Кібератака на реєстри Мін’юсту: чому це могло статися і які наслідки
19 грудня Україна зазнала кібератаки на державні реєстри, яку міністерка юстиції Ольга Стефанішина називала наймасштабнішою за останній час. Розповідаємо детальніше, що сталося, чому та як запобігти подібним інцидентам у майбутньому.
Що сталося
Увечері 19 грудня на сторінці Мін’юсту в Facebook з’явився допис про збої в роботі державних реєстрів, що підпорядковані відомству. Згодом, близько 20:00, російська хакерська група XakNet Team заявила, що зламала інфраструктуру ДП «Національні інформаційні системи» (НАІС), яке керує реєстрами Мінʼюсту. У своїх Telegram-каналах вони стверджували, що завантажили понад мільярд рядків даних і видалили їх разом із резервними копіями.
Спершу НАІС повідомило про планові технічні роботи, які мали тривати з 22:00 до 24:00. Однак майже опівночі міністерка юстиції Ольга Стефанішина підтвердила факт кібератаки. За її словами, атака була масштабною і спрямованою на всю інфраструктуру. Також перестали працювати сайти Мін’юсту, НАІС і колцентр.
Водночас через зупинення роботи реєстрів частково припинили працювати деякі державні сервіси, які були зав’язані на роботі реєстрів. Зокрема, йдеться про низку послуг у «Дії», як-от перереєстрація авто, бронювання працівників, «єВідновлення», витяг з ЄДР та інші. Також тимчасово недоступним стало оформлення відстрочок у застосунку «Резерв+».
Станом на 23 грудня робота реєстрів залишається паралізованою. Сайт Мін’юсту недоступний.
За словами Стефанішиної, першочергово намагатимуться відновити Єдиний державний реєстр юридичних осіб та ФОПів, ДРАЦС і реєстр речових прав на нерухоме майно. Міністерка зазначила, що на відновлення їхньої роботи знадобиться близько двох тижнів.
За даними СБУ, за атакою стоять російські спецслужби, зокрема угруповання, пов’язані з ГРУ. Міністерка запевнила, що дані з реєстрів не втрачені назавжди — резервні копії зберігаються в кількох локаціях. За даними Держспецзв’язку, витоку даних громадян не відбулося. Російські хакери стверджують, що від атаки постраждали близько 60 різних реєстрів.
Доповлення. Перший заступник міністра юстиції Микола Кучерявенко заявив, що Мінʼюст проведе оцінку резервних копій держреєстрів і почне відновлення 24 грудня. За його словами, в першу чергу відновлять Єдиний реєстр довіреностей, Реєстр спеціальних бланків і нотаріальних документів, Спадковий реєстр, а далі — Державний реєстр актів цивільного стану громадян, Єдиний державний реєстр і Державний реєстр майнових прав. Їх мають запустити в комплексі, бо вони повʼязані між собою.
Які наслідки
Експерт в галузі GovTech, співзасновник компанії Strimco Роман Ланський у розмові з DOU коротко пояснив, до чого призвело зупинення трьох ключових реєстрів Мін’юсту. Зокрема, Єдиний державний реєстр (ЄДР) містить дані про всі компанії та підприємців.
«ЄДР — це, напевно, номер один серед базових реєстрів з погляду важливості для бізнесу. Майже всі рішення, ліцензії, дозволи, кабінети для бізнесу, все це має інтеграції з реєстром ЄДР», — каже Ланський.
Тобто збої в його роботі зупинили реєстрацію нових компаній, унеможливили видачу ліцензій, ускладнили перевірку керівників і заблокували взаємодію бізнесу з державою.
«Ми часто в подібних рішеннях робили так, що підтягування своїх даних з ЄДР — і це крок реєстрації. Іншого способу зареєструватися в тебе немає», — продовжує співзасновник Strimco.
За його словами, якщо дані не вдасться відновити, то доведеться витратити дуже багато ресурсів і часу на те, щоб перереєструвати всі компанії і владнати юридичні суперечки.
Відсутність доступу до ДРАЦС ускладнила оформлення соціальних виплат, видачу документів для перетину кордону та навіть мобілізаційні процеси.
«Дані про шлюби, дітей, склад сім’ї — це один з основних наборів інформації, який застосовується для надання е-послуг громадянам. Тому якщо багатодітний чоловік хоче оформити відстрочку, реєстр зараз не зможе сформувати довідку про склад родини. Неможливо буде скористатись послугою „єМалятко“. Або якщо прикордонник захоче перевірити, чи документи людини не підробні. Реєстр не працює, і відповідно системи ризик-контролю прикордонників не зможуть це перевірити, через що за кордон можуть не випустити», — каже Ланський.
Державний реєстр речових прав на нерухоме майно зупинив усі операції з нерухомістю, зокрема купівлю-продаж, переоформлення прав і виплати компенсацій за зруйноване майно. Тобто всі нотаріальні дії теж на паузі.
Крім того, Роман відзначає, що може зрости ризик рейдерства.
