Aa Aa Aa

Взломы Госреестра недвижимости: миф или реальность?

Евгения Подгайная
Взломы Госреестра недвижимости: миф или реальность?

Около года назад в Украине разразился масштабный скандал по поводу махинаций «черных» риелторов с данными Госреестра недвижимости, в результате которых квартиры, земельные участки и целые компании «переходили» в чужие руки. Злоумышленники действовали при помощи удаленного управления компьютерами нотариусов. Заражение происходило после открытия файла с вредоносным кодом, который присылался в сообщениях электронной почты. 

Тогда администратор Госреестра недвижимости "Национальные информационные системы" (НАИС) и Нотариальная палата Украины детально пояснили нотариусам действенные способы защиты от мошенников.

Прошел год. А СМИ продолжают пестреть заголовками «Черные риелторы отобрали у киевлян 31 квартиру», «В столице задержали банду черных риелторов», «Украинцы массово лишаются квартир через интернет» и т.п.

В судебном реестре также немало увлекательных «историй», расследуемых по 190 ст. УКУ (Преступления против собственности).

По данным "Лига. Закон", ежегодно в Украине происходит около 3 тысяч попыток рейдерских захватов. В 30% случаев мошенникам удается переоформить права собственности. Чаще всего жертвами злоумышленников становятся промышленные объекты (около 50%) и недвижимость (около 30%).

Пожелавший остаться неназванным специалист госпредприятия "Национальные информационные системы" рассказал изданию, что изменилось за прошедший год.

Злоумышленники взяли на вооружение новые схемы мошенничества с данными Госреестра недвижимости или продолжают пользоваться удаленным доступом и наивностью нотариусов? НАИС намеревался ввести дополнительные идентификаторы для нотариусов…

- С 28 апреля сего года для всех регистраторов (в т.ч. нотариусов) введено обязательное требование использования для доступа в реестры защищенных носителей ключевой информации. При этом, подавляющее большинство нотариусов начало использовать защищенные носители до 31 марта. Специалисты полагают, что схема  «удаленный доступ + наивность нотариусов»  в этих условиях слегка подмочена, ибо личный ключ скопировать нельзя. Но отдельные, видимо, продолжают настаивать на «наивности». Еще не переписали методичку. 

- В августе 2016 заработал сервис  SMS-маяк  , который может информировать владельцев имущества об изменениях в реестре. Но по данным СМИ, пока им пользуется только около 4 тысяч клиентов, в основном банки и агентства недвижимости. Почему, на Ваш взгляд, «Маяк» не пользуется активным спросом?  

- Как известно, сервис платный. НАИС лишь предоставляет возможность реализации сервиса. Администрируют сервис  те субъекты хозяйствования, с которыми пользователи (банки, агентства недвижимости и т.д.) заключили соглашения на его использование.

Сколько обращений по поводу несанкционированных действий в Госреестре недвижимости поступило в НАИС от правоохранителей, нотариусов за последний год? 

- Такие обращения поступают в рамках досудебного расследования уголовных дел, внесенных в Единый реестр досудебных расследований. В соответствие со ст. 222 УПКУ, сведения досудебного расследования можно разглашать лишь с разрешения следователя либо прокурора, и в том объеме, в котором они признают возможным.

Отмечу, что по событиям этого года поступало несколько обращений. Все они касались ситуаций до использования регистраторами защищенных носителей. В отдельных случаях регистраторы хотя и получали защищенный носитель, но не использовали его для доступа в реестры до указанного в нормативно-правовой базе срока. В этих случаях пресловутая схема «удаленный доступ + наивность нотариусов», видимо, срабатывала.

Как правило, противоправные действия осуществлялись в отношении незаконного снятия арестов или иных ограничений на недвижимость (движимость). Можно ли говорить при этом о «наивности»? Не думаю. Так или иначе, но на сегодня эти события в «цепких руках» правоохранителей, и именно они способны  профессионально квалифицировать действия фигурантов.

Проиллюстрирую. В конце прошлого года всем пользователям реестров наше предприятие направило рекомендации по повышению безопасности при работе с информацией. Возможность работы с защищенными носителями была реализована с 3 января сего года. Звонит «наивный» и сообщает о взломе. Спрашиваю: «Рекомендации читал?» - «Читал…»  - «О защищенных носителях знал?» - «Знал…» - «Ну и?» - «Думал, меня это не коснется…». Мне кажется, что этот ответ можно уверенно ставить в эпиграф к описанию большинства инцидентов в сфере информационной безопасности  (в том числе, и последних).

- СМИ продолжают публиковать мнения, что «любой хакер в состоянии взломать реестр и от имени нотариуса внести необходимые данные», «несмотря на 10 уровней электронной защиты Единого госреестра, взломать его и получить документ на квартиру не составляет труда профессиональному хакеру». Прокомментируйте эти заявления. Были ли реальные взломы реестра?

- Как говорится, «следите за руками!». «Любой хакер в состоянии взломать реестр и от имени нотариуса…» Взломать реестр или взломать (допускаю) компьютер нотариуса и уж затем от его имени…? Далее тезис получает закономерное развитие «несмотря на 10 уровней электронной защиты…», и потекла мысль по древу. Конечно, вызывает некоторое удивление глубокая осведомленность сапожника в вопросах технологии изготовления пирожных, но при чем здесь «10 уровней электронной защиты», если к данным реестра допускается легитимный пользователь? Да хоть сто уровней, но пользователь легитимный! У нас пока не введена система распознавания образов, хотя на определенном уровне можно еще и биометрию внедрить. А там и до инструментов из одорологии недалеко.

Существовала угроза несанкционированного копирования личных ключей, ее минимизировали. Кстати, с учетом рекомендаций «лучших собаководов» (NIST 800-63-3, кому интересно).

Но если пользователь думает, что все, о чем пишут и что рекомендуют – детские шалости, лишняя возня в песочнице и «его это не коснется», то единственным рецептом безопасности в таком случае является полное ограничение доступа к реестрам для всех (и регистраторов )! И вот тогда уж, ну, точно заживем!

Замечу при этом, что идеальной защиты не существует в природе. Гипотетически человек может взломать все, что придумано другим человеком. Комплексная система защиты информации в информационной системе реестров построена в соответствии с требованиями отечественного законодательства,  с учетом существующих угроз, исходя из финансовых возможностей  ведомства. Да, и государства в целом ее обеспечить, что на сегодня, к сожалению, превалирует.

На то или иное событие, естественно, будет следовать реакция с учетом «шапки по Сеньке».  Хотя, могли ли пользователи M.E.Doc (в основном бухгалтеры) предположить, что в процессе получения обновления официального программного продукта к ним проникнет коварный враг? Но вопрос, почему произошло последующее массовое заражение через локальные сети, лежит, думаю, именно в плоскости «думал, меня это не коснется…». При этом замечу, что «Петя» на работоспособность информационной системы реестров не повлиял никоим образом.