«Тематика проекта — грязь»
Что мы узнали о реестре воинского учета благодаря хакерскому взлому ключевого разработчика системы. Расследование «Важных историй»
Available in EnglishВечером 5 декабря сотрудники компании «Микорд» собрал�ись в одном из баров Казани. К тому моменту инфраструктура фирмы была уничтожена, а сайт, соцсети и другие внутренние ресурсы находились под контролем хакеров. Сотрудники заметили это спустя шесть часов, увидев заявление взломщиков в инстаграм-аккаунте «Микорда».
— Как будто не просто так у нас ничего не работает, — написал один из тестировщиков «Микорда».
— Думаешь? Выглядит хуево. <...> Нам пизда, — ответил коллега.
— Каким журналистам только они хотят передать? Никто не будет писать об этом, — решил тестировщик.
Казанская компания «Микорд» — один из ключевых разработчиков единого реестра воинского учета (ЕРВУ). Хакеры получили доступ к ее внутренним документам и передали массив данных правозащитному проекту «Идите лесом», а те — журналистам «Важных историй».
Мы изучили более ста гигабайт технической документации и рабочих переписок «Микорда», поговорили с его сотрудниками и кураторами разработки в правительстве. По просьбе «Важных историй» данные оценили и два независимых технических эксперта.
Рассказываем главное о том, как устроен реестр и процесс его создания.
Короткую версию расследования читайте здесь.
«Как только мы стали заниматься ЕРВУ, на нас начали охотиться хакеры». Как компания из Казани стала ключевым разработчиком реестра
«Нас, как вы знаете, взломали. Взломали очень серьезно, всю нашу инфраструктуру положили. Чтобы вы понимали, они вообще всё уничтожили — и Jira, и Confluence, и Git (инструменты для разработки. — Прим. ред.). То есть нет ничего вообще. Есть только исходные коды на ваших компьютерах, — так директор "Микорда" Рамиль Габдрахманов начал созвон с сотрудниками 8 декабря. — Раньше мы работали и всего этого не замечали. Как только мы стали проектом ЕРВУ заниматься, на нас начали охотиться хакеры».
«Микорд» спокойно работал 18 лет — в 2007 году его основал казанский IT-предприниматель Александр Николаев. В первые годы работы компания получала скромную выручку от госконтрактов в Татарстане и внедрения собственных IT-продуктов для бизнеса.
В 2016 году «Микорд» получил контракт на создание единого реестра ЗАГС. Этот проект автоматизировал работу региональных органов ЗАГС и объединил рукописные данные в одну цифровую систему. Компания работала над десятками крупных информационных госсервисов, например корпоративной системой «Росатома», базой данных людей с инвалидностью Татарстана, порталом «Работа в России» и другими.
Вероятно, секрет успеха «Микорда» кроется в связях основателя компании Александра Николаева, который владел ей и занимал пост гендиректора до конца 2017 года, хотя фирма по-прежнему связана с группой его компаний. Он вел совместный бизнес с женой Николая Никифорова — бывшего министра связи Татарстана, затем всей России, а после — члена совета директоров «Ростелекома». Именно во время работы Никифорова на федеральном уровне «Микорд» начал получать контракты на участие в разработке крупных государственных систем.
Александр Николаев развивал интеграторский бизнес (внедрение и интеграция IT-систем) группы компаний «Центр» с 90-х. Амбиции казанского предпринимателя не ограничивались российским рынком: в 2012 году вместе с давним партнером Алексеем Зининым он основал стартап Cinarra Systems с офисами в Казани, Калифорнии и Сингапуре. Стартап предложил технологию, которая позволяла сотовым операторам использовать данные клиентов для заработка на интернет-рекламе. Компания смогла привлечь десятки миллионов долларов от российских и зарубежных инвестфондов.
В то время как Cinarra Systems закрывала инвестиционные раунды в США, Николаев стал добиваться крупных успехов и в России. В 2014 году на московских дорогах начали тестировать камеры фиксации скорости, которые разработала компания «Автодория». Одним из ее совладельцев с долей в 30% был «Центр-Сервис», записанный на Асию Монасыпову, мать Николаева.
Партнером Николаева по этому перспективному бизнесу стала Светлана Никифорова, жена министра связи РФ Николая Никифорова. До своего повышения в 2012 году он занимал пост министра информатизации и связи в правительстве Татарстана.
Продвижением этого проекта занимался сам президент республики Рустам Минниханов. Накануне отъезда Никифорова в Москву он предложил тогдашнему вице-премьеру Владиславу Суркову внедрить «Автодорию» по всей трассе M7 от Москвы до Уфы. Позже первый вице-премьер Игорь Шувалов поручил законодательно закрепить внедрение системы. По подсчетам казанского издания «БИЗНЕС Online», к 2020 году «Автодория» получила 59 госконтрактов на два миллиарда рублей.
В 2017 году Александр Николаев ушел с поста гендиректора «Микорда». Формально компания перешла под контроль Альбины и Рамиля Габдрахмановых, менеджеров ЗАО «Центр-Сервис» — другой компании группы «Центр».
Несмотря на формальный уход Николаева из «Микорда», компания все еще входит в периметр «Центра». Кроме появления в руководстве «Микорда» менеджеров «Центр-Сервиса» на тесные связи также указывают их общий физический адрес до 2021 года, появление продуктов «Микорда» на выставочных стендах «Центра» и использование директором «Микорда» почты на домене «Центра» как минимум до 2022 года.
Брат Николаева, Максим Николаев, до сих пор регулярно получает миллионы рублей по договорам оказания услуг. Только за 2025 год «Микорд» перевел ему около 15 млн рублей, следует из внутренних финансовых документов компании, которые есть в распоряжении «Важных историй».
Александр Николаев, основатель «Микорда», не ответил на запрос «Важных историй» о комментарии.
В 2024 году «Микорд» привлекли к работе над реестром воинского учета. Контрактов с компанией на разработку ЕРВУ нет в публичном доступе, однако «Важные истории» нашли в утечке дополнительное соглашение, из которого следует, что фактически «Микорд» подключился к разработке реестра в феврале 2024-го. Договор с «Микордом» заключала компания «РТ Системы коммуникаций» (РТ СК) — дочерняя структура «Ростелекома». За время работы над реестром «Микорд» получил от нее не менее 377,5 млн рублей.
