Зломи, яких "не було": як присікаються махінації в Держреєстрі нерухомості

Близько місяця тому ЗМІ облетіла новина про те, що зламаний Державного реєстру прав на нерухоме майно. Приватний нотаріус Сумського міського нотаріального округу Оксана ассор повідомила, що сторонні особи, використавши її логін і пароль, здійснили несанкціоновані реєстраційні дії в Держреєстрі. В результаті були внесені незаконні зміни на право володіння нерухомістю.

Незабаром Міністр юстиції України Павло Петренко спростував інформацію про злом: «Зовнішніх входів в систему реєстрів не було, немає, і я переконаний, що не буде, тому що система захисту досить серйозна».

Тим часом нотаріуси підкреслювали , Що це далеко не єдиний випадок. За даними Нотаріальної палати України, за останній рік було зафіксовано близько 300 (!) Сторонніх втручань. Нотаріуси зверталися в ДП "Національні інформаційні системи" (НІС), до адміністратора реєстру з проханням впровадити комплекс заходів для його безпеки: «Хоча б додати SMS-аутентифікацію. Але навіть цього не зроблено ».

Ми вирішили з'ясувати, чи дійсно Держреєстр нерухомості надійно захищений від хакерських зломів. Запросили інформацію у ряду компетентних органів. Мін'юст відреагував на офіційний запит видання лише через майже місяць, всупереч ЗУ "Про доступ до публічної інформації" , Згідно з яким р аспорядітель повинен надати відповідь не пізніше п'яти робочих днів. Без пояснення причин відомство відмовилося надати публічну інформацію по ряду питань:

- Скільки коштів а) виділено з держбюджету і б) освоєно на впровадження і функціонування Держреєстру прав на нерухоме майно?

- Необхідна для функціонування Реєстру обладнання і ПЗ закуповували на тендерах? Які компанії виграли конкурси?

Отримано відповідь тільки два питання:

- В ДП "Національні інформаційні системи" впроваджена комплексна система захисту інформації?

- Комплексна система захисту інформації отримала державну експертизу Держспецзв'язку в галузі ТЗІ?

Відповіді на обидва питання позитивні. Здивували деталі. Вони не стикуються з даними, які ми отримали з Держспецзв'язку.

пояснення Мін'юсту :

відповідь Держспецзв'язку на запит видання:

Також в Держспецзв'язку повідомили, що виявивши порушення в ході їх останньої перевірки, відомство поінформувало Мін'юст і ДП "НІС" про те, які заходи необхідно вжити для захисту інформації Реєстрів.

Нині, за даними відповіді Мін'юсту, користувачі отримують доступ до Реєстрам, використовуючи тільки логін, пароль і електронний цифровий підпис. Про перспективу застосування додаткових ідентифікатори в роз'ясненні мова не йде.

У Мін'юсті наголошують, що забезпечення запобігання несанкціонованого внесення інформації в Системи, в першу чергу, залежить від сумлінного використання ідентифікаторів доступу до Системи користувачем: "У випадках виявлення фактів використання третіми особами ідентифікаторів доступу до Системи або виникнення підозри щодо їх використання третіми особами користувач зобов'язаний негайно вжити заходів, необхідних для припинення факту такого використання ".

Простіше кажучи, Мін'юст тонко натякає, що нотаріуси самі винні.

Останні стверджують зворотне і призводять результати розслідування , Проведеного фахівцями ТОВ «Лабораторія комп'ютерної криміналістики» (CyberLab):

.. .у Надання CyberLab Висновки зазначається про встановлення на обрані для хакерської атаки комп'ютери шкідлівого програмного забезпечення LiteManager, основними функціямі которого є Віддалене управління комп'ютером, Викрадення Даних обліковіх запісів Користувачів, передача файлів на сервер в мережі інтернет. Ймовірно, что зараження відбувалося Шляхом Відкриття файлу, Котре містів у Собі Шкідливий код, что Надходить на досліджуваній комп'ютер нотаріуса в якості вкладення файлу у Повідомленні Електронної пошта. Такоже спеціалістами CyberLab Було встановлен, что з пошта "хакера" зазвічай направляти декілька листів від імені Міністерства юстиції України з Використання домену. Зважаючі на частотність розсілок, Кількість адресатів та конверсію (коефіцієнт зараження), експерт вважають, что на Данії годину Постійно зараження є орієнтовно одна тисяча комп'ютерів нотаріусів, державних віконавців та других уповноважених на Здійснення реєстраційніх Дій осіб, котрі в будь-який момент могут буті обрані в якості чергової «жертви», від імені та з Використання ідентіфікатора доступу до ДРРП якої буде Здійснено чергова низка протиправних реєстраційніх Дій.

