Кібератака на реєстри Мін’юсту: чому це могло статися і які наслідки

19 грудня Україна зазнала кібератаки на державні реєстри, яку міністерка юстиції Ольга Стефанішина називала наймасштабнішою за останній час. Розповідаємо детальніше, що сталося, чому та як запобігти подібним інцидентам у майбутньому.

Що сталося

Увечері 19 грудня на сторінці Мін’юсту в Facebook з’явився допис про збої в роботі державних реєстрів, що підпорядковані відомству. Згодом, близько 20:00, російська хакерська група XakNet Team заявила, що зламала інфраструктуру ДП «Національні інформаційні системи» (НАІС), яке керує реєстрами Мінʼюсту. У своїх Telegram-каналах вони стверджували, що завантажили понад мільярд рядків даних і видалили їх разом із резервними копіями.

Спершу НАІС повідомило про планові технічні роботи, які мали тривати з 22:00 до 24:00. Однак майже опівночі міністерка юстиції Ольга Стефанішина підтвердила факт кібератаки. За її словами, атака була масштабною і спрямованою на всю інфраструктуру. Також перестали працювати сайти Мін’юсту, НАІС і колцентр.

Водночас через зупинення роботи реєстрів частково припинили працювати деякі державні сервіси, які були зав’язані на роботі реєстрів. Зокрема, йдеться про низку послуг у «Дії», як-от перереєстрація авто, бронювання працівників, «єВідновлення», витяг з ЄДР та інші. Також тимчасово недоступним стало оформлення відстрочок у застосунку «Резерв+».

Станом на 23 грудня робота реєстрів залишається паралізованою. Сайт Мін’юсту недоступний.

За словами Стефанішиної, першочергово намагатимуться відновити Єдиний державний реєстр юридичних осіб та ФОПів, ДРАЦС і реєстр речових прав на нерухоме майно. Міністерка зазначила, що на відновлення їхньої роботи знадобиться близько двох тижнів.

За даними СБУ, за атакою стоять російські спецслужби, зокрема угруповання, пов’язані з ГРУ. Міністерка запевнила, що дані з реєстрів не втрачені назавжди — резервні копії зберігаються в кількох локаціях. За даними Держспецзв’язку, витоку даних громадян не відбулося. Російські хакери стверджують, що від атаки постраждали близько 60 різних реєстрів.

Доповлення. Перший заступник міністра юстиції Микола Кучерявенко заявив, що Мінʼюст проведе оцінку резервних копій держреєстрів і почне відновлення 24 грудня. За його словами, в першу чергу відновлять Єдиний реєстр довіреностей, Реєстр спеціальних бланків і нотаріальних документів, Спадковий реєстр, а далі — Державний реєстр актів цивільного стану громадян, Єдиний державний реєстр і Державний реєстр майнових прав. Їх мають запустити в комплексі, бо вони повʼязані між собою.

Які наслідки

Експерт в галузі GovTech, співзасновник компанії Strimco Роман Ланський у розмові з DOU коротко пояснив, до чого призвело зупинення трьох ключових реєстрів Мін’юсту. Зокрема, Єдиний державний реєстр (ЄДР) містить дані про всі компанії та підприємців.

«ЄДР — це, напевно, номер один серед базових реєстрів з погляду важливості для бізнесу. Майже всі рішення, ліцензії, дозволи, кабінети для бізнесу, все це має інтеграції з реєстром ЄДР», — каже Ланський.

Тобто збої в його роботі зупинили реєстрацію нових компаній, унеможливили видачу ліцензій, ускладнили перевірку керівників і заблокували взаємодію бізнесу з державою.

«Ми часто в подібних рішеннях робили так, що підтягування своїх даних з ЄДР — і це крок реєстрації. Іншого способу зареєструватися в тебе немає», — продовжує співзасновник Strimco.

За його словами, якщо дані не вдасться відновити, то доведеться витратити дуже багато ресурсів і часу на те, щоб перереєструвати всі компанії і владнати юридичні суперечки.

Відсутність доступу до ДРАЦС ускладнила оформлення соціальних виплат, видачу документів для перетину кордону та навіть мобілізаційні процеси.

