Как украинские банки защищаются от кибератак в условиях войны: рассказывает Евгений Балютов, директор по информационной безопасности Райффайзен Банка
14 Березня 2024 15:16 С началом полномасштабной войны количество кибератак в Украине выросло по меньшей мере в десять раз. Впрочем, реальные масштабы проблемы могут быть даже больше, говорит директор по вопросам информационной безопасности Райффайзен Банка Евгений Балютов. Как банковский сектор справился с вызовами кибервойны, какие новые виды кибервмешательств появились в украинском ландшафте, о последствиях кибератаки на Киевстар для финучреждений, а также об особенностях переезда банков в облако - читайте в эксклюзивном интервью Евгения Балютова для UA.NEWS.
Евгений Балютов: По данным организации CERT-UA, с 2021 года количество киберинцидентов выросло практически в 10 раз. И это только те инциденты, которые фиксируются командой реагирования на чрезвычайные события Украины, и инциденты, о которых CERT в курсе.
Впрочем, есть еще большое количество компаний, которые не рассказывают о своих киберинцидентах. В нашей стране достаточно низкая культура в отношении кибербезопасности. И большинство небольших и средних предприятий пытаются самостоятельно противодействовать этим угрозам и не говорят о них широкой общественности. Поэтому реальное количество кибервмешательств может быть даже в десять раз больше, чем показывает официальная статистика.
В атаках на уровне государства появился новый тренд. Если раньше мы ожидали кибернападений от каких-то глобальных игроков, то сейчас почти любая группа энтузиастов может организоваться, получить финансирование от стран-агрессоров и нанести очень мощный ущерб любому бизнесу и государству. Прямо сейчас очень много маленьких, но эффективных игроков на этом поле – и это держит в постоянном тонусе.
Появились ли за время полномасштабной войны какие-нибудь новые виды кибервмешательств?
Евгений Балютов: Одним из трендов является увеличение количества атак, направленных на выведение из строя инфраструктуры.
До 2022 года большинство компаний считало, что основным риском является вмешательство со стороны криминальных группировок или специально подготовленных групп. Такие атаки, как правило, были нацелены на реализацию мошенничества, вымогательство выкупа, шифрование данных компании и т.д. В то же время атаки, направленные на повреждение инфраструктуры, до 2022 года встречались довольно редко. Это, например, вирус Petya, массово поразивший компьютеры украинского бизнеса в 2017 году.
Как работают такие атаки? Сначала они сфокусированы на том, чтобы получить контроль, а после получения контроля нанести максимальный ущерб инфраструктуре, чтобы ее было очень дорого и долго поднять заново. Большое количество украинских бизнесов не встречалось с такими типами атак. Конечно, есть специфические компании специфических индустрий, которые работают с такими типами угроз и векторами очень давно, поэтому нельзя сказать, что это нечто радикально новое. Но для большинства рынка – это изменение ландшафта.
Расскажите об отличиях между кибератаками, которые совершают частные хакерские группы (даже по заказу агрессора), и атаками от россии как государства?
Евгений Балютов: Если мы говорим о каких-то микрогруппах, то они обычно используют свежие актуальные уязвимости, позволяющие совершить вмешательство. Если представить, что ваша инфраструктура – это земля, огражденная забором, такие группы будут фокусироваться на поиске в этом заборе гнилой доски. Они стремятся найти и отковырять эту гнилую доску, зайти, что-то быстро сделать и выйти, чтобы остаться незамеченными.
Если мы говорим о серьезных группировках, которые сидят именно на зарплатах, то, как правило, их операции очень качественные и очень медленные. У них нет концепции "сделаем как можно быстрее и максимально мощно, и будем куда-то бежать". Они очень медленно готовятся, медленно заходят, очень хорошо закрепляются и ждут приказа. И когда поступает приказ, они делают так, чтобы организация или даже целая индустрия понесла максимальные потери.
Такие группы фокусируются на причинении ущерба таргетированно в рамках более глобальной операции. К примеру, у нас может быть какое-то столкновение на фронте, где очень важна координация: у нас есть артиллерия, пехота, самолеты. А вывод из строя определенных систем координации является составным элементом той или иной операции.
