Россельхознадзор вынужден обратить внимание на распространяющийся в настоящее время тип нарушений при гашении эВСД, в связи с тем, что нарушения этого типа множатся.
Суть нарушения заключается в том, что некоторые пользователи (назовем такого пользователя Нарушитель) передают свои логины и пароли для авторизации в Меркурии третьему лицу и оно за них, используя эти логины и пароли, производит гашение эВСД (назовем этого деятеля Гасила).
Как показывает анализ ситуации, в подавляющем большинстве случаев Гасила осуществляют эту «деятельность» крайне безответственно по такому примерному алгоритму.
Гасила заключает договор с некоторым количеством Нарушителей. По условиям этого договора они получают пароль и логин Нарушителя.
Гасила, используя логин и пароль Нарушителя, заходит в Меркурий (ниже опишем как именно заходит) с определенной периодичностью и гасит все эВСД, оформленные в адрес Нарушителя.
При этом никто не смотрит, конечно, на то:
• получил ли уже Нарушитель партию подконтрольного товара, на которую оформлен эВСД;
• получил ли вообще работодатель партию подконтрольного товара, на которую оформлен эВСД;
• получил ли Нарушитель какую-либо партию подконтрольного товара, после оформления эВСД;
• соответствует ли реально доставленный товар указанному в эВСД;
• соответствует ли объем полученного товара его объему, указанному в эВСД.
Т.е. просто, как сейчас говорят, тупо гасит все подряд эВСД, адресованные одному Нарушителю, выходит из системы, входит вновь, используя логин и пароль другого Нарушителя, и повторяет эту процедуру и т.д.
Гасилы бывают двух типов.
Первый – это трудолюбивые и примитивные (в смысле знакомства с информатикой) Гасилы (назовем их Гасила-ТП).
Второй – это продвинутые (в смысле информатики) Гасилы (назовем их Гасила-ПР).
С Гасилами-ТП все просто. Работают они исключительно руками и исключительно через web-интерфейс Меркурия. Буквально – сидят за компьютером где-то, заходят в Меркурий под логином и паролем одного Нарушителя и гасят все подряд входящие эВСД, которые видят в личном кабинете этого Нарушителя. Затем выходят, снова заходят в Меркурий под логином и паролем второго Нарушителя и гасят все подряд входящие эВСД, которые видят в личном кабинете этого Нарушителя. И так далее. Процедура по каждому Нарушителю повторяется Гасилой-ТП 1-2 раза в сутки.
С Гасилами-ПР ситуация несколько сложнее.
Гасила-ПР сообщает своему заказчику – Нарушителю, что работает (по выбору Нарушителя-заказчика) либо в Web-интерфейсе Меркурия (т.е. в ручном варианте), либо в его (Гасилы) API-интерфейсе (т.е. производит автоматизированное гашение). Это не правда. На самом деле он работает через только Web-интерфейс и только в автоматическом режиме.
Для работы через Web-интерфейс Гасила-ПР использует Бот. Бот – это программа (она написана не специально для работы с Меркурием таких программ много, но она настроена для работы с Меркурием), которая работает с web-формой. Бот авторизуется в web-интерфейсе Меркурия, используя логин и пароль конкретного Нарушителя, которые он автоматически вводит в соответствующие поля формы аутентификации. Затем Бот перенаправляется Меркурием в соответствующую форму Меркурия и там «ставит галки» на соответствующем поле каждого непогашенного эВСД и «нажимает» Ввод. Все входящие эВСД погашены. Потом Бот выходит из Меркурия и дальше все повторяется с логином и паролем следующего Нарушителя. У некоторых Гасил-ПР этот Бот имеет достаточно развитую систему настроек. Например, он может гасить входящие эВСД только по истечении определенного времени после их оформления.
Отметим при этом, что Гасила-ПР может осуществлять и совсем иной вид деятельности.
