В то время в работе были обнаружены множество уязвимостей, и был выдан документ, который обязывал их исправить. Однако вместо того, чтобы приступить к устранению выявленных проблем и уязвимостей, организация начала судебные разбирательства с государственным органом, проводившим проверку. Такая ситуация — не исключение, а своеобразный тренд среди "новых диджилизаторов", которые не верят в кибербезопасность.
Подпишись на наш Viber: новости, юмор и развлечения!
ПодписатьсяОб этом сообщает Информатор.
Цап-происходило из НАИС
Министерство юстиции Украины должно было не только предупредить о масштабной кибератаке на государственные реестры, которая началась 19 декабря 2024 года, но и могло бы ее предотвратить. Для этого всего лишь требовалось выполнить предписания контролирующих органов, которые были оформлены в специальном документе после обширной проверки государственного предприятия НАИС, работающего под "зонтиком" Минюста, проведенной еще в ноябре-декабре 2020 года уполномоченным органом.
Тем не менее, в те времена, когда Минюст возглавлял Денис Малюска, ведомство предпочло другие способы решения проблемы с критическими уязвимостями системы. Проще говоря, они обратились в суд с целью отмены этого предписания. Информатор нашел этот иск в судебных реестрах и решил изучить его содержание.
На данный момент часть ответственности в Минюсте возлагается на НАИС. Это следует из данных, которые раскрыли источники "Украинской правды" об увольнении его генерального директора, Алексея Бережного: контракт должностного лица не будет продлен, он истекает 25 декабря 2024 года. Именно НАИС отвечает за управление госреестрами Минюста, среди которых - Единый государственный реестр (ЕГР), Госреестр актов гражданского состояния, а также система "Банкротство и неплатежеспособность".
Популярные статьи сейчас Гороскоп на 24 декабря: всё может пойти не так, как вы думали – но это к лучшему Пенсионеры в 2025 году будут получать больше: кого ждет "повышение" выплат 10-12% Пенсионерам добавят денег в январе: кому начнут доплачивать чуть больше 900 грн Украинцам нужно срочно переоформить счет: кто должен собрать документы, и пойти в центр клиентов Показать еще
Иск рассматривал скандальный ОАСК
Бережной возглавлял НАИС с 2019 года, поэтому именно он был тем должностным лицом, при котором ключевое предприятие-держатель реестров подверглось проверке на уязвимости. Информатор нашел данные об этой проверке в системе Opendatabot – она проводилась уполномоченным органом власти с 12 ноября по 4 декабря 2020 года. По ее результатам был составлен акт и предписание — документ, в котором содержались требования к НАИС об устранении недостатков в защите реестров.
Содержимое проверки, а также требования к НАИС не подлежат обнародованию (они имеют гриф "для служебного пользования"). Однако в судебной системе имеются данные об иске, с помощью которого НАИС пытался отменить это предписание и запретить какие-либо другие действия, связанные с проверкой. Он был подан 18 мая 2021 года в Окружной админсуд Киева — именно тот, который известен множеством коррупционных скандалов и был ликвидирован Верховной Радой 13 декабря 2022 года законом, специально внесенным президентом (вместо него был образован Киевский городской окружной админсуд).
Форма и сроки: что обжаловал Минюст
Судья ОАСК Владимир Донец открыл производство. Аргументы НАИС основывались на "отсутствии правовых оснований" для проверки и на том, что конечный акт был составлен "не по унифицированной форме" и якобы был направлен "с нарушением срока". Кроме того, саму проверку проводили после информации от Следственного управления ГУ Нацполиции Киева — это также, по мнению НАИС, свидетельствовало о "противоправности" проверки.
Также представитель (НАИС - Ред.) отметил наличие обоснованного риска отмены аттестата соответствия комплексной системы защиты информации Информационной системы Единых и Государственных реестров Министерства юстиции Украины, что могло привести к остановке функционирования указанных реестров на неопределенный срок и к невозможности не выполнять явно противоправные требования, изложенные в акте", - говорится в определении суда от 28 июля 2021 года.
Тем не менее, судья Донец пришел к выводу, что заявление НАИС не обосновано и отказал в мерах по обеспечению иска (т.е. не стал останавливать действие акта и предписаний). В то же время НАИС сохранил все аттестаты соответствия, включая угрозы, содержащиеся для системы согласно проверке. И хотя судья успел назначить рассмотрение дела по существу, из-за ликвидации суда так и не успел полноценно его изучить.
Что говорит Малышская и при чем здесь Федоров
В конечном итоге, эстафета перешла уже в Киевский окружной админсуд под председательством судьи Горобцовой в марте 2023 года. Однако дело не продвинулось дальше назначения состава суда. Похоже, что Минюст из-за иска НАИС сумел "отбить" проверку и предписания, но оставил в системе все уязвимости, выявленные специалистами.
Вероятно, последствия этого стали очевидны стране в декабре 2024 года — вместе с масштабной кибератакой на реестры, находящиеся под управлением НАИС. В настоящее время Денис Малюска утверждает, что большинство якобы "украденной" россиянами информации на самом деле было доступно и без них. Единственным исключением была информация из Госреестра актов гражданского состояния, "одного из самых закрытых реестров" (как объясняет экс-министр, речь идет о тайне усыновления, которая строго охраняется законом).
Можно предположить, что кибератака могла бы иметь иные последствия или вообще была бы отражена, если бы Минюст времен Малюски и НАИС действовали своевременно, и вместо обжалования проверки выполнили бы предписания по стандартам безопасности госреестров. Однако ситуация с атакой, похоже, укладывается в философию борьбы с угрозами в IT-сфере, высказанную вице-премьер-министром Михаилом Федоровым еще в ноябре 2019 года. Тогда чиновник прямо заявил: после ряда кибератак (в частности, 2016 года) Украина вышла на новый уровень, следовательно, "роль кибербезопасности немного преувеличена".