О планах российских властей создать цифровой реестр воинского учета стало известно в апреле 2023 года, когда соответствующий законопроект был за один день принят Госдумой сразу во втором и третьем чтении. Тогда же «Медуза» впервые назвала одного из разработчиков реестра — «РТ Лабс», дочернюю компанию «Ростелекома».
В феврале 2024-го правительство определило «Ростелеком» единственным исполнителем работ по контрактам Минцифры на создание единого реестра воинского учета. Ему разрешили привлекать субподрядчиков, но при условии, что сам «Ростелеком» выполнит не менее 5% обязательств по контрактам в стоимостном выражении.
Реальная работа над реестром началась намного раньше. На первом этапе его созданием действительно занималась компания «РТ Лабс», а также ее дочерние фирмы — «Юзтех РТК» и «ИТ1-РТК». В июле 2023-го разработчики начали тестировать компоненты ЕРВУ, а к ноябрю 2023-го была готова одна из первых инструкций для военкоматов.
Позже часть разработчиков перевели в еще одну «дочку» «Ростелекома» — «РТ Системы коммуникаций» («РТ СК»), зарегистрированную в июне 2023 года. В апреле 2024-го ее возглавил вице-президент «Ростелекома» Александр Мартыненко, ставший куратором разработки ЕРВУ.
В октябре 2024-го «РТ СК» стала владельцем домена реестрповесток.рф. Тогда же «Ростелеком» заключил госконтракт с Минцифры, поручил работы по нему дочерней «РТ СК», а 29 октября 2024-го формально был подписан договор с «Микордом». Фактически компания начала работать над реестром еще в феврале 2024 года.
К этому моменту стало понятно, что «Ростелеком» не может выполнить распоряжение правительства и закончить работы к 31 декабря 2024 года. Кроме того, было провалено поручение Путина: ЕРВУ и реестр повесток (публичную часть ЕРВУ, куда могут зайти граждане России) планировали использовать уже в осенний призыв 2024 года, однако полноценный запуск новой системы отложили на год.
За время работы над реестром «Микорд» получил не менее 377,5 млн рублей по контрактам с «РТ СК». Всего же на разработку ЕРВУ c 2024 по 2026 год в Минцифры закладывали 3,8 млрд рублей, сообщал Forbes со ссылкой на паспорт программы цифровой трансформации ведомства.
До хакерской атаки «Микорд», вероятно, рассчитывал получить новые контракты на дальнейшее развитие ЕРВУ, как это произошло в случае с реестром ЗАГС. В августе 2024-го «Микорд» и «Ростелеком» создали совместное предприятие — компанию «РТК Программные решения» — для «реализации специальных проектов» в ведении куратора ЕРВУ, вице-президента «Ростелекома» Александра Мартыненко.
Выбор «Микорда» для разработки ЕРВУ может быть связан и с предыдущими проектами компании — она делала специальный модуль для спецслужб в реестре ЗАГС. Это обсуждалось на рабочем созвоне с участием «Микорда», РТ СК и «Солар» — дочерней компании «Ростелекома», отвечающей за безопасность проекта.
Евгений Базаркин, «Солар»: Мы вообще с «Микордом» взаимодействовали? Насколько у них безопасность [обеспечена], как они разрабатывают этот код, [есть] политики [безопасности] какие-то? Это надежная компания, проверенная?
Алина Сафиуллина, «Микорд»: Да, мы надежные, проверенные.
Владимир Королев, заместитель гендиректора РТ СК и вице-президента «Ростелекома»: Коллеги имеют опыт релевантный, поэтому мы их привлекли. Они участвовали в проекте по ЗАГС и модуль сопряжения (компонент, с помощью которого можно бесследно удалить из реестра данные о любом человеке. — Прим. ред.) для этих самых наших министерств делали (имеются в виду силовые ведомства: ФСБ, ФСО, СВР. — Прим. ред.), будут делать примерно то же самое, поэтому их и привлекли.
В итоге «Микорд» занялся созданием сразу нескольких компонентов ЕРВУ — личного кабинета реестра повесток, аналитических отчетов для военных всех уровней вплоть до генералитета Минобороны и модуля для спецслужб. Функционал компонентов реестра описан в тексте так, как он приводится в технической документации. Часть требований могла меняться при реализации или обновлении техзаданий.
«Они не просто очередной субподрядчик, они предоставляют "Ростелекому" технологию. У них есть такой продукт, как Web-BPM (платформа для low-code разработки. — Прим. ред.). На основе этого компонента в реестре сделано довольно много вещей, в том числе те, что разрабатываются "Микордом" не напрямую, — объясняет участник взлома, изучавший устройство разработки реестра. — Компания довольно широко участвует в разработке реестра. Даже в командах, которые напрямую не связаны с тем, что сейчас делает "Микорд", есть их тестировщики».
«Запрещается пересылка документов в чатах "Телеграма"». Как взломали «Микорд»
По плану правительства цифровой реестр воинского учета должен был заработать в 2024 году, но его запуск несколько раз переносили. В Минцифры объясняли это в том числе «жесткими требованиями к информационной безопасности и создаваемой инфраструктуре».
Сами разработчики ЕРВУ эти жесткие требования к безопасности не соблюдали. Еще в июле 2024 года сотрудников «Микорда» просили не обмениваться в мессенджерах рабочими документами и доступами, но из материалов утечки видно, что и рядовые сотрудники, и руководители проектов это игнорировали.
«Начальство заставляет вас ходить в офис и отмечать рабочие часы. Поэтому что вы делаете? Вы просите коллегу зайти в свой рабочий компьютер с вашим паролем и отметить за вас часы. Они это делают настолько часто, что мы просто устал�и заходить на компьютеры с их паролями и выкачивать всё», — рассказал «Важным историям» участник взлома.
В результате атаки хакеры получили доступ к исходному коду, рабочей документации и перепискам «Микорда», в том числе с «Ростелекомом» и заказчиками из Минобороны, а также к документам РТ СК, дочерней компании «Ростелекома», которая привлекла «Микорд» к разработке.
