Цифровий колапс: експерт пояснив, чим обернеться для України масштабна кібератака на держреєстри

Експерт GovTech, Co Founder Strimco Роман Ланський прокоментував масштабну атаку на державні реєстри.

Як передає "Хвиля", про це він написав на своїй сторінці у Facebook.

Зазначимо, що росіяни 19 грудня здійснили наймасштабнішу кібератаку на державні реєстри України за останній час.

За словами експерта, те, що сталося із системами Мін'юсту, безпосередньо зачіпає їхню команду.

"Про реєстропад очима людини, яка працює з державними реєстрами. Те, що сталося із системами Мін'юсту сьогодні вночі, зачіпає нашу команду безпосередньо. Більшість наших проєктів взаємодіють з одним із трьох постраждалих реєстрів, підтягуючи різноманітні дані, проводячи верифікації. Один важливий реліз також відкладається до моменту, коли ситуацію буде виправлено", - наголосив він.

Ланський також зазначив, що хоча відповідальність за атаку лежить на країні-агресорі, не можна ігнорувати й внутрішні проблеми.

"Країна-гній, безумовно, несе відповідальність за цю атаку. Але ми, знаючи ворога, несемо відповідальність за свою підготовку, зокрема за стійкість і захищеність наших державних систем. Тому що те, що сьогодні сталося – лише наслідок більшої проблеми розробки неякісних базових реєстрів чи їх застарілості. Давайте розберемося по пунктах, як так сталося і які перспективи. Але очевидний спойлер – масштаб проблеми великий. Як і пост", - додав експерт.

Зокрема, Ланський вказав такі висновки:

• вендорлок (прив'язка до постачальника) – зло;
• подібна ситуація – закономірний його наслідок;
• є системи, які використовуються в такій же ситуації. Вони мають бути зараз під суперфокусом безпеки;
• шкода від удару значна. Підтримайте тих, хто відновлює це! Від їхньої оперативності зараз залежить, без перебільшення, доля країни.

Експерт також пояснив, що багато українських відомств працюють зі своїми одними визначеними підрядниками, які зловживають своїм унікальним становищем.

"Вони навмисно монополізують доступ до систем. Наприклад, розробляють сервіси на унікальних і рідкісних технологіях типу Elixir. Уникають написання документації, передачі прав на продукт або просто буквально саботують передачу паролів/доступів іншим підрядникам. Часто в цьому замішані корупційні домовленості із самими замовниками. А далі не буду докладно пояснювати, чому монополія руйнує системи зсередини. Це трохи очевидно – навіщо працювати над якісними сервісами та їхнім захистом, якщо у тебе "вічний і безкоштовний контракт"? Підвищуй ціни, роби, як хочеш, і працюй собі в задоволення. Власне ситуація в Мін'юсті, де знаходяться всі 3 постраждалих реєстри – це ситуація з вендорлоком саме така", - розповів він.

За словами Co Founder Strimco, якщо система стартувала років 15-20 тому (з базовими держреєстрами часто так і є), то навіть найсучасніші технології тих часів давно неактуальні. Якщо у вас вендорлок, далеко не завжди вони оновлюються. Також часто архітектурні принципи залишаються ті ж самі.

Проте, за словами Ланського, у більшості випадків боротьба з цією проблемою неуспішна, тому що більшість стейкхолдерів недооцінюють ці виклики. А боротьба з цією хворобою дуже ризикована для керівництва відомства.

"Тут також повертаємося до пункту 1. Якщо немає шансу конкуренції, то немає стимулу кардинально оновлювати своє рішення. Якщо ви подивитеся на розробників вендорлоків, то помітите, що вони не дуже конкурентоспроможні поза своїми доменами, де монополізувалися. Адже коли ти будуєш монолітну архітектуру у 2024 році, пишаєшся тим, що вмієш витримувати 100 rps – кому ти потрібен десь поза своїм бульбашковим світом? Ми у Strimco активно боремося з проблемою вендорлока, вже не раз відмовлялися від проєктів через те, що довелося б працювати з такими компаніями. Я вважаю це прямою раковою пухлиною сфери, і мені важко тиснути руку тим, хто покриває такі компанії у своїх відомствах і не намагається з цим боротися", – зазначив експерт.

Однак, за словами Ланського, на жаль, у більшості випадків боротьба неуспішна, тому що більшість стейкхолдерів недооцінюють ці виклики. А боротьба з цією хворобою дуже ризикована для керівництва відомства.

"Але при цьому не дає очевидних політичних бенефітів тут і зараз. Тому що витратив мільйони доларів, переписав старі системи і-и-и… що? Як це пояснити виборцям? Але чим довше у тебе вендорлок, тим більше буде… гачок. Тож сьогоднішня ситуація показова. Пора вже змінювати це ставлення до цієї проблеми, визнавати, що вона є і боротися з нею. Інакше потрібно готуватися, що станеться з: пенсійними ІТ-системами, соціальними, ЕСОЗ та всіма виплатами у медицині. Можна також нагадати за схожі проблеми мінімального контролю над системами Митниці або Податкової. Ще раз, у нас добра половина базових реєстрів і критичних ІТ-систем під вендорлоком, у компаній або навіть окремих людей. Зараз хороший привід нарешті взятися за лікування хвороби, а не симптома!", – уточнив він.

Крім того, експерт пояснив, як перевірялися системи.

"Тут привіт КСЗІ і всім відповідальним за стандарти захищеності державних систем перед запуском. Усі уражені реєстри, очевидно, пройшли експертизу КСЗІ і мають атестати відповідності, але з реальною безпекою це мало спільного. Однак для цієї теми є більш професійні люди, які пишуть багато розумних речей", – зазначив він.

Ланський також оцінив, яким є масштаб бідності по конкретних реєстрах:

• Практично всі системи, які роблять щось для бізнесу: видають дозволи, ліцензії тощо, – залежать від ЄДР. Усі проєкти, які мали ці інтеграції, а це 80+% сервісів для бізнесу, – активно шукали рішення, як продовжити роботу.
• Добра половина е-послуг для громадян має у собі різні залежності від ДРАЦС. Наприклад, відстрочка для багатодітних, різного роду соцдопомоги, єМалятко. Десятки е-послуг сьогодні зупинилися, тому що неможливо підтягнути дані про склад сім’ї, шлюби та багато інших документів.
• ДРП – це дуже потужний запобіжник від рейдерства. Не дивуйтеся, якщо ці кілька тижнів буде сплеск таких ситуацій, особливо у регіонах. А ще на цьому реєстрі базується багато критичних послуг, як, наприклад, єВідновлення. І, звісно, всі операції з придбання житла – на паузу.

"Насправді можна писати довго, але це без перебільшення – параліч цифрової системи країни, бюрократичний колапс державних функцій. Тому, звісно, можна тролити і підколювати всіх навколо, хто працював із цими системами, але краще було б побажати їм удачі та сил відновити все це з мінімальними втратами. І сподіваюся, ця ситуація нарешті стане хорошим ґрунтом для рефлексії пошуку першопричин таких ситуацій і внутрішніх трансформацій сектора", – додав експерт.

Шмигаль назвав терміни відновлення роботи критичних реєстрів.