/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F9%2F17e54f559f4031a3d7505394a4a56c29.jpg)
Масштабная хакерская атака на реестры: как Минюст упустил излом, если об уязвимости знали еще с 2020 года
Тогда в его работе нашли немало уязвимостей и выдали документ, который обязывал их устранить. Но вместо того, чтобы начать работу по исключению найденных проблем и уязвимостей, предприятие начало судиться с проводившим проверку государственным органом. И такая ситуация - не нонсенс, а своеобразный тренд в политике "новых диджилизаторов", не веривших в кибербезопасность.
Об этом пишет Информатор .
Цап-происходило из НАИС
Министерство юстиции Украины не только должно предупредить масштабную кибератаку на государственные реестры, которая началась 19 декабря 2024 года, но и могло бы предотвратить ее. Требовалось лишь выполнить требования контролирующих органов. Они были оформлены в специальное предписание и появились после масштабной проверки госпредприятия НАИС, действующей под "зонтиком" Минюста, проведенной еще в ноябре-декабре 2020 уполномоченным органом.
Впрочем, тогда, во времена руководства Минюстом Денисом Малюской, ведомство предпочло другие методы разрешения ситуации с критическими уязвимостями системы. Проще говоря, пошло в суд, чтобы отменить это предписание. Информатор разыскал этот иск в судебных реестрах и решил изучить его содержание.
Сейчас часть вины в Минюсте возлагают на НАИС. Это следует из данных, раскрывших источники "Украинской правды" об увольнении его гендиректора, Алексея Бережного: должностному лицу просто не будут продлевать контракт, завершающийся с 25 декабря 2024-го. Именно НАИС отвечает за управление госреестрами Минюста, среди них - Единый государственный реестр (ЕГР), Госреестр актов гражданского состояния, а также система "Банкротство и неплатежеспособность".
Иск рассматривал скандальный ОАСК
Бережной руководил НАИС с 2019 года, поэтому именно он был тем должностным лицом, при котором ключевое предприятие-держателя реестров проверяли на уязвимости. Данные об этой проверке Информатор нашел в системе Opendatabot – ее проводил уполномоченный орган власти с 12 ноября по 4 декабря 2020 года. По результатам был составлен акт и предписание - документ, в котором содержались требования к НАИС об устранении недостатков в защите реестров.
Само содержание проверки, а также требования к НАИС обнародованию не подлежат (имеют ли гриф "для служебного пользования"). Но в судебной системе есть данные об иске, которым НАИС пытался отменить это предписание, а также запретить какие-либо другие действия, связанные с проверкой. Его подали 18 мая 2021 года в Окружной админсуд Киева - тот самый, известный многочисленным коррупционным скандалам, и поэтому ликвидированный Верховной Радой 13 декабря 2022-го законом, специально внесенным президентом (вместо него образовали Киевский городской окружной админсуд).
Форма и сроки: что обжаловал Минюст
Судья ОАСК Владимир Донец производство открыл. Аргументы НАИС основывались на "отсутствии правовых оснований" для проверки и на том, что конечный акт был составлен "не по унифицированной форме" и якобы был направлен "с нарушением срока". Кроме того, саму проверку проводили после информации от Следственного управления ГУ Нацполиции Киева – это также, по мнению НАИС, свидетельствовало о "противоправности" проверки.
Также представитель (НАИС - Ред.) отметил о существовании обоснованного риска отмены аттестата соответствия комплексной системы защиты информации Информационной системы Единых и Государственных реестров Министерства юстиции Украины, что приведет к остановке функционирования указанных реестров на неопределенный срок и об отсутствии возможности не выполнять явно противоправные требования изложены в акте", - говорится в определении суда уже от 28 июля 2021-го.
Впрочем, судья Донец пришел к выводу, что заявление НАИС не обоснованно, и отказал в мерах по обеспечению иска (т.е. останавливать действие акта и предписаний не стал). В то же время НАИС сохранил все аттестаты соответствия - включая угрозы, которые содержались для системы, согласно проверке. И хотя судья успел назначить дать рассмотрение дела по сути, из-за ликвидации суд так и не успел полноценно погрузиться в рассмотрение дела.
Что говорит Малышская и при чем здесь Федоров
В конце концов, эстафета перешла уже в Киевский окружной админсуд в лице судьи Горобцовой, в марте 2023 года. Однако дальше назначения состава суда тогда дело не пошло. Похоже, что Минюст из-за иска НАИС смог-таки "отбить" проверку и предписания - но оставил в системе все уязвимости, установленные специалистами.
Последствия этого, вероятно, и увидела страна в декабре 2024-го - вместе с масштабной кибератакой на реестры, руководствовавшиеся НАИС. Сейчас Денис Малюска уверяет, что, мол, большинство якобы "укравших" россияне информации на самом деле и без них находилось в открытом доступе. А единственным исключением была информация из Госреестра актов гражданского состояния, "одного из самых закрытых реестров" (как объясняет эксминистр, речь идет о тайне усыновления, жестко охраняемой законом).
Можно предположить, что кибератака могла бы иметь другие последствия, или вообще была бы отражена, если бы Минюст времен Малюски и НАИС действовали вовремя, и вместо обжаловать проверку выполнили бы предписания по стандартам безопасности госреестров. Впрочем, ситуация с атакой, похоже, укладывается в философию борьбы с угрозами в IT-сфере, высказанную вице-премьер-министром Михаилом Федоровым еще в ноябре 2019 года. Тогда чиновник прямо заявил: после серии кибератак (в частности, 2016 года) Украина вышла на другой уровень, следовательно, "роль кибербезопасности немного преувеличена".
Что известно о мощной кибератаке россиян
Напомним, вечером 19 декабря стало известно, что на Министерство юстиции и государственные реестры была совершена мощная атака. Ее масштабы сначала оценить было сложно, впрочем, сразу стало ясно, что из строя вышли десятки государственных реестров, в том числе ЕГР, реестр ФЛП, записей о браке, регистрация автомобилей и прав собственности на недвижимость.
Однако уже с утра 20 декабря стали известны истинные масштабы внешней кибератаки. Россияне совершили нападение, чтобы нарушить критически важные инфраструктуры государства - а только время на первоочередное восстановление реестров вице-премьер Ольга Стефанишина оценила в срок "до двух недель".
В конце концов, уже 22 декабря Минюст назвал сроки восстановления госреестров после кибератаки. Там отметили: процесс длительный, несколько дней полной стабилизации не хватит. Впрочем, добавили также, что никакая информация во время кибератаки не потерялась.
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Fadmin%2Ffavicons%2Funnamed_1WmOlZn.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Fadmin%2F97fcd530-f3c3-401c-ba3b-c83e63a1eb5b.jpeg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Fadmin%2F89718786-2006-4730-a2aa-00809caf6892.jpeg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Fadmin%2F6fab5263-de6b-476e-9e7e-7b717a9ec703.jpeg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F46%2Fc483aeaec9d80fc85c575c9271a373f2.png)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F88%2F7f4e51d7ddcc4a3aa133874bb11d34b3.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F46%2F6d3b7f8fccb0a1e38e00d165647c5ed0.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F2%2F3439f114ce404f6a2d37b3c81c9ec188.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F1%2Fa6b1dbf141d2424e7334455c2fb38f56.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F1%2Fe309c016b4ad7df1c82c29b6ec4a804a.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F46%2F3c5070515cf2cf7a50efd5105d21a9ee.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F46%2F713c3d69befd0f2f624b512d11004d56.png)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F30%2F5f45fbea4e572ee0cc5d0c3f6a4e3f4b)