Війна для банків почалася тижнем раніше
Поломки та збої у роботі банківських сервісів найчастіше мають дві причини. Перша — зовнішня атака на інфраструктуру фінустанови, друга — внутрішній технічний збій у самому банку без стороннього втручання.
В Україні працюють обидва чинники, хоча, як показало опитування «Мінфіну», найчастіше з початку війни включається перший — зовнішні напади. Як на банківський сектор, так і на регулятора — НБУ.
«Окрім військової агресії, проти України вже третій рік поспіль триває гібридна війна, і протягом 2022−2023 років спостерігалося зростання кількості кібератак, спрямованих на критичну інфраструктуру банківської системи України, зокрема, Національний банк та інші банки, а також збільшення проявів актів кібершахрайства. та кіберзлочинності», — підтвердили в Нацбанку на запит «Мінфіну».
Атаки насамперед пов'язують із країною-терористом.
«З початком повномасштабного збройного вторгнення рф на територію України спостерігається значне збільшення кількості кібератак на інформаційно-комунікаційні системи органів державної влади, а також підприємств, установ та організацій приватного та державного секторів. Їхня відмова в роботі може призвести до негативних чи критичних наслідків загальнодержавного характеру.
Цілями таких кібератак є завдання максимальної шкоди об'єктам критичної інфраструктури України, до яких також належать установи фінансового сектору", — пояснив «Мінфіну» речник Департаменту кіберполіції Національної поліції України Артем Олещенко.
При цьому у самих банках розповідають, що напади на них розпочалися за тиждень до масштабного вторгнення агресора до України.
«Для банківської системи війна розпочалася 15 лютого 2022 року. Цього дня була масова DDoS-атака в Україні. Ми впоралися з загрозою за декілька годин, тому що в нас уже була частина інфраструктури у хмарі, команда фахівців та відповідні рішення», — розповіли нам у пресслужбі державного Приватбанку.
Як змінилися характер і мета атак
Регулярні напади ззовні фіксують у багатьох великих банках.
«Наразі атаки на банківську інфраструктуру відбуваються постійно, щотижня, щогодини. Одні з перших потужних кібератак на банк пройшли ще у лютому 2022 року. Це була підготовча фаза, щоб випробувати — хто готовий, а хто ні», — зазначив у розмові з «Мінфіном» начальник управління менеджменту інформаційної безпеки Райффайзен Банку Олексій Скиба.
«За останні два роки кількість спроб атакувати банківську систему суттєво зросла. Щокварталу банк вдало відбиває мінімум одну велику хакерську атаку, а їхній напрямок все більше зміщується у напрямку зазіхань на клієнтські сервіси», — доповнила його пресслужба ПУМБу.
Великі банки поки що не діляться даними щодо динаміки зовнішніх атак, але в менших структурах можна отримати цікаву інформацію. Наприклад, заступник голови правління Глобус Банку Віктор Діденко надав «Мінфіну» такі дані щодо загальної кількості кібератак:
- 2021 рік — 41;
- 2022 рік — 25;
- 2023 рік — 60;
- січень-квітень 2024 року — 33.
Напади відбуваються з різних країн, хоча всі розуміють, хто за ними стоїть.
«Найчастіше атаки відбуваються з ресурсів таких країн: Китай, Тайвань, Південна Корея, Індія, Мексика, Бразилія», — уточнив Діденко.
Нальоти на наші банки влаштовують як окремі хакери, так і групи. Фінансисти розповідають, що їх централізовано винаймає російський агресор. Навіть не для крадіжки коштів, а для тотальної руйнації.
«Якщо раніше діяли комерційно-орієнтовані угруповання та їхньою метою було отримання коштів, то зараз на перший план вийшли угруповання, створені або спонсоровані на рівні країни-терориста. Їхня мета — отримати доступ і завдати значної шкоди інфраструктурі компанії. Інша тенденція, яка почала активно розвиватися з початком повномасштабного вторгнення, — рух активістів. Це невеликі групи, які також можуть отримати фінансування від країни-терориста та завдати значної шкоди будь-якому бізнесу», — пояснив Олексій Скиба.
Певний час щодо українських банків активно застосовувався DoS, що буквально перекладається з англійської як «відмова в обслуговуванні» — хакерська атака на систему з метою довести її до відмови. Найчастіше вона досягається величезною кількістю зовнішніх запитів на сервер, щоб той не впорався із навантаженням та зупинив роботу. Коли напад йде одночасно з великої кількості IP-адрес, його називають уже «розподіленим» — DDoS (distributed denial-of-service).
Такий підхід застосовується досі, але паралельно впроваджуються й інші методи.
