Что мы узнали об устройстве реестра. Ответы на главные вопросы

Реестр воинского учета взломан?

Анонимная хакерская группировка взломала не сам реестр, а инфраструктуру компании «Микорд» — одного из ключевых разработчиков единого реестра воинского учета (ЕРВУ). Это не означает, что хакеры получили доступ к реестру — его данные хранятся не в самом «Микорде», а отдельно в закрытом контуре.

Взломщики уничтожили рабочее окружение и всю инфраструктуру компании — более 80 серверов, 43 терабайта данных, включая 12 терабайт резервных копий. А еще оставили «пару сюрпризов на будущее». Как именно хакеры смогли взломать «‎Микорд»‎ — читайте в полной версии расследования.‎

Взлом «Микорда», вероятно, отразился на работе сайта реестра повесток, где россияне могут узнать о направленных им повестках и введенных ограничениях. С 5 по 10 декабря после захвата инфраструктуры компании на сайте появилась заглушка об идущих «технологических работах». В «Идите лесом» сообщили, что за это время не получили ни одного обращения о рассылке электронных повесток.

Атака показала, что ключевой разработчик государственной системы для Минобороны не следил за информационной безопасностью. А из-за особенностей хранения и обработки данных в реестре сведения о десятках миллионов россиян могут быть слиты. А именно подробная персональная информация: данные о семьях, местах жительства, состоянии здоровья, образовании и другие параметры.

Будут ли власти использовать реестр для мобилизации?

Это заложено в техническом задании к реестру. Прохождение призывной комиссии по мобилизации — одна из четырех причин для вызова россиян в военкомат. Повестка может прийти мужчинам от 18 до 70 лет и женщинам от 18 до 50 лет, не находящимся в местах лишения свободы. «‎Рассылка повесток не должна иметь ограничений на количество оповещенных граждан (количество повесток)», — было указано в техзадании. ‎

Количество россиян, которые подходят под критерии мобилизованных, отображается и на информационных панелях — так называемых дашбордах, предназначенных для военных всех уровней, вместе с числом призывников и потенциальных контрактников. Для дашбордов требования к мобилизованным сузили: мужчины от 30 до 50 лет и женщины от 30 до 45 лет, которые имеют меньше пяти детей до 16 лет.

Что думают о мобилизации и срочной службе сами разработчики реестра — читайте в полной версии расследования.

Как работает запрет на выезд и другие ограничения?

По закону, человеку закрывают выезд из страны, как только повестка на его имя появляется в реестре. Для этого военком должен отдельным кликом мышки подписать решение о запрете на выезд и направить его в ФСБ, это прописано в техзадании к реестру и инструкциях для военкоматов. При этом отдельные формулировки в техзадании дают понять, что ограничения на выезд из страны могут автоматизировать. Инструкции для сотрудников военкоматов с картинками ищите в полной версии расследования.

Если человек не придет в военкомат в течение 20 дней после даты явки, указанной в повестке, последуют новые ограничения. Для этого военком должен выбрать всех уклонистов в списке и снова кликнуть мышкой. Решения уйдут в соответствующие ведомства — после этого гражданин не сможет брать кредиты, оформлять сделки, водить и регистрировать машину.

Сейчас автоматический запрет на выезд из страны и другие ограничительные меры еще не реализованы — военкоматы и ведомства не наладили обмен данными. По словам правозащитников из «‎Идите лесом», у людей получается пересекать границу, даже если в реестре повесток у них есть метка о запрете на выезд из страны.

Можно ли защитить от призыва «‎нужных людей»?‎

Пока государство отправляет граждан умирать на войну, для защиты отдельных лиц существует УМРИ — специальное подразделение в структуре Минобороны

Все поступающие в реестр данные о гражданах должны блокироваться на три дня. За это время члены УМРИ их проверяют: вычищают «‎защищаемых лиц»‎ или меняют их данные так, что человека невозможно опознать. Кроме того, они могут отменять отправку повесток и наложение ограничений. Инструмент зачистки устроен так, что все следы вмешательства скрыты и даже сама информация об удалении записей подлежит удалению.

«‎Эта база создает сильный коррупционный задел. У оператора — очень большая власть. Он может удалить, изменить данные, подделать и обезличить, потому что логи не пишутся. А операторов должно быть много, потому что все заявки нужно в ручном режиме рассматривать в течение трех дней. И это такая уязвимость, которая продумана изначально»‎, — говорит независимый технический эксперт, который изучил документацию к реестру и доступный код.

Кто и за сколько разрабатывал реестр?

На первом этапе созданием реестра занималась дочка «‎Ростелекома» — «РТ Лабс», а также ее дочерние компании — «Юзтех РТК» и «ИТ1-РТК». В июле 2023-го разработчики начали тестировать компоненты ЕРВУ, а к ноябрю 2023-го была готова одна из первых инструкций для военкоматов.