«Дані про шлюби, дітей, склад сім’ї — це один з основних наборів інформації, який застосовується для надання е-послуг громадянам. Тому якщо багатодітний чоловік хоче оформити відстрочку, реєстр зараз не зможе сформувати довідку про склад родини. Неможливо буде скористатись послугою „єМалятко“. Або якщо прикордонник захоче перевірити, чи документи людини не підробні. Реєстр не працює, і відповідно системи ризик-контролю прикордонників не зможуть це перевірити, через що за кордон можуть не випустити», — каже Ланський.

Державний реєстр речових прав на нерухоме майно зупинив усі операції з нерухомістю, зокрема купівлю-продаж, переоформлення прав і виплати компенсацій за зруйноване майно. Тобто всі нотаріальні дії теж на паузі.

Крім того, Роман відзначає, що може зрости ризик рейдерства.

«Можна прийти і, грубо кажучи, забрати собі там пивзавод в невеличкому місті із підробленими паперовими документами, у реєстрі право власності зараз не перевірити. А якщо у тебе зараз немає паперових документів, не вдасться довести право власності на будь-що», — підсумовує Роман.

Колишній міністр юстиції Денис Малюська заявив УП, що більшість викраденої інформації і так була у вільному доступі.

«Єдиним винятком з цього правила була інформація з Державного реєстру актів цивільного стану — це один з найзакритіших реєстрів, де зберігається інформація, в якій, здавалося б, жодної таємниці немає — що хтось народився або взяв шлюб.

Але разом із тим є таємниця, яка жорстко охороняється законом — таємниця усиновлення. Це далеко не перший ресурс, який був атакований росіянами з часу повномасштабного вторгнення», — сказав Малюська.

Чому сталася кібератака

Роман Ланський вважає, що однією з основних причин, що призводять до таких інцидентів, є вендорлоки — монополія постачальників послуг.

«Безліч українських відомств працюють зі своїми визначеними підрядниками, які зловживають унікальним становищем, навмисно монополізуючи доступ до систем».

За його словами, деякі компанії створюють сервіси на рідкісних технологіях, на кшталт Elixir, уникають передачі документації або просто блокують доступи для інших підрядників.

«Вони навмисно ускладнюють передачу паролів і доступів, що фактично паралізує роботу систем. Така монополія обмежує можливості для конкуренції, а також може створити середовище для корупційних домовленостей між постачальниками та замовниками», — каже він.

Це призводить до ситуацій, коли органи влади мають справу із застарілими системами, які не оновлюються і не модернізуються. Ланський підкреслює:

«Якщо немає шансів на конкуренцію, немає й стимулу для кардинальних змін у системах. Навіть найсучасніші технології, які використовувалися для розробки систем 15-20 років тому, в сучасних умовах вже не є достатньо ефективними чи безпечними. До того ж якщо є залежність від компанії, надзвичайно важко змусити її дотримуватись тих чи інших безпекових стандартів».

За оцінкою Романа, близько половини державних систем тою чи іншою мірою залежать від монопольних постачальників або конкретних людей, які контролюють системи. Для прикладу експерт навів Держмитслужбу, у якій система перебуває під контролем однієї людини.

«За часів нашої роботи над реформою Митниці (раптом щось змінилось за ці роки) ІТ-системи Держмитслужби не те що не мали атестата відповідності КСЗІ, частина із них навіть не стояла на балансі. А будь-які звернення чи вимоги ДССЗЗІ чи інших органів просто ігнорувались. Відповідно про яку кібербезпеку на Митниці може йтися, якщо навіть спеціальні органи не мали змоги взаємодіяти із системою чи її перевірити», — каже експерт.

Інший фахівець, ознайомлений з питанням, на умовах анонімності повідомив DOU, що в подібній ситуації реєстри Мін’юсту, оскільки ДП «НАІС» залежать від одного розробника. Дані на платформі Prozorro свідчать, що ДРАЦС займається компанія ТОВ «МЕДИРЕНТ СОЛЮШЕНС». Співрозмовник стверджує, що компанія дотична також до ЄДР. Цей постачальник до цього фігурував у скандалах стосовно Пенсійного фонду та Міністерства соціальної політики.