Группировка уничтожила всю инфраструктуру «Микорда» — более 80 серверов, 43 терабайта �данных, включая 12 терабайт резервных копий — и оставила, по их словам, «пару сюрпризов на будущее». Восстановление рабочих процессов в прежнем виде, по оценкам хакеров, может занять месяцы.
Полное уничтожение инфраструктуры компании подтвердил директор Рамиль Габдрахманов на внутреннем созвоне после взлома. Он сообщил сотрудникам, что они не смогут работать как минимум до середины декабря. Возможности продолжать работу над ЕРВУ временно лишились не только микордовцы, но и разработчики РТ СК — им отключили доступ к инфраструктуре, следует из этого обсуждения.
Если у сотрудников осталась локальная копия репозитория, то восстановить сам код будет не так сложно, объясняет «Важным историям» независимый технический специалист. Однако, если заказчики ЕРВУ откажутся сотрудничать с «Микордом» из-за взлома, это может замедлить работу над реестром: нужно будет искать нового подрядчика. Ему придется вникать в разработанную «Микордом» технологию, на которой реестр работает сейчас, или переделывать его на основе других фреймворков.
Главная причина взлома «Микорда» — низкая квалификация разработчиков и менеджмента, говорит участник хакерской группировки: «Есть реестр, который вы хотите разработать за несколько миллиардов рублей. Сдать его нужно вчера. Поэтому вы находите какую-то компанию в Казани, которая платит своим сотрудникам по 30–60 тыс. рублей и заставляет их работать на выходных, по ночам. Она может делать это быстро и без серьезных расходов по стоимости».
Невысокое качество кода разработчиков «Микорда» подтвердил незави�симый эксперт, который изучил его по просьбе «Важных историй». «Код не очень качественный и плохо покрыт тестами, — заключил он. — Уникального кода там мало, всё основано на их внутреннем фреймворке (готовом каркасе программы, который позволяет быстрее создавать продукты. — Прим. ред.), который, вероятно, устарел и сильно не переписывался».
Помимо этого взлому помогли санкции. «В "Микорде" было несколько дыр, которые существовали исключительно благодаря санкциям. Например, в их VPN-шлюзе после начала вторжения истекла лицензия на Firewall (подписка, которая активирует дополнительную защиту устройства. — Прим. ред.), и в том числе благодаря этому мы смогли зайти в их сеть. Более того, они используют устаревшую, уже не поддерживаемую версию Windows 10 и не обновляют ее, наверняка тоже из-за санкций», — рассказал участник хакерской группировки.
«Дашборд нужен в бункере к 17:00». Кто курирует реестр от «гражданских»
Формальным заказчиком реестра выступило Минцифры, а функциональным — то есть тем, который будет пользоваться готовой системой, — Минобороны. На деле в проекте участво�вало гораздо больше государственных структур.
Например, рекомендации по ЕРВУ давал Аналитический центр при правительстве РФ — разработчики согласовывали с ним архитектуру проекта, хранение персональных данных и другие вопросы. Весной 2024 года центр провел закрытое исследование, чтобы проверить, удобен ли реестр для пользователей. Авторы оценили «уровень соответствия принципам клиентоцентричности и эргономики» как «плохой»: «Сервис вызывает негатив при взаимодействии с ним. Допуск в промышленную эксплуатацию: нет».
Работу над ЕРВУ лично оценивали премьер-министр Михаил Мишустин (как минимум дважды), министр обороны Андрей Белоусов и глава Минцифры Максут Шадаев. Наработки по реестру собирались показывать и в администрации президента.
«Всем привет! Потенциально завтра будет показ в администрации президента! Детали выясняю. Готовимся», — писал в мае 2025-го сотрудникам «Микорда» руководитель всего проекта разработки ЕРВУ, вице-президент «Ростелекома» и генеральный директор «РТ Системы коммуникаций» Александр Мартыненко (здесь и далее в сообщениях исправлена орфография и пунктуация. — Прим. ред.).
Показы чиновникам проходили нервно и с проблемами. «Сегодня показ может задержаться. Пока сносят на 20:30 предварительно, так как встал показ Мишустину в 18:00. Дашборд нужен в бункере (вероятно, речь идет о координационном центре правительства через реку от Белого дома. — Прим. ред.) к 17:00», — писала Юлия Левитская, куратор разработки реестра со стороны правительства.
Дашборд, который упоминает Левитская, показывает ход призывной кампании по каждому военкомату — количество отправленных повесток, обжалований и другие данные. По итогам показов разработчиков раскритиковали. «Сейчас было совещание с правительством, и нам очень сильно влетело», — писала руководительница проектов разработки Алина Сафиуллина.
Через три недели она прислала в рабочий чат новое расписание показов в правительстве и Минобороны и попросила ускориться с исправлением замечаний. Один из разработчиков ответил: «Это нереально, сразу скажу».
Из обсуждений команды ЕРВУ следует, что Юлия Левитская — директор Департамента проектной деятельности по контролю за нацпроектами в правительстве — была одной из ключевых фигур, принимающих решения в проекте.
Владимир Королев, заместитель гендиректора РТ СК и вице-президента «Ростелекома» Александра Мартыненко: Мы еще никому не показывали из заказчиков вообщ�е. У нас кто будет основным здесь участником обсуждения?
Дмитрий Курочкин, руководитель проектов в «РТ Лабс»: В деле будет Левитская и Бирюков [представитель Минобороны, начальник управления ГОМУ Генштаба ВС РФ]. Любые другие рабочие группы, которые без этих людей… их решения не считаются как требования.
Именно Левитская отвечала за презентацию реестра высшим чиновникам. В разговоре с «Важными историям» она сперва отрицала свою причастность к ЕРВУ, но потом признала, что «занимается реестром». По ее мнению, эта система облегчит жизнь россиян: «Позволит людям не ходить больше в военкомат без надобности. Значительно упростит жизнь и снимет социальную напряженность. Человек не понимает, зачем его вызывают, и не идет, потому что просто боится, что его куда-то заберут. Об этом много пишут в интернете, я читаю».
Левитская утверждает, что реестр не будут использовать для проведения мобилизации. «Никакого отношения к войне реестр не имеет. Это гражданская история в мирное время. Об этом много раз писали и заявляли», — сказала она «Важным историям».
