Українські держреєстри атакували хакери: розбір та аналіз
19 грудня ЙР хакнула кількадесят ключових державних реєстрів, зокрема Державний реєстр актів цивільного стану громадян, Єдиний державний реєстр юридичних осіб та фізичних осіб підприємців, Державний реєстр прав на нерухоме майно та їхніх обтяжень. А це серйозно.
Скільки займе їхнє відновлення і чи будуть вони повністю відновлені – сказати важко. Думаю, повториться ситуація на початку повномасштабки – якийсь час реєстри просто не будуть доступні. Відповідно, ніяких реєстраційних дій не буде здійснюватися. Думаю, йдеться про тижні або навіть місяці.
Рік тому, у грудні 2023-го, ЙР хакнула «Київстар». Щось відомо про ту атаку, чому вона стала можливою? Ні, ніхто нічого нам не повідомив. Через рік ЙР хакає головні реєстри. Готувалися довго, але ціль досягнута.
Це означає, що ворог працює проти нас СИСТЕМНО. У них ще з початку 2000-х сформовано організаційні структури, навчені офіцери спецслужб, ведеться робота з вербовки «чорних хакерів», створено навчальні центри, написана нормативна база, управління здійснюється з єдиного ідеологічного центру. А що у нас?
У нас було створено аж ціле «цифрове» міністерство у 2019 році. Якому підпорядкували Держспецзв’язку – держструктуру, яка насамперед мала б забезпечити безпеку державних реєстрів. Чим займалося Держспецзв’язку у вільний від корупції час? Закуповувало дрони.
МЦТ разом з Держспецзв’язку вгатило шалені кошти у побудову Національного резервного центру, де мали би зберігатися основні бекапи. Чи він побудований? Ні. Де гроші ділися? А хтозна.
Також колосальні бюджети попиляно на так званий «Реєстр реєстрів» – Дія.Engine.
Який результат наразі? Поки що лише кримінальні справи НАБУ за розкрадання коштів проекту.
Одразу, у 2019-му, під Міністерство імені Федорова створили у Раді спеціальний «цифровий комітет», який мав би, зокрема, створити правову базу національної кібербезпеки. Що той комітет настворював за 5 років разом з цифровим міністерством? Назар. Ірина. Харитон. Уляна. Ярослав.
Закону про кібербезпеку – справжнього, а не оту пародію 2017 року – не спромоглися розробити за 5 років, бо дуже були заняті розробкою корупційно-диктаторських законопроектів, контролем за військовими мережами та пилянням ще не отриманих бюджетів.
А чи існує наразі у країні взагалі орган, який би взяв на себе відповідальність за національну кібербезпеку? Їх у нас одинадцять, щоб ви знали. І усі за щось відповідальні, але як тільки стається гучний інцидент – усі по кущах ховаються. Паралельно відчайдушно сваряться між собою за ґранти, потоки, міжнародну технічну допомогу та право називатися «відповідальним за кібербезпеку».
До речі, а чи створені кібервійська у складі ЗСУ? Ніт. Попри указ Президента про їхнє створення, датований 26 серпня 2021 року. А за порєбріком вони фактично давно існують, і ось вам доказ, прямо в пику.
Тому що нема у хаті толкового хазяїна, товариство. Немає того, хто б професійно займався кіберзаконодавством, формував сучасні політики, впроваджував їх у критичній інфраструктурі, взаємодіяв з «партнерами» на фаховому рівні, – і мав для цього усі дієві механізми та важелі впливу. Але важливо, щоб одночасно брав би на себе провину за косяки. Тому що влада та повноваження завжди мають йти у парі з відповідальністю. З реальною відповідальністю, коли треба виходити і визнавати провтики. А у нас усі кричать «ми відповідальні за кібербезпеку», коли йдеться про фінансування, посади, західну допомогу. А коли прибігає пухнаста тваринка – крайніх не знайдеш, усі на засіданнях кіберкластерів вручають один одному медальки.
Ще після хаку Дії у січні 2022 я казав, що подібні інциденти траплятимуться й надалі. Тому що національною кібербезпекою займаються усі – і ніхто, її фундамент – прогнилий або взагалі відсутній, професіоналізм принципово ігнорується, на високих посадах – суцільний «квартал», скрізь тотальна і примітивна брехня, реакція на критику – виключно агресія, незгодних фахівців – переслідують та затикають рота, загалом конструктиву – нуль. 