Позже часть разработчиков перевели в еще одну дочку «Ростелекома» — «РТ Системы коммуникаций» (РТ СК). В апреле 2024-го ее возглавил вице-президент «Ростелекома» Александр Мартыненко, ставший главным куратором разработки ЕРВУ.

В октябре 2024-го РТ СК подписал договор с «Микордом» — компанией из Казани, которая участвовала в разработке других крупных госсервисов, например реестра ЗАГС. Из утечки следует, что фактически «Микорд» работает над реестром как минимум с февраля 2024 года.

За это время «Микорд» получил не менее 377,5 млн рублей по контрактам с РТ СК. Всего же на разработку ЕРВУ c 2024 по 2026 год в Минцифры закладывали 3,8 млрд рублей.

Кто курировал разработку реестра?

Разработка ЕРВУ согласовывалась с правительством, реестр демонстрировали в администрации президента, ход работы лично оценивали премьер-министр, министры связи и обороны. За процессом пристально наблюдали и вносили свои коррективы спецслужбы — ФСБ, СВР и ФСО.

Сотрудники «‎Микорда» регулярно ездили ‎тестировать реестр в Минобороны. Со стороны военного ведомства разработку реестра курировал Андрей Бирюков — начальник управления Главного организационно-мобилизационного управления Генштаба ВС РФ.

Главным куратором от правительства выступила жена Бирюкова, Юлия Левитская — директор Департамента проектной деятельности по контролю за нацпроектами в правительстве. Именно Левитская давала указания разработчикам и отвечала за презентацию реестра высшим чиновникам. Нам удалось с ней поговорить. Читайте об этом в полной версии расследования.

Что за люди разрабатывают реестр?

В «Микорде» работает около 60 человек. Ключевой для государства сервис разрабатывала молодая команда: средний возраст работников — 33 года. Рядовые сотрудники получают меньше, чем в среднем по IT-отрасли в Казани. Например, тестировщиков приглашали на зарплату от 30 до 60 тыс. рублей, разработчиков и системных аналитиков — на 40–80 тыс.

«Микорд» входит в число аккредитованных IT-компаний, поэтому сотрудники могут претендовать на бронь от мобилизации и срочной службы. Но идти на войну они и сами не готовы. Например, весной 2023-го один из тестировщиков «Микорда» был в Таиланде и спрашивал у своей коллеги, разносят ли на родине повестки — иначе он бы так и остался в Азии. А его коллега в одной из переписок описывал армейский опыт как «гребаный ад» и «тюрьму».

Директор и владелец «‎Микорда» после мобилизации уехал в Казахстан и провел там около месяца. А его жена готовила семье запасной аэродром: в декабре 2022 года она получила гражданство Кыргызстана.

Как атмосферу на проекте описал наш источник, знакомый с процессом разработки реестра, читайте в полной версии расследования.

Из чего состоит реестр?

Электронный реестр воинского учета рассчитан на хранение данных о 25 млн граждан. В ЕРВУ попадают более 300 разных атрибутов о каждом человеке: образование, место работы и жительства, сведения о детях, болезнях, имуществе и другие параметры. Доступ к реестру в разном виде есть и у граждан, и у работодателей, но главные пользователи — военные всех уровней, от военкома до министра обороны. Для всех них в реестре разработаны разные компоненты:

Кабинет ЕРВУ для работников военкоматов

Через него можно создавать списки людей на вызов по повесткам, направлять повестки, принимать решение о наложении ограничений и рассылать их в ведомства.

Мощности реестра позволяют рассылать до миллиона повесток в год и 600 тыс. заявок на наложение и снятие ограничений с граждан, которые не явились по этим повесткам в военкомат.

Несмотря на цифровизацию системы воинского учета, некоторые этапы призывных мероприятий не обходятся без участия человека. Например, сотрудники военкоматов вручную выбирают призывников, которым будут направлены повестки. По какому принципу они это делают, ни в техзадании, ни в инструкциях не указано.

Аналитическая система — дашборды и бизнес-метрики

Интерактивные панели, которые показывают актуальную информацию о ходе призывной кампании — количество отправленных повесток, наложенных ограничений, обжалований и другие данные. Отдельно будут отображаться графики с числом людей, которые подпадают под критерии срочников, мобилизованных и контрактников.

У дашбордов есть разные уровни доступа: от военкома до министра, которому готовят специальный «генеральский‎» дашборд.

Личный кабинет для физлиц

Внешняя часть ЕРВУ, к которой есть доступ у граждан. Через личный кабинет реестра повесток можно проверять, направлена ли человеку повестка, наложены ли ограничения, заказывать выписки из реестра повесток.

Личный кабинет для юридических лиц

Внешняя часть ЕРВУ, через которую работодатели загружают туда всю информацию о работниках.

Функции компонентов реестра описан в расследовании «Важных историй» так, как он приводится в технической документации. Часть требований могла меняться при реализации или обновлении техзаданий.