При цьом фахівці CyberLab НЕ віключають, что кібератака может вестися безпосередно на сервері. Проти технічно дослідіті це припущені НЕ ма ють возможности через брак Достатньо уровня СПІВПРАЦІ та взаємодії Із персоналом ДП «Національні інформаційні системи».

В " резолюції позачергового з'їзду нотаріусів України з приводу ряду сторонніх втручань в ГРРП шляхом використання логіна, пароля, ключа ЕЦП нотаріуса ... "описано більше десятка прикладів зломів. Наведемо кілька:

... нотаріус, від імені которого комп'ютерні Злочинці здійснілі протиправні Реєстраційні Дії, может и не здогадуватіся про наявний факт использование третімі особами его ідентіфікатора для робота із ДРРП (ключа, пароля, ЕЦП ТОЩО). Зокрема, ПН Житомирського МНО Стражник Т.О. только после надходження до Мін'юсту України Скарги з приводу нібіто Вчинення нею реєстраційніх Дій Із припиненням обтяжень, арештів та іпотек дізналася про факт незаконного доступу до ДРРП. А самє - про 50 віпадків несанкціонованіх, протиправних реєстраційніх Дій, что здійснюваліся від ее имени та під ее логіном, паролем та ключем ЕЦП невстановленімі досі правоохороних органами зловміснікамі в період з 22.09.2015 р. по 18.10.2015 р.

Наразі задокументована 7 тріваліх у часі віпадків несанкціонованого втручання, во время якіх знімаліся іпотекі / Заборона / Обтяження по різній кількості об'єктів нерухомості (від 2 до 17 за Одне втручання) з різноманітною географією: м. Миколаїв, Харків, Одеса, Київ, Слов 'янськ ТОЩО. Аналогічна ситуация трапа и в м. Каховці Херсонської області, де факт несанкціонованого доступу МАВ місце 12 квітня 2016 р., А Виявлено несанкціоновані Реєстраційні Дії Рівно за місяць, 12 травня 2016 р.

На цею годину правоохоронні органи зосереділісь основном або й Виключно на пітанні так званого «людського фактору» І, відповідно, АПРІОРІ «винного» нотаріуса, чий Ідентифікатор доступу до ДРРП зловміснікі Використана. Альо факти упертий річ, бо більш чем за 15 попередніх років роботи з Єдінімі та державн реєстрамі НЕ Було зафіксовано жодних випадка Вчинення від імені нотаріуса реєстраційної Дії, авторство якої НЕ візнавалось бі ним самим. Тому акцентування уваги сортаменту на «Людський факторі» та нечістоплотності (непорядності) нотаріуса - це хибний шлях и Втрата дорогоцінного часу. Сама ж ситуация Із нерозслідуванімі и тому безкарнімі стороннімі втручаннямі относительно реєстраційніх Дій в ДРРП від імені нотаріусів створює реальну загроза існуванню як інституту нотаріату та виконавче провадження, так и національній безпеці України в цілому.

До слова, в Департаменті кіберполіції Нацполіціі України нам повідомили, що у гучній в ЗМІ сумському інциденту розпочато кримінальне провадження по ч.1. ст.361 КК : Незаконне втручання в роботу автоматизованих електронно-обчислювальних машин, їх систем чи комп'ютерних мереж, що призвело до перекручення чи знищення комп'ютерної інформації ... Карається штрафом до сімдесяти неоподатковуваних мінімумів доходів громадян або виправними роботами на строк до двох років або обмеженням волі на той самий термін.

Ще не відомо, чи вдалося кіберполіції істотно просунутися в розслідуванні.

способи захисту

Ще за місяць до скандального сумського інциденту Позачерговий з'їзд нотаріусів прийняв рішення запропонувати Мін'юсту модернізувати програмне забезпечення шляхом «прив'язки» до конкретного ПК конкретного нотаріуса з метою запобігання несанкціонованих реєстраційних дій за допомогою «віддаленого доступу», поставивши для цього відповідне завдання ДП «НІС». Судячи з відповіді Мін'юсту нашому виданню, на пропозицію нотаріусів відомство, напевно, відреагувало в стилі: "Грошей немає, але ви тримайтеся. Головне: не пишіть паролі на паркані".