«Можна прийти і, грубо кажучи, забрати собі там пивзавод в невеличкому місті із підробленими паперовими документами, у реєстрі право власності зараз не перевірити. А якщо у тебе зараз немає паперових документів, не вдасться довести право власності на будь-що», — підсумовує Роман.
Колишній міністр юстиції Денис Малюська заявив УП, що більшість викраденої інформації і так була у вільному доступі.
«Єдиним винятком з цього правила була інформація з Державного реєстру актів цивільного стану — це один з найзакритіших реєстрів, де зберігається інформація, в якій, здавалося б, жодної таємниці немає — що хтось народився або взяв шлюб.
Але разом із тим є таємниця, яка жорстко охороняється законом — таємниця усиновлення. Це далеко не перший ресурс, який був атакований росіянами з часу повномасштабного вторгнення», — сказав Малюська.
Чому сталася кібератака
Роман Ланський вважає, що однією з основних причин, що призводять до таких інцидентів, є вендорлоки — монополія постачальників послуг.
«Безліч українських відомств працюють зі своїми визначеними підрядниками, які зловживають унікальним становищем, навмисно монополізуючи доступ до систем».
За його словами, деякі компанії створюють сервіси на рідкісних технологіях, на кшталт Elixir, уникають передачі документації або просто блокують доступи для інших підрядників.
«Вони навмисно ускладнюють передачу паролів і доступів, що фактично паралізує роботу систем. Така монополія обмежує можливості для конкуренції, а також може створити середовище для корупційних домовленостей між постачальниками та замовниками», — каже він.
Це призводить до ситуацій, коли органи влади мають справу із застарілими системами, які не оновлюються і не модернізуються. Ланський підкреслює:
«Якщо немає шансів на конкуренцію, немає й стимулу для кардинальних змін у системах. Навіть найсучасніші технології, які використовувалися для розробки систем
15-20 років тому, в сучасних умовах вже не є достатньо ефективними чи безпечними. До того ж якщо є залежність від компанії, надзвичайно важко змусити її дотримуватись тих чи інших безпекових стандартів».
За оцінкою Романа, близько половини державних систем тою чи іншою мірою залежать від монопольних постачальників або конкретних людей, які контролюють системи. Для прикладу експерт навів Держмитслужбу, у якій система перебуває під контролем однієї людини.
«За часів нашої роботи над реформою Митниці (раптом щось змінилось за ці роки) ІТ-системи Держмитслужби не те що не мали атестата відповідності КСЗІ, частина із них навіть не стояла на балансі. А будь-які звернення чи вимоги ДССЗЗІ чи інших органів просто ігнорувались. Відповідно про яку кібербезпеку на Митниці може йтися, якщо навіть спеціальні органи не мали змоги взаємодіяти із системою чи її перевірити», — каже експерт.
Інший фахівець, ознайомлений з питанням, на умовах анонімності повідомив DOU, що в подібній ситуації реєстри Мін’юсту, оскільки ДП «НАІС» залежать від одного розробника. Дані на платформі Prozorro свідчать, що ДРАЦС займається компанія ТОВ «МЕДИРЕНТ СОЛЮШЕНС». Співрозмовник стверджує, що компанія дотична також до ЄДР. Цей постачальник до цього фігурував у скандалах стосовно Пенсійного фонду та Міністерства соціальної політики.
«У Пенсійному фонді цей вендор отримав понад 400 мільйонів гривень лише за чотири роки. Ці гроші були витрачені без тендерів і пішли суто на підтримку реєстрів. Ситуація ускладнюється тим, що багато програм фінансуються міжнародними донорами, а не державою. Наприклад, згідно зі звітом рахункової палати ця ж компанія розробляє системи ЄІССС Мінсоцполітики», — каже співрозмовник.
Як можна запобігти таким ситуаціям
Окрім боротьби з вендорлоками, Ланський виокремлює кілька механізмів, що зменшать ймовірність успіху ворожих кібератак. Перше, на чому зосереджується більшість держустанов і компаній, — технологічний захист. Роман каже, старі фреймворки або невиправлені вразливості можуть бути використані хакерами і не один раз. Якщо технологічний стек не оновлюється кілька років, то ймовірність зламу збільшується.
«Проте технічно захищати треба не тільки продукт, а робочі місця, внутрішній периметр. Багато відомств не приділяють достатньо уваги захисту внутрішнього периметра — комп’ютерів, пошти та інших інструментів, з якими працюють люди. Тут може з’явитися додаткове вікно проникнення в систему», — каже експерт.
Ще один важливий аспект, на думку Романа, — це перевірка надійності працівників, особливо в критичних інфраструктурах.
«Навіть якщо система має високий рівень захисту, ризик залишається, якщо в команді є люди, які можуть бути завербовані через підкуп або погрози. Також людина може бути не тією, за кого себе видає, і мати небажані зв’язки. Для цього є поліграфи й інші перевірки. Перевіряти треба обов’язково», — каже він.
Колишній CEO Prozzoro, CGO та співзасновник сервісу неострахування здоров’я lilo Василь Задворний зазначив, що перевірки мають бути регулярними, а також необхідно створити набір базових практичних рекомендацій для тих, хто не може наразі інвестувати достатньо в кіберзахист.
