б витратити кілька місяців на усунення непорозумінь, але в результаті систему було б налагоджено, і свідомі платники податків навчилися б із нею працювати. Але нині ситуація далека від стандартної.
"Уявіть, що до непрацюючої системи подання звітності, до неможливості виконувати поточні завдання додалася ще одна проблема. Бухгалтери й без цього не можуть впоратися. А тепер тим, хто все-таки зміг зареєструвати бодай щось, почали приходити відповіді, що їхні накладні заблоковано. При цьому бухгалтери хочуть відправити підтверджуючі документи, щоб переконати податкову в тому, що підстав для блокування немає, а ця функція в системі не працює, сервіс зворотного зв'язку ще не налаштований, - пояснює Олександра Томашевська. - У таких компаній діяльність узагалі паралізована. І біда не в штрафах, їх завжди можна оскаржити, якщо ти добросовісний платник. Погано те, що з такими компаніями просто ніхто не захоче працювати. Якщо ти не монополіст або бюджетоутворююче підприємство, твої клієнти просто підуть до конкурентів, якщо ти не навчишся швидко вирішувати подібні проблеми".
Звичайно, уряд міг би зробити крок назустріч і подовжити тестовий режим роботи системи ще на місяць, позбавивши підприємців хоча б цього головного болю, але на Грушевського своє, дуже специфічне, бачення турботи про бізнес.
Доведи, що не верблюд
Крім доказу реальності сформованого податкового кредиту, компанії зіштовхнулися ще і з необхідністю доводити те, що вони справді постраждали від кібератаки. Підприємці розуміють, що всі обіцянки уряду піти назустріч треба ділити на 16, і вже готуються до того, що в майбутньому на них чекають більш тривалі дебати з фіскальною службою.
Починаючи з 27 червня Торгово-промислова палата щодня одержує від бізнесу по сотні звернень про підтвердження форс-мажорних обставин, викликаних кібератакою. При цьому ТПП одноосібно не може засвідчити форс-мажор у даному випадку, їй для цього потрібні відповідні документи, отримані від Кіберполіції. Там прийняли вже понад півтори тисяч заяв, із яких лише 200 надійшли від держструктур, решта - від приватного сектора. У Кіберполіції відкрили вже 800 кримінальних проваджень за статтею "несанкціоноване втручання в роботу комп'ютерних систем і мереж".
На жаль, далеко не всі потерпілі відразу зорієнтувалися в ситуації та звернулися до органів правопорядку, аби ті засвідчили зараження вірусом і неможливість ведення діяльності. Були й ті, хто спочатку звернувся до програмістів і відновив працездатність своїх підприємств, а вже потім задумався про перспективи чвар із фіскальною службою та контрагентами. Утім, і ті, хто до поліції звернувся, не переконані, що це їм допоможе в майбутньому, адже досі незрозуміло, що саме є юридичною підставою, яка підтверджує здійснення кібератаки. ТПП звернулася із відповідним запитом у Кіберполіцію. Там задумалися...
На сьогодні у переліку обставин нездоланної сили поняття "кібератака" відсутнє, природно, це істотно ускладнює доведення добросовісним платником того факту, що він не з власної волі а в силу обставин не зміг виконати свої зобов'язання. І вирішення цього питання теж у юрисдикції держави, причому підійти до нього потрібно дуже виважено. Усіх однією гребінкою не розчесати, адже серед справді потерпілих через форс-мажор цілком можуть виявитися й недобросовісні платники, які хочуть під шум хакерської атаки "кинути" своїх контрагентів.
Аврально усуваючи наслідки вірусу Petya.A, уряд випускає з уваги, що ця подія може повторитися й потребувати чергових авральних рішень. Може, є сенс у виробленні комплексних заходів і створенні механізмів, які допоможуть мінімізувати втрати в майбутньому. На жаль, на сьогодні жодна держструктура не запропонувала підприємцям алгоритму виходу із сформованої ситуації. Рекомендації для підприємців озвучила лише Держслужба спецзв'язку та захисту інформації, але їхні поради вузькоспеціалізовані (http://cert.gov.ua/?p=2771) і не допоможуть платникам повною мірою налагодити свою поточну діяльність.