Geekly articles weekly

نموذج الهجوم: حيث يُساء استخدامه بشكل أساسي في عمليات الشراء الإلكترونية وكيفية التعامل معها



ما زلت أتحدث عن كيفية ترتيب العطاءات والمشتريات الإلكترونية بشكل عام في بلدنا الجميل.

اليوم لن نتحدث عن الاختلاس (سبق الحديث عنها هنا ) ، ولكن عن انتهاكات بارعة أخرى.

تحتاج أولاً إلى فهم مفهوم ما يحتاجه المشاركون:

  • الموردون يريدون بيع منتجاتهم. أفضل - أغلى ثمناً ، لكن إذا لم تكن تكلفته أكثر ، فعندئذٍ على الأقل بسعر يسمح لك بالربح.
  • يريد العملاء الحكوميون 44-FZ شراء ما يحتاجون إليه ، وليس ما يمكنهم بيعه ، مما يفسر المعارف التقليدية بشكل خلاق. وبينما لا تجلس.
  • يريد عملاء الشركات من 223-FZ إظهار فعالية خفض الأسعار من السوق المتوسط ​​(لدينا متوسط ​​معدل حوالي 15٪ ، ولكن هناك أيضًا تخفيض بنسبة 30٪ في عدد من المشتريات).

هذه الصراعات تؤدي إلى سلسلة من الهجمات من قبل المشاركين ضد بعضهم البعض. دعونا ننظر في بعض منهم.

بدء الاحتيال في الأسعار


في الحالة العامة ، يجب على العميل تحديد سعر البداية للمزاد (في الواقع ، تخفيض ، ولكن هذا يسمى مزاد). تعتمد فعاليتها كمشتري على مقدار انخفاض هذا السعر من قبل الموردين. في عالم مثالي ، تتمثل مهمته ، من ناحية ، في جذب أكبر عدد من المشاركين ، من ناحية أخرى ، لضمان نفسه ضد الموردين عديمي الضمير. كلما تمت صياغة الشروط المرجعية أو المتطلبات ، كلما قل عدد المشاركين. أقل متطلبات المشارك - كلما زاد خطر عدم موثوقية شخص ما ، وعدم قدرته على الوفاء بالعقد ، ولكن القدرة على الفوز بإجراء الشراء.

يتمثل الانتهاك في أنه نظرًا لأن الكفاءة تعتبر انخفاضًا في السعر من الأولي إلى النهائي (سعر العقد) ، يمكن للمشتري زيادة سعر البداية. لهذا يمكن أن يعاقب.

يلجأ شخص ما إلى تقديرات التصميم وفقًا لمثال 44-FZ: ينظرون إلى السعر والسعر الذي اشتروه قبل عام. لكنهم يستخدمون أساسًا مراقبة السوق: هذا إجراء غير ملزم.

إذا قمت بضبط السعر أعلى ، فستصل جميع الأخبار حول التسعير الزائد ، وسيتصل المشاركون بـ FAS. لأن المبالغة في السعر الأولي هو أداة للفساد. إذا قام شخص ما بتضخيم السعر ، فسيقوم المورّدون بإجراء تخفيض قياسي ، لكن تبين أن السعر الحقيقي زائد دلتا لـ "التراجع". لذلك ، يتم مراقبة الأسعار الأولية عن كثب.

مثال على ذلك يوضح كيف يعمل النظام الإيكولوجي بطريقة منطقية للغاية (أو يجب أن يعمل) ، وأن هذا العمل يتطلب آليات غير واضحة تمامًا للوهلة الأولى.

التواطؤ


حتى وقت قريب ، كانت المشتريات الحكومية تحت إشراف وزارة التنمية الاقتصادية. كما يقولون ، فشلت الوزارة في التعامل مع مهمة الإصلاح الفعال لمجال المشتريات. على سبيل المثال ، تم تنفيذ أمر الحكومة لإلكترون المشتريات العامة بالكامل لمدة أربع سنوات. نتيجة لذلك ، تعمل وزارة المالية الآن في كل شيء. الخزانة الفيدرالية هي المسؤولة عن EIS . تراقب FAS الدقة - وهي خدمة غالباً ما نستخدمها كموقع واتصال. الجميع يشكو من بعضهم البعض. الموردين - للعميل ، العميل - للموردين ، ويحلل كل هذه الشكاوى من قبل FAS.

