Корсун: Падіння додатків Дія, Ощад, Нова пошта - що це було?
Версия для печати
То що ж насправді це було?
26 квітня 2025 близько 8 години ранку раптом впали та протягом трьох годин не працювали додатки Нової пошти, Ощадбанку, Монобанку, інших банків і ще багато чого.
Звісно, впала Дія, для якої лежати - це скоріше стандартний стан.
Дуже швидко з’ясувалося, що стався збій електроживлення дата-центру хмарного провайдера DeNovo, про що невдовзі повідомила сама компанія.
За словами їхнього директора, під час проведення регламентних робіт по заміні джерел безперебійного живлення, “раптом позаштатно спрацювала одна з систем автоматичного переключення живлення і заблокувала доступ як до акумуляторних батарей, так і до генераторів.”
Перепрошую, але як для технічного фахівця таке пояснення не є переконливим.
Не дуже віриться якось, занадто фантастично звучить.
Але якщо це правда (ну чого тільки не буває у житті) – то стає навіть лячно.
Якщо якась система МОЖЕ заблокувати доступ людей до будь-якого варіанту живлення – то виникає питання: а що ЩЕ вона може зробити?
Заблокувати систему пожежогасіння?
Вимкнути систему вентиляції?
Заглушити спрацювання сигналізації чи виклик охорони?
Схоже на антиутопію “Я, робот” з Вілом Смітом.
Думаю, нам як завжди, не сказали всієї правди.
Я б не виключав , наприклад, диверсії з кабелями електроживлення датацентру.
Або навіть пентест на проді.
До речі, за порєбріком схожі інциденти траплялися тоді, коли ефесбє встановлювало на мережах провайдерів та датацентрів свої чорні скриньки з DPI, блекджеком та СОРМами всякими.
Але цей косяк – на прикладі Дії - вкотре підсвічує значно серйознішу, стратегічну проблему, недоступну розумінню “дієвих” організмів: довіра до державних електронних послуг, їх стабільність та передбачуваність.
І тут важливо розуміти у чому принципова різниця між державними та недержаними сервісами.
Ось якісь банки чи приватні поштові служби надають свої послуги. Три години їх не було – неприємно, але ладно. Розчарувався – обери іншого постачальника.
З “державою” такої просто опції немає: Україна у нас одна-єдина.
І це накладає значно більшу відповідальність на державного постачальника таких послуг. Який мав би забезпечити усі елементи екосистеми найвищим рівнем стабільності та безпеки.
Що маємо у Дії?
Ідентифікацію та автентифікацію проводять сторонні організації – банки.
Хостінг надається сторонніми організаціями – приватними компаніями.
Транспорт - Трембіта/XRoad – надано взагалі іноземною країною (Естонія).
Першу версію мобільного додатку написала міжнародна ІТ-компанія.
Дані беруться з державних реєстрів, але мініцифрою вони теж не контролюються (відповідальність Мінюста).
Тобто міністерство, яке надає сервіс під загальним брендом “Дія” контролює лише незначну кількість технічних елементів системи, яку гордо називає “державні електронні послуги”. Насправді ж це лише вивіска, за лаштунками якої шоумени просто “вірять на слово” різним організаціям, які входять до цієї збірки: “та все буде нормально, не бійся”.
І такий підхід робить всю систему крихкою та вразливою, нестабільною та непередбачуваною.
Якщо б таку систему будували розумні дорослі з переспективним мисленням, то усі ключові елементи були б “власні” – або повністю підконтрольні.
А за існуючої архітектури “розкиданості” компонентів, у “дієвих” завжди є на кого спихнути провину: “ винний хто завгодно, але не ми”.
Під час останнього голосування у Дії за учасників Євробачення від України, винними виявилися … самі глядачі, які чомусь раптом кинулися одночасно голосувати, сволота така.
Ну тобто винний завжди знайдеться – але це точно буде не Федоров. No way.
До речі, уявіть, якби щось подібне сталося під час е-голосування через Дію на виборах Президента України. І кілька сотень тисяч людей просто б не змогли проголосувати.
Або думало, що проголосувало, а насправді їхні голоси “загубилися”.
Або якось “випадково перерозподілилися”.
Раптом шось “позаштатно спрацювало”, ага.
І ще один момент. Компанія ДеНово має усі можливі сертифікати, у тому числі по безпеці, у тому числі міжнародні. І, звісно, має тричі встрату КСЗІ (дуже офіційна “комплексна система захисту інформації” від Держспецзв’язку).
Але усі ці потужні паперові тигри не врятували Дію від чергового репутаційного ляпаса.
Хоча Дія платить тому ж ДеНово щонайменше (!) 5 мільйонів гривень щомісяця – саме за надійний хостінг.
За стабільність та безперебійність. Від відмовостійкість. За наявність безпеки, кондиціонування, резервного живлення та того самого священного resilience.
І зовсім останнє: як виявилося, майже ніхто у цій країні не резервує канали, усі складають яйця у один потужний-надійний-супер-захищений кошик. Бо ж нахіба? Що може піти не так? У Києві у дата-центр точно ніяка ракета не прилетить, інфа сотка, мені кум казав.
Та і загалом: все нормально буде, не заморочуйся з оцією вашою кібербезпекою.
Роль якої…..
Автор: Костянтин Корсун, експерт з кібербезпеки. У 2000-2005 заступник керівника відділу боротьби з комп’ютерною злочинністю при Департаменті контррозвідки СБУ. Засновник та перший керівник CERT-UA. Колишній директор та співзасновник української кібер-компанії; сторінка автора у Фейсбук
На цю тему:
Если вы заметили ошибку, выделите ее мышкой и нажмите Ctrl+Enter.
Коментарі
Новини
- 21:03
- У Британії посадили шістьох шпигунів рф з Болгарії
- 20:52
- Ворог повідомляє про захоплення Котлярівки біля кордону із Дніпропетровщиною, ОСУВ "Хортиця" розповідає про бої
- 20:00
- У вівторок Україну омиють дощі з грозами, вдень до +19°
- 19:03
- Військові на фронті знову отримали порохи "вкрай низької якості" у нових мінометних пострілах (ФОТО)
- 19:02
- ПЦУ вперше молилася у київському храмі св. Кирила
- 18:44
- Обов’язкову евакуацію готують ще з двох сіл на Сумщині
- 18:27
- Трамп може прибути у Стамбул на зустріч Зеленського й Путіна
- 17:04
- Головного рабина Буковини суд визнав шахраєм
- 16:53
- Правоохоронці ліквідували підпільне виробництво сигарет кримінального сімейства Мамоян, яке безкарно паразитує на Україні з 1993 року
- 16:07
- Руслан Кравченко: «Часто з бізнесом бракує просто чесної розмови: "Ти тут трохи недоплатив. Вибач, маєш виправити"