Потому когда речь идет о кибервмешательстве от кадровых военных страны-агрессора, то главными особенностями являются:
- сложность операции – чем больше денег и чем ближе к кадровым военным, тем сложнее операция;
- подготовка к операции более качественная у кадровых военных;
- цели более глобальны;
- последствия тоже более глобальны.
Фото: Команда по кибербезопасности Райффайзен Банка
Как на кибератаки реагировала банковская инфраструктура Украины? Как Райффайзен Банк справился с этим вызовом?
Евгений Балютов: Хакерские атаки на банковскую инфраструктуру происходят постоянно, каждую неделю, каждый час. И пока мы с вами общаемся, какой-то банк, вероятно, отражает какую-нибудь атаку. Это наши реалии.
Перед началом полномасштабной войны, где-то в январе 2022 года, кибератаки на банки были самыми мощными за последние годы. Это была подготовительная фаза, чтобы испытать, кто готов, а кто нет. Нас тоже испытывали. Это было массивно, это было долго, продолжалось несколько дней. Наши клиенты этого не почувствовали, но мы почувствовали очень хорошо, потому что 24/7 происходила игра, кто сильнее, кто выносливее и кто хитрее – мы тогда победили.
Сегодня на Райффайзен Банк, по меньшей мере, раз в месяц происходит мощная атака, а еще несколько раз в день кто-то нас испытывает – мы на это смотрим, улыбаемся и идем дальше работать.
В целом, с начала полномасштабного вторжения технические возможности для отражения кибератак в банковской индустрии Украины очень сильно выросли, повысилось качество. Мы как индустрия и государство получили уникальный опыт, как оперировать во время этих атак, как обращаться с этими инцидентами. И сегодня это одно из самых сильных наших качеств.
Однако кроме атак в лоб, DDOS-атак и атак с поиском уязвимостей, бывают более комплексные атаки, таргетированные, использующие техники социальной инженерии. Что это за техника? Например, когда бухгалтер получает письмо от своего "финансового директора", который просит что-то сделать прямо сейчас – кликнуть на ссылку, загрузить что-нибудь. Иногда это работает и именно с этого начинаются самые масштабные атаки!
Ведь когда вы кликнули на ссылку, перешли, вы добровольно отдаете доступ к своему компьютеру, к вашей корпоративной сети кому-то снаружи. На этом этапе начинается самое страшное и интересное, потому что у злоумышленника есть доступ, дальше эскалируются привилегии и злоумышленник делает то, что может сделать. После этого начинается игра под названием "Насколько хорошо вы занимались безопасностью в вашей компании в течение последних 5-7 лет".
Такие таргетированные атаки происходят гораздо чаще, чем атаки в лоб. В них злоумышленники используют весь набор инструментов: и электронную почту, и мессенджеры, и соцсети, и даже инвайты на встречи. Будет ли атака успешной, зависит от образования и обучения не только сотрудников, но и всех граждан. Если человек не понимает базиса, он обязательно кликнет куда-нибудь, а это может иметь очень мощные негативные последствия.
Из-за кибератаки на Киевстар часть банковской инфраструктуры прекратила работу (а именно POS-терминалы, работавшие на связи от этого оператора). Как с этим вызовом справился Райффайзен?
Евгений Балютов: После кибератаки на Киевстар некоторое время мобильная сеть была недоступна и это повлияло на работу POS-терминалов. Пострадали именно терминалы, которые могли работать только по одному каналу связи (в нашем случае SIM-карта Киевстар). Есть разные виды терминалов: одни могут работать только по кабелю (интернет), другие работают на одной или двух SIM-картах, еще одни – на двух SIM-картах плюс кабельном интернете.
Большая часть терминалов Райфа поддерживают работу кабель+карта или кабель+2 карты. И лишь незначительный процент составляли терминалы, работавшие на одной симке, именно они столкнулись с недоступностью сети. Но эти терминалы уже были заменены или SIM-карты в них были заменены. В случаях, когда это было невозможно, клиенты заменяли терминалы на продукцию других банков. И это ярко показывает устойчивость в масштабах государства к подобным инцидентам.
Какие еще были проблемы из-за атаки на Киевстар?