І корупція, корупція, тотальна корупція. Нема часу займатися безпекою реєстрів.
А, ледь не забув про легендарне: «Роль кібербезпеки дещо перебільшена» (М. Федоров, листопад 2019). Тому легко прогнозую, що це не останній інцидент національного масштабу.
Їхній потік буде стабільним допоки кібербезпекою країни у нас займаються «золоті SMM-хлопчики» замість професіоналів. Без знань, без досвіду, без розуму, без совісті.
Робота над помилками? Вивчення уроків? Не смішіть мого кота.
Якщо цифронуті навіть після феєричного зламу Дії у 2022 цим не займалися – то навіщо вже починати?
***
Не впевнений, що всі помітили на фоні зламу реєстрів, що Дію теж хакнули незадовго до того. Але якось неакцентовано, без феєрверків.
Бо поки усі переживали щодо можливості шахраїв через Дію оформити кожному «лівий» кредит, злам самої Дії – пройшов непоміченим.
А точніше, до Дія-акаунту у пані Вікторії відбувся «несанкціонований доступ». І сам цей факт «цифровізатори» навіть не заперечують, і не коментують.
Хоча ні, коментують: мовляв, «зловмисник все одно не зміг би пошарити документи жертви чи за щось проголосувати». Типу, «часткове зґвалтування не рахується».
Але саму подію злочину не заперечують. І навіть опосередковано підтверджують, що «несанкціоноване підключення» таки було. І ще довго не могли його видалити.
А це і є, власне, хак додатку: не просто теоретична можливість (Proof of Concept) отримати несанкціонований доступ до акаунту користувача, але і доведений практичний кейс. Тому вважаю важливим зафіксувати цей факт чергового зламу Дії. Для історії.
Якщо відкрити будь-яке визначення терміну «hacking», то можна побачити приблизно таке: «the act of compromising digital devices and networks through unauthorized access to an account or computer system» (подія компрометації цифрових пристроїв та мереж шляхом несанкціонованого доступу до акаунту або комп’ютерної системи).
А ось ще текст «хакерської» 361-ї статті Кримінального кодексу України: «Несанкціоноване втручання в роботу інформаційних (автоматизованих), електронних комунікаційних, інформаційно-комунікаційних систем, електронних комунікаційних мереж».
Смартфон – цілком відповідає визначенню однієї з цих систем. А будь-який кібер-фахівець вам підтвердить, що додаток вважається хакнутим, якщо зловмиснику вдалося отримати до нього несанкціонований користувачем доступ. Саме це і сталося у випадку пані Вікторії.
Ей там, у кіберполіціях, не бажаєте збудитися? Ні? Сорі, якщо відволік від героїчного перегляду онліфанщиць.
Також звертаюся до ДКІБ СБУ: панове, ви не вбачаєте тут загроз національній безпеці, ні? Ледь не половина населення має встановлений дірявий продукт, через який шахраї (або шпигуни?) можуть проникнути у смартфони 20 мільйонів українців. І організатор цього всього схематозу – топ-посадовець Уряду, який влаштував наймасштабнішу технологічну аферу усіх років української державності. Чи підпадає все це під поняття «контррозвідувальне забезпечення інформаційної безпеки держави»? Чи не цим ви повинні займатися? Не забули, для чого ми створювали цей підрозділ 24 роки тому?
А що Дія, питаєте? Дія та «дієві» все заперечують – як завжди. У впізнаваному стилі «вивсьоврьоті». Заперечувати очевидні, але неприємні факти – основна комунікаційна стратегія цифронутих «новихліц».
У будь-якій цивілізований країні проект згорнули б ще після першого хаку – як повністю скомпрометований. Точніше, його б навіть не почали – з огляду на хвилю критики з боку експертного середовища – ще до старту прожекту, у 2019. Але ж Україна – країна чудес. Тут абсолютно реально після простреленого колеса та палаючого бензобаку – не зупинитися та пофіксити, а лише піддати газку.
P.S.: Навіть якщо вищенаведені аргументи не переконали – збережіть цей матеріал. Або просто запам’ятайте, що якийсь чувак в інтернеті стверджував, що за формальними та юридичними ознаками, Дію хакнули у грудні 2024. Ще раз. Перший раз це відбулося у січні 2022.