monobank, Приват и другие: почему ломаются украинские банки

Война для банков началась на неделю раньше

У поломок и сбоев в работе банковских сервисов чаще всего две причины. Первая — внешняя атака на инфраструктуру финучреждения, вторая — внутренний технический сбой в самом банке без стороннего вмешательства.

В Украине работают оба фактора, хотя, как показал опрос «Минфина», чаще всего с начала войны включается первый — внешние нападения. Как на банковский сектор, так и на регулятора — НБУ.

«Кроме военной агрессии, против Украины уже третий год подряд продолжается гибридная война, и на протяжении 2022−2023 годов наблюдался рост количества кибератак, направленных на критическую инфраструктуру банковской системы Украины, в частности, Национальный банк и другие банки, а также увеличение проявлений актов кибермошенничества и киберпреступности», — подтвердили в Нацбанке по запросу «Минфина».

Атаки, в первую очередь, связывают со страной-террористом.

«С началом полномасштабного вооруженного вторжения рф на территорию Украины наблюдается значительное увеличение количества кибератак на информационно-коммуникационные системы органов государственной власти, а также предприятий, учреждений и организаций частного и государственного секторов. Их отказ в работе может привести к негативным или критическим последствиям общегосударственного характера.

Целями таких кибератак является нанесение максимального ущерба объектам критической инфраструктуры Украины, к которым также относятся учреждения финансового сектора", — объяснил «Минфину» спикер Департамента киберполиции Национальной полиции Украины Артем Олещенко.

При этом в самих банках рассказывают, что нападения на них начались за неделю до масштабного вторжения агрессора в Украину.

«Для банковской системы война началась 15 февраля 2022 года. В этот день была массовая DDoS-атака на Украину. Мы справились с угрозой через несколько часов, потому что у нас уже была часть инфраструктуры в облаке, команда специалистов и соответствующие решения», — рассказали нам в пресс-службе государственного Приватбанка.

Как изменились характер и цель атак

Регулярные нападения извне фиксируют во многих крупных банках.

«Сейчас атаки на банковскую инфраструктуру происходят постоянно, еженедельно, каждый час. Одни из первых мощных кибератак на банк прошли еще в феврале 2022 года. Это была подготовительная фаза, чтобы испытать — кто готов, а кто нет», — отметил в беседе с «Минфином» начальник управления менеджмента информационной безопасности Райффайзен Банка Алексей Скиба.

«За последние два года количество попыток атаковать банковскую систему существенно выросло. Каждый квартал банк удачно отражает минимум одну большую хакерскую атаку, а их направление все больше смещается в направлении посягательств на клиентские сервисы», — дополнила его пресс-служба ПУМБа.

Большие банки пока не делятся данными по динамике внешних атак, но в структурах поменьше можно получить интересную информацию. Например, заместитель председателя правления Глобус Банка Виктор Диденко предоставил «Минфину» такие данные по общему количеству кибератак:

• 2021 год — 41;
• 2022 год — 25;
• 2023 год — 60;
• январь-апрель 2024 года — 33.

Нападения происходят из разных стран, хотя все понимают, кто за ними стоит.

«Чаще всего атаки происходят с ресурсов таких стран: Китай, Тайвань, Южная Корея, Индия, Мексика, Бразилия», — уточнил Диденко.

Налеты на наши банки устраивают не только отдельные хакеры, но и группы. Финансисты рассказывают, что их централизовано нанимает российский агрессор. Даже не для кражи средств, а для тотального разрушения.

«Если ранее действовали коммерческо-ориентированные группировки и их целью было получение средств, то сейчас на первый план вышли группировки, созданные или спонсируемые на уровне страны-террориста. Их цель — получить доступ и нанести значительный ущерб инфраструктуре компании. Другая тенденция, которая начала активно развиваться с началом полномасштабного вторжения, — движение активистов. Это небольшие группы, которые также могут получить финансирование от страны-террориста и нанести значительный ущерб любому бизнесу», — разъяснил Алексей Скиба.

Одно время в отношении украинских банков активно применялся DoS, что буквально переводится с английского как «отказ в обслуживании» — хакерская атака на систему с целью довести ее до отказа. Чаще всего она достигается огромным количеством внешних запросов на сервер, чтобы тот не справился с нагрузкой и остановил работу. Когда нападение идет одновременно с большого количества IP-адресов, то его называют уже «распределенным» — DDoS (distributed denial-of-service).

Такой подход применяется до сих пор, но параллельно внедряются и другие методы.