«У Пенсійному фонді цей вендор отримав понад 400 мільйонів гривень лише за чотири роки. Ці гроші були витрачені без тендерів і пішли суто на підтримку реєстрів. Ситуація ускладнюється тим, що багато програм фінансуються міжнародними донорами, а не державою. Наприклад, згідно зі звітом рахункової палати ця ж компанія розробляє системи ЄІССС Мінсоцполітики», — каже співрозмовник.

Доповнення від 24.12: Компанія «Медирент» в коментарі для DOU зазначила, що не має жодного відношення до створення чи функціонування Єдиного державного реєстру підприємств та організацій України (ЄДР).

«Розпорядником ЄДР є Державна служба статистики України. „Медирент“ ніколи не опікувався цим реєстром», — зазначили в компанії.

Також «Медирент» підкреслила, що що не надає послуг із кіберзахисту систем Міністерства юстиції України. Основна спеціалізація компанії — це розробка прикладного програмного забезпечення для цього замовника.

Як можна запобігти таким ситуаціям

Окрім боротьби з вендорлоками, Ланський виокремлює кілька механізмів, що зменшать ймовірність успіху ворожих кібератак. Перше, на чому зосереджується більшість держустанов і компаній, — технологічний захист. Роман каже, старі фреймворки або невиправлені вразливості можуть бути використані хакерами і не один раз. Якщо технологічний стек не оновлюється кілька років, то ймовірність зламу збільшується.

«Проте технічно захищати треба не тільки продукт, а робочі місця, внутрішній периметр. Багато відомств не приділяють достатньо уваги захисту внутрішнього периметра — комп’ютерів, пошти та інших інструментів, з якими працюють люди. Тут може з’явитися додаткове вікно проникнення в систему», — каже експерт.

Ще один важливий аспект, на думку Романа, — це перевірка надійності працівників, особливо в критичних інфраструктурах.

«Навіть якщо система має високий рівень захисту, ризик залишається, якщо в команді є люди, які можуть бути завербовані через підкуп або погрози. Також людина може бути не тією, за кого себе видає, і мати небажані зв’язки. Для цього є поліграфи й інші перевірки. Перевіряти треба обов’язково», — каже він.

Колишній CEO Prozzoro, CGO та співзасновник сервісу неострахування здоров’я lilo Василь Задворний зазначив, що перевірки мають бути регулярними, а також необхідно створити набір базових практичних рекомендацій для тих, хто не може наразі інвестувати достатньо в кіберзахист.

Виправлення від 23.12. В системі Prozzoro відсутні дані щодо причетності ТОВ «МЕДИРЕНТ СОЛЮШЕНС». Цю інформацію повідомило анонімне джерело.

Доповнення від 24.12.Додано коментар компанії «Медирент».

👍ПодобаєтьсяСподобалось10
До обраногоВ обраному1
LinkedIn



40 коментарів

Підписатись на коментаріВідписатись від коментарів Коментарі можуть залишати тільки користувачі з підтвердженими акаунтами.

Вендорлок не є причиною. Це наслідок іншої проблеми. Всі закони в державі стосовно інформатизації та автоматизації не змінювалися десятиріччями. Було створено купа дублюючих органів, безглузді процедури, всі умови для успішної корупційної діяльності.

Другий момент — відсутня як клас школа кібербезпеки, починаючи з університетів, закінчуючи приватним сектором. Про державний та спецслужби я вже мовчу. Запоребрик та афілійовані структури щотижня ламає десятки компаній в Україні. Не всі вони такі гучні як Київстар, але достатньо для того, щоб нанести певну шкоду.

Третій момент — розробники в масі теж про кібербезпеку мають поверхневі знання. Тому ніхто не вкладає ніяких механізмів в архітектуру, щоб на рівні коду унеможливити найбільш розповсюджені атаки.

Тому маємо те, що маємо...

Була б держава — були б закони. А так законопроекти без підписів, без печатки, без відповідності Конституції

Справа не у законах, їх кількості чи якості, справа у невідворотності покарання у разі їх невиконання для усіх, чого наразі і немає.