«Бизнес-задачи министра обороны». Как реестр готовят к мобилизации
В мае 2024 года та же Юлия Левитская давала разработчикам указания, которые противоречат ее словам о «гражданском» использовании реестра.
«Мобилизация, контракт и добровольцы — вот три бизнес-задачи, которые могут возникнуть перед министром обороны (в последних доступных в утечке версиях от категории добровольцев отказались. — Прим. ред.). Поэтому нам было бы хорошо, наверное, показать потенциальное количество тех, кого можно будет из них призвать по мобилизации, тех, кто потенциально подходит под контракт, и тех, кто потенциально могут пойти добровольцами», — описывала она функционал, который должен быть предусмотрен в «генеральском» дашборде. Это компонент реестра, который создавали специально для министра обороны.
Возможность использовать реестр для проведения мобилизации прописана и в последней доступной версии технического задания от августа 2024 года. Повестка для прохождения призывной комиссии по мобилизации может прийти мужчинам от 18 до 70 и женщинам от 18 до 50 лет, не находящимся в местах лишения свободы. «Рассылка повесток не должна иметь ограничений на количество оповещенных граждан (количество повесток)», — указано в документе.
«Генеральский» дашборд, который так ждали в «бункере», тоже делал «Микорд». Его разработка тянется как минимум с мая 2024-го. Самые большие трудности у команды вызвали функции поиска граждан по Ф. И. О. и разным критериям. Функция поиска уже была в ЕРВУ, но на ее повторной реализации в «генеральском» дашборде настояли в Минобороны. «Это интерфейс для больших начальников, которым западло жить в обычном интерфейсе», — объяснял команде «Микорда» вице-президент «Ростелекома» Александр Мартыненко.
На главной странице этого дашборда расположены ключевые для Минобороны показатели: сколько россиян подлежат мобилизации и призыву на срочную службу и сколько из них подходят под критерии контрактников для участия в войне.
Критерии для отображения числа мобилизованных на «генеральском» дашборде более узкие, чем указ�ано в техзадании. Это мужчины от 30 до 50 лет и женщины от 30 до 45 лет; при этом у них должно быть меньше пяти детей младше 16 лет (в таком случае положена отсрочка от мобилизации). Вероятно, в случае мобилизации их призовут в первую очередь. Критерии для контрактников тоже простые: мужчины возрастом от 18 до 50 лет, которые не стоят на учете в психоневрологическом диспансере (ПНД) или на учете по ВИЧ.
Благодаря дашборду руководство Минобороны сможет оперативно наблюдать за числом направленных повесток, отсрочек от прохождения службы и явкой призывников.
Однако слишком чувствительные данные не отображаются даже во внутренней системе Минобороны. Разработчикам ЕРВУ запретили выводить на дашборд данные о количестве россиян, которых сняли с учета из-за отъезда за границу и лишения гражданства. «Это секретная информация, которую, как нам говорили, нельзя хранить и показывать на дашбордах тоже», — говорил на одном из созвонов руководитель проектов «РТ Лабс» Дмитрий Курочкин.
«Сегодня утром нам влетело». Как проходили испытания в Минобороны
«На хуйню меня хотят какую-то намотать. “Писать запросы по показателям, которые не можем сверить с системой”. [...] Зачем я тут нужен для этого, непонятно. Просто посидеть, посмотреть вместо того, чтобы что-то делать», — возмущался аналитик проекта ЕРВУ Руслан Газтдинов во время одной из командировок в Минобороны для тестирования реестра.
Сотрудники РТ СК и «Микорда» начали регулярно посещать ведомство в 2024 году для проведения предварительных испытаний ЕРВУ. Испытания должны были проходить по трем адресам:
- ГОМУ (Главное организационно-мобилизационное управление Генерального штаба ВС РФ) — г. Москва, Фрунзенская набережная, д. 22/2;
- ЦОД-1 (дата-центр Минобороны в Москве) — по тому же адресу;
- ЦОД-2 (дата-центр в Екатеринбурге) — ул. Восточная, д. 60.
Именно на Фрунзенскую набережную сотрудники «Микорда» ездили показывать и тестировать компоненты реестра, следует из их переписок.
В Министерстве обороны они отчитывались перед начальником управления Главного организационно-мобилизационного управления Генштаба ВС РФ Андреем Бирюковым — мужем той самой Юлии Левитской, которая курирует реестр со стороны правительства. Судя по перепискам из утечки, разработчики его побаивались. Но даже страх перед Бирюковым не мешал им легкомысленно относиться к информационной безопасности прямо во время тестирования реестра в ведомстве.
«Коллеги, МО загрузили персональные данные. Восьмерка [Восьмое управление Генерального штаба ВС РФ, которое возглавляет Службу защиты государственной тайны] запретила работать на [незащищенных] ноутах (еще вчера). А до сих пор тестировщики работают. Тут скандал на уровне БАМ [Бирюкова Андрея Михайловича] поднимается», — обсуждали разработчики.
С апреля по ноябрь 2025-го Руслан Газтдинов ездил в московские командировки минимум четыре раза. В Минобороны он провел и свой 28-й день рождения. «Руслан, с днем рождения! Будь счастлив, ты большой молодец!», — написала ему коллега по проекту Алина Сафиуллина и сразу вернула в рабочую реальность: «Вчерашнюю правку надо проверить повторно в присутствии военных. Нам сегодня утром за нее влетело».
Последняя командировка Газтдинова в Минобороны, о которой известно из у�течки, прошла в конце ноября 2025 года. В Москву сотрудники «Микорда» ехали без обратного билета. «Ну, я, походу, в понедельник поеду на два дня (ни хуя не на два)» — жаловался Газтдинов коллеге. 19 ноября он уехал из Минобороны только в 2 ночи, 21 ноября — в 4 часа утра.
За переработки замдиректора «Микорда» Наталья Соболева обещала Газтдинову премию:
— Надо, чтобы с утра уже было [готово]. Давай постараемся, пожалуйста, я буду говорить про премию с Рамилем [Габдрахмановым — гендиректором «Микорда»], но надо закрыть дб [дашборд].