«Окрім DDoS-атак та атак із пошуком уразливостей, спостерігаються комплексніші таргетовані напади, які використовують техніки соціальної інженерії. Наприклад, працівник установи може отримати на електронну пошту листа нібито від іншої установи, колеги тощо, в якому міститься посилання на скачування будь-чого. У разі переходу на таке посилання може початися кібератака.
У таких таргетованих кібератаках зловмисники використовують увесь набір інструментів: електронну пошту, месенджери, соцмережі та навіть інвайти на зустрічі", — розповів Артем Олещенко з Кіберполіції.
Також активно застосовується фішинг (fishing, «рибний лов, вивужування») — вивужування інформації за допомогою масових розсилок через електронну пошту та соцмережі. Причому не тільки той, на який купуються клієнти банків, коли розголошують дані про свої рахунки, а й працівники фінансових установ. Їх намагаються обдурити фейковим контентом нібито від органів української влади чи спецслужб. Нерідко у вкладеннях у таких листах міститься шкідливе ПЗ та програми, що підбирають паролі до різних даних на банківських серверах.
«Фішингові кампанії на працівників банку — це вже регулярні події. Пік отримання таких листів фіксували у перші місяці повномасштабного вторгнення та на початку 2024 року», — підтвердив Олексій Скиба з Райффайзен Банку.
Він уточнив, що кількість заблокованих фішингових доменів із 2021 до 2023 року зросла з 15 до 350.
Ворожі хакери не припиняють атакувати фінустанови й різноманітними шкідливими програмами — вірусами. Такі руйнівники можуть завдавати суттєвої шкоди інфраструктурі банків та призводити до збоїв/падінь їх інтернет-сервісів.
Внутрішні збої та інциденти
Ворожі атаки — не єдина причина перебоїв у роботі мобільних додатків та інтернет-банкінгів. Працює й другий чинник — внутрішні технічні збої, які банки також визнають.
Наприклад, про це говорять у monobank, де останніми місяцями почастішали випадки перебоїв у роботі його майданчиків. Іноді співзасновник monobank Олег Гороховський заявляв про DDoS-атаки на структуру, як, наприклад, 8 квітня, даючи зрозуміти, що напад організувала ворожа рф.
Хоча, оцінюючи проблему загалом, там все ж таки частіше говорять про внутрішні інциденти, пов'язані з розбудовою банку.
«За останній час збоїв побільшало не через загрози кібербезпеці. Це пов'язано з тим, що ми перебудовуємо наш банк під велике навантаження — під збільшення угод. Таке масштабування, на жаль, супроводжується прикрими інцидентами. Зараз ми намагаємося не повторювати таких помилок», — йдеться у коментарі monobank для «Мінфіну».
Водночас, багато фінансистів запевняють, що збої у них трапляються рідше, ніж зовнішні атаки. Віктор Діденко з Глобус Банку надав «Мінфіну» таку статистику щодо кількості внутрішніх технічних збоїв у 2024 році, не спровокованих зовнішніми факторами:
- січень — 0;
- лютий — 4;
- березень — 6;
- квітень — 0.
«Причини, через які найчастіше можуть відбуватися внутрішні технічні збої, є досить звичними для всіх банків. Це, насамперед, недосконале обладнання та програмне забезпечення, яке може час від часу „виснути“ (але розуміємо, що саме це питання знаходиться весь час у процесі вдосконалення). А також це може бути суто „людський фактор“: брак професійних фахівців у підрозділах IT та інформаційної безпеки», — пояснив Діденко.
Читайте також: Число атак хакерів в Україні зросло за рік на 16%
Хто розслідує напади на банки
У Національному банку запевняють, що знають про проблеми кібербезпеки, що виникають у фінансовому секторі. У банках «Мінфіну» підтвердили, що після початку повномасштабного вторгнення НБУ посилив вимоги щодо цієї частини та регулярно перевіряє їх виконання. Від фінансистів вимагають бути готовими до атак, більше коштів витрачати на IT та якісно обслуговувати свою інфраструктуру, робити резервні копії та вкладати кошти у додаткове обладнання.
«У рамках наглядового мандату регулятор взаємодіє безпосередньо з вищим керівництвом банків із метою найкращого прийняття, розуміння та поширення культури управління кіберризиками через визначені Національним банком принципи та механізми корпоративного управління. Функціонування системи кіберзахисту в банківській системі України ґрунтується, серед іншого, на засадах пріоритетності заходів та мінімізації кіберризиків у діяльності кожного окремого банку», — йдеться в офіційному коментарі Нацбанку для «Мінфіну».
У структурі НБУ було створено Центр кіберзахисту (CSIRT-NBU), якому банки та небанківські структури мають повідомляти про всі інциденти. У тому числі щодо атак шахраїв та хакерів, незалежно від їх успішності.