Если почитать классиков (Митника к примеру) то крупный взлом всегда цепочка упущений
тут не то ПО или вендор, тут не та версия, тут повелись на соц. инженерию и понеслось ...
Поэтому безопасность — это процесс, который (учитывая ценность информации) должен учитывать множество факторов и прежде всего — человеческий

Хахаха взнаю «подчерк» потужних 🤡 Ці полудурки ще хочуть щоб в єРезерві були облікові записи про членів родини військового та фото. Ото буде веселуха. Будуть по всій країні вибухать «самокати»

Це взагалі п****ць, десь в нєдрах рашки вже пишеться своя «єФільтрація», залишиться тільки скачати данні

Просто «Роль кібербезпеки трохи перебільшена»

Це все сказки. Видалили те що хотіли видалити. Центр прийняття рішень на банковій

«Підкуп працівників або фішинг — основні ймовірні причини масштабної кібератаки на держреєстри Мін’юсту, — нардеп Олександр Федієнко

Операція була добре підготовлена, а вхід відбувся із акаунту найвищого (!) рівня.»

В людський фактор в нашій країні я більше повірю, ніж у вендор лок чи технологічну вразливість, хоч і цього не можна виключати

Цеж максимально зручно списати все на одного барана. Аккаунт «найвищого рівня» не був захищеним хочаб двуфакторкою?

Не вперше бачу думки, типу про привілейовані облікові записи, але для чого акаунт найвищого рівня? Потрібно авторизований доступ у мережу, а далі питання часу.
Привілейовані облікові записи це вже джекпот, як мінімум.
І так, враховуючи наші реалії і кількість колаборантів які очікують «рузькіх», купити співробітника у якого дещо більша мінімалка у зп, значно простіше і легше, ніж бомбити системи і палитись.
Та й рівень обізнаності у інтернет гігієні наших державних службовців, нижче середнього, вже мовчу про більш менш усвідомлення кібербезпеки в цілому.
Тому, теж притримуюсь думки, що це швидше результат корумпованості або необізнаності.

Бо був підкуп, скоріш за все

Це держ структура, тому не здивуюсь, якщо двофакторку відключили бо незручно)

Це всюди таке. Коли велике цабе ставить раком весь іт-відділ бо йому важко :)

Нуууу. Ні :). Було навпаки. Зате тепер ніякий spear phisihing не проходить.

Так ви подтвіться на скріншоти, що виклали хакери, там дуже схоже, що ломанули тачку адміна. В додачу до всіх баз доступ через тогож самого юзер DBADMIN.

Ще й неліцензована вінда :)

Це аналог root-a, ніпрощо не каже

Двухфакторка нічого не зможе захистити. Гляньте як за 5-11к$ можно перехватить всі смс і звінки майже в будь-якій точці світу

Є hmac otp, всякі дуо та його аналоги і хардварні токени

І шо? А є потужні можновладці, що за цифру с багатьма нулями державну таємницю продадуть як робили «папєрєднікі» і як зараз роблять.

СМС це не єдиний варіант і до слова вже давно застарілий.

Нахіба ви мені про це розказуєте? Я про це знаю. Розкажіть «потужним»

Ну бо ви написали ось це

Двухфакторка нічого не зможе захистити.

Крім СМС є інші варіанти. Вам вже три людини про це написали, ви продовдужте товкти своє.

Віталій, шо ви прицепились до мене як п’яний до радіо?

Алекс, я просто прокоментував ваш пост, а ви чомусь почали мені доводити що ваша думка єдина правильна. Пройдіть повз. Веселого Різдва та всього найкращого в новому році.

В якому місці я начав вам щось доводить? Ви сидете з двух аккаунтів віталія і анатолія? Чи вже почали святкувати?

Ееее... А хто досі використовує СМС для другого фактору?!

скажіть ще — що кліент-банками не користуєтесь

Багато банків вже відійшли від СМС, навіть банки трьотого ешелону типу Глобуса потрохи осучаснюються.

Нажаль, не всюди можна змінити на щось більш безпечне.

Всюди. Було б бажання.

Аккаунт «найвищого рівня» не був захищеним хочаб двуфакторкою?

Враховуючи рівень державних айтішників — цілком можливо.

Це ми тут в приватному секторі усілякі ізо виконуємо бо цього вимагають наші замовники. А там замовник це тупі, ліниві чиновники яки підбирають відповідних підрядників. Чого вартує наприклад єРезерв.

просто якийсь черговий манагер клікнув на цицьки з емейлу і пішла жара

Люди є основним вектором атаки останнім часом. Spear pishing і вперед.

Підписатись на коментарі