21 декабря 2024 10:06

Пропало все. Как российские хакеры сломали украинские реестры

Фото - https://depositphotos.com/ua/


19 грудня хакери атакували реєстри Міністерства юстиції України, фактично зупинивши роботу десятків баз даних.


Кібератака фактично паралізувала значну частину господарської діяльності в країні. Фінансові операції, перевірка контрагентів, державні закупівлі та доступ до важливих державних послуг опинилися під загрозою. Робота нотаріусів з 20 грудня зводиться переважно до посвідчення документів.


Наразі триває слідство, яке має встановити ключові обставини інциденту: як хакерам вдалося проникнути в системи, чи стався витік даних і наскільки постраждали реєстри. У Мін’юсті запевняють, що фактів крадіжки інформації про українських юридичних і фізичних осіб не виявлено, а резервні копії баз даних дозволять оперативно відновити їхню роботу.


ЕП розповідає подробиці однієї з наймасштабніших кібератак на державні реєстри та її наслідки для українців.


Що відбулося


Пізно ввечері 19 грудня віцепрем’єрка з питань європейської та євроатлантичної інтеграції, міністерка юстиції Ольга Стефанішина повідомила про кібератаку на реєстри Мін’юсту. За її словами, атака призвела до тимчасового припинення роботи державних реєстрів, які знаходяться у компетенції міністерства, зокрема ЄДР (Єдиного державного реєстру юридичних осіб, фізичних осіб-підприємців та громадських формувань).


Проте з наслідками ураження систем українці зіткнулися раніше: ще вдень частина державних реєстрів не працювала, що фактично унеможливило надання нотаріальних послуг.


У Мін’юсті спочатку пояснювали проблеми масштабним збоєм у мережевій інфраструктурі, яка забезпечує функціонування реєстрів. Управління реєстрами міністерства здійснює ДП "Національні інформаційні системи" (НАІС), яке напередодні повідомило про проведення планових технічних робіт, зокрема щодо ЄДР, Держреєстру актів цивільного стану громадян, системи "Банкрутство та неплатоспроможність".


Планувалося, що реєстри не працюватимуть з 22:00 до 02:00 в ніч на 20 грудня. Проте про планові технічні роботи забули вже в обід 19 грудня. Поки НАІС офіційно повідомляло про технічні проблеми, у російському Telegram-каналі XakNet Team з’явилася інформація про кібератаку на НАІС.

У повідомленні, яке з'явились близько 20:00, йшлося, що в результаті атаки на НАІС хакери вийшли на інфраструктуру зі всіма даними українського Мін’юсту. В ньому стверджувалось, що після потрапляння в інфраструктуру міністерства сумарно викрали та видалили понад 1 мільярд рядків даних, зокрема ті, які зберігалися на резервному сервері в Польщі.


Вже наступного дня, 20 грудня, під час ранкового брифінгу Стефанішина повідомила, що Мін’юст тимчасово призупинив роботу всіх реєстрів, які адмініструє, щоб запобігти подальшому поширенню атаки. Вона додала, що тривають роботи з відновлення реєстрів, і запевнила, що інші інформаційні системи держави не постраждали.

"Наразі тривають дії із відновлення реєстрів. Події, повʼязані із реєстрами, не вплинули на інші інформаційні системи держави", – додала вона.


На середину дня 20 грудня сайти НАІС, Мін’юсту та ЄДР, який містить близько 60 різних реєстрів, залишалися недоступними. Крім того, в "Дії" тимчасово недоступні 27 послуг.


Грудневе загострення ГРУ


В СБУ припускають, що за атакою на реєстри Мін’юсту може стояти хакерське угруповання Головного розвідувального управління (ГРУ) РФ. "Основна версія, яку розглядає СБУ, полягає в тому, що за цією кібератакою стоять спецслужби РФ, зокрема хакерське угруповання ГРУ Генштабу РФ", – заявив в.о. керівника департаменту кібербезпеки СБУ Володимир Карастельов.


Він не зміг спростувати інформацію, що витоку даних не сталося, оскільки триває відповідне дослідження. Натомість Стефанішина з посиланням на Держслужбу спецзвʼязку наголосила, що витік даних наразі не підтверджується. За її словами, це була масована атака на всю інфраструктуру, яка готувалася не один місяць.

Примітно, що майже рік тому хакери угруповання SandWorm, яке вважається підрозділом ГРУ РФ, атакували ядро мережі найбільшого мобільного оператора України "Київстар".

Як пояснив співрозмовник ЕП у сфері відкритих даних, та атака була значно небезпечнішою за своїми потенційними наслідками. "Мобільний зв’язок під час великої війни критично важливий – від нього залежить життя людей. Доступ до реєстрової інформації також важливий, але переважно для збереження цілісності даних. Головне, що дані були збережені на момент до початку атаки", – зазначив він.


Опитані ЕП експерти з кібербезпеки наголошують, що кібератака на реєстри планувалася та здійснювалася тривалий час. Ба більше, зловмисники могли протягом певного періоду перебувати у внутрішньому периметрі системи.


