Jak ukraińskie banki chronią się przed cyberatakami w czasach wojny: opowiada Yevhen Balyutov, dyrektor ds. bezpieczeństwa informacji w Raiffeisen Bank

Od początku wojny na pełną skalę liczba cyberataków na Ukrainę wzrosła co najmniej dziesięciokrotnie. Jednak rzeczywista skala problemu może być jeszcze większa, mówi Yevhen Balyutov, dyrektor ds. bezpieczeństwa informacji w Raiffeisen Bank. Przeczytaj o tym, jak sektor bankowy poradził sobie z wyzwaniami cyberwojny, jakie nowe rodzaje cyberingerencji pojawiły się w ukraińskim krajobrazie, o konsekwencjach cyberataku na Kyivstar dla instytucji finansowych oraz o osobliwościach banków przenoszących się do chmury w ekskluzywnym wywiadzie z Yevhenem Balyutovem dla UA.NEWS.

 

Jak wojna na pełną skalę wpłynęła na sytuację w zakresie cyberbezpieczeństwa w Ukrainie? Jakie zmiany Pan zaobserwował?

Yevhen Balyutov: Według organizacji CERT-UA liczba cyberincydentów wzrosła prawie 10-krotnie od 2021 roku. Są to tylko incydenty zarejestrowane przez Zespół Reagowania na Incydenty Komputerowe Ukrainy i incydenty, o których CERT wie.

Jednak nadal istnieje duża liczba firm, które nie mówią o swoich cyberincydentach. Nasz kraj ma raczej niską kulturę cyberbezpieczeństwa. Większość małych i średnich przedsiębiorstw stara się przeciwdziałać tym zagrożeniom na własną rękę i nie informuje o nich opinii publicznej. Dlatego rzeczywista liczba cyberwłamań może być nawet dziesięciokrotnie wyższa niż pokazują oficjalne statystyki.

Pojawił się nowy trend w atakach sponsorowanych przez państwo. O ile wcześniej spodziewaliśmy się cyberataków ze strony globalnych graczy, teraz niemal każda grupa entuzjastów może się zorganizować, uzyskać finansowanie od krajów-agresorów i wyrządzić bardzo poważne szkody każdej firmie i każdemu państwu. Obecnie na tym polu jest wielu małych, ale skutecznych graczy, co utrzymuje stały ton gry.

Czy podczas wojny na pełną skalę pojawiły się jakieś nowe rodzaje cyberingerencji?

Yevhen Baliutov: Jednym z trendów jest wzrost liczby ataków mających na celu wyłączenie infrastruktury.

Do 2022 r. zdecydowana większość firm uważała, że głównym zagrożeniem była ingerencja ze strony grup przestępczych lub specjalnie wyszkolonych grup. Takie ataki miały zwykle na celu popełnianie oszustw, ransomware, szyfrowanie danych firmowych itp. Jednocześnie ataki mające na celu uszkodzenie infrastruktury były dość rzadkie do 2022 roku. Jest to na przykład wirus Petya, który w 2017 r. masowo zaatakował komputery ukraińskich firm.

Jak działają takie ataki? Na początku koncentrują się na przejęciu kontroli, a po jej uzyskaniu powodują maksymalne uszkodzenia infrastruktury, tak aby jej odbudowa była bardzo kosztowna i czasochłonna. Duża liczba ukraińskich firm nigdy nie doświadczyła tego typu ataków. Oczywiście istnieją określone firmy w określonych branżach, które od dawna mają do czynienia z tego typu zagrożeniami i wektorami, więc nie jest to coś radykalnie nowego. Jednak dla większości rynku jest to zmiana w krajobrazie.

Czy mógłby Pan opowiedzieć nam o różnicach między cyberatakami przeprowadzanymi przez prywatne grupy hakerów (nawet w imieniu agresora) a tymi pochodzącymi z rosji jako państwa?