«Кроме DDoS-атак и атак с поиском уязвимостей, наблюдаются более комплексные таргетированные нападения, которые используют техники социальной инженерии. Например, работник учреждения может получить на электронную почту письмо якобы от другого учреждения, коллеги и др., в котором содержится ссылка на скачивание что-либо. В случае перехода по такой ссылке может начаться кибератака.

В таких таргетированных кибератаках злоумышленники используют весь набор инструментов: электронную почту, мессенджеры, соцсети и даже инвайты на встречи", — рассказал Артем Олещенко из Киберполиции.

Также активно применяется фишинг (fishing, «рыбная ловля, выуживание») — выуживание информации при помощи массовых рассылок через электронную почту и соцсети. Причем не только тот, на который «покупаются» клиенты банков, когда разглашают данные о своих счетах, но и работники финансовых учреждений. Их стараются обмануть фейковым контентом якобы от органов украинской власти или спецслужб. Нередко во вложениях в таких письмах содержится вредоносное ПО и программы, подбирающие пароли к разным данным на банковских серверах.

«Фишинговые кампании на работников банка — это уже тоже регулярные события. Пик получения таких писем фиксировали в первые месяцы полномасштабного вторжения и в начале 2024 года», — подтвердил Алексей Скиба из Райффайзен Банка.

Он уточнил, что количество заблокированных фишинговых доменов с 2021 по 2023 год выросло с 15 до 350.

Вражеские хакеры не перестают атаковать финучреждения и разнообразными вредоносными программами — вирусами. Такие разрушители могут наносить существенный вред инфраструктуре банков и приводить к сбоям/падениям их интернет-сервисов.

Внутренние сбои и инциденты

Вражеские атаки — не единственная причина перебоев в работе мобильных приложений и интернет-банкингов. Работает и второй фактор — внутренние технические сбои, которые банки также признают.

Например, об этом говорят в monobank, где в последние месяцы участились случаи перебоев в работе его площадок. Иногда сооснователь monobank Олег Гороховский заявлял о DDoS-атаках на структуру, как, например, 8 апреля, давая понять, что нападение организовала вражеская рф.

Хотя, оценивая проблему в целом, там все-таки чаще говорят о внутренних инцидентах, связанных с перестройкой банка.

«За последнее время сбоев стало больше не из-за угроз кибербезопасности. Это связано с тем, что мы перестраиваем наш банк под большую нагрузку — под увеличение сделок. Такое масштабирование, к сожалению, сопровождается досадными инцидентами. Сейчас мы стараемся не повторять подобных ошибок», — говорится в комментарии monobank для «Минфина».

В то же время, многие финансисты уверяют, что сбои у них случаются реже, чем внешние атаки. Виктор Диденко из Глобус Банка предоставил «Минфину» такую статистику по количеству внутренних технических сбоев в 2024 году, не спровоцированных внешними факторами:

• январь — 0;
• февраль — 4;
• март — 6;
• апрель — 0.

«Причины, по которым чаще всего могут происходить внутренние технические сбои, достаточно привычные для всех банков. Это, прежде всего, несовершенное оборудование и программное обеспечение, которое может время от времени „виснуть“ (но понимаем, что именно этот вопрос находится все время в процессе усовершенствования). А также это может быть чисто „человеческий фактор“: нехватка профессиональных специалистов в подразделениях IT и информационной безопасности», — разъяснил Диденко.

Читайте также: Число хакерских атак в Украине выросло за год на 16%

Кто расследует нападения на банки

В Национальном банке уверяют, что знают о проблемах кибербезопасности, которые возникают в финансовом секторе. В банках «Минфину» подтвердили, что после начала полномасштабного вторжения НБУ ужесточил требования по этой части и регулярно проверяет их выполнение. От финансистов требуют быть готовыми к атакам, больше средств тратить на IT и качественно обслуживать свою инфраструктуру, делать резервные копии и вкладываться в дополнительное оборудование.

«В рамках надзорного мандата регулятор взаимодействует непосредственно с высшим руководством банков с целью самого лучшего принятия, понимания и распространения культуры управления киберрисками через определенные Национальным банком принципы и механизмы корпоративного управления. Функционирование системы киберзащиты в банковской системе Украины основывается, среди прочего, на принципах приоритетности мер и минимизации киберрисков в деятельности каждого отдельного банка», — говорится в официальном комментарии Нацбанка для «Минфина».

В структуре НБУ был создан Центр киберзащиты (CSIRT-NBU), в который банки и небанковские структуры должны сообщать обо всех инцидентах. В том числе по атакам мошенников и хакеров, вне зависимости от их успешности.

