Пропало все. Как российские хакеры взломали украинские реестры

19 декабря состоялась одна из самых масштабных российских кибератак на украинские государственные реестры. Каковы ее последствия?
19 декабря хакеры атаковали реестры Министерства юстиции Украины, фактически остановив работу десятков баз данных.
Кибератака фактически парализовала значительную часть хозяйственной деятельности в стране. Финансовые операции, проверка контрагентов, государственные закупки и доступ к важным государственным услугам оказались под угрозой. Работа нотариусов с 20 декабря сводится преимущественно к удостоверению документов.
В настоящее время продолжается следствие, которое должно установить ключевые обстоятельства инцидента: как хакерам удалось проникнуть в системы, произошла ли утечка данных и насколько пострадали реестры. В Минюсте уверяют, что фактов кражи информации об украинских юридических и физических лицах не обнаружено, а резервные копии баз данных позволят оперативно восстановить их работу.
ЭП рассказывает подробности одной из самых масштабных кибератак на государственные реестры и ее последствия для украинцев.
Что произошло
Поздно вечером 19 декабря вице-премьер по вопросам европейской и евроатлантической интеграции, министр юстиции Ольга Стефанишина сообщила о кибератаке на реестры Минюста. По ее словам, атака привела к временному прекращению работы государственных реестров, которые находятся в компетенции министерства, в частности ЕГР (Единого государственного реестра юридических лиц, физических лиц-предпринимателей и общественных формирований).
<Однако с последствиями поражения систем украинцы столкнулись раньше: еще днем часть государственных реестров не работала, что фактически сделало невозможным предоставление нотариальных услуг.
В Минюсте сначала объясняли проблемы масштабным сбоем в сетевой инфраструктуре, которая обеспечивает функционирование реестров. Управление реестрами министерства осуществляет ГП "Национальные информационные системы" (НАИС), которое накануне сообщило о проведении плановых технических работ, в частности относительно ЕГР, Госреестра актов гражданского состояния граждан, системы "Банкротство и неплатежеспособность".
Планировалось, что реестры не будут работать с 22:00 до 02:00 в ночь на 20 декабря. Однако о плановых технических работах забыли уже в обед 19 декабря. Пока НАИС официально сообщало о технических проблемах, в российском Telegram-канале XakNet Team появилась информация о кибератаке на НАИС.
В сообщении, которое появились около 20:00, говорилось, что в результате атаки на НАИС хакеры вышли на инфраструктуру со всеми данными украинского Минюста. В нем утверждалось, что после попадания в инфраструктуру министерства суммарно похитили и удалили более 1 миллиарда строк данных, в частности те, которые хранились на резервном сервере в Польше.
Уже на следующий день, 20 декабря, во время утреннего брифинга Стефанишина сообщила, что Минюст временно приостановил работу всех реестров, которые администрирует, чтобы предотвратить дальнейшее распространение атаки. Она добавила, что продолжаются работы по восстановлению реестров, и заверила, что другие информационные системы государства не пострадали."Сейчас продолжаются действия по восстановлению реестров. События, связанные с реестрами, не повлияли на другие информационные системы государства", - добавила она.
На середину дня 20 декабря сайты НАИС, Минюста и ЕГР, который содержит около 60 различных реестров, оставались недоступными. Кроме того, в "Дії" временно недоступны 27 услуг.
Декабрьское обострение ГРУ
В СБУ предполагают, что за атакой на реестры Минюста может стоять хакерская группировка Главного разведывательного управления (ГРУ) РФ. "Основная версия, которую рассматривает СБУ, заключается в том, что за этой кибератакой стоят спецслужбы РФ, в частности хакерская группировка ГРУ Генштаба РФ", - заявил и.о. руководителя департамента кибербезопасности СБУ Владимир Карастелев.
Он не смог опровергнуть информацию, что утечки данных не произошло, поскольку продолжается соответствующее исследование. Зато Стефанишина со ссылкой на Госслужбу спецсвязи отметила, что утечка данных пока не подтверждается. По ее словам, это была массированная атака на всю инфраструктуру, которая готовилась не один месяц.
Примечательно, что почти год назад хакеры группировки SandWorm, которая считается подразделением ГРУ РФ, атаковали ядро сети крупнейшего мобильного оператора Украины "Киевстар".
Как пояснил собеседник ЭП в сфере открытых данных, та атака была значительно опаснее по своим потенциальным последствиям. "Мобильная связь во время большой войны критически важна - от нее зависит жизнь людей. Доступ к реестровой информации также важен, но преимущественно для сохранения целостности данных. Главное, что данные были сохранены на момент до начала атаки", - отметил он.
Опрошенные ЭП эксперты по кибербезопасности отмечают, что кибератака на реестры планировалась и осуществлялась длительное время. Более того, злоумышленники могли в течение определенного периода находиться во внутреннем периметре системы.