— Надеюсь, там недолго, просто я уже три дня нормально не спал, — писал Газтдинов.
— Я нормально не сплю третий месяц, — ответила Соболева. — Осталось, блин, сдать 12 показателей, и они от нас отстанут. Мы всё подпишем в этот раз, возьмем подпись Бирюкова.
Спустя пару дней после возвращения из этой командировки Газтдинов заговорил с Соболевой о повышении: просил поднять зарплату со 100 тыс. до 135 тыс. рублей.
«Персоны, которых выявлять не хотелось бы». Как из реестра удаляют нужных людей
«Наши уважаемые курирующие ведомства, — так заместитель вице-президента "Ростелекома" Владимир Королев неоднократно называл на созвонах спецслужбы, — оперируют не только понятием "персональные данные", но и "чувствительные данные". �Какие-то аналитические отчеты могут выявлять персон, которых выявлять не хотелось бы».
Чтобы «не выявлять» таких персон, в реестре воинского учета есть специальный модуль — единый компонент сопряжения (ЕКС). Этот инструмент создан для проверки и обработки сведений, которые поступают в ЕРВУ из внешних баз данных. ЕКС позволяет бесследно удалять из реестра отдельных людей, обезличивать или заменять их данные фиктивными, отменять отправленные им повестки и наложенные ограничения или скрывать их из списков на призыв.
9 января 2025 года была официально утверждена пояснительная записка, которая подробно описывает способ реализации ЕКС. Из нее следует, что все поступающие в реестр данные сначала должны блокироваться на три дня. За это время операторы ЕКС их проверяют и при необходимости меняют данные о человеке так, что его становится невозможно опознать, или вычищают нужных людей. «Если надо данные по какому-то гражданину снести, замаскировать, все карточки шерстим и везде меняем фамилию», — объяснял принцип «редактирования или обезличивания» данных на этапе разработки главный архитектор ЕРВУ Юрий Кирьянов. Удалять людей можно как массово, загрузив целый список, так и точечно.
Кого именно планируют защищать от призыва с помощью ЕКС, в документах прямо не говорится. В постановлении правительства о создании ЕРВУ сказано, что работа с данными реестра должна учитывать защиту кадрового состава Минобороны, ФСБ, ФСО, СВР и МВД, а также людей, подлежащих государственной охране, и членов их семей. Это широкий круг — судьи, прокуроры, следователи, действующие военные, сотрудники таможни, налоговой, члены правительства и их семьи. О том, что в реестре не должны содержаться записи о силовиках, говорится и в техническом задании на разработку ЕРВУ.
Специальный воинский учет для сотрудников МВД, Росгвардии, ФСИН, МЧС и других силовых структур существует давно. Термин впервые появился в российском законодательстве в 1995 году, однако сама практика освобождения силовиков от учета в военкоматах по служебной линии применялась еще в СССР.
ЕКС устроен так, что любые манипуляции с данными не оставляют следов: даже информация об удалении записей подлежит удалению. Заказчик и команда проекта называют это «бескомпроматной» работой с данными «защищаемых лиц». Это делает процесс не поддающимся контролю, а значит, в теории скрыть из реестра можно кого угодно.
«В ЕКС обеспечивается полная невидимость взаимодействия с подсистемой, — объясняет участник взлома, изучивший устройство разработки реестра. — Отключаются все функции аудита и логирования как в коде самого реестра, так и в сторонних компонентах (например, в криптографическом шлюзе, базах данных, сетевом оборудовании). Всё делается для того, чтобы работа с ЕКС не оставляла вообще никаких следов ни о том, кто производил манипуляции с реестром, ни о том, с какими данными эти манипуляции проводились. Причем это защита в первую очередь от своих: обычно эти логи читают администраторы по безопасности и другие внутренние лица».
Требования к «бескомпроматности» даже привели к спорам между спецслужбами и Минобороны. «Регуляторы (так на созвонах называют силовые структуры. — Прим. ред.) норовят обсудить это с министром обороны и сказать: “Ребята, никакой историчности, убирайте на хрен из журналов всю эту историю”. Но мнение у курирующих ведомств разделилось», — говорил заместитель вице-президента «Ростелекома» Владимир Королев на созвоне с разработчиками в июле 2024-го.
«Микорд» подключился к разработке ЕКС не позднее мая того же года. Тогда в их внутренней базе знаний Confluence появилась схема работы этого модуля. На ней виден термин «УМРИ».
УМРИ — это подразделение Минобороны по управлению мониторингом и разбором инцидентов. Именно УМРИ будет проверять все поступающие в реестр данные и вымарывать оттуда нужных людей. Информацию о том, кого необходимо удалить, в УМРИ передают сотрудники ФСБ, ФСО и СВР. В одной из версий документов в числе силовых структур фигурирует и Росгвардия. На рабочих созвонах участники разработки реестра прямо называют ЕКС модулем для «курирующих ведомств» — спецслужб.
Доступ к модулю ЕКС можно получить, только находясь физически в Минобороны. В одной из последних версий техзадания упоминается, что для этого в центрах обработки данных военного ведомства поставят семь компьютеров — пять в Москву и два в Екатеринбург.
Внедрение этого модуля затронуло работу практически над всеми частями ЕРВУ. И даже привело к недовольству разработчиков личного кабинета юридических лиц, через который компании обязаны подавать в реестр сведения о своих сотрудниках.
На одном из созвонов обсуждалось, что человека, которого спецслужбы не хотят видеть в ЕРВУ, может попытаться загрузить через личный кабинет его работодатель. При этом любая обратная связь с работодателями о том, какие сотрудники будут приняты системой, а какие нет, может скомпрометировать «защищаемых лиц».
«Они [юрлица] окажутся в ловушке. <...> Шесть миллионов организаций будут жаловаться, что вы сделали говносистему. <...> Всегда будет крайним разработчик», — рассуждала руководительница проектов разработки ЕРВУ Алина Сафиуллина.
На это заместитель вице-президента «Ростелекома» Владимир Королев ей ответил: «Ты смотришь на это с точки зрения пользователя, а когда будут на это смотреть Минобороны, рядом встанут курирующие ФОИВы [федеральные органы исполнительной власти, в данном контексте — спецслужбы]. Их позиции противоречивы: Минобороны хочет посчитать всех до последней молекулы, а вот регуляторы не хотят считать всех до последней молекулы».
