Масштабна хакерська атака на реєстри: як Мінюст прогавив злам, якщо про вразливість знали ще з 2020 року

Тоді у його роботі знайшли чимало вразливостей - та видали документ, що зобов'язував їх усунути. Але замість того, щоб почати роботи з виключення знайдених проблем та вразливостей, підприємство почало судитися з державним органом, що проводив перевірку. І така ситуація - не нонсенс, а своєрідний тренд у політиці "нових діджиталізаторів", які не вірили у кібербезпеку.

Про це пише Інформатор.

Цап-відбувайло з НАІС

Міністерство юстиції України не лише мало б попередити масштабну кібератаку на державні реєстри, що почалася 19 грудня 2024 року, але й могло б запобігти їй. Треба було лише виконати вимоги контролюючих органів. Вони були оформлені у спеціальний припис та з'явилися після масштабної перевірки держпідприємства НАІС, що діє під "парасолькою" Мін'юсту, проведеної ще у листопаді-грудні 2020 року уповноваженим органом.

Втім, тоді, за часів керівництва Мінюстом Денисом Малюською, відомство надало перевагу іншим методам владнання ситуації із критичними вразливостями системи. Простіше кажучи, пішло до суду, аби скасувати цей припис. Інформатор розшукав цей позов у судових реєстрах та вирішив дослідити його зміст.

Зараз частину вини у Мін'юсті покладають на НАІС. Це випливає з даних, що розкрили джерела "Української правди" про звільнення його гендиректора, Олексія Бережного: посадовцю просто не будуть продовжувати контракт, який завершується з 25 грудня 2024-го. Саме НАІС відповідає за управління держреєстрами Мін'юсту, серед них - Єдиний державний реєстр (ЄДР), Держреєстр актів цивільного стану, а також система "Банкрутство та неплатоспроможність".

Позов розглядав скандальний ОАСК

Бережний керував НАІС з 2019 року, відтак, саме він був тим посадовцем, за якого ключове підприємство-тримача реєстрів перевіряли на вразливості. Дані про цю перевірку Інформатор знайшов у системі Opendatabot - її проводив уповноважений орган влади з 12 листопада по 4 грудня 2020 року. За результатами було складено акт та "припис" - документ, у якому містилися вимоги до НАІС про усунення недоліків у захисті реєстрів.

Сам зміст перевірки, а також вимоги до НАІС оприлюдненню не підлягають (бо мають гриф "для службового користування"). Але у судовій системі є дані про позов, яким НАІС намагався скасувати цей припис, а також заборонити будь-які інші дії, пов'язані з перевіркою. Його подали 18 травня 2021 року до Окружного адмінсуду Києва - того самого, відомого численними корупційними скандалам, і через це ліквідованого Верховною Радою 13 грудня 2022-го законом, спеціально внесеним президентом (замість нього утворили Київський міський окружний адмінсуд).

Форма і строки: що оскаржував Мін'юст

Суддя ОАСК Володимир Донець провадження відкрив. Аргументи НАІС ґрунтувалися на "відсутності правових підстав" для перевірки та на тому, що кінцевий акт був складений "не за уніфікованою формою" і, нібито, був направлений "з порушенням строку". Крім того, саму перевірку проводили після інформації від Слідчого управління ГУ Нацполіції Києва - це також, на думку НАІС, свідчило про "протиправність" перевірки.

"Також представник (НАІС - Ред.) зазначив про існування обґрунтованого ризику скасування атестату відповідності комплексної системи захисту інформації Інформаційної системи Єдиних та Державних реєстрів Міністерства юстиції України, що призведе до зупинення функціонування вказаних реєстрів на невизначений строк та про відсутність можливості не виконувати явно протиправні вимоги викладені в акті", - йдеться в ухвалі суду вже від 28 липня 2021-го.

Втім, суддя Донець дійшов висновку, що заява НАІС не є обґрунтованою, і відмовив у заходах із забезпечення позову (тобто зупиняти дію акту й приписів не став). Водночас НАІС зберіг усі атестати відповідності - включно із загрозами, що містилися для системи, згідно з перевіркою. І, хоч суддя таки встиг призначити дати розгляду справи по суті, через ліквідацію суд так і не встиг повноцінно зануритись у розгляд справи.

Що каже Малюська і до чого тут Федоров

Зрештою, естафета перейшла вже до Київського окружного адмінсуду у особі судді Горобцової, у березні 2023 року. Однак далі призначення складу суду тоді справа не пішла. Скидається на те, що Мін'юст через позов НАІС зміг-таки "відбити" перевірку і приписи - але залишив у системі усі вразливості, встановлені фахівцями.

Наслідки цього, ймовірно, і побачила країна в грудні 2024-го - разом із масштабною кібератакою на реєстри, які керувалися НАІС. Зараз Денис Малюська запевняє, що, мовляв, більшість інформації, що нібито "вкрали" росіяни, насправді й без них перебувала у відкритому доступі. А єдиним винятком була інформація з Держреєстру актів цивільного стану, "одного із найзакритіших реєстрів" (як пояснює ексміністр, йдеться про таємницю усиновлення, яку жорстко охороняє закон).

Можна припустити, що кібератака могла б мати інші наслідки, чи й взагалі була б відбита, якби Мін'юст часів Малюськи та НАІС діяли вчасно, і, замість оскаржувати перевірку, виконали б приписи щодо стандартів безпеки держреєстрів. Втім, ситуація із атакою, схоже, вкладається у філософію боротьби з загрозами у IT-сфері, висловленою віце-прем'єр-міністром Михайлом Федоровим ще у листопаді 2019-го. Тоді посадовець прямо заявив: після серії кібератак (зокрема, 2016 року) Україна вийшла на інший рівень, відтак, "роль кібербезпеки трохи перебільшена".

Що відомо про потужну кібератаку росіян

Проте вже зранку 20 грудня стали відомими істинні масштаби зовнішньої кібератаки. Росіяни скоїли напад, аби порушити критично важливі інфраструктури держави - а самий лише час на першочергове відновлення реєстрів віцепрем'єрка Ольга Стефанішина оцінила у строк "до двох тижнів".

Зрештою, вже 22 грудня Мін'юст назвав терміни відновлення держреєстрів після кібератаки. Там зазначили: процес тривалий, кілька днів на повну стабілізацію не вистачить. Втім, додали також, що жодної інформації під час кібератаки не втратили.