“Як правило такі атаки відбуваються із комбінованим використанням фішингу, соціальної інженерії та можливим залученням інсайдерів. Наразі невідомо, який період зловмисники перебували в системі. Але якщо якісь дані були видалені, то основне значення матиме свіжість бекапів даних з реєстрів”, – кажуть в Інституті дослідження кібервійни.

Кожна кібератака зазвичай складається з кількох етапів. Перший етап – проникнення в систему. Підготовка до цього може займати різний час: від кількох годин до кількох місяців. Часто вирішальним фактором тут є людський.


Другий етап, один із найскладніших, – це розвідка всередині системи.


“Дії хакерів у системі можна порівняти з проникненням у будинок без знання його планування, причому всередині перебувають люди. У такій ситуації зловмисники починають рухатися обережно, щоб їх не помітили, досліджуючи простір. Для цього потрібно не менше кількох місяців, щоб зрозуміти, як функціонує система”, – пояснює директор компанії з кібербезпеки 10Guards Віталій Якушев.


На третьому етапі хакери переходять до активних дій: зокрема, вони починають викрадати цінні дані або маніпулювати системою для досягнення своїх цілей.

Останній етап – так званий "кібертероризм", коли зловмисники знищують інформацію, завдаючи максимальної шкоди системі, зазначає Якушев.


Можливою метою хакерів було знищення баз даних у реєстрах, щоб паралізувати роботу ключових сфер країни. Частково їм це вдалося: наразі робота нотаріусів, а також процеси купівлі-продажу майна в Україні тимчасово заблоковані.

“Ймовірно ціллю хакерів могла бути паралізація державних послуг, збір розвідувальних даних та завдання економічної шкоди”, – додають в Інституті дослідження кібервійни.


Президентка Асоціації фахівців з нерухомості Олена Гайдамаха прогнозує, що найближчі 2–3 тижні укласти угоду на ринку нерухомості буде неможливо. Представник однієї з нотаріальних контор підтвердив ЕП, що на середину дня 20 грудня нотаріуси можуть лише завіряти документи, оскільки доступ до реєстрів залишається закритим.


Що постраждало і які державні послуги не працюють


За нинішніх умов в Україні фактично зупинилася значна частина господарської діяльності. Це стосується фінансових операцій, перевірки контрагентів та інших процесів, які залежать від доступу до реєстрів.


Окремо виникають проблеми з державними закупівлями через систему Prozorro, яка використовує дані з ЄДР. Як зазначає заступник директора YouControl з правових питань Данило Глоба, частина тендерів проходить у форматі відкритих торгів, де замовники зобов’язані самостійно перевіряти інформацію про учасників в реєстрах.


Наразі реєструвати акти цивільного стану (одруження, розлучення, народження чи смерть) будуть за допомогою паперових носіїв. Отримання соціальних виплат, наприклад, у зв'язку з народженням дитини, буде можливим лише після звернення громадян до відповідних органів.

Робота нотаріусів також продовжиться, але доступними будуть не усі дії.


Так, поки що українці мають можливість звернутися до нотаріуса за вчиненням нотаріальних дій, що не повʼязані з перевіркою відомостей, що містяться в Державному реєстрі речових прав на нерухоме майно та ЄДР. Зокрема доступні такі нотаріальні дії:


  • посвідчення заповіту та довіреності;
  • видача дублікатів нотаріальних документів, що зберігаються у справах нотаріуса;
  • засвідчення вірності копій (фотокопій) документів і виписок з них;
  • засвідчення справжності підпису на документах, у тому числі засвідчення справжності підпису на згоді на виїзд дитини за кордон без супроводу одного з батьків;
  • засвідчення вірності перекладу документів з однієї мови на іншу;
  • вчинення виконавчих написів.


Крім того, міністерство забезпечило можливість заведення нотаріусом спадкової справи за зверненням спадкоємця.

У Мін'юсті зазначають, що не застосовуватимуть заходів впливу до нотаріусів за те, що вони несвоєчасно вноситимуть дані та відомості до ЄДР. Це дозволяє зробити постанова, яку уряд ухвалив ще у лютому 2022 року.


Через збій не доступний широкий перелік державних послуг:


будь-які реєстраційні дії у сфері нерухомості та бізнесу, зокрема державна реєстрація юросіб, їхньої символіки, громадських формувань, які не мають статусу юридичної особи, фізичних осіб-підприємців та відокремлених підрозділів юридичної особи тощо;


ліквідація підприємств чи закриття ФОП. Наприклад, це означає, що ФОПи не можна буде закрити до відновлення роботи ЄДР. Якщо цей реєстр не запрацює до початку 2025 року, то ті, хто має намір припинити роботу свого ФОПа, ймовірно, будуть зобов'язані заплатити єдиний соціальний внесок та єдиний податок щонайменше за січень 2025 року;


подання заяви на отримання соціальних виплат, отримання витягів з Державного реєстру актів цивільного стану громадян (ДРАЦС), подання заяви на отримання комплексної допомоги "єМалятко", подання документів на проставлення апостиля;