«Я просто в шоке от того, что они делают», — пожаловалась потом Алина Сафиуллина коллегам из «Микорда». «В итоге как ходили ногами [в военкомат подавать сведения о сотрудниках для их постановки на воинский учет], так и продолжат», — ответил ей Булат Хайруллин. Однако активно противостоять заказчику или останавливать работу над «говносистемой» сотрудники «Микорда» не стали.
В апреле 2025 года работу этого модуля демонстрировали в аппарате правительства, в том числе функцию удаления данных. «ЕКС надо будет поставить на отдельную машину, куда-то на ноутбук, и показать с него. Показываем визуал. Показываем возможность удаления», — давала указания куратор от правительства Юлия Левитская. А уже спустя месяц модуль готовили к сдаче в Минобороны.
Сейчас ЕКС находится на стадии развития, следует из базы знаний Confluence РТ СК, еще одного разработчика реестра.
«Вопрос, когда их сольют, стоит именно так: не если, а когда». Надежно ли защищены данные в самом реестре?
Взлом «Микорда» не означает, что хакеры проникли в сам реестр воинского учета и могут удалить оттуда данные о военнообязанных — к нему нет доступа извне. Данные ЕРВУ хранятся отдельно от «Микорда», в закрытом контуре, куда нельзя попасть напрямую из интернета и обычной офисной сети, а все входы и выходы в систему фильтруются и записываются, объясняет участник хакерской группировки. Чтобы получить доступ к этой сети, нужно пройти собеседование с сотрудником ФСБ, получить специальный ноутбук и флешку.
Из этого описания кажется, что данные в реестре надежно защищены, но это не так. В устройстве ЕРВУ есть две серьезные уязвимости.
Первая — это чрезмерный объем хранящейся информации, который делает его привлекательной целью для мошенников, коллекторов, спецслужб и всех, кого интересуют персональные данные десятков миллионов россиян.
«Главный принцип, который определяет безопасность таких систем, — это принцип минимальной достаточности, — говорит собеседник "Важных историй". — То есть система должна собирать, хранить и обрабатывать только те данные, которые необходимы для ее функционирования. В ЕРВУ же собираются вообще все данные, которые только можно представить. И поэтому если у вас есть [физический] доступ к закрытой части реестра и, например, пароли от базы данных бэкапов, которые есть у нас, то вы можете просто скачать все эти данные. Вопрос, когда их сольют, стоит именно так: не если, а когда».
Вторая уязвимость — модуль ЕКС, с помощью которого силовики могут бесследно удалить из реестра нужных людей или изменить сведения о них. Люди с доступом к ЕКС могут скачать любые данные из реестра без страха быть замеченными, потому что следов этих действий в системе не остается.
Взлом «Микорда», вероятно, отразился на работе клиентской части ЕРВУ — сайта реестра повесток, где россияне могут узнать о направленных им повестках и введенных ограничениях. 5 декабря, после захвата инфраструктуры компании, на сайте появилась заглушка об идущих «технологических работах». К вечеру 10 декабря реестр повесток восстановил работу. В «Идите лесом» сообщили, что за это время не получили ни одного обращения о рассылке электронных повесток.
«Цифровой ГУЛАГ» по клику. Как работает реестр воинского учета
Ход мобилизации осенью 2022 года явно указал российским властям на слабые места аналоговой системы воинского учета. У военкоматов не было актуальной информации о россиянах, вручить повестки получалось далеко не всем, а проконтролировать выезд из страны уже призванных по мобилизации оказалось невозможно. За эти три года в России почти завершили подготовку системы, которую можно будет использовать для новой, более эффективной кампании по мобилизации.
Из документов утечки следует, что электронный реестр воинского учета должен быть рассчитан на хранение данных о 25 млн граждан — это весь мобилизационный ресурс России. В ЕРВУ попадают более 300 разных атрибутов о каждом человеке: образование, место работы и жительства, сведения о детях, болезнях, имуществе и другие параметры. Мощности реестра позволяют рассылать до миллиона повесток в год и 600 тыс. заявок на наложение и снятие ограничений с граждан, которые не явились по этим повесткам в военкомат. Правозащитники называют эту систему «цифровым ГУЛАГом».
«После того как реестр полностью начнет работать, невозможно будет сделать ничего, не оставив в нем след, — комментирует участник взлома, с которым поговорили "Важные истории". — Все действия приведут к тому, что сотрудник военкомата получит о вас [актуальные] данные. Уклоняться от призыва становится очень сложно».
Цифровизация воинского учета прошла в несколько этапов. Для начала военкоматы по всей стране перенесли данные с бумажных документов в уже внедренную базу «Горизонт-МР». Вместе с этим в России начали создавать две большие электронные системы: государственный информационный ресурс воинского учета (ГИР ВУ) и реестр воинского учета (ГИС ЕРВУ).
На первом шаге информация о россиянах, которые должны стоять на воинском учете, попадает в ГИР ВУ. Органы исполнительной власти подгружают в систему десятки видов данных о гражданах: сведения об образовании, месте работы, браке, детях, болезнях, имуществе. Оператором ГИР ВУ с 1 апреля 2024 года в соответствии с закрытым Постановлением Правительства от 03.04.2023 № 536 определена Федеральная налоговая служба (ФНС).
Это связано с тем, что ресурс воинского учета создавался на базе Единого регистра сведений о населении (ЕРН), за разработку которого отвечает именно ФНС. За время разработки ГИР ВУ регистр сведений о населении значительно расширился. Из публичных госконтрактов следует, что ФНС потратила на этот проект 3 млрд рублей.
Минобороны использует данные ГИР ВУ для наполнения ключевой системы — единого реестра воинского учета (ЕРВУ). Она позволяет ускорить составление списков призывников и мобилизованных, подписание повесток и введение ограничительных мер. Если по какой-то причине данные о человеке не отразились в ЕРВУ, сотрудник военкомата может подгрузить информацию из технологической базы данных (ТБД) Минобороны, второго по значимости источника информации в ЕРВУ.