"Как правило такие атаки происходят с комбинированным использованием фишинга, социальной инженерии и возможным привлечением инсайдеров. Пока неизвестно, какой период злоумышленники находились в системе. Но если какие-то данные были удалены, то основное значение будет иметь свежесть бэкапов данных из реестров", - говорят в Институте исследования кибервойны.
Каждая кибератака обычно состоит из нескольких этапов. Первый этап - проникновение в систему. Подготовка к этому может занимать разное время: от нескольких часов до нескольких месяцев. Часто решающим фактором здесь является человеческий.
Второй этап, один из самых сложных, - это разведка внутри системы.
"Действия хакеров в системе можно сравнить с проникновением в дом без знания его планировки, причем внутри находятся люди. В такой ситуации злоумышленники начинают двигаться осторожно, чтобы их не заметили, исследуя пространство. Для этого нужно не менее нескольких месяцев, чтобы понять, как функционирует система", - объясняет директор компании по кибербезопасности 10Guards Виталий Якушев.
На третьем этапе хакеры переходят к активным действиям: в частности, они начинают похищать ценные данные или манипулировать системой для достижения своих целей.
Последний этап - так называемый "кибертерроризм", когда злоумышленники уничтожают информацию, нанося максимальный ущерб системе, отмечает Якушев.
Возможной целью хакеров было уничтожение баз данных в реестрах, чтобы парализовать работу ключевых сфер страны. Частично им это удалось: сейчас работа нотариусов, а также процессы купли-продажи имущества в Украине временно заблокированы."Вероятно целью хакеров могла быть парализация государственных услуг, сбор разведывательных данных и нанесение экономического ущерба", - добавляют в Институте исследования кибервойны.
Президент Ассоциации специалистов по недвижимости Елена Гайдамаха прогнозирует, что ближайшие 2-3 недели заключить сделку на рынке недвижимости будет невозможно. Представитель одной из нотариальных контор подтвердил ЭП, что на середину дня 20 декабря нотариусы могут лишь заверять документы, поскольку доступ к реестрам остается закрытым.
Что пострадало и какие государственные услуги не работают
В нынешних условиях в Украине фактически остановилась значительная часть хозяйственной деятельности. Это касается финансовых операций, проверки контрагентов и других процессов, которые зависят от доступа к реестрам.
Отдельно возникают проблемы с государственными закупками через систему Prozorro, которая использует данные из ЕГР. Как отмечает заместитель директора YouControl по правовым вопросам Даниил Глоба, часть тендеров проходит в формате открытых торгов, где заказчики обязаны самостоятельно проверять информацию об участниках в реестрах.
Сейчас регистрировать акты гражданского состояния (бракосочетание, развод, рождение или смерть) будут с помощью бумажных носителей. Получение социальных выплат, например, в связи с рождением ребенка, будет возможным только после обращения граждан в соответствующие органы..<Работа нотариусов также продолжится, но доступными будут не все действия.
Так, пока украинцы имеют возможность обратиться к нотариусу за совершением нотариальных действий, не связанных с проверкой сведений, содержащихся в Государственном реестре прав на недвижимое имущество и ЕГР. В частности доступны такие нотариальные действия:
- удостоверение завещания и доверенности;
- выдача дубликатов нотариальных документов, хранящихся в делах нотариуса;
- <заверение верности копий (фотокопий) документов и выписок из них;
свидетельствование подлинности подписи на документах, в том числе засвидетельствование подлинности подписи на согласии на выезд ребенка за границу без сопровождения одного из родителей; <заверение верности перевода документов с одного языка на другой; <совершение исполнительных надписей. Кроме того, министерство обеспечило возможность заведения нотариусом наследственного дела по обращению наследника.
В Минюсте отмечают, что не будут применять меры воздействия к нотариусам за то, что они несвоевременно будут вносить данные и сведения в ЕГР. Это позволяет сделать постановление, которое правительство приняло еще в феврале 2022 года.
Из-за сбоя не доступен широкий перечень государственных услуг:
любые регистрационные действия в сфере недвижимости и бизнеса, в частности государственная регистрация юрлиц, их символики, общественных формирований, не имеющих статуса юридического лица, физических лиц-предпринимателей и обособленных подразделений юридического лица и т.д.;
ликвидация предприятий или закрытие ФЛП. Например, это означает, что ФЛП нельзя будет закрыть до возобновления работы ЕГР. Если этот реестр не заработает до начала 2025 года, то те, кто намерен прекратить работу своего ФЛП, вероятно, будут обязаны заплатить единый социальный взнос и единый налог как минимум за январь 2025 года;
подача заявления на получение социальных выплат, получение выписок из Государственного реестра актов гражданского состояния граждан (ГРАГС), подача заявления на получение комплексной помощи "еМалятко", подача документов на проставление апостиля;
получение услуг в сфере ГРАГС через ЦПАУ (однако органы местного самоуправления в рамках делегированных полномочий продолжают предоставление услуг по государственной регистрации рождения, смерти, брака);
получение сведений из Единого реестра должников относительно лиц, против которых открыто производство о банкротстве. Такие сведения будут предоставляться в форме информационных писем межрегиональными управлениями Минюста по местонахождению субъекта, в отношении которого запрашивается информация, по соответствующему запросу (требования к таким запросам опубликовано ведомством);
Также пока отсутствует доступ к автоматизированной системе исполнительного производства, в которую вносятся сведения обо всех принятых решениях в таких производствах. На время отсутствия доступа к реестрам, исполнителями применяются альтернативные пути вынесения процессуальных документов в производстве.