Евгений Балютов: Кроме терминалов были проблемы с доставкой SMS на финансовые номера Киевстар. В этих случаях приходилось либо откладывать инициирование транзакции, либо изменить финансовый номер на номер другого оператора. Но эта проблема затронула почти все украинские банки.
Что нужно делать банкам, чтобы не допустить таких проблем в будущем?
Евгений Балютов: Нужно инвестировать время и ресурсы в непрерывность бизнеса, блэкауты, решение проблем с мобильной связью. Райф работает над этими задачами многие годы. Мы постоянно проводим моделирование и тесты, чтобы быть надежным банком для наших клиентов 24/7.
Сейчас мы работаем над внедрением нового 3-D Secure – вместо SMS клиенту будет приходить push-уведомление в онлайн-банкинг. Так мы сможем снизить риски, если невозможно будет доставлять сообщения на неработающие номера.
Кроме того, мы уже инициировали замену всех POS-терминалов на более "крутые", которые поддерживают несколько каналов связи. С терминалами ситуация самая простая, это железо, которое можно заменить и проблема будет решена. Однако что будет, если работать не будут два мобильных оператора и начнутся перебои с кабельным интернетом? Это будет проблема и новый мощный вызов. Ведь решить можно любую ситуацию, нельзя только победить законы физики.
В начале полномасштабного вторжения НБУ разрешил банкам использовать облачные сервисы, чтобы уберечь данные от угрозы уничтожения в условиях войны. Как этот процесс проходил в Райффайзен Банке?
Евгений Балютов: Решение о нашем пути в облако было принято очень оперативно. Райффайзен был частью группы банков, которые еще до полномасштабного вторжения сотрудничали с Нацбанком Украины в использовании облачных технологий в операционной деятельности. Поэтому с первого дня мы понимали, какие у нас возможности.
Национальный банк Украины сильно помог нам, разрешив использовать облачные технологии в очень короткие сроки (НБУ урегулировал вопрос использования банками Украины облачных услуг в своей деятельности 9 марта 2022 года, - ред.).
Фото: Часть команды Райффайзен Банка, занимавшейся миграцией данных с дата-центров в облако
Пострадала ли ваша физическая инфраструктура от войны?
Евгений Балютов: Пока мы переезжали в клауд, у нас было несколько наземных дата-центров. Они распределены географически. И нам просто повезло, что эти дата-центры не пострадали от боевых действий. Это обычная удача, потому что невозможно сказать точно, куда попадет ракета. Несколько раз были прилеты возле дата-центров банка, но без последствий для нас.
Как быстро вы переехали в облако?
Евгений Балютов: Райффайзен Банк справился с этой задачей очень быстро – спустя три месяца 95% нашей инфраструктуры переехало в клауд. Остальное мы довозили шаг за шагом в течение года.
И сейчас мы полноценно оперируем нашими системами и данными в клауде, используем разных облачных провайдеров.
Почему не у всех банков получилось полноценно переехать в клауд?
Евгений Балютов: Многие банки попытались переехать в клауд, но магия облаков работает только при двух важных условиях.
Во-первых, вы должны выделить на эту задачу 100% ресурсов, экспертов, инженеров. Это невозможно сделать на 30% времени или 30% систем.
Во-вторых, следует понимать, что операционная модель в облаке очень сильно отличается от операционной модели на земле. Поэтому один из ключевых или даже самый важный момент – как вы управляете своими ресурсами и насколько это экономически эффективно. То есть, насколько грамотно вы оперируете своими ресурсами, чтобы не делать лишних затрат.
И для многих банков это был очень серьезный челлендж. Многие банки, даже попробовав переехать в облако, вернулись, потому что их расходы были сверхвысокими.
Для Райффайзен Банка ситуация была несколько иной. До полномасштабного вторжения у нас уже была очень мощная кампания по обучению тому, как использовать клауд, у нас очень мощная экспертиза. Именно поэтому мы сумели сделать это без лишних затрат и эффективно. На сегодняшний день наши расходы в клауде не превышают затрат, которые были "на земле".
Читайте также:
Киберспециалисты Райффайзен Банка в 2023 году спасли клиентов от потери около 107 млн грн со скомпрометированных мошенниками счетов. Для сравнения в 2022 году эта сумма составляла 52 млн. грн.