«Это ребята из Казани, которые создавали цифровой ГУЛАГ». Что стало известно из расследования о едином реестре воинского учета
Издание «Важные истории» 22 декабря опубликовало расследование о едином реестре воинского учета (ЕРВУ) и о его разработчике — компании «Микорд» из Казани. Журналисты выяснили, как устроен реестр, кто отвечает за его создание и как эту систему готовят к возможной мобилизации. «Вот Так» пересказывает главное из этого расследования.
Как произошел взлом
Глава проекта «Идите лесом» Григорий Свердлин 11 декабря сообщил о взломе «Микорда». По его словам, неназванные хакеры в течение нескольких месяцев пользовались доступом к внутренним системам компании и успели выгрузить большой массив данных. Все материалы хакеры передали «Идите лесом», а проект, в свою очередь, отправил их журналистам «Важных историй».
Вероятно, взлом повлиял на клиентскую часть ЕРВУ — сайт реестра повесток, через который россияне могут узнавать о своих повестках и о введенных против них ограничениях. На сайте 5 декабря появилась заглушка о «технологических работах». Реестр повесток восстановил работу только вечером 10 декабря.
В «Идите лесом» отметили, что с 5 по 10 декабря не получили ни одной жалобы на получение электронных повесток. Также глава отдела помощи и эвакуации «Идите лесом» Дарья Берг говорила «Вот Так», что введение ограничений против получателей повесток, таких как запрет на выезд за границу или на право управления автомобилем, «откладывается как минимум на несколько месяцев».
«Это ребята из Казани, которые создавали цифровой ГУЛАГ в виде реестра воинского учета. В расследовании появятся ключевые фамилии. Наверное, не все, но самые главные разработчики точно будут. Кстати, директор компании “Микорд” уже подтвердил взлом. Мне кажется, страна должна знать своих героев в лицо, [как] и имена людей, которые причастны к тому, чтобы россиян отправляли на войну», — сообщила Берг «Вот Так».
Она также добавила, что около 140 «повесток» хакеры отправили самим разработчикам реестра воинского учета. Скриншоты этих уведомлений Свердлин 12 декабря опубликовал в своем инстаграме.
Минобороны 11 декабря назвало информацию о взломе реестра «вбросом» и заявило, что реестр «функционирует в штатном режиме».
Как устроен реестр
Согласно внутренним документам о разработке ЕРВУ, электронная система должна хранить данные о 25 млн военнообязанных граждан России. При этом о каждом человеке в реестре должны быть собраны более 300 разных параметров: например, образование, место работы и жительства, сведения о детях, болезнях и имуществе.
Реестр позволяет военным рассылать до миллиона повесток в год и 600 тыс. заявок на наложение ограничений на граждан, которые не явились по этим повесткам в военкомат.
«После того как реестр полностью начнет работать, невозможно будет сделать ничего, не оставив в нем след», — сказал «Важным историям» один из хакеров, участвовавших во взломе. По его мнению, эта система сделает уклонение от призыва «очень сложным».
Кураторы и заказчики
Со стороны правительства разработку ЕРВУ контролирует директор Департамента проектной деятельности по контролю за нацпроектами в правительстве Юлия Левитская. Журналисты выяснили, что она была одной из ключевых фигур, принимавших решения в проекте, а также она отвечала за презентацию реестра высокопоставленным чиновникам.
Из переписок сотрудников «Микорда» следует, что в 2024 году они начали регулярно ездить из Казани в Москву — чтобы отчитываться о разработке ЕРВУ перед Министерством обороны. Доклады у них принимал начальник управления Главного организационно-мобилизационного управления Генштаба ВС РФ Андрей Бирюков — муж Юлии Левитской.
Также за разработкой реестра наблюдали спецслужбы: в материалах утечки есть документы с десятками замечаний, поступившими от ФСБ, СВР и ФСО.
Массовая мобилизация
Левитская утверждает, что система не будет использоваться для проведения мобилизации.
«Никакого отношения к войне реестр не имеет. Это гражданская история в мирное время. Об этом много раз писали и заявляли», — сказала чиновница «Важным историям».
При этом ранее, в мае 2024 года, Левитская писала разработчикам, что «мобилизация, контракт и добровольцы» — это три «бизнес-задачи», которые нужно включить в функционал подсистемы ЕРВУ, предназначенной лично для министра обороны. Этот компонент реестра в «Микорде» называли «генеральским» дашбордом.
«Нам было бы хорошо, наверное, показать потенциальное количество тех, кого можно будет из них призвать по мобилизации, тех, кто потенциально подходит под контракт и тех, кто потенциально могут пойти добровольцами», — писала Левицкая.
Журналисты обратили внимание, что в более поздних версиях системы от категории добровольцев в «генеральском» дашборде отказались.
В последней доступной версии технического задания от августа 2024 года также указано, что должна быть возможность использовать ЕРВУ для проведения мобилизации. Согласно документу, система должна обеспечить мобилизацию мужчин от 18 до 70 лет и женщин от 18 до 50 лет, не находящихся в местах лишения свободы. При этом «рассылка повесток не должна иметь ограничений на количество оповещенных граждан (количество повесток)».