Каждый инцидент проходит там аудит, анализируется, специалисты регулятора помогают справится с проблемами и дают рекомендации остальным участникам финансового сообщества. В начале апреля 2024 года Нацбанк подписал с Министерством финансов США Меморандум о сотрудничестве в рамках кибербезопасности, и теперь еще может получать полезную информацию и помощь от американских коллег.

В своей консолидированной отчетности за 2023 год Нацбанк сообщил, что в прошлом году CSIRT-NBU обнаружил, проанализировал около 15 тыс. образцов вредоносного программного обеспечения (в 2022-м — 11 тыс.) и проинформировал о них финучреждения. В платформе обмена информацией об актуальных киберугрозах Malware Information Sharing Platform & Threat Sharing (MISP-NBU), которой активно пользуются банки, было отправлено свыше 100 сообщений об инцидентах и индикаторе киберугроз.

В Киберполиции «Минфину» также сообщили о создании аналогичных команд в ряде других госорганов:

• Правительственная команда реагирования на компьютерные чрезвычайные события при Администрации Госспецсвязи, CERT-UA.
• Национальная платформа СБУ MISP-UA (Malware Information Sharing Platform «Ukrainian Advantage»).

После подачи заявлений нападения на банки расследуются Киберполицией. Как объяснил Артем Олещенко, кибератаки на банковские учреждения могут быть квалифицированы, как несанкционированное вмешательство в работу информационных (автоматизированных), информационно-коммуникационных систем, электронных коммуникационных сетей, — это ст. 361 Уголовного кодекса.

«В случае поступления соответствующих заявлений, Департамент Киберполиции в рамках компетенции осуществляет первоочередное реагирование, проведение ряда действий, направленных на фиксацию цифровых следов кибератаки или киберинцидента, минимизации последствий для банковского учреждения и его клиентов», — отметил Олещенко.

Кто заплатит за атаку

Банки уверяют, что постоянно увеличивают свои расходы на IT и готовы отражать атаки.

«Наш банк постоянно инвестирует в технологии и лучших специалистов в сфере кибербезопасности, ведь доступность наших сервисов, персональные данные клиентов должны и дальше находиться под надежной защитой», — например, заверили в пресс-службе ПУМБ.

Там рассказали, что активно развивают такое направление как киберразведка. С помощью государственных и коммерческих партнеров получают информацию из Dark-интернета: с хакерских закрытых форумов, телеграмм-каналов. Что позволяет лучше готовиться к нападениям.

В Глобус Банке сообщили о расширении штата в подразделениях IT и информационной безопасности: Виктор Диденко уточнил, что соответствующий зарплатный фонд в 2024 году был увеличен на 20%.

В других банках также активно работают над превентивными мерами.

«Относительно тактических решений по обеспечению клиентской безопасности — это переход в облако, внедрение и постоянное развитие комплекса мер кибербезопасности, которые позволяют банку даже не ощущать многочисленные DDoS-атаки», — рассказали нам в пресс-службе Приватбанка.

Банкиры уверяют, что часто им удается отбивать внешние атаки и справляться с внутренними поломками без ущерба для клиентов. Реже — это сказывается на работе мобильных приложений и систем интернет-банкинга. В то же время, финансисты уверяют, что люди при этом не теряют деньги со счетов. Данные об остатках средств могут исчезать, но со временем банки их восстанавливают.

Это подтверждают и юристы, которые специализируются на спорах в финансовой сфере.

«Люди пока не жаловались на пропажу денег после атак хакеров или при внутренних сбоях банков. У финучреждений есть резервные копии, так что они могут восстановить информацию по суммам на счетах клиентов даже после серьезных вирусных атак. Не всегда мгновенно, но данные поднимают. Тем не менее, вкладчикам важно понимать, что, даже если в будущем возникнет инцидент с кражей денег после нападения хакера, они защищены законом.

В этом случае ответственность за сохранность средств лежит на банке, он обязан ее обеспечить и компенсировать человеку утраченное в случае ЧП. Владельцу счета только нужно доказать, что на вкладе была указанная им сумма: например, предоставить выписки или квитанции о внесении наличных или о безналичных переводах", — объяснил «Минфину» старший партнер адвокатской компании «Кравец и партнеры» Ростислав Кравец.

Чаще всего споры по части утраты средств возникают не при нападениях на банки, а в случае обмана мошенниками простых людей, о чем «Минфин» писал ранее.

Автор:

Финансовый журналист Лысенко Елена