الممارسة هناك مختلفة تمامًا: من الظروف التمييزية إلى مؤامرة الكارتل.

تآمر كارتل عندما تطلع المشاركون بسرعة حولهم ، وأدركوا أن شركاتهم الخمس من نفس السوق كانت في منافسة ، واتفقوا على النقطة التي حددوا بها سعرًا معينًا ولا يتراجعون عن ذلك. إجراءات التسوية مختلفة ، بل يمكن أن تكون خمس شركات تابعة من مؤسس واحد (من خلال سلسلة معقدة من القيادة). بطبيعة الحال ، يحظر القيام بذلك ، وبالتالي فإن اتجاه أمن المعلومات في سوق البناء نفسه يحتوي على عدد من الميزات التي تهدف إلى التدمير السريع لجميع السجلات في حالة "عرض القناع".

حماية النظام الإيكولوجي مفتوحة: إذا جاءت الشركتان السادسة والسابعة ، فسيصعب على المشاركين الاتفاق. أو يجوز للشركة السابعة تقديم شكوى ، بعد أن فهمت مخطط الآخرين.

الظروف التمييزية هي القصة المعاكسة عندما يتم تكوين المعارف التقليدية ليس لتحقيق نتيجة ، ولكن لقطع المشاركين غير المرغوب فيهم حتى يصل الشخص المناسب إلى النهائي.

شحذ المواصفات الفنية


من ناحية ، يرغب العميل الضميري في التحقق من المورد ووصف معايير النتيجة بدقة. من ناحية أخرى ، قد يرغب عديمي الضمير في الفوز بمورد واحد معين.

بموجب القانون ، والثاني محظور. سوف يأتي FAS وإدراج الجميع على الرقم الأول.

على سبيل المثال ، لا يمكنك تحديد علامات تجارية محددة ، لذا فإن الجزء المهم من بيان TOR هو التشاور مع محام حول ما إذا كان كل شيء صحيحًا. في فجر المزاد في عام 2012 ، تم اقتراح المعارف التقليدية لشراء سيارة ، والتي اقترح فيها الحصول على أي سيارة ، ولكن المتطلبات شملت شعار دائري مقسم إلى أربعة قطاعات ، مع قطاعين أزرق واثنين رمادي.

في الممارسة العملية ، يذهب العميل غالبًا إلى مورده الموثوق به ، ويطلب منه إعداد بيان عمل ، ويقوم بالتعويض (إن لم يكن غبيًا ، ثم يكتب لنفسه ، إلى موطنه الأصلي) ، ثم يغير العميل جزءًا من العناصر ، ويتحقق من محامٍ وينشر. اتضح بشكل صحيح.

يجب أن أقول إن العميل غير قادر دائمًا على صياغة بيان العمل بشكل صحيح. على سبيل المثال ، كانت هناك منافسة على بطاقات A4. ثم قطار الفكر: "A4 هو التنسيق الذي تم الحصول عليه عن طريق طي A2 إلى النصف." من المنطقي: القسمة 4 على 2 - اتضح 2. ثم قيل لهم إنه لا يزال هناك A3.

قد تبالغ المتطلبات في التوافر الضروري للمعدات (على سبيل المثال ، عندما يحتاج البناؤون إلى 10 حفارات في ميزانية عمومية لتنفيذ العمل) ، وتجربة الموظفين ، والتراخيص. نحن نرى بانتظام المسابقات مع متطلبات التراخيص للكهرباء تحت خطوط الكهرباء تقريبا للفك في المصابيح. يمكن للمشاركين الذين يعانون من هذا التناقض تقديم شكوى إلى FAS ، وسيتم ترتيب المنافسة هناك.