Yevhen Balyutov: Jeśli mówimy o niektórych mikrogrupach, to zazwyczaj wykorzystują one świeże, aktualne podatności, które pozwalają im na interwencję. Jeśli wyobrazimy sobie, że nasza infrastruktura jest ogrodzonym terenem, to takie grupy skupią się na znalezieniu zgniłej deski w tym ogrodzeniu. Chcą znaleźć i odłupać tę zgniłą deskę, wejść, zrobić coś szybko i wyjść, aby nie zostać zauważonym.

Jeśli mówimy o poważnych grupach, które siedzą na pensjach, ich operacje są zazwyczaj bardzo wysokiej jakości i bardzo powolne. Nie mają koncepcji "zróbmy to tak szybko i tak potężnie, jak to możliwe i uciekajmy gdzieś". Są bardzo powolni w przygotowaniach, powolni w działaniu, bardzo dobrzy w zdobywaniu pozycji i czekaniu na zamówienie. A kiedy rozkaz nadejdzie, upewniają się, że organizacja lub nawet cała branża poniesie maksymalne straty.

Takie grupy koncentrują się na wyrządzaniu szkód w sposób ukierunkowany, jako część bardziej globalnej operacji. Na przykład, możemy mieć do czynienia z jakimś starciem na froncie, gdzie koordynacja jest bardzo ważna: mamy artylerię, piechotę, samoloty. Zakłócenie pewnych systemów koordynacji jest integralną częścią tej czy innej operacji.

Dlatego też, jeśli chodzi o ingerencję cybernetyczną ze strony personelu wojskowego kraju agresora, główne cechy to

• złożoność operacji - im więcej pieniędzy, im bliżej regularnego wojska, tym bardziej złożona operacja;


• przygotowanie operacji jest lepsze w przypadku zawodowych wojskowych;


• cele są bardziej globalne;


• konsekwencje są również bardziej globalne.

Zdjęcie: Zespół ds. cyberbezpieczeństwa Raiffeisen Bank

 

Jak ukraińska infrastruktura bankowa zareagowała na cyberataki? Jak Raiffeisen Bank poradził sobie z tym wyzwaniem?

Yevhen Baliutov: Ataki hakerów na infrastrukturę bankową zdarzają się stale, co tydzień, co godzinę. W chwili, gdy rozmawiamy, jakiś bank prawdopodobnie odpiera atak. Taka jest nasza rzeczywistość.

Przed wybuchem wojny na pełną skalę, około stycznia 2022 r., cyberataki na banki były najpotężniejsze w ostatnich latach. Była to faza przygotowawcza, mająca na celu sprawdzenie, kto jest gotowy, a kto nie. My również zostaliśmy przetestowani. Był masowy, długi, trwał kilka dni. Nasi klienci tego nie odczuli, ale my czuliśmy się bardzo dobrze, ponieważ toczyła się całodobowa gra o to, kto jest silniejszy, bardziej odporny i bardziej przebiegły - wygraliśmy.

Dziś Raiffeisen Bank jest poddawany potężnym atakom co najmniej raz w miesiącu, a kilka razy dziennie ktoś nas testuje - patrzymy na to, uśmiechamy się i pracujemy dalej.

Ogólnie rzecz biorąc, od początku włamań na pełną skalę możliwości techniczne ukraińskiego sektora bankowego w zakresie odpierania cyberataków dramatycznie wzrosły, a jakość uległa poprawie. Jako branża i państwo zdobyliśmy unikalne doświadczenie w zakresie działania podczas tych ataków i radzenia sobie z tymi incydentami. Dziś jest to jedna z naszych najmocniejszych stron.

