Як українські банки захищаються від кібератак в умовах війни: розповідає Євген Балютов, директор з інформаційної безпеки Райффайзен Банку
14 Березня 2024 15:16 З початком повномасштабної війни кількість кібератак на Україну зросла щонайменше удесятеро. Втім, реальні масштаби проблеми можуть бути навіть більшими, каже директор з питань інформаційної безпеки Райффайзен Банку Євген Балютов. Як банківський сектор впорався із викликами кібервійни, які нові види кібервтручань з’явились в українському ландшафті, про наслідки кібератаки на Київстар для фінустанов, а також про особливості переїзду банків у хмару - читайте в ексклюзивному інтерв’ю Євгена Балютова для UA.NEWS.
Євген Балютов: За даними організації CERT-UA, з 2021 року кількість кіберінцидентів зросла практично у 10 разів. І це лише ті інциденти, які фіксуються командою реагування на комп'ютерні надзвичайні події України, та інциденти, про які CERT в курсі.
Утім, є ще велика кількість компаній, які не говорять про свої кіберінциденти. У нашій країні досить низька культура щодо кібербезпеки. І більшість невеликих та середніх підприємств намагаються самотужки протидіяти цим загрозам та не розповідають про них широкому загалу. Тому реальна кількість кібервтручань може бути навіть удесятеро більшою, ніж показує офіційна статистика.
В атаках на рівні держави з’явився новий тренд. Якщо раніше ми очікували кібернападів від якихось глобальних гравців, то зараз майже будь-яка група ентузіастів може організуватись, отримати фінансування від країн-агресорів та завдати дуже потужну шкоду будь-якому бізнесу та будь-якій державі. Прямо зараз є дуже багато маленьких, але ефективних гравців на цьому полі – і це тримає у постійному тонусі.
Чи з’явились за час повномасштабної війни якісь нові види кібервтручань?
Євген Балютов: Одним із трендів є збільшення кількості атак, що спрямовані на виведення з ладу інфраструктури.
До 2022 року переважна більшість компаній вважала, що основним ризиком є втручання з боку кримінальних угруповань або спеціально підготовлених груп. Такі атаки, як правило, були націлені на реалізацію шахрайства, вимагання викупу, шифрування даних компанії, тощо. Тоді як атаки, спрямовані на пошкодження інфраструктури, до 2022 року зустрічались досить рідко. Це, наприклад, вірус Petya, який масово вразив комп’ютери українського бізнесу в 2017 році.
Як працюють такі атаки? Спершу вони сфокусовані на тому, щоб отримати контроль, а після отримання контролю – завдати максимальної шкоди інфраструктурі, щоб її було дуже дорого та довго підняти заново. Велика кількість українських бізнесів не зустрічалась із такими типами атак. Звісно, є специфічні компанії специфічних індустрій, які працюють з такими типами загроз і векторами дуже давно, тому не можна сказати, що це щось радикально нове. Але для більшості ринку – це зміна ландшафту.
Розкажіть про відмінності між кібератаками, які роблять приватні хакерські групи (навіть на замовлення агресора), та атаками від рф як держави?
Євген Балютов: Якщо ми говоримо про якісь мікрогрупи, то вони зазвичай використовують свіжі актуальні вразливості, які дають змогу здійснити втручання. Якщо уявити, що ваша інфраструктура – це земля, огороджена парканом, то такі групи будуть фокусуватись на пошуку в цьому паркані гнилої дошки. Вони прагнуть знайти і відколупати цю гнилу дошку, зайти, щось швидко зробити і вийти, щоб залишитись непоміченими.
Якщо ми говоримо про серйозні угрупування, які саме сидять на зарплатах, то, як правило, їх операції дуже якісні і дуже повільні. У них немає концепції “зробимо якнайшвидше і максимально потужно, та будемо кудись бігти”. Вони дуже повільно готуються, повільно заходять, дуже гарно закріплюються та чекають наказу. І коли надходить наказ, вони роблять так, щоби організація або навіть ціла індустрія зазнали максимальних втрат.
Такі групи фокусуються на заподіянні шкоди таргетовано, у рамках більш глобальної операції. Наприклад, у нас може бути якесь зіткнення на фронті, де дуже важлива координація: у нас є артилерія, піхота, літаки. А виведення з ладу певних систем координації є складовим елементом тієї чи іншої операції.
Тож коли йдеться про кібервтручання від кадрових військових країни-агресора, то головними особливостями є:
- складність операції – чим більше грошей, чим ближче до кадрових військових, тим складніша операція;
- підготовка операції більш якісна у кадрових військових;
- цілі більш глобальні;
- наслідки теж більш глобальні.
Фото: Команда з кібербезпеки Райффайзен БанкуЯк на кібератаки реагувала банківська інфраструктура України? Як Райффайзен Банк впорався із цим викликом?
Євген Балютов: Хакерські атаки на банківську інфраструктуру відбуваються постійно, щотижня, щогодини. І поки ми з вами спілкуємось, якийсь банк, ймовірно, відбиває якусь атаку. Це наші реалії.