تعطل الإجراءات


في بعض الأحيان محاولة محاولة لتعطيل عمدا. على سبيل المثال ، لإطلاق شركة kamikaze التي ستخفض سعر المزاد إلى الحد الأقصى بحيث لا يمكن للمشاركين الآخرين معارضة أي شيء. بحلول وقت توقيع العقد ، سيتم دمجه بالفعل في خيمة بالقرب من المترو ، وبعد ذلك سيكون من الضروري إما التوقيع مع المشارك الثاني ، أو لتشغيل الإجراء مرة أخرى. هناك العديد من المستفيدين.

هناك طريقة أخرى لتعطيل عملية الشراء وهي شن هجوم DoS أو DDoS على الموقع الإلكتروني. أثناء هجمات القراصنة هذه ، يهاجم المهاجمون النظام التجاري وموقع الموقع بعدد كبير من الطلبات من عناوين IP المختلفة بحيث يتعذر على الخوادم الوصول إليها. يتعطل الأنظمة ولا يستطيع مقدمو العروض تقديم عروض أسعارهم أو عروض أسعارهم.

الطريف في الأمر هو أننا لا نستطيع في الواقع توفير الحماية القياسية لـ DDoS ، لأنه وفقًا للقانون ، يجب أن نكون مسؤولين عن كل معاملة: نحن ملزمون بالسماح لكل مستخدم بالموقع ، وأي معاملة يتم اقتطاعها عن طريق الخطأ ستكون انتهاكًا للقانون. لذلك ، يجب عليك تطوير أساليب الحماية الخاصة بك. سنتحدث أيضًا عن ذلك بشكل منفصل لاحقًا.

اختيار المناسبات الخاصة


وأخيرا ، هناك حالات قليلة معروفة في مجالنا ، والتي أصبحت جميعها بالفعل حكايات.

جاء المكتب نفسه دائمًا إلى عميل فيدرالي ، مما أدى إلى انخفاض المزادات. ثم تم رفض هذه الشركة بسبب انتهاكاتها في الوثائق ، لكنها جلبت العطاء إلى هذا السعر المنخفض ، حتى أن المشارك الثاني ، الذي كان من شأنه أن يكون لديه فرصة لإبرام عقد إذا رفض العقد الأول ، رفض هذه الفرصة. والعميل الدولة - مع المال ، ولكن من دون مورد وتحت تهديد تعطيل مشروع فيدرالي مهم. الشيء الوحيد الذي أرادوه هو أعطال الكاميكاز هذه - لضرب المال بسبب "فشل" إجراء الشراء.

هناك اتجاه شائع آخر هو المشتكين المحترفين. ليس هؤلاء الذين يدافعون عن المنافسة حقًا في صناعتهم ، أو نظامًا بيئيًا نظيفًا للشراء ، إلخ ، ولكن المحتالين الحقيقيين. مثل هؤلاء المشتكين يعطلون الإجراءات ، ليس حتى أثناء عملية تقديم العطاءات ، ولكن في مرحلة نشر إشعارات سلوكهم. سمعت على الهامش أنهم كانوا خائفين حتى في الأقسام الإقليمية لخدمة مكافحة الاحتكار الفيدرالية ، لأن هؤلاء الأشخاص الوقحين يكتبون ببساطة عددًا كبيرًا من الرسائل المهددة للعملاء والموردين. في رسائلهم إلى العملاء يكتبون أنهم وجدوا انتهاكات في الوثائق ويتطلبون إجراءات معينة ، ويقومون بترهيب الموردين بطرق أخرى ، ويقومون بكتابة الشكاوى إلى كل من FAS و FAS نفسها. ويتم إلغاء عملية الشراء أو تأخيرها بشكل كارثي.

لذا تذكر: تقريبًا جميع الانتهاكات تقتل الانفتاح. نحن هنا في حبري ، على وجه الخصوص ، من أجل الانفتاح.

Source: https://habr.com/ru/post/ar437922/

More articles:


All Articles