В реестре предусмотрены роли для сотрудников муниципальных военкоматов (специалистов по воинскому учету, по комплектованию, по обработке заявлений и военного комиссара), наблюдателей штабов военных округов и региональных военкоматов, сотрудников Главного организационно-мобилизационного управления (ГОМУ) Генштаба ВС РФ, администраторов по информационной безопасности и ответственных за защиту информации.
«Важные истории» ознакомились с инструкциями, которые разработчики из «РТ Лабс» подготовили для сотрудников военкоматов в феврале 2024-го. Тогда тестирование ЕРВУ проводилось в Липецкой, Рязанской и Сахалинской областях. Эти документы показывают, как именно россиян должны ставить на воинский учет, направлять им повестки, закрывать выезд из страны и накладывать другие ограничения.
Несмотря на цифровизацию системы учета, призывные мероприятия не обходятся без участия человека. Сотрудники военкоматов вручную выбирают призывников, которым будут направлены повестки. Как следует из документации к ЕРВУ, в нем не предусмотрена возможность автоматизации этого процесса. Чтобы направить повестки призывникам, нужно еще несколько кликов военного комиссара — он подписывает эти повестки электронно, после чего гражданам приходят уведомления в личный кабинет реестра повесток и на Госуслуги.
Чтобы просмотреть инструкцию для сотрудников военкоматов по вызову призывников, кликайте на стрелку.
По закону, человеку закрывают выезд из страны, как только повестка на его имя появляется в реестре. Для этого военком должен отдельным кликом мышки подписать решение о запрете на выезд и направить его в ФСБ, следует из инструкций для военкоматов и технического задания. При этом отдельные формулировки в ТЗ дают понять, что наложение ограничений могут автоматизировать.
Сейчас автоматический запрет на выезд из страны еще не реализован — военкоматы и ФСБ не наладили обмен данными. По словам правозащитников из «Идите лесом», пока у людей получается пересекать границу даже с врученной повесткой и запретом на выезд, который был указан в реестре.
Во-первых, ФНС еще не закончила обновление инфраструктуры своих центров обработки данных (ЦОД). По плану оно должно завершиться в феврале 2026 года. Пока этого не произошло, реестр воинского учета, вероятно, не может полноценно получать данные, необходимые в том числе для запрета на сделки с недвижимостью и управление автомобилем.
По словам юриста «Движения сознательных отказчиков» Артема Клыги, ведомства также не подготовили нормативное регулирование. «На декабрь 2025 года даже нет правил, как эти ограничения включать», — пишет он.
Во-вторых, так и не начала функционировать интеграция ЕРВУ с государственной системой «Мир», которую ФСБ будет использовать для своевременного закрытия выезда из страны. После закупки на разработку соответствующего ПО, о котором в июле 2024-го писала «Медуза», Минцифры заключило еще один контракт с НИИ «Восход». В новом техническом задании уточнены требования к этой интеграции, в частности, к формату сообщений для обмена с ФСБ и к использованию электронной подписи для подписания каждого сообщения.
«Важные истории» также нашли договор НИИ «Восход» с ФГУП «Гамма» на проведение лабораторных испытаний. По условиям договора, тестирование ПО на соответствие требованиям безопасности ФСБ должно было завершиться в декабре 2025-го, при этом плановая дата сертификации по стандартам ФСТЭК намечена лишь на октябрь 2026-го. Можно предположить, что полноценное взаимодействие между ЕРВУ и пограничной службой ФСБ не будет налажено вплоть до получения сертификата ФСТЭК.
Минобороны успело внедрить ЕРВУ в военкоматы до начала осеннего призыва 2025 года. Электронные повестки получили жители более 60 регионов России, следует из анализа обращений, направленных в «Идите лесом». По мнению правозащитников, фактически рассылку повесток при помощи реестра могли опробовать все российские регионы.
«Прямо сейчас реестр почти готов (речь идет о текущих функциях реестра без учета автоматических ограничений. — Прим. ред.), — говорит участник взлома "Важным историям". — Большинство разработчиков сдают вещи, которые они обязаны выполнить по каким-то первоначальным контрактам. Проблема в том, что эти вещи не критичны. И если им нужно будет завтра сделать масштабный призыв при помощи этого реестра, единственное, что их остановит, это, собственно, тестирование на большом призыве. Потому что главная функциональность — импорт и экспорт данных — уже готова».
«Я не хочу на ЕРВУ, пожалуйста». Кто эти люди, которые разрабатывают реестр
«Атмосфера была тяжелая, — рассказывает "Важным историям" источник, знакомый с процессом разработки реестра воинского учета. — Проект реализовывался в очень сжатые сроки, в аврале».
До вторжения в Украину дочка «Ростелекома» «РТ Лабс», которая работала над ЕРВУ на первом этапе, была клиентом международной IT-компании «Люксофт». В 2022 году «Люксофт» ушел из России. Часть сотрудников эмигрировала, а оставшиеся перешли на работу к заказчикам «Люксофта». «Так несколько сотен очень профессиональных людей, которые умеют делать большие, тяжелые сервисы, оказались в структурах "Ростелекома"», — говорит источник. По его словам, около половины первоначальной команды уволилось из-за нежелания работать над таким проектом.
«Представьте: была хорошая компания, с очень профессиональными ребятами, человек 100. Потом им дали этот проект. Когда поняли тематику, уволились человек 50. Был большой отток людей именно по моральным соображениям. Кого-то удержали ипотеками, с кем-то поговорили и подняли зарплату. [Многим] было стыдно, стыдно до сих пор», — говорит он.
Из утечки «Микорда» видно, что некоторые сотрудники не хотели участвовать в проекте.
«Рамиль, я не хочу на ЕРВУ, пожалуйста, не надо меня туда… <...> Ты пошутил же, да?» — спрашивала тестировщица у директора компании. Прямо перед взломом из «Микорда» уволились несколько человек. Один из них, как потом обсуждали коллеги, «ушел по красоте»: сказал заместительнице директора Наталье Соболевой, что она «не нравится ему как человек». Коллеги решили, что «его можно понять».
Переписки показывают, что регулярные увольнения были в «Микорде» привычными. В январе 2025-го сотрудников попросили прислать фразы, которые ассоциируются у них с компанией. Один из них �ответил: «Судя по чату, самая частая фраза: “Сегодня был мой последний день в “Микорде”».
