Хакерская атака на информационную систему ГАС «Правосудие»

Как стало известно, 6 октября 2024 года прошла хакерская атака на информационную систему ГАС «Правосудие». 7 октября перестали работать:

• Интернет-сайты федеральных арбитражных судов на домене arbitr.ru;
  
  
• Телефония арбитражных судов (Microsoft Lync);
  
  
• Интернет-портал ГАС «Правосудие» (сайты судов общей юрисдикции, управлений Судебного департамента в субъектах Российской Федерации в домене sudrf.ru, сайты мировых судей в домене msudrf.ru);
  
  
• Модуль «Электронное правосудие» (ЭПр, ej.sudrf.ru), личные кабинеты работников судов (ecs.sudrf.ru);
  
  
• ПТК ВИВ, обеспечивающий взаимодействие посредством СМЭВ;
  
  
• Модуль «ЭПр-СМЭВ», обеспечивающий взаимодействие с ЕПГУ;
  
  
• ПИ ВКС (расписание сеансов ВКС);
  
  
• ПИ Недвижимость;
  
  
• Службы электронной почты ГАС «Правосудие».

Судебный департамент при Верховном суде Российской Федерации в своем письме от 8 октября 2024 года № СД-ВИ № 1728 сообщил о «произошедшем инциденте информационной безопасности внутри ведомственного контура ГАС «Правосудие»», а также о том, что работы планируют завершить не ранее 18-ого октября 2024 года.

Опубликованная на канале Алексея Лукацкого информация (см. https://t.me/alukatsky/11556 ) показывает, к какому количеству учетных записей получили хакеры доступ, когда в их руки попали хранившиеся в одном файле логины и пароли.

При этом ИТ-инфраструктура российских судов до сих пор работает на сервисе Lync, который принадлежит корпорации Microsoft и уже не поддерживается разработчиком.

Хакерская группировка BO Team, которая взяла ответственность за преступление, на своем Telegram-канале заявила:

«Спонсорами сегодняшнего праздника выступили: разработчики ГАС «Правосудие», «Лаборатория Касперского», компания Positive Technologies, разработчики программно-аппаратного комплекса ИВК «Кольчуга-К», а также АО «РТКомм РУ» (структура «Ростелекома», которая оказывает услуги связи государственным и корпоративным заказчикам». – «Газета.Ru»), которое разместило и «убезопасило» центр обработки данных (ЦОД) [ГАС «Правосудия» и сайта Федеральных арбитражных судов РФ] в здании дата-центра АО ММТС-9».

«Особую благодарность» хакеры выразили  заместителю начальника отдела системного администрирования телекоммуникаций ФГБУ ИАЦ «Информационно-аналитического центра поддержки ГАС «Правосудие» и команде системных администраторов предприятия. «Они не только открыли нам ворота, но и не захотели делать бэкапы (резервные копии для восстановления работы систем. – «Газета.Ru»), про что говорят любезно предоставленные нам результаты аудита», – сообщили  хакеры.

На канале «Об ЭП и УЦ» (@ep_uc , Телеграм-канал о сфере электронной подписи) подводя итоги ситуации на 13 октября было отмечено, что «косвенные сведения говорят о том, что инфраструктура была поражена вирусом-шифровальщиком, поэтому при отсутствии резервных копий восстанавливать просто нечего.»

Мой комментарий: Если окажется, что обслуживающие ГАС «Правосудие» специалисты действительно не создавали никаких резервных копий (что всё-таки мне кажется малоправдоподобным), то их вместе с их руководителями следовало бы привлечь к субсидиарной ответственности и через суд обязать оплатить в полном объёме все затраты государства, которые потребуются для восстановления работоспособности системы.

С профессиональной точки зрения данная ситуация наглядно показывает к чему может привести атака на объект критической информационной инфраструктуры, и у нас появилась возможность оценить не только информационную безопасность, но и готовность ведомств действовать в условиях ЧП – как в плане обеспечения непрерывности их деятельности, так и в плане восстановления после ЧП. Другие ГИС также должны принять во внимание уроки инцидента с ГИС «Правосудие».

Произошедший инцидент весьма неприятен, но не смертелен, и нам нужно учиться на своих ошибках. Необходимо не только разобраться с тем, как атака стала возможной, но и внимательно посмотреть на то, как судебная система справилась (или не справилась) с работой в условиях ЧП и с восстановлением работоспособности информационной инфраструктуры, включая регистрацию в ней документов и информации, которые создавались, поступали и пересылались судебными органами в период неработоспособности ГИС.

Тема обеспечения непрерывности деловой деятельности в случае инцидентов и катастроф и восстановления после них, которая была очень популярной в начале века, в последние годы стала как-то уходить в тень. Мне кажется, что о ней пора вспомнить снова, в изменившихся условиях, когда в случае сбоя ключевых информационных систем продолжать работу становится очень сложно - тем более, что в соответствующих усилиях могут сыграть большую роль архивисты и специалисты по управлению документами и информацией (и это позволит им побороться за повышение своего статуса и зарплат).

Источники: РБК / CNews / Газета.ру
https://www.rbc.ru/society/09/10/2024/67063c8a9a7947f696448192
https://www.cnews.ru/news/top/2024-10-09_hakery_serezno_polomali
https://www.gazeta.ru/tech/news/2024/10/08/24101431.shtml?ysclid=m2abyle7ej940824842
https://t.me/ep_uc/2888
https://t.me/alukatsky/11556