Удаление из реестра «нужных людей» без следа
Не позднее мая 2024 года «Микорд» подключился к разработке отдельного модуля ЕРВУ — единого компонента сопряжения (ЕКС). Через этот модуль проходят фильтрацию все данные, поступающие в реестр, и он позволяет бесследно удалять информацию об отдельных людях, в том числе о сотрудниках спецслужб.
Согласно пояснительной записке, все попадающие в реестр воинского учета данные должны блокироваться на три дня. За это время операторы ЕКС должны проверить данные о человеке и при необходимости либо изменить их, чтобы человека нельзя было опознать, либо полностью удалить запись о человеке из реестра.
В изученных «Важными историями» документах нет прямых указаний на то, каких людей будут удалять из реестра. При этом журналисты обратили внимание, что в постановлении правительства о создании ЕРВУ сказано, что работа с данными системы должна учитывать кадровый состав Минобороны, ФСБ, ФСО, СВР и МВД, а также людей, подлежащих государственной охране, и членов их семей.
Журналисты отметили, что ЕКС устроен так, что удалить из Единого реестра воинского учета можно любого человека. При этом в системе не останется информации даже о самом удалении этой записи.
Проверять и удалять данные из реестра через ЕКС будет подразделение Минобороны по управлению мониторингом и разбору инцидентов (обозначено во внутренних документах как УМРИ). Информацию о том, кого необходимо удалить из реестра, УМРИ будет получать от ФСБ, ФСО и СВР. В одном из документов разработчиков также упомянуто, что право подавать заявки в УМРИ получит и Росгвардия.
«Лакомая цель»
Журналисты выяснили, что у системы воинского учета были две ключевые уязвимости: чрезмерный объем хранящихся на сервере персональных данных десятков миллионов россиян и функция, позволяющая использовать ЕРВУ, не оставляя следов.
Участник взлома «Микорда» объяснил «Важным историям», что при создании подобных систем разработчики должны руководствоваться принципом минимальной достаточности. То есть система должна собирать только те данные, которые необходимы для ее функционирования.
«В этом же случае собираются вообще все в принципе возможные данные в одном месте. И это создает настолько лакомую цель для разных злоумышленников, для пробивщиков, спецслужб российских и зарубежных — вообще для всех. Вопрос того, когда эти данные утекут, — это вопрос “когда”, а не “если”», — рассказал собеседник издания.
Также повысил риск взлома единый компонент сопряжения, позволяющий силовикам удалять и изменять данные из системы, не оставляя следов, пишет издание. Пользователи с доступом к ЕКС получают возможность скачивать из реестра любые данные, не опасаясь, что их заметят.
Дополнительно участник взлома сообщил, что руководство «Микорда» обязывало сотрудников отмечать через рабочие компьютеры, что они присутствуют в офисе. Из-за этого разработчики просили коллег заходить на свои рабочие компьютеры и отмечать рабочие часы, при этом они делились паролями в личных переписках в мессенджерах.
,,«Они это делают настолько часто, что мы просто устали заходить на компьютеры с их паролями и выкачивать всё», — сказал источник.
Разработчики
В «Микорде», согласно внутренним документам, работает около 60 человек, их средний возраст — 33 года. Тестировщики в этой компании получают от 30 до 60 тыс. рублей, а разработчики и системные аналитики — от 40 до 80 тыс. рублей. Сотрудники «Микорда» имеют право на бронь от мобилизации и срочной службы.
Расследователи отметили, что одной из руководительниц разработки проектов, которую нанимал «Микорд», была 33-летняя Алина Сафиуллина. Согласно договорам об оказании услуг, она получила от компании за разработку архитектурного решения ЕРВУ около 2 млн рублей.
До того как «Микорд» взялся за разработку реестра воинского учета, Сафиуллина работала в Аналитическом центре при правительстве РФ, который тоже давал указания по работе ЕРВУ.
«Важные истории» обратили внимание, что муж Сафиуллиной Тимур в июле 2025 года рассказал татарстанскому изданию «Ютазинская новь», что они «посетили практически все страны Европы».
Ограничения системы
Человеку, получившему повестку через Единый реестр воинского учета, в тот же день должен быть автоматически запрещен выезд из России. Сейчас этот функционал еще не реализован, так как военкоматы и ФСБ не успели наладить обмен данными. В «Идите лесом» пояснили изданию, что людям, получившим повестки, пока удается пересекать границу, даже если в реестре указан запрет на выезд.
Во время призывных кампаний военкомы должны будут вручную формировать списки призывников, которым будут направлены повестки. Во внутренних документах сказано, что автоматизация этого процесса не предусмотрена.
Проект «Идите лесом» 22 декабря опубликовал ссылку на архив с основной техническую документацией реестра, исходным кодом, выгрузками из систем разработки «Микорда», а также IT-интегратора «РТ Системы коммуникаций», скриншотами переписок и реакциями в чатах после взлома. В проекте пообещали в будущем опубликовать еще больше данных, изъятых у разработчиков, и призвали экспертов продолжить изучать документы.