Министерство юстиции обнародовало контакты по которым граждане могут проконсультироваться по правовым вопросам, в частности относительно неработающих государственных реестров. Кроме этого, там рекомендуют обращаться на горячую линию (0800 213 103) или в центры бесплатной правовой помощи,
Что дальше
<Сейчас над решением проблемы работает большая команда специалистов из разных сфер. ЭП стало известно, что для восстановления работы реестров, кроме работников НАИС, привлечены представители Госспецсвязи, ГП "Дія", а также бизнеса, который ранее участвовал в разработке пострадавших систем.
В Минюсте говорят, что в первую очередь работают над восстановлением данных единого реестра доверенностей, реестра специальных бланков нотариальных документов и наследственного реестра, что позволит обеспечить надлежащий учет и минимизацию некорректных нотариальных действий в период, когда не работают реестры.
Далее ведомство планирует восстановить реестры актов гражданского состояния граждан, юридических лиц и физических лиц-предпринимателей, а также прав на недвижимое имущество и обременений движимого имущества.
Премьер-министр Денис Шмыгаль заявил, что на восстановление работы реестров может уйти от одной до двух недель. Однако такой прогноз возможен лишь при условии, что резервные копии данных не пострадали - это ключевое условие для успешного восстановления.
По словам министра юстиции, государство имеет бэкап (резервное копирование) данных из реестров по состоянию на 19 декабря 2024 года и сможет восстановить всю информацию. Однако не все данные восстановятся без проблем..<Так, изменения, внесенные в реестры в течение нескольких часов 19 декабря 2024 года - с момента, когда правительство заметило нетипичную активность в работе реестров и до момента, когда они прекратили работать - будут восстанавливаться отдельными решениями правительства.
"По этим вопросам мы будем отдельно принимать решение. В то же время даже обращения, заявления и запросы, которые были направлены в реестры и не были рассмотрены, также будут восстановлены, и сегодня на заседании правительства мы примем решение о приостановлении исчисления всех сроков до восстановления функционирования реестров", - добавила министр.
На вопрос ЭП о возможных проблемах с корректностью восстановления данных Стефанишина заверила, что резервные копии сохранены, и вся информация будет восстановлена должным образом. Работу реестров могли бы запустить раньше, но важно проверить все точки входа в систему и устранить возможные уязвимости, через которые была осуществлена атака, отмечает собеседник ЭП в сфере открытых данных.
Сейчас трудно оценить все возможные последствия, которые могут возникнуть из-за неработающих реестров. Аналитическая платформа YouControl, предоставляющая доступ к данным о компаниях и физических лицах, сообщает о наличии сохраненных публичных данных по состоянию на 19 декабря.
"Наш сервис работает в штатном режиме. Вся информация из реестров Минюста, актуальная на 19 декабря, 15:00, сохранена", - отмечает Глоба. В то же время данные постепенно будут терять актуальность, поскольку возможность их обновления пока отсутствует.
<В конце концов государственные органы могут попытаться использовать альтернативные источники, такие как YouControl, для проверки данных. Однако это может вызвать вопросы со стороны органов контроля из-за возможных нарушений условий проведения тендеров.
***
Кибератака на реестры Минюста стала очередным примером того, насколько серьезными могут быть последствия для всей страны. Повреждение данных госреестров частично парализовало деловую активность в Украине, а в других сферах вызвало беспокойство относительно возможного влияния этого инцидента на их работу.
Особенное внимание привлекает тот факт, что подобный инцидент происходит второй раз за год после атаки на "Киевстар". В декабре 2023 года, когда половина украинцев осталась без связи, это событие должно было бы стать сигналом для внедрения мер, которые бы сделали невозможным или минимизировали подобные атаки. И хотя атака на реестры Минюста не имеет столь прямого влияния на жизнь граждан, ее последствия для экономики уже сейчас ощутимы.
Наконец, сам факт того, что российским спецслужбам удается осуществлять такие атаки, должен требовать от всех ответственных за кибербезопасность в Украине лиц, как минимум пересмотреть имеющееся положение вещей в направлении цифровой безопасности страны.