за повідомленнями ЗМІ , Мін'юст порадив нотаріусам регулярно перевіряти, які дії вчинені від їхнього імені.

В результаті нотаріуси змушені захищати себе самі. Нотаріальна палата України рекомендує їм предрінімать ряд заходів:

- невідкладна заміна персональної ідентіфікації доступу до ДРРП (ЕЦП, паролі ТОЩО);

- наявність окремий ПК для роботи Виключно Із ДРРП, іншімі Єдінімі та / або державн реєстрамі;

- систематичне формирование Відомості Виконання в ДРРП Дій з обтяжень (щоденно);

- Здійснення доступу до інтернет-мережі (в т.ч. користання електронною поштою) Із ПК, на якіх НЕ Встановлені ДРРП та інші Єдині та / або Державні реєстри;

- при вікорістанні Wi-Fi обов'язково налаштовуваті т.зв. «Гостьовий вхід»;

- использование Виключно ліцензійного програмного забезпечення, СУЧАСНИХ антівірусніх програм, кріптографа, других технічних напрацювань у сфері протідії кіберзлочінам (ОКРЕМІ Програмні засоби захисту РОбочий місця нотаріуса-державного Реєстратора).

Експерти в області кібербезпеки вважають, що ці пропоновані рішення можуть убезпечити від подальших зломів, але 100-відсоткової гарантії не дають. Потрібна комплексна, багаторівнева система захист.

Володимир Шарун, технічний експерт:

- Щоб нотаріуси не посилалися на те, що не знали про (не) своїх діях, Мін'юст може впровадити електронну звірку. Щодня нотаріуси повинні отримувати автоматичне виписку про операції, скоєних ними в реєстрі. Перевіряти дані. Відправляти (не) підтвердження. У разі вчинення дій під примусом (умовно, під дулом пістолета) - відповідь повинен бути трохи видозмінений. Наприклад: «звичайно, підтверджую», що означає «мене змушують це робити». Але ця схема буде працювати, якщо комп'ютер не керується віддалено.

Не можу точно сказати, скільки коштує розробка і впровадження такої додаткової функції системи: десятки або сотні тисяч гривень, але досить один раз їх вкласти і все.

Ще одне можливе додаткове рішення: створення стерильної зони для роботи з реєстром. Тобто для нотаріальної діяльності використовується окремий «чистий» комп'ютер. Передача інформації з нього - через виділені захищені канали. У розвинених країнах все важливі для держави Системи оперують через подібні стерильні зони. Ні де в світі ви не "зустрінете" атомну електростанцію, підключену до інтернету.

Олександр Федієнко, глава Правління ІнАУ:

- Не втомлююся повторювати: будь-які системи, які мають бази даних або критичні сервіси для обміну між собою за допомогою каналів в мережі інтернет, зобов'язані бути захищені багаторівневою системою доступу. У нас же це часто зводиться до елементарного «логін, пароль» без різного роду перевірочних ідентифікацій або виділених каналів ВПН для входу віддалено в базу даних.

Ті, хто відповідав за "створення" такого роду сервісів, швидше за все, керувалися інтересами особистісного меркантильного характеру. Можливо, подібне можна пояснити недбалістю або ж вони свідомо розуміли, що робили. Але на обличчя знову-таки відсутність стратегії комплексного захисту критичної інформації, в даному випадку наших громадян. Причому, я жодним чином не кажу, що тепер все сервера повинні переїхати на закриті майданчики, а канали до них давати тільки одна якась державна структура. Тут як раз нічого не залежить від каналів передачі даних або оператора.

Як спонукати «НІС» привести реєстр в порядок? Можливо, хороша модель - в разі виявлення несанкціонованих дій в реєстрі подати судовий позов в тому числі і на «НІС». Хоча не виключаю, що «чорні» нотаріуси, які вчинили якусь кількість сумнівних угод, скажімо, з купівлі-продажу квартир, надалі заявляли, що їх акаунтами користувалися. Розуміючи, що, швидше за все, змова може бути розкритий, а тепле містечко втрачати ніхто не хоче.

А власникам нерухомості юристи радять дублювати виписки з реєстру в паперовому вигляді і завіряти їх у нотаріусів.