Масштабна кібератака на державні реєстри. Чому це сталося та як вберегти інші системи – пояснюють фахівці з кібербезпеки

Авторки: Анастасія Оприщенко, Софія Єлагіна

19 грудня 2024 року українські держреєстри зазнали наймасштабнішої зовнішньої кібератаки, про це повідомила віцепрем’єрка з питань європейської та євроатлантичної інтеграції Ольга Стефанішина.

Для першочергового оновлення, за різними оцінками, необхідно орієнтовно до двох тижнів. AIN поговорила з представниками державної влади та IT-сфери й розповідає, що відомо про кібератаку, які державні реєстри постраждали найбільше, яких наслідків очікувати через атаку та чи можливо вберегти інші реєстри.

Кібератака 20 грудня: що про неї відомо

19 грудня Міністерство юстиції України заявило про збій мережевої інфраструктури, що обслуговує державні реєстри. Там також повідомили, що працюють над відновленням роботи сервісів, а також вебсайтів Мінʼюсту, ДП «НАІС» і колцентру.

Водночас російське хакерське угруповання XakNet Team, яке пов’язують із ГРУ рф, заявило про злам і начебто видалення баз даних, якими розпоряджається українське державне підприємство. Досі офіційні органи держвлади не підтвердили факт хакерської атаки.

Про удар по сайтах державних реєстрів повідомила також Ольга Стефанішина. Через атаку тимчасово припинили свою роботу реєстри Міністерства юстиції і сервіс «Дія».

Пізніше віцепрем’єрка додала, що відновлення державних реєстрів почнеться вже з понеділка, 23 грудня. Також Стефанішина розповіла, що Державна служба спеціального зв’язку та захисту інформації не підтверджує витік інформації після кібератаки росії. За її словами, росіяни готувалися до кібератаки кілька місяців. За фактом кібератаки відкрито кримінальне провадження. Частина даних була втрачена, однак їх відновлюватимуть із резервної копії. За попередньою оцінкою, загроз функціонування інших ресурсів немає.

У Центрі протидії дезінформації наголосили, що дані з «Оберегу» не втрачені. Натомість у «Дії» тимчасово не працюють такі сервіси:

• послуги ФОП і ТОВ
• перереєстрація авто
• бронювання працівників
• єВідновлення
• витяг із ЄДР
• актові записи
• повідомлення про пошкоджене/знищене майно

Станом на 17:00 20 грудня сайт Міністерства юстиції України недоступний.

У коментарі AIN Катерина Черногоренко розповіла, що реєстри Міноборони працюють у штатному режимі, а сервіси працюють без збоїв. Електронні рапорти та військово-облікові документи залишаються доступними. Але через велику кількість запитів очікування документу в «Резерв+» може тривати трохи більше, ніж зазвичай. Також через відновлювальні роботи в державних реєстрах призупинено отримання відстрочок у «Резерв+».

Які реєстри постраждали найбільше та які опції не працюють

Станом на зараз, відомо, що постраждали три ключові реєстри: Державний реєстр актів цивільного стану громадян, Єдиний державний реєстр юридичних осіб і фізичних осіб-підприємців і Державний реєстр прав на нерухомість та їх обтяжень. Унаслідок атаки зупинено кредитування, продаж і створення бізнесів, не працює ринок нерухомості й транспорту.

За словами Романа Ланського, співзасновника GovTech-компанії Strimco, усі ці реєстри мають статус так званих базових реєстрів в Україні. Якщо зараз людина буде виїжджати за кордон із дітьми, і їй потрібно буде підтвердження, то це буде складно зробити без реєстру, бо прикордонна служба звіряє паперові документи зі своїми реєстрами. І якщо дані не збігаються, то може виникнути питання, чи вони не підроблені.

«Більшість державних служб орієнтуються не на паперові документи, а на реєстри. Якщо ви зараз захочете купити квартиру, ви не зможете цього зробити, бо ви не зможете внести свої речові права в реєстр. Нотаріус не відмовить вам, але призупинить процес доки не матиме реєстру», — пояснює Роман.

Якщо треба буде оформити в «Резерв+» базову відстрочку через багатодітність, то людина також не зможе цього зробити. Також якщо зараз людина має фізичний запит до реєстру з питань власності, але не має паперових копій документів, які б підтверджували власність на майно, то зараз немає можливості підтвердити свою власність на будь що. Це створює велику проблему.

«Найбільший удар усе ж впав на реєстр ЄДР, бо це базовий реєстр саме для бізнесу, і він багато де використовується як спосіб ідентифікації. Наприклад, для того аби скористатися державним реєстром і зайти у свій кабінет для бізнесу, людина має пройти перевірку та зайти з КЕП-підписом діючої юридичної особи. Тобто коли директор бізнесу заходить у свій аккаунт, — говорить кофаундер GovTech-компанії Strimco, — то завдяки ЄДР перевіряється, чи він дійсно директор компанії, чи може вн подавати документи від імені компанії, чи ця компанія існує та які послуги надає. Через атаку всі рішення, які мають схожу перевірку, просто заблоковані. Неможливо зайти в більшість кабінетів і відповідно неможливо оформити хоч якісь документи».

Відсутність трьох базових реєстрів тягне за собою проблеми для роботи сусідніх систем і сервісів, які через це зараз заблоковані. Роман Ланський пояснює: більшість ліцензійних реєстрів мають функціонал, коли людина логіниться з КЕПом і підтягує по ЄДРПО всі дані про компанію. Це робиться для того, щоб не реєструвати свій бізнес вручну під час реєстрації в дозвільній системі, аби уникнути помилок. На додачу — у багатьох системах, де є такий функціонал, немає опції внесення даних вручну.

