Тогда в его работе нашли немало уязвимостей и выдали документ, который обязывал их устранить. Но вместо того, чтобы начать работу по исключению найденных проблем и уязвимостей, предприятие начало судиться с проводившим проверку государственным органом. И такая ситуация - не нонсенс, а своеобразный тренд в политике "новых диджилизаторов", не веривших в кибербезопасность.

Об этом пишет Информатор .

Цап-происходило из НАИС

Министерство юстиции Украины не только должно предупредить масштабную кибератаку на государственные реестры, которая началась 19 декабря 2024 года, но и могло бы предотвратить ее. Требовалось лишь выполнить требования контролирующих органов. Они были оформлены в специальное предписание и появились после масштабной проверки госпредприятия НАИС, действующей под "зонтиком" Минюста, проведенной еще в ноябре-декабре 2020 уполномоченным органом.

Впрочем, тогда, во времена руководства Минюстом Денисом Малюской, ведомство предпочло другие методы разрешения ситуации с критическими уязвимостями системы. Проще говоря, пошло в суд, чтобы отменить это предписание. Информатор разыскал этот иск в судебных реестрах и решил изучить его содержание.

Сейчас часть вины в Минюсте возлагают на НАИС. Это следует из данных, раскрывших источники "Украинской правды" об увольнении его гендиректора, Алексея Бережного: должностному лицу просто не будут продлевать контракт, завершающийся с 25 декабря 2024-го. Именно НАИС отвечает за управление госреестрами Минюста, среди них - Единый государственный реестр (ЕГР), Госреестр актов гражданского состояния, а также система "Банкротство и неплатежеспособность".

Популярные статьи сейчас
Призовут только при двух условиях: как проходит мобилизация мужчин старше 50 лет Астролог, таролог, мольфар и экстрасенс назвали событие, после которого закончится война Пенсионерам добавят денег в январе: кому начнут доплачивать чуть больше 900 грн Зимнюю помощь придется вернуть: кого заставят отказаться от выплат
Показать еще

Иск рассматривал скандальный ОАСК

Бережной руководил НАИС с 2019 года, поэтому именно он был тем должностным лицом, при котором ключевое предприятие-держателя реестров проверяли на уязвимости. Данные об этой проверке Информатор нашел в системе Opendatabot – ее проводил уполномоченный орган власти с 12 ноября по 4 декабря 2020 года. По результатам был составлен акт и предписание - документ, в котором содержались требования к НАИС об устранении недостатков в защите реестров.

Само содержание проверки, а также требования к НАИС обнародованию не подлежат (имеют ли гриф "для служебного пользования"). Но в судебной системе есть данные об иске, которым НАИС пытался отменить это предписание, а также запретить какие-либо другие действия, связанные с проверкой. Его подали 18 мая 2021 года в Окружной админсуд Киева - тот самый, известный многочисленным коррупционным скандалам, и поэтому ликвидированный Верховной Радой 13 декабря 2022-го законом, специально внесенным президентом (вместо него образовали Киевский городской окружной админсуд).

Форма и сроки: что обжаловал Минюст

Судья ОАСК Владимир Донец производство открыл. Аргументы НАИС основывались на "отсутствии правовых оснований" для проверки и на том, что конечный акт был составлен "не по унифицированной форме" и якобы был направлен "с нарушением срока". Кроме того, саму проверку проводили после информации от Следственного управления ГУ Нацполиции Киева – это также, по мнению НАИС, свидетельствовало о "противоправности" проверки.

Также представитель (НАИС - Ред.) отметил о существовании обоснованного риска отмены аттестата соответствия комплексной системы защиты информации Информационной системы Единых и Государственных реестров Министерства юстиции Украины, что приведет к остановке функционирования указанных реестров на неопределенный срок и об отсутствии возможности не выполнять явно противоправные требования изложены в акте", - говорится в определении суда уже от 28 июля 2021-го.

Впрочем, судья Донец пришел к выводу, что заявление НАИС не обоснованно, и отказал в мерах по обеспечению иска (т.е. останавливать действие акта и предписаний не стал). В то же время НАИС сохранил все аттестаты соответствия - включая угрозы, которые содержались для системы, согласно проверке. И хотя судья успел назначить дать рассмотрение дела по сути, из-за ликвидации суд так и не успел полноценно погрузиться в рассмотрение дела.

Что говорит Малышская и при чем здесь Федоров

В конце концов, эстафета перешла уже в Киевский окружной админсуд в лице судьи Горобцовой, в марте 2023 года. Однако дальше назначения состава суда тогда дело не пошло. Похоже, что Минюст из-за иска НАИС смог-таки "отбить" проверку и предписания - но оставил в системе все уязвимости, установленные специалистами.

Последствия этого, вероятно, и увидела страна в декабре 2024-го - вместе с масштабной кибератакой на реестры, руководствовавшиеся НАИС. Сейчас Денис Малюска уверяет, что, мол, большинство якобы "укравших" россияне информации на самом деле и без них находилось в открытом доступе. А единственным исключением была информация из Госреестра актов гражданского состояния, "одного из самых закрытых реестров" (как объясняет эксминистр, речь идет о тайне усыновления, жестко охраняемой законом).

Можно предположить, что кибератака могла бы иметь другие последствия, или вообще была бы отражена, если бы Минюст времен Малюски и НАИС действовали вовремя, и вместо обжаловать проверку выполнили бы предписания по стандартам безопасности госреестров. Впрочем, ситуация с атакой, похоже, укладывается в философию борьбы с угрозами в IT-сфере, высказанную вице-премьер-министром Михаилом Федоровым еще в ноябре 2019 года. Тогда чиновник прямо заявил: после серии кибератак (в частности, 2016 года) Украина вышла на другой уровень, следовательно, "роль кибербезопасности немного преувеличена".

Что известно о мощной кибератаке россиян

Напомним, вечером 19 декабря стало известно, что на Министерство юстиции и государственные реестры была совершена мощная атака. Ее масштабы сначала оценить было сложно, впрочем, сразу стало ясно, что из строя вышли десятки государственных реестров, в том числе ЕГР, реестр ФЛП, записей о браке, регистрация автомобилей и прав собственности на недвижимость.

Однако уже с утра 20 декабря стали известны истинные масштабы внешней кибератаки. Россияне совершили нападение, чтобы нарушить критически важные инфраструктуры государства - а только время на первоочередное восстановление реестров вице-премьер Ольга Стефанишина оценила в срок "до двух недель".

В конце концов, уже 22 декабря Минюст назвал сроки восстановления госреестров после кибератаки. Там отметили: процесс длительный, несколько дней полной стабилизации не хватит. Впрочем, добавили также, что никакая информация во время кибератаки не потерялась.