В конце сентября 2025 года Южная Корея пережила масштабный технологический кризис: два пожара в дата-центрах одного города за неделю парализовали ключевые онлайн-сервисы государства. Одновременно недоступными оказались 647 государственных систем, включая портал госуслуг, налоговые и почтовые платформы. Ситуацию на высшем уровне охарактеризовали как «цифровой паралич».
Хронология и масштаб последствий инцидентов в Тэджоне
Первый пожар 26 сентября произошел в дата-центре Национальной службы информационных ресурсов (NIRS) в Тэджоне и длился более 22 часов. По сообщениям CNN и Korea Herald, возгорание началось в литий‑ионных аккумуляторах ИБП, которые как раз переносили в подвал. Перегрев привел к цепной реакции; для тушения были привлечены 170 пожарных и 63 единицы техники.
NIRS — опорная площадка электронного правительства, интегрирующая ИТ-инфраструктуру центральных и местных органов власти. Из-за пожара вышли из строя 96 критически важных систем, а еще 551 сервис отключили превентивно для предотвращения повреждений. Влияние было системным, поскольку свыше трети из примерно 1600 правительственных систем размещались именно здесь.
Почему пострадал G‑Drive и где дала сбой архитектура
Наибольший удар пришелся по государственной облачной платформе G‑Drive — аналогу корпоративного хранилища документов. С 2018 года 750 000 госслужащих были обязаны хранить рабочие файлы только в этом облаке (около 30 ГБ на сотрудника). Критическая ошибка архитектуры: отсутствие внешних, географически изолированных бэкапов. Резервные копии находились в том же здании и были уничтожены вместе с первичными данными. По данным Korea Herald, объем возможной безвозвратной утраты достигает 858 ТБ. Особенно пострадало Министерство управления персоналом, где документы теперь пытаются восстановить из локальных копий на ПК, почты и бумажных архивов.
Спустя неделю, 3 октября, пожар возник и в дата-центре Lotte Innovate в том же городе. По данным DataCenter Dynamics, его ликвидировали менее чем за час (работали 21 пожарная машина и 62 сотрудника). Предварительная причина — возгорание аккумулятора. Два крупных инцидента в одной локации за короткий срок обнажили системные уязвимости, о которых эксперты предупреждали еще после масштабного сбоя в ноябре 2023 года, рекомендуя внедрить twin server/активно‑активную архитектуру и зеркалирование в реальном времени. Ревизия 2024 года также фиксировала затяжки с обновлением оборудования и аномально высокие показатели отказов.
Восстановление сервисов и ход расследования
К 3 октября было восстановлено лишь 115 из 647 систем (около 18%). Ранее власти обещали уложиться в две недели, однако эксперты предсказывают более длительные сроки. Полиция провела обыски в штаб-квартире NIRS и у поставщиков ИБП; четыре человека задержаны по подозрению в профессиональной халатности. Отдельно расследуются обстоятельства смерти 56‑летнего высокопоставленного чиновника, курировавшего восстановительные работы; по данным властей, он не был вовлечен в расследование причин пожара.
Версии и киберугрозы: что известно и что нет
В профессиональном сообществе обсуждается публикация Phrack от июня 2025 года — «APT Down: The North Korea Files». Ее авторы, Saber и cyb0rg, заявляли о компрометации участника северокорейской группы Kimsuky (APT43/Thallium) и наличии у злоумышленника доступа к внутренним сетям южнокорейского правительства, включая систему Onnara, а также к украденным сертификатам GPKI и логам атак на госорганы. По их словам, уведомления направлялись в южнокорейские власти с 16 июня 2025 года. На этом фоне возникли предположения о возможной связи пожаров с попытками уничтожения улик, включая упоминание аккумуляторов производства LG. Подчеркнем: это лишь теория, официальных подтверждений нет. Власти рассматривают первопричину инцидентов как техническую неисправность и халатность.
Ключевые уроки для госсектора и критической инфраструктуры
Текущий кризис иллюстрирует цену организационных и технических долгов. Для минимизации риска: внедрять 3‑2‑1 (или 3‑2‑1‑1‑0) стратегию резервного копирования с географическим разнесением и регулярными тестами восстановления; переходить к активно‑активным/активно‑пассивным площадкам и четко определенным RPO/RTO; сегментировать и изолировать системы хранения и ИБП, применять специализированное пожаротушение для литий‑ионных батарей и мониторинг газовыделений; укреплять PKI‑гигиену (ротация ключей, оперативная отзывка сертификатов, контроль выпуска), а также усиливать мониторинг и реагирование на инциденты через SOC и сценарные учения.
Кризисы масштаба NIRS — сигнал к действию для любых организаций, зависящих от ИТ. Проведите внеплановый аудит непрерывности бизнеса и аварийного восстановления, проверьте, что восстановление из офсайт‑бэкапов реально укладывается в заявленные RTO, и инициируйте «tabletop»-учения по отказам инженерной инфраструктуры и киберинцидентам. Инвестируйте в архитектуры без единой точки отказа — это дешевле, чем цена «цифрового паралича».