Аналитик Руслан Газтдинов на вопрос коллеги о тематике проекта коротко ответил: «Грязь». Из материалов утечки видно, что Газтдинов отслужил в армии в 2020 году и с тех пор ненавидит всё, что с ней связано. В одной из переписок он описывал армейский опыт как «гребаный ад» и «тюрьму». «Я до конца жизни буду агитировать, что на хуй это никому не надо», — писал он. На вопросы «Важных историй» Газтдинов отвечать не стал — бросил трубку.
«Микорд» входит в число аккредитованных IT-компаний, поэтому сотрудники могут претендовать на бронь от мобилизации и срочной службы. Но идти на войну они и сами не готовы. Например, весной 2023-го один из тестировщиков «Микорда» Ленар Айтуганов был в Таиланде и спрашивал у своей коллеги, разносят ли на родине повестки, — иначе он бы так и остался в Азии.
Войну и политику «микордовцам» в рабочих чатах обсуждать запрещают. Когда регион одного из разработчиков атаковали дроны, замдиректора компании Наталья Соболева прервала обсуждение случившегося и велела писать в личные сообщения.
В «Микорде» работают около 60 человек. Над реестром трудится молодая команда: средний возраст в ней — 33 года. Большинство разработчиков, тестировщиков и аналитиков — выпускники технических вузов Татарстана и соседнего Башкортостана. Компания активно нанимает людей без опыта на минимальные зарплаты: разработчики, с которыми поговорили «Важные истории», рассказывают, что для многих «Микорд» стал первой работой в IT-сфере сразу после обучения.
Рядовые микордовцы получают меньше, чем в среднем по IT-отрасли в Казани. Например, тестировщиков приглашали на зарплату от 30 до 60 тыс. рублей, разработчиков и системных аналитиков — на 40–80 тыс. Обещали «интересные задачи», а также «чай, вкусняшки, зерновой кофе, комнату отдыха и игровую комнату», по 200 рублей в день на обеды, а также корпоративные активности, например популярный сейчас падел (похожая на теннис игра).
Руководителю направления в «Микорде» предлагают уже 250 тыс. рублей в месяц. Как следует из данных других утечек, замдиректора «Микорда» Наталья Соболева — непосредственная начальница всех, кто занимается реестром воинского учета, — в 2025 году зарабатывала около 350 тыс. рублей, а директор компании Рамиль Габдрахманов — в среднем 1,5 млн рублей. Его жена Альбина получает около полумиллиона рублей в месяц. Она была совладелицей «Микорда» с 2017 по 2023 год и до сих пор числится в компании, но в полученных нами документах следов ее рабочей активности не видно.
После объявления мобилизации Габдрахманов почти сразу уехал в Казахстан и провел там около месяца, показывают сведения из утечек. Альбина же готовила семье запасной аэродром: в декабре 2022 года она получила гражданство Кыргызстана. Тогда же кыргызстанские паспорта получили еще несколько сотен человек, среди которых много представителей российской элиты. Директор представительства Transparency International в России Илья Шуманов отмечал, что эти паспорта, скорее всего, получены коррупционным путем — такая услуга стоит от 5 до 30 тыс. долларов.
Одной из руководительниц разработки со стороны «Микорда» была 33-летняя Алина Сафиуллина. Формально она не работает в компании, но в сумме получила от нее около двух миллионов рублей по договорам об оказании услуг по разработке архитектурного решения ЕРВУ. До подключения «Микорда» к проекту она работала в Аналитическом центре при правительстве РФ, который тоже давал указания по работе ЕРВУ.
Летом 2025-го муж Сафиуллиной, Тимур, рассказал в интервью татарстанской газете, как они «объездили всю Европу» и три года прожили в Вене. Из интервью и резюме мужа Алины Сафиуллиной следует, что она активно работала над реестром повесток прямо во время насыщенной жизни в Европе. И хотя Саф�иуллины вернулись в Россию в 2025-м, их любимым городом остается Вена.
«[Вена] — это, пожалуй, самый любимый мой город, — рассказывает в интервью Тимур Сафиуллин. — Здесь всё отвечает нашим, смею ответить и за свою вторую половинку, внутренним запросам. Импонирует образ жизни людей. В Вене жить безопасно, спокойно. Развита система общественного транспорта, максимально комфортная городская среда».
*****
Спустя несколько дней после взлома «Микорд» обновил свой сайт. На главной странице появились ценности фирмы, среди которых «особый подход к вопросам безопасности». Компания написала, что использует «полностью российские решения» и ей «доверяют силовые ведомства и государственные компании».
Вскоре упоминание об этой ценности исчезло с сайта.
На вопрос «Важных историй» о причинах взлома директор «Микорда» Рамиль Габдрахманов ответил философски: «Слушайте, ну, с кем не бывает? Сейчас многих атакуют». Еще несколько дней после захвата инфраструктуры компании хакеры находились в системе и читали внутренние переписки.
Весь субботний день 6 декабря начальство «Микорда» собирало логи с компьютеров сотрудников, чтобы расследовать произошедшее. Аналитик Руслан Газтдинов эти сообщения даже не читал — пока его коллега Тимур Абсатаров не написал, что из-за взлома инфраструктуры компании привлекли ФСБ.
Абсатаров переживал, что заказчик не будет продолжать работу с «Микордом»: «Мне кажется, могут не продлить контракт». Газтдинов ответил, что взлом — «это норм». И они договорились провести воскресенье за совместной игрой в Dota против «вояк» из команды МО — так «микордовцы» в переписке называли Министерство обороны.
Правозащитный проект «Идите лесом» выложил полученный от хакеров массив в открытый доступ. Изучить первую часть документов и исходного кода можно по ссылке.
Если вы что-то знаете о разработке реестра, напишите на почту авторам расследования. Мы можем поговорить с вами анонимно.
Полина Ужвак — uzhvak@istories.media
Соня Савина — sonya.savina@istories.media
Егор Феоктистов — efeoktistov@istories.media
Рина Николаева — nikolaeva@istories.media
Катя Бонч-Осмоловская — bonchosmolovskaya@istories.media