Кібератака на мережеву інфраструктуру Мін'юсту 19 грудня 2024 року: факти і цифри
Минулого четверга, 19 грудня, державні реєстри України зазнали наймасштабнішої зовнішньої кібератаки. Близько восьмої години вечора російська хакерська група XakNet Team заявила, що вони зламали інфраструктуру ДП «Національні інформаційні системи» (НАІС), яке керує реєстрами Мінʼюсту, завантажили понад мільярд рядків даних і видалили їх разом із резервними копіями. Російські хакери стверджують, що від атаки постраждали близько 60 різних реєстрів. За даними СБУ, за кібератакою на реєстри насправді стоять російські спецслужби, зокрема хакерське угруповання, пов'язане з Головним управлінням Генерального штабу ЗС РФ. Зазначалося також про можливий витік персональних даних українців, що станом на 23 грудня не було підтверджено.
За словами віцепрем'єр-міністерки з питань європейської та євроатлантичної інтеграції - міністерки юстиції України Ольги Стефанішиної, внаслідок кібератаки РФ на мережеву інфраструктуру Мін'юсту, яка обслуговує держреєстри, були атаковані кілька десятків реєстрів, найпоширенішими з яких є Єдиний державний реєстр юридичних осіб, фізичних осіб-підприємців та громадських формувань (ЄДР), Державний реєстр речових прав на нерухоме майно, Державний реєстр обтяжень рухомого майна, Єдиний реєстр боржників, Державний реєстр актів цивільного стану громадян, система е-нотаріат.
Вже цього понеділка, 23 грудня, перший заступник міністра юстиції Микола Кучерявенко заявив, що валідацію резервних копій державних реєстрів буде проведено вже 24 грудня та насамперед буде відновлено Єдиний реєстр довіреностей, Реєстр спеціальних бланків і нотаріальних документів, Спадковий реєстр, а далі - Державний реєстр актів цивільного стану громадян, Єдиний державний реєстр і Державний реєстр майнових прав.
Голова підкомітету з питань безпеки в кіберпросторі, урядового зв’язку, криптографічного захисту інформації комітету Верховної Ради з питань національної безпеки, оборони та розвідки Олександр Федієнко зазначив, що причиною масштабної кібератаки на державні реєстри Міністерства юстиції України міг бути як фішинг, так і підкуп працівників, які мали доступ до цих реєстрів. За його словами, атака була добре підготовленою, а вхід відбувся з акаунту найвищого рівня.
Зазначимо також, що, наприклад, в YouControl повідомили про роботу системи в штатному режимі, хоча дані в аналітичній системі й не оновлюються, проте залишаються актуальними станом на момент припинення роботи державних реєстрів, тобто на 18 грудня 2024.
Через хакерську атаку 19 грудня також тимчасово не працював додаток Резерв+, який відновив свою роботу вже 20 грудня. Проте реєстри МО і цифрові сервіси, застосунок Армія+ та база «Оберіг» зберегли свою працездатність, так само як і інші інформаційні системи держави, зокрема і застосунок «Дія».
«Ми не маємо сподіватися лише на фахівців профільних відомств. Кожен державний орган, кожне підприємство, яке є оператором об’єкта критичної інфраструктури, кожен громадянин на своєму рівні мають так само дбати про створення ефективних систем захисту та особисту кібергігієну. Такі випадки – ще один дзвіночок, який закликає нас до необхідності якомога швидше забезпечити перехід країни до найсучасніших світових практик та підходів до створення систем кіберзахисту. Держспецзв’язку вже забезпечила розроблення нормативної бази для запровадження найновішої Директиви ЄС з кіберзахисту – NIS 2. Однак тепер ми добре бачимо, що запровадження цих передових норм має бути не лише доступним, а й обов’язковим для всіх державних установ, а також приватних структур, які надають критично важливі послуги або оперують чутливими даними, зокрема й персональними», - йдеться в офіційній заяві Олександра Потія, голови Державної служби спеціального зв’язку та захисту інформації України, що керує роботою Урядової команди реагування на комп’ютерні надзвичайні події CERT-UA.
Станом на 17:00 23 грудня CERT-UA не надав офіційних коментарів щодо результатів розслідування даного кіберінциденту, яких очікують фахівці з кібербезпеки підприємств та організацій в Україні для коригування протоколів захисту власних інформаційних систем.
В цілому, директор з розвитку SOC «Центр кібермоніторингу» Accord Group Олександр Атаманенко так прокоментував дану ситуацію:
«Злами траплялись і будуть траплятися навіть для найзахищеніших систем по всьому світу, не тільки в Україні. Тому один з важливих пунктів – по перше, мати робочий disaster recovery plan та бекапи. Причому бекапи, які не будуть доступні зловмиснику. Тобто необхідно чи робити air-gap, наприклад, використовувати стрічкові бібліотеки з WORM носіями (write once read many), чи використовувати технологію незмінних резервних копій (так звані immutable backup). Простими словами, сьогодні кожній компанії особливо важливо замислитись «а що, якщо зловмисник добереться до наших бекапів» та скоригувати свої технічні рішення відповідним чином. А, по друге, впровадження засобів кіберзахисту для кожної компанії та організації, навіть, якщо це мікропідприємство чи державна установа – це базовий рівень кіберстійкості. І крім нього треба в постійному і, бажано, цілодобовому режимі моніторити, що відбувається в вашій ІТ-інфраструктурі та займатись threat hunting, тобто активним пошуком можливих слідів злому чи функціювання зловмисних програм. Адже і ця потужна кібератака зі зламом критично важливих державних реєстрів готувалася та впроваджувалася не один день, і навіть не тиждень. Її ознаки абсолютно точно були присутні в мережі, але не ідентифіковані оператором SOC. Саме тому ми завжди, і особливо зараз, рекомендуємо розвивати кіберсистеми не тільки у площині захисту, але впроваджувати моніторинг та механізми виявлення загроз, як це відбувається в процесі роботи нашого цілодобового центру кібермоніторингу для інформаційних систем замовників».