отримання послуг у сфері ДРАЦС через ЦНАПи (проте органи місцевого самоврядування в рамках делегованих повноважень продовжують надання послуг щодо державної реєстрації народження, смерті, шлюбу);


отримання відомостей з Єдиного реєстру боржників щодо осіб, проти яких відкрито провадження про банкрутство. Такі відомості будуть надаватися у формі інформаційних листів міжрегіональними управліннями Мін'юсту за місцезнаходженням суб’єкта, щодо якого запитується інформація, за відповідним запитом (вимоги до таких запитів опубліковано відомством);


Також наразі відсутній доступ до автоматизованої системи виконавчого провадження, до якої вносяться відомості про всі прийняті рішення у таких

провадженнях. На час відсутності доступу до реєстрів, виконавцями застосовуються альтернативні шляхи винесення процесуальних документів у провадженні.

Міністерство юстиції оприлюднило контакти за якими громадяни можуть проконсультуватися щодо правових питань, зокрема щодо непрацюючих державних реєстрів. Крім цього, там рекомендують звертатися на гарячу лінію (0800 213 103) або у центри безоплатної правової допомоги,


Що далі


Наразі над розв’язанням проблеми працює велика команда фахівців із різних сфер. ЕП стало відомо, що для відновлення роботи реєстрів, крім працівників НАІС, залучено представників Держспецзв’язку, ДП "Дія", а також бізнесу, який раніше брав участь у розробці постраждалих систем.


У Мін’юсті кажуть, що першочергово працюють над відновленням даних єдиного реєстру довіреностей, реєстру спеціальних бланків нотаріальних документів та спадкового реєстру, що дозволить забезпечити належний облік та мінімізацію некоректних нотаріальних дій в період, коли не працюють реєстри.


Далі відомство планує відновити реєстри актів цивільного стану громадян, юридичних осіб та фізичних осіб-підприємців, а також прав на нерухоме майно та обтяжень рухомого майна.


Прем'єр-міністр Денис Шмигаль заявив, що на відновлення роботи реєстрів може піти від одного до двох тижнів. Однак такий прогноз можливий лише за умови, що резервні копії даних не постраждали – це ключова умова для успішного відновлення.


За словами міністерки юстиції, держава має бекап (резервне копіювання) даних з реєстрів станом на 19 грудня 2024 року та зможе відновити усю інформацію. Однак не всі дані відновляться без проблем.

Так, зміни, внесені до реєстрів протягом кількох годин 19 грудня 2024 року – з моменту, коли уряд помітив нетипову активність у роботі реєстрів і до моменту, коли вони припинили працювати – будуть відновлюватися окремими рішеннями уряду.


"За цими питаннями ми будемо окремо ухвалювати рішення. Водночас навіть звернення, заяви та запити, які були направлені до реєстрів і не були розглянуті, також будуть відновлені, і сьогодні на засіданні уряду ми ухвалимо рішення про призупинення обчислення всіх строків до відновлення функціонування реєстрів", – додала міністерка.


На запитання ЕП щодо можливих проблем із коректністю відновлення даних Стефанішина запевнила, що резервні копії збережені, і вся інформація буде відновлена належним чином. Роботу реєстрів могли б запустити раніше, але важливо перевірити всі точки входу в систему та усунути можливі вразливості, через які була здійснена атака, зазначає співрозмовник ЕП у сфері відкритих даних.


Наразі важко оцінити всі можливі наслідки, які можуть виникнути через непрацюючі реєстри. Аналітична платформа YouControl, що надає доступ до даних про компанії та фізичних осіб, повідомляє про наявність збережених публічних даних станом на 19 грудня.


"Наш сервіс працює у штатному режимі. Уся інформація з реєстрів Мін’юсту, актуальна на 19 грудня, 15:00, збережена", – зазначає Глоба. Водночас дані поступово втрачатимуть актуальність, оскільки можливість їх оновлення наразі відсутня.


Зрештою державні органи можуть спробувати використовувати альтернативні джерела, такі як YouControl, для перевірки даних. Проте це може викликати питання з боку органів контролю через можливі порушення умов проведення тендерів.


***


Кібератака на реєстри Мін’юсту стала черговим прикладом того, наскільки серйозними можуть бути наслідки для всієї країни. Пошкодження даних держреєстрів частково паралізувало ділову активність в Україні, а в інших сферах викликало занепокоєння щодо можливого впливу цього інциденту на їхню роботу.


Особливу увагу привертає той факт, що подібний інцидент стається вдруге за рік після атаки на "Київстар". У грудні 2023 року, коли половина українців залишилася без зв’язку, ця подія мала б стати сигналом для впровадження заходів, які б унеможливили або мінімізували подібні атаки. І хоча атака на реєстри Мін’юсту не має настільки прямого впливу на життя громадян, її наслідки для економіки вже зараз відчутні.


Нарешті, сам факт того, що російським спецслужбам вдається здійснювати такі атаки, має вимагати від усіх відповідальних за кібербезпеку в Україні осіб, як мінімум переглянути наявний стан речей в напрямку цифрової безпеки країни.