Jednak oprócz ataków czołowych, ataków DDOS i ataków polegających na skanowaniu luk w zabezpieczeniach, istnieją bardziej złożone, ukierunkowane ataki wykorzystujące techniki inżynierii społecznej. Na czym polegają te techniki? Na przykład, gdy księgowy otrzymuje wiadomość e-mail od swojego "dyrektora finansowego" z prośbą o zrobienie czegoś w tej chwili - kliknięcie linku, pobranie czegoś. Czasami to działa i tu zaczynają się największe ataki!

Ponieważ jak tylko klikniesz na link, podążasz za linkiem, dobrowolnie dajesz dostęp do swojego komputera, do swojej sieci firmowej komuś z zewnątrz. Na tym etapie zaczyna się najstraszniejsza i najciekawsza rzecz, ponieważ atakujący ma dostęp, następnie przywileje są eskalowane, a atakujący robi to, co może. Następnie rozpoczyna się gra o nazwie "Jak dobrze zarządzałeś bezpieczeństwem w swojej firmie w ciągu ostatnich 5-7 lat".

Takie ukierunkowane ataki są znacznie częstsze niż ataki bezpośrednie. Atakujący wykorzystują w nich cały zestaw narzędzi: pocztę elektroniczną, komunikatory, media społecznościowe, a nawet zaproszenia na spotkania. A to, czy atak się powiedzie, zależy od edukacji i szkolenia nie tylko pracowników, ale także wszystkich obywateli. Jeśli ludzie nie rozumieją podstaw, na pewno gdzieś klikną, a to może mieć bardzo poważne negatywne konsekwencje.

Z powodu cyberataku na Kyivstar część infrastruktury bankowej przestała działać (a mianowicie terminale POS, które były podłączone do operatora). Jak Raiffeisen poradził sobie z tym wyzwaniem?

Yevрen Balyutov: Po cyberataku na Kyivstar sieć komórkowa była przez pewien czas niedostępna, co wpłynęło na działanie terminali POS. Dotyczyło to terminali, które mogły pracować tylko na jednym kanale komunikacji (w naszym przypadku na karcie SIM Kyivstar). Istnieją różne typy terminali, niektóre mogą działać tylko przez kabel (internet), inne działają na jednej lub dwóch kartach SIM, a jeszcze inne na dwóch kartach SIM i kablowym internecie.

Większość terminali Raifa obsługuje kabel + kartę lub kabel + 2 karty. Tylko niewielki procent stanowiły terminale, które działały na jednej karcie SIM i dlatego były niedostępne. Jednak terminale te zostały już wymienione lub ich karty SIM zostały wymienione. W przypadkach, w których nie było to możliwe, klienci zastąpili terminale produktami innych banków. To wyraźnie pokazuje ogólnokrajową odporność na takie incydenty.

Jakie inne problemy spowodował atak na Kyivstar?

Yevhen Balyutov: Oprócz terminali wystąpiły problemy z dostarczaniem SMS-ów na numery finansowe Kyivstar. W takich przypadkach musieliśmy albo odłożyć rozpoczęcie transakcji, albo zmienić numer finansowy na innego operatora. Problem ten dotyczył prawie wszystkich ukraińskich banków.

Co banki powinny zrobić, aby zapobiec takim problemom w przyszłości?

Yevhen Balyutov: Konieczne jest inwestowanie czasu i zasobów w ciągłość biznesową, przerwy w dostawie prądu i rozwiązywanie problemów z łącznością mobilną. Raif pracuje nad tymi kwestiami od wielu lat. Nieustannie przeprowadzamy modelowanie i testy, aby być niezawodnym bankiem dla naszych klientów 24/7.

Teraz pracujemy nad wykorzystaniem nowego 3-D Secure - zamiast SMS-ów, klienci będą otrzymywać powiadomienia push w bankowości internetowej. Pomoże nam to ograniczyć ryzyko, jeśli nie będzie możliwe dostarczenie wiadomości na niedziałające numery.