Кожен інцидент проходить там аудит, аналізується, фахівці регулятора допомагають подолати проблеми і дають рекомендації решті учасників фінансової спільноти. На початку квітня 2024 року Нацбанк підписав із Міністерством фінансів США Меморандум про співпрацю в рамках кібербезпеки, і тепер ще може отримувати корисну інформацію та допомогу від американських колег.
У своїй консолідованій звітності за 2023 рік Нацбанк повідомив, що торік CSIRT-NBU виявив, проаналізував близько 15 тис. зразків шкідливого програмного забезпечення (у 2022-му — 11 тис.) та поінформував про них фінустанови. У платформі обміну інформацією про актуальні кіберзагрози Malware Information Sharing Platform & Threat Sharing (MISP-NBU), якою активно користуються банки, було надіслано понад 100 повідомлень про інциденти та індикатор кіберзагроз.
У Кіберполіції «Мінфіну» також повідомили про створення аналогічних команд у низці інших держорганів:
- Урядова команда реагування на надзвичайні комп'ютерні події при Адміністрації Держспецзв'язку, CERT-UA.
- Національна платформа СБУ MISP-UA (Malware Information Sharing Platform Ukrainian Advantage).
Після подання заяви напади на банки розслідуються Кіберполіцією. Як пояснив Артем Олещенко, кібератаки на банківські установи можуть бути кваліфіковані, як несанкціоноване втручання у роботу інформаційних (автоматизованих), інформаційно-комунікаційних систем, електронних комунікаційних мереж, — це ст. 361 Кримінального кодексу.
«У разі надходження відповідних заяв, Департамент Кіберполіції в рамках компетенції здійснює першочергове реагування, проведення низки дій, спрямованих на фіксацію цифрових слідів кібератаки або кіберінциденту, мінімізації наслідків для банківської установи та її клієнтів», — зазначив Олещенко.
Хто заплатить за атаку
Банки запевняють, що постійно збільшують свої витрати на ІТ та готові відбивати атаки.
«Наш банк постійно інвестує у технології та найкращих фахівців у сфері кібербезпеки, адже доступність наших сервісів, персональні дані клієнтів повинні й надалі перебувати під надійним захистом», — запевнили в пресслужбі ПУМБ.
Там розповіли, що активно розвивають такий напрямок як кіберрозвідка. За допомогою державних та комерційних партнерів отримують інформацію з Dark-інтернету: з закритих хакерських форумів, телеграм-каналів. Що дозволяє краще готуватися до нападів.
У Глобус Банку повідомили про розширення штату у підрозділах IT та інформаційної безпеки: Віктор Діденко уточнив, що відповідний зарплатний фонд у 2024 році було збільшено на 20%.
В інших банках також активно працюють над превентивними заходами.
«Щодо тактичних рішень із забезпечення клієнтської безпеки — це перехід у хмару, впровадження та постійний розвиток комплексу заходів кібербезпеки, які дозволяють банку навіть не відчувати численних DDoS-атак», — розповіли нам у пресслужбі Приватбанку.
Банкіри запевняють, що часто їм вдається відбивати зовнішні атаки та давати раду внутрішнім поломкам без шкоди для клієнтів. Рідше — це позначається на роботі мобільних додатків та систем інтернет-банкінгу. Водночас фінансисти запевняють, що люди при цьому не втрачають гроші з рахунків. Дані щодо залишків коштів можуть зникати, але згодом банки їх відновлюють.
Це підтверджують і юристи, які спеціалізуються на спорах у фінансовій сфері.
«Люди поки що не скаржилися на зникнення грошей після хакерських атак або при внутрішніх збоях банків. У фінустанов є резервні копії, тому вони можуть відновити інформацію про суми на рахунках клієнтів навіть після серйозних вірусних атак. Не завжди миттєво, але дані піднімають. Проте, вкладникам важливо розуміти, що, навіть якщо в майбутньому виникне інцидент із крадіжкою грошей після нападу хакера, вони захищені законом.
У цьому випадку відповідальність за збереження коштів лежить на банку, він зобов'язаний її забезпечити та компенсувати людині втрачене у разі НП. Власнику рахунку лише треба довести, що на вкладі була зазначена їм сума: наприклад, надати виписки чи квитанції про внесення готівкових, чи безготівкових переказів", — пояснив «Мінфіну» старший партнер адвокатської компанії «Кравець та партнери» Ростислав Кравець.
Найчастіше спори щодо втрати коштів виникають не при нападах на банки, а в разі обману шахраями простих людей, про що «Мінфін» писав раніше.