«Важные истории»: военкоматы и ФСБ пока не наладили обмен данными по электронным повесткам
Россиянам, которым пришли электронные повестки, пока что удается выезжать из страны, поскольку военкоматы и ФСБ не наладили полноценный обмен данными о людях с запретом на выезд. Об этом говорится в расследовании «Важных историй» о взломе ключевого разработчика Единого реестра воинского учета (ЕРВУ) «Микорд».
О том, что анонимная хакерская группировка взломала серверы компании «Микорд», стало известно 11 декабря. Взломщики передали полученные файлы правозащитникам из проекта «Идите лесом», а те — журналистам из «Важных историй».
«Важные истории» пишут, что «Микорд» — IT-компания, созданная в 2007 году в Казани. Фирма долгое время выполняла госконтракты и, в частности, занималась созданием единого реестра ЗАГС. В «Микорде» работают около 60 человек, их средний возраст — 33 года. Компания активно нанимает людей без опыта на минимальные зарплаты, отмечают журналисты. В феврале 2024 года «Микорд» привлекли к созданию ЕРВУ. IT-специалисты занимались разработкой личного кабинета реестра повесток, аналитических отчетов для военных всех уровней вплоть до генералитета Минобороны и модуля для спецслужб. По данным «Важных историй», за время работы с реестром организация получила от дочерней структуры «Ростелекома» — компании «РТ СК» — не менее 377,5 миллиона рублей.
Расследователи изучили более ста гигабайт технической документации и рабочих переписок «Микорда», поговорили с его сотрудниками и кураторами разработки в правительстве.
Несмотря на цифровизацию реестра, сотрудники военкоматов вручную выбирают призывников, которым будут направлены повестки, узнали «Важные истории». Военные комиссары самостоятельно подписывают документы электронной подписью, после чего гражданам приходят уведомления в личный кабинет реестра повесток и на Госуслуги. Автоматизация этого процесса не предусмотрена.
Согласно техническому заданию и инструкциям для военкоматов, призывнику должен быть запрещен выезд из России сразу после появления повестки в реестре. Формально для этого требуется лишь одно действие со стороны военкома — электронное подтверждение, после которого информация направляется в ФСБ.
При этом автоматический запрет на выезд до сих пор не реализован — военкоматы и ФСБ не наладили обмен данными, говорится в расследовании. В правозащитной организации «Идите лесом» рассказали «Новой-Европа», что им известно лишь о двух случаях, когда призывников, внесенных в единый реестр, не выпускали из страны. По словам юристов, в подавляющем большинстве случаев у россиян получается пересекать границу даже с врученной повесткой и запретом на выезд.
Журналисты подчеркивают, что основная причина, по которой взлом серверов «Микорда» оказался возможен — низкая квалификация специалистов компании и несоблюдение требований безопасности. Сотрудники обменивались рабочими документами, паролями и другой чувствительной информацией в телеграм-чатах, игнорируя рекомендации не делать этого. По словам опрошенного «Важными историями» независимого эксперта, код, который использовали разработчики «Микорда», был устаревшим и некачественным. Помимо этого, VPN-шлюзы работали на лицензиях, срок которых истек из-за санкций. Также использовались устаревшие версии Windows. Как рассказали хакеры, они уничтожили всю инфраструктуру «Микорда», включая более 80 серверов, 43 терабайта данных (из них 12 терабайт — резервные копии). Кроме этого, взломщики рассказали, что оставили «пару сюрпризов на будущее». Хакерам не удалось проникнуть в сам реестр и удалить данные о военнообязанных — по их словам, данные от ЕРВУ хранятся хранятся в закрытом контуре, куда нельзя напрямую попасть из интернета и обычной офисной сети. Для получения доступа необходимо пройти собеседование с ФСБ и получить специальный ноутбук и флешку. При этом взлом, очевидно, отразился на работе сайта реестра повесток. На нем около пяти дней проводились «технические работы». По словам хакеров, восстановление всех рабочих процессов может занять несколько месяцев.
Также расследователи выяснили, что в ЕРВУ есть специальный модуль, позволяющий по требованию спецслужб бесследно удалять из реестра отдельных людей, обезличивать или заменять их данные фиктивными, отменять отправленные им повестки и наложенные ограничения или скрывать их из списков на призыв. Удалять людей можно как массово, загрузив целый список, так и точечно.
Кого именно планируют защищать от призыва, в документах прямо не говорится. При этом журналисты обращают внимание, что в постановлении правительства о создании ЕРВУ сказано, что работа с данными реестра должна учитывать защиту кадрового состава Минобороны, ФСБ, ФСО, СВР и МВД, а также людей, подлежащих государственной охране, и членов их семей. Речь идет в том числе о судьях, прокурорах, следователях, действующих военных, таможенниках, налоговиках, членах правительства и их семьях.
Из технической документации к проекту также следует, что одна из функций ЕРВУ — не дать гражданам уехать из страны во время возможной мобилизации и призвать их в войска. В дашборде для министра обороны указано, что под мобилизацию должны попасть мужчины от 30 до 50 лет и женщины от 30 до 45 лет. В случае, если у них есть минимум пять детей младше 16 лет, им полагается отсрочка.
При этом слишком чувствительные данные не отображаются даже во внутренней системе Минобороны, отмечают «Важные истории». Разработчикам ЕРВУ запретили выводить на дашборд данные о количестве россиян, которых сняли с учета из-за отъезда за границу и лишения гражданства.
{{subtitle}}
{{/subtitle}}