Кінець вересня 2025 року приніс Південній Кореї рідкісний за масштабом ІТ‑інцидент: у одному місті протягом тижня сталися дві пожежі в дата-центрах, внаслідок чого одночасно відключились 647 державних систем. Подію на рівні уряду описали як «цифровий параліч» — і вона оголила критичні прогалини в резервуванні, архітектурі та операційних процесах.
Таймлайн інцидентів і вплив на державні сервіси
26 вересня у Теджоні спалахнула пожежа в дата-центрі Національної служби інформаційних ресурсів (NIRS), що тривала понад 22 години. За повідомленнями CNN та Korea Herald, займання почалося в літій‑іонних акумуляторах ІБП під час перенесення в підвальне приміщення; на гасіння залучили 170 пожежників і 63 одиниці техніки.
NIRS — опорний майданчик електронного уряду, де розміщувалась значна частина ІТ‑інфраструктури центральних і місцевих відомств. У результаті пожежі вийшли з ладу 96 критично важливих систем, а ще 551 сервіс відключили превентивно, щоб уникнути ушкоджень обладнання та даних. Сукупний ефект виявився системним, адже понад третину з приблизно 1600 урядових платформ було розгорнуто саме тут.
Чому «згорів» G‑Drive: одна точка відмови і відсутність офсайт‑бекапів
Найбільш болючим став удар по державному хмарному сховищу G‑Drive, обов’язковому для близько 750 000 держслужбовців з 2018 року (приблизно 30 ГБ на користувача). Ключова архітектурна вада — відсутність географічно ізольованих резервних копій. Бекапи зберігались у тому ж корпусі і були знищені разом з первинними даними. За даними Korea Herald, можливі безповоротні втрати сягають до 858 ТБ; особливо постраждало Міністерство з управління персоналом, де документи нині відновлюють із локальних копій, пошти та паперових архівів.
Другий інцидент у Теджоні і висновки з попередніх перевірок
Через тиждень, 3 жовтня, загорівся дата-центр Lotte Innovate у тому ж місті. За даними DataCenter Dynamics, пожежу ліквідували менш ніж за годину (працювали 21 пожежний автомобіль і 62 рятувальники). Попередня причина знову — акумуляторний модуль. Два інциденти в одній локації за короткий період оголили системні ризики, про які говорили після збою в листопаді 2023‑го: необхідність twin server/активно‑активної архітектури та реплікації в реальному часі. Аудит 2024 року також фіксував затримки з оновленням обладнання та підвищений рівень відмов.
Відновлення і розслідування: статус і версії
Станом на 3 жовтня вдалося повернути до роботи лише 115 із 647 систем (приблизно 18%). Попри попередні обіцянки завершити відновлення за два тижні, експерти прогнозують довший горизонт. Поліція провела обшуки в NIRS та у постачальників ІБП; чотирьох осіб затримано за підозрою в професійній недбалості. Окремо розслідують обставини смерті 56‑річного посадовця, який координував відновлення; влада заявляє, що він не був залучений до з’ясування причин пожежі.
Кібергіпотези і офіційна позиція
У профспільноті обговорюють публікацію Phrack (червень 2025) «APT Down: The North Korea Files», автори якої заявляють про компрометацію учасника Kimsuky (APT43/Thallium) з доступом до урядових мереж, системи Onnara, викрадених сертифікатів GPKI і логів атак. Повідомлення нібито надсилались владі з 16 червня 2025 року. На тлі цих тверджень з’явилися припущення про можливий умисний характер інцидентів, включно зі знищенням доказів. Офіційних підтверджень цьому немає: первинні версії зводяться до технічної несправності та недбалості.
Експертний розбір: як мінімізувати ризики «цифрового паралічу»
Події в Теджоні демонструють ціну за єдину точку відмови і «паперові» плани відновлення. Для державного сектору та критичної інфраструктури необхідні: стратегія 3‑2‑1 (або 3‑2‑1‑1‑0) з географічним рознесенням і регулярними тестами відновлення; активно‑активні/активно‑пасивні майданчики з чітко артикульованими RPO/RTO; сегментація і фізична ізоляція систем зберігання та UPS; спеціалізовані системи виявлення газовиділення та пожежогасіння для літій‑іонних батарей (орієнтація на сучасні норми на кшталт NFPA 855/UL 9540A); посилення PKI‑гігієни (ротація ключів, швидке відкликання сертифікатів, контроль випуску) і безперервний моніторинг із SOC та сценарними навчаннями.
Організаціям варто провести позаплановий аудит безперервності бізнесу та аварійного відновлення, перевірити, що відновлення з офсайт‑бекапів реально вкладається у заявлені RTO, і запустити tabletop‑сесії на випадок відмов інженерної інфраструктури та кібератак. Інвестиції в архітектури без єдиної точки відмови дешевші за наслідки «цифрового паралічу» — перевірте свої бекапи, протестуйте відновлення й рознесіть ризики до того, як це зробить за вас чергова надзвичайна подія.