Ponadto zainicjowaliśmy już wymianę wszystkich terminali POS na "fajniejsze", które obsługują wiele kanałów komunikacji. Sytuacja z terminalami jest najprostsza, to sprzęt, który można wymienić i problem zostanie rozwiązany. Co się jednak stanie, jeśli dwóch operatorów komórkowych przestanie działać i wystąpią przerwy w dostępie do internetu kablowego? Będzie to problem i nowe, potężne wyzwanie. W końcu każdą sytuację można rozwiązać, nie da się po prostu pokonać praw fizyki.

Na początku inwazji na pełną skalę NBU zezwolił bankom na korzystanie z usług w chmurze w celu ochrony danych przed groźbą zniszczenia w czasie wojny. Jak przebiegał ten proces w Raiffeisen Bank?

Yevhen Balyutov: Decyzja o przejściu do chmury została podjęta bardzo szybko. Raiffeisen był częścią grupy banków, które współpracowały z Narodowym Bankiem Ukrainy w zakresie możliwości wykorzystania technologii chmurowych w ich działalności jeszcze przed inwazją na pełną skalę. Dlatego już od pierwszego dnia wiedzieliśmy, jakie mamy możliwości.

Narodowy Bank Ukrainy bardzo nam pomógł, umożliwiając nam korzystanie z technologii chmurowych w bardzo krótkim czasie(NBU uregulował korzystanie z usług chmurowych przez ukraińskie banki w ich działalności 9 marca 2022 r. - red.).



Zdjęcie: Część zespołu Raiffeisen Bank zaangażowana w migrację danych z centrów danych do chmury.

Czy wasza infrastruktura fizyczna ucierpiała w wyniku wojny?

Yevhen Balyutov: Kiedy przenosiliśmy się do chmury, mieliśmy kilka lądowych centrów danych. Były one rozproszone geograficznie. Mieliśmy szczęście, że te centra danych nie ucierpiały w wyniku działań wojennych. To tylko szczęście, ponieważ nie można dokładnie określić, gdzie uderzy pocisk. Było kilka incydentów w pobliżu centrów danych banku, ale bez żadnych konsekwencji dla nas.

Jak szybko przenieśliście się do chmury?

Yevhen Balyutov: Raiffeisen Bank poradził sobie z tym zadaniem bardzo szybko - 95% naszej infrastruktury zostało przeniesione do chmury w ciągu trzech miesięcy. Resztę przenosiliśmy krok po kroku w ciągu roku.

A teraz w pełni obsługujemy nasze systemy i dane w chmurze, korzystając z usług różnych dostawców chmury.

Dlaczego nie wszystkie banki zdołały w pełni przenieść się do chmury?

Yevhen Balyutov: Wiele banków próbowało przenieść się do chmury, ale magia chmury działa tylko pod dwoma ważnymi warunkami.

Po pierwsze, trzeba przeznaczyć na to zadanie 100% zasobów, ekspertów i inżynierów. Nie da się tego zrobić poświęcając 30% czasu lub 30% systemów.

Po drugie, należy zrozumieć, że model operacyjny w chmurze bardzo różni się od modelu operacyjnego na ziemi. Dlatego jednym z kluczowych, a nawet najważniejszych punktów jest sposób zarządzania zasobami i jego opłacalność. To znaczy, jak dobrze zarządzasz swoimi zasobami, aby uniknąć niepotrzebnych kosztów.

Dla wielu banków było to bardzo poważne wyzwanie. Wiele banków, nawet po próbie przejścia do chmury, wróciło, ponieważ ich koszty były zbyt wysokie.

W przypadku Raiffeisen Bank sytuacja wyglądała nieco inaczej. Przed inwazją na pełną skalę przeprowadziliśmy już bardzo intensywną kampanię szkoleniową na temat korzystania z chmury, mamy bardzo duże doświadczenie. Dlatego byliśmy w stanie zrobić to efektywnie kosztowo i wydajnie. Dziś nasze koszty w chmurze nie przekraczają kosztów, które ponosiliśmy w terenie.