«Бо ми вважаємо, якщо в первинному реєстрі ЄДРі немає твоїх даних, то значить з ними щось не так. Спочатку внеси документи в ЄДР, а потім можеш зайти у свій кабінет. І зараз через зупинку ЄДР більшість дозвільних сервісів для бізнесу заблоковані. Ми зараз розгрібаємо наслідки зупинки держреєстрів у всіх наших системах і мусимо термінового вигадувати обхідні шляхи, аби ті системи, які ми запустили давно, продовжили свою роботу», — говорить він.

Через зупинку ЄДР існує дуже великий ризик рейдерських дій, і, на думку Романа Ланського, державна бюрократія зараз паралізована. «Я би сказав, що ця атака найболючіша за весь цей час».

Що кажуть представники кібербезпеки та хакери

Керівник відділу кіберзахисту МЗС України Єгор Папишев у коментарі AIN підкреслив, що атака спричинила тривалу недоступність цілої низки електронних державних реєстрів, дані з яких використовувалися в численних державних сервісах як публічних, так і внутрішніх. На його думку, існує загроза того, що відбулося не лише знищення даних, але і їхній масивний витік. 

«Переважна частина цих даних — публічні, як власне й частина реєстрів, у яких вони зберігалися. Але, звісно, такий датасет містить і персональні дані, й умовно чутливу інформацію, тобто деталізацію, яка не має бути публічно доступною. Якщо порівнювати, то за рівнем шкоди ця атака не менша ніж тогорічний злам “Київстару”. Або навіть перевершує її за наслідками».

Джордж Папарига з Інституту дослідження кібервійни в коментарі AIN підкреслив, що наразі не володіє ситуацією, над справою працюють ДКІБ СБУ й ЦЕРТ.

Голова Українського кіберальянсу, спільноти хактивістів Тім Карпінський у коментарі AIN пояснює, що ступінь спроможності відновити реєстри обʼєктивно невідомий. «У довгостроковій перспективі, на мою думку, слід очікувати хаосу у “фізичних” запитах на послуги Мін’юсту та цілу хвилю спроб шахрайства, як мінімум. Сам факт отримання рф “актуальних даних” буде мати наслідки в середньостроковій перспективі. Як це було з атакою 14 січня 2022 року».

Раніше у 2022 році міністр цифрової трансформації Михайло Федоров завляв, що дані українців перебувають у безпеці, оскільки через хакерську атаку постраждала працездатність деяких сайтів, а не реєстрів.

«Особливість цієї атаки, як і будь-якої іншою атаки, була в тому, що її “провтикали”, — говорить голова Українського кіберальянсу Тім Карпінський, — мабуть, відповідальні органи та особи були дуже зайняті проведенням чергового круглого столу щодо надії захисту критичної інфраструктури».

Хто мав захищати державні реєстри

За законом, берегти наші реєстри має Держспецзв’язку та власник реєстрів, говорить Роман Ланський. За його словами, власник реєстрів, винен, що не вжив безпекових заходів, а Держспецзв’язку, що не проконтролював, бо це його прямі обов’язки, визначені законом, слідкувати за такими подіями.

Звинувачення, що державні реєстри «протікають», озвучуються давно. Втім, представники влади запевняли, що Україна максимально вдало захищає державні реєстри.

Народний депутат, член Комітету з питань національної безпеки, оборони та розвідки Олександр Федієнко посилається на закон про відповідний захист і каже, що власник і розпорядник цих інформаційно-комунікаційних систем зобов’язаний створювати умови для захисту. Він вважає хибною думку про те, що ці реєстри захищають СБУ та Держспецзв’язку.

«Ці реєстри захищає сам Мін’юст. Так, у разі якихось ситуацій можуть долучатися фахівці СБУ, Держспецзв’язку, CERT-UA, але за умови, якщо Мін’юст звернеться із цим проханням. Як ми бачимо, вони намагалися захищатися самі, але трохи невдало»

Також нардеп розповів, що свого часу Держспецзв’язку налагодив взаємодію з усіма інформаційно-комунікаційними системами державної структури. Ба більше — на багатьох цих системах стоять так звані сенсори аномалій, які можуть виявляти їх у мережах. Але Федієнко припускає, що остання атака була трохи глибинна і деяких моментів, можливо, хтось не помітив.

На думку кофаундера GovTech-компанії Strimco Романа Ланського, проблемою є те, що в Україні кібербезпекові механізми, перевірка та контроль на поганому рівні. Здебільшого все тримається на тому, чи достатньо фаховий замовник має достатньо фахового розробника.

Мін’юст отримував послуги від Медірент — компанії, яка відповідала за безпеку системи Мін’юсту, Пенсійного фонду та Міністерства соціальної політики. Також ця компанія опікувалася ЄДР і ДРАЦCом. Вона створювала ці реєстри дуже багато років тому, працюють вони на технологічно застарілому наборі інструментів і відомство нічого не робить, аби це змінити. 

«Фактично замовник не дуже ретельно стежить за кібербезпекою, а виконавець не поспішає оновлювати системи», — говорить він.

Цей же розробник, за словами Ланського, розробляє нову пенсійну систему в Міністерстві соціальної політики й робить це «із застарілою архітектурою 2000 років. Тому зараз варто убезпечувати та захищати й інші реєстри наскільки це можливо. Бо там працює така ж система, як і в тих реєстрах, що зараз не функціонують».

Читайте також: Росіяни отримали документ із даними про українських виробників зброї. Як запобігати витокам інформації під час війни