Этот Гасила-ПР может быть разработчиком или пользователем информационной системы, которая может быть интегрирована с одной стороны с Меркурием, а с другой стороны – с информационной системой хозяйствующего субъекта (например с 1С). Тогда хозяйствующий субъект – получатель в 1С его предприятия отмечает входящие эВСД, которые он желает погасить, его 1С – система передает данные об этом вместе со своим API-key и логином (логином, но не паролем! Логин может быть известен кому угодно, а пароль – только самому пользователю) пользователя, который в данный момент отвечает за работу этого API-key, в информационную систему Гасилы-ПР, а она передает эти данные в Меркурий, который производит гашение тех входящих эВСД, которые отметил хозяйствующий субъект-получатель. Если в 1С-системе получателя работа организована правильно, то в этой схеме работы нет нарушений и Гасила-ПР тут уже не Гасила, а легально действующая компания – концентратор. В этом случае можно лишь пожелать, чтобы такая компания-концентратор сообщила нам о этой своей деятельности.
Почему это является правонарушением в юридическом смысле?
Во-первых, потому, что в данном случае Гасила, входя в Меркурий под чужими логином и паролем, вводит в систему заведомо ложные данные о себе: он вводит не свои логин и пароль, а чужие – Нарушителя. Простым языком он подделывает документ.
Во-вторых, учитывая описанный выше алгоритм действий, он вносит в систему заведомо ложные данные, о получении/неполучении и составе партии, поскольку истинных данных он не знает и ими не интересуется.
А нормативными документами установлен запрет на внесение заведомо ложных данных. И меры ответственности за это установлены. Причем в данном случае ответственность несет хозяйствующий субъект – получатель (как организация или как ИП), тот пользователь Меркурия, кто передал свои логин и пароль третьему лицу (как должностное лицо или как физическое лицо), т.е. Нарушитель, и сам Гасила как физическое лицо (он, как правило представляется ИП или является ИП), а если это не ИП или гражданин, то еще и как юридическое лицо.
Почему так нельзя поступать в сутевом смысле?
Дело в том, что гашение эВСД в системе электронной ветеринарной сертификации является не менее важной акцией (операцией), чем оформление эВСД.
Оформляя эВСД, оформляющее его лицо описывает подконтрольный товар, сообщает системе его количество, точку выхода и место доставки, отправителя и получателя. Среди прочего Меркурий определяет можно ли перемещать такой товар из точки отправки в точку получения и проверяет не является ли данная партия товара скомпрометированной (т.е. той, которая подлежит изъятию из обращения).
Производя гашение, осуществляющее его лицо подтверждает, что данная партия получена, соответствует описанию, получена именно в том количестве, которое указано в эВСД. Подтверждает, что теперь товар находится не там, где находился ранее (т.е. в точке оправки), а в другом месте (в точке получения) и подтверждает где он находится, подтверждает то, что уже не старый, а новый собственник отвечает за данный товар.
Почему это важно?
Приведу лишь один пример. Допустим, что после выпуска какой-то продукции обнаружилось, что в ней что-то опасное, например – возбудитель заразной болезни.
Что будут делать надзорные органы?
Они используют одну из функций Меркурия, которая позволяет моментально поднять содержащиеся в его базах данных записи о том, где находятся все части этой производственной партии. Затем последует изъятие эти составных частей.
Если все участники процесса ведут себя ответственно, в том числе ответственно подходят к гашению, то все будет хорошо и просто: все части партии найдутся и будут изъяты. В результате их никто не съест/не выпьет, никто, соответственно, не заразится, никто не заболеет, никто не умрет.
А если некоторые будут вести себя как эти Нарушители и Гасилы?
Где искать то, сертификат на что, не глядя, погасили, а товар не получили, и он уехал совсем в другое место? А в этом другом месте, куда поступил опасный товар, другой или этот же Гасила погасил, не глядя, эВСД на сходный или несходный и безопасный товар, получив опасный товар?
Плохо понимающим свою ответственность Нарушителям неплохо было бы подумать, например, о такой ситуации.
Работаете вы работаете все вроде ничего, и, вдруг, в день Z к вам приходит требование немедленно приостановить реализацию такой-то партии такого-то товара, про который стало известно, что он опасен, обеспечить его ответственное хранение.
Через небольшое время приходят к вам специально обученные люди, чтобы этот товар изъять и направить его на уничтожение.
Приходят и спрашивают: уведомление получили? Сдавайте товар.
Что вам останется (товара-то у вас нет и не было)?
Будете испуганно блеять что-то о том, что вы на самом деле его не получали, потому у вас его и нет? Тогда первый протокол и первый штраф вы уже заслужили (передали пароль третьему лицу, т.е. нарушили запрещающую это норму), но этим дело не окончится.
Не окончится, поскольку специально обученный человек скажет: вы бросьте тут сказки рассказывать! Вы получили эту партию и подтвердили это в ФГИС Меркурий, подтвердили, что именно вы его погасили путем ввода своих логина и пароля, потом получили уведомление и решили опасный товар по-быстрому продать? Людей травите из жадности?!!!
Нееет! Я правда не получал!
Ах, правда не получали? Чем можете доказать, что вы его не получали?
А доказать вам будет нечем – за получение вы типа расписались, а ни в каком другом документе номер партии не отображается и прослеживаемость ее не обеспечивается.
В связи с вышеизложенным просим всех участников обращения не допускать подобных нарушений.
Для тех Нарушителей, кто не услышит нашей просьбы, сообщаем, что при выявлении подобного будем блокировать их логины (если, конечно, конкретный Нарушитель еще на штраф или уголовное дело не наработал). Причем, блокировка, согласно действующим правилам, будет производиться на длительный срок, а при повторном выявлении подобного данный Нарушитель вообще утратит возможность самостоятельно пользоваться Меркурием и тогда единственной для него возможностью останется использование услуг специалистов госветслужбы.
Для тех Гасил, кто не услышит нашей просьбы, сообщаем, что мы будем блокировать их активность по всем используемым ими IP-адресам и передавать информацию о них в правоохранительные органы без предварительного уведомления и начнем это делать с 02.04.21.
Также сообщаем, что в скором времени в Меркурии будет real-time система идентификации Ботов и подозрительной активности внешних информационных систем. В не угрожающих случаях при их выявлении данному пользователю будет принудительно подключаться функция двойной идентификации (чтобы убедиться, что именно этот зарегистрированный пользователь осуществляет данное действие), а в угрожающих случаях Меркурий не будет принимать запросов на гашение эВСД под данными логином и/или паролем до разбора ситуации. Просим это учесть в дальнейшей работе.
В заключение отмечаем, что все вышесказанное, не означает, что в Меркурии нельзя осуществлять уполномоченное гашение с использованием как web-, так и API-интерфейсов Меркурия (при этом нельзя использовать Боты для работы в web-интерфейсе).
Любой хозяйствующий субъект может зарегистрировать своего представителя в системе, и этот представитель может не быть сотрудником данного хозяйствующего субъекта.
Этот представитель может за данного хозяйствующего субъекта осуществлять гашение эВСД в web-интерфейсе.
НО! Он должен делать это в web-интерфейсе под своим логином и паролем, а не под чужим, не под логином и паролем Нарушителя – своего работодателя (или его сотрудников). При этом законопослушный Гасила (тогда он уже будет не Гасила, а вполне законопослушный ИП или ООО) должен отслеживать исполнение установленных требований – т.е. производить сверку поступившего с информацией в эВСД на поступившее. Гасить эВСД он обязан не более, чем через 1 рабочий день после поступления товара Нарушителю (который в данном случае уже не будет Нарушителем, а будет законопослушным хозяйствующим субъектом – получателем), но ни в коем случае не до получения товара. И т.д.
Этот представитель может за данного хозяйствующего субъекта осуществлять гашение эВСД, используя собственную или приобретенную им информационную систему и API-интерфейс Меркурия, сообщив нам об этом направлении своей деятельности. Чего нельзя в этом случае делать? В этом случае нельзя использовать пароль сотрудников своего работодателя и нельзя использовать данные из web-интерфейса работодателя. Иными словами, данные следует получать из API-интерфейса информационной системы работодателя.
При этом хозяйствующий субъект-получатель несет ответственность за действия в системе представителя (концентратора), а представитель (концентратор) – за собственные действия. Хозяйствующим субъектам-получателям, которые решат использовать этот путь, настоятельно рекомендуем заключать договор на исполнение данной работы, в котором четко указано где чья зона ответственности, кто, что и как должен делать, кто отвечает за нарушения законодательства в процессе гашения, если они будут иметь место.
Концентратор должен обеспечить адекватную, без искажений, передачу данных, полученных из информационной системы работодателя, а работодатель должен установленным порядком получить свой собственный API-key для работы с Меркурием (даже если он не предполагает работать с Меркурием непосредственно, а желает работать только через концентратора).
Даниэль Карпова
Источник: Россельхознадзор