Перед початком повномасштабної війни, десь у січні 2022 року, кібератаки на банки були найпотужнішими за останні роки. Це була підготовча фаза, щоб випробувати, хто готовий, а хто ні. Нас також випробовували. Це було масивно, це було довго, тривало впродовж кількох днів. Наші клієнти цього не відчули, але ми відчули дуже добре, тому що 24/7 відбувалась гра, хто сильніший, хто витриваліший та хто хитріший – ми тоді перемогли.
Сьогодні на Райффайзен Банк щонайменше раз на місяць відбувається потужна атака, а ще декілька разів на день хтось нас випробовує – ми на це дивимось, усміхаємось і йдемо далі працювати.
Загалом від початку повномасштабного вторгнення технічні можливості для відбиття кібератак у банківській індустрії України дуже сильно зросли, підвищилась якість. Ми як індустрія та як держава отримали унікальний досвід, як оперувати під час цих атак, як поводитись із цими інцидентами. І сьогодні це одна із найсильніших наших рис.
Однак крім атак в лоб, DDOS-атак та атак із пошуком вразливостей, бувають більш комплексні атаки, таргетовані, які використовують техніки соціальної інженерії. Що це за техніки? Наприклад, коли бухгалтер отримує листа від свого “фінансового директора”, який просить щось зробити прямо зараз – клікнути на посилання, завантажити щось. Іноді це працює і саме з цього починаються наймасштабніші атаки!
Бо як тільки ви клікнули на лінк, перейшли за посиланням, ви добровільно віддаєте доступ до свого комп'ютера, до вашої корпоративної мережі комусь зовні. На цьому етапі починається найстрашніше і найцікавіше, тому що у зловмисника є доступ, далі ескалюються привілеї і зловмисник робить те, що може зробити. Після цього починається гра під назвою “Наскільки добре ви займалися безпекою у вашій компанії протягом останніх 5-7 років”.
Такі таргетовані атаки відбуваються значно частіше, ніж атаки в лоб. У них зловмисники використовують увесь набір інструментів: і електронну пошту, і месенджери, і соцмережі, і навіть інвайти на зустрічі. І чи буде атака успішною, залежить від освіти та навчання не лише співробітників, а й усіх громадян. Якщо людина не розуміє базису, вона обов'язково клікне кудись, а це може мати дуже потужні негативні наслідки.
Через кібератаку на Київстар частина банківської інфраструктури припинила роботу (а саме POS-термінали, які працювали на зв’язку від цього оператора). Як із цим викликом впорався Райффайзен?
Євген Балютов: Після кібератаки на Київстар деякий час мобільна мережа була недоступна і це вплинуло на роботу POS-терміналів. Постраждали саме термінали, які могли працювати лише на одному каналі зв’язку (у нашому випадку SIM-карта Київстар). Є різні види терміналів, одні можуть працювати лише за кабелем (інтернет), інші працюють на одній чи двох SIM-картах, ще одні – на двох SIM-картах плюс кабельному інтернеті.
Більша частина терміналів Райфу підтримують роботу кабель+карта або кабель+2 карти. І лише незначний відсоток складали термінали, які працювали на одній сімці, і відповідно зіштовхнулись із недоступністю мережі. Але ці термінали уже були замінені або SIM-карти у них були замінені. У випадках, коли це було неможливо, клієнти замінювали термінали на продукцію інших банків. І це яскраво показує стійкість у масштабах держави до подібних інцидентів.
Які ще були проблеми через атаку на Київстар?
Євген Балютов: Окрім терміналів, були проблеми з доставкою SMS на фінансові номери Київстар. У цих випадках доводилось або відкладати ініціювання транзакції або змінювати фінансовий номер на номер іншого оператора. Але ця проблема торкнулась майже всіх українських банків.
Що слід робити банкам, аби не допустити таких проблем у майбутньому?
Євген Балютов: Потрібно інвестувати час та ресурси у питання безперервності бізнесу, блекаутів, вирішення проблем із мобільним зв’язком. Райф працює над цими завданнями багато років. Ми постійно здійснюємо моделювання, проводимо тести, щоб бути надійним банком для наших клієнтів 24/7.
Зараз ми працюємо над тим, щоб використовувати новий 3-D Secure – замість SMS клієнту приходитиме push-сповіщення в онлайн-банкінг. Цим ми зможемо змітигувати ризики, якщо буде неможливо доставляти повідомлення на непрацюючі номери.
Окрім того ми уже ініціювали заміну усіх POS-терміналів на “крутіші”, які підтримують кілька каналів зв’язку. З терміналами ситуація найпростіше, це залізо, яке можна замінити і проблема буде вирішена. Однак що буде, якщо працювати не будуть два мобільні оператори і почнуться перебої із кабельним інтернетом? Це буде проблема і новий потужний виклик. Адже вирішити можна будь-яку ситуацію, не можна лише перемогти закони фізики.
На початку повномасштабного вторгнення НБУ дозволив банкам використовувати хмарні сервіси, щоб уберегти дані від загрози знищення в умовах війни. Як цей процес відбувався у Райффайзен Банку?
Євген Балютов: Рішення про наш шлях до хмар було ухвалене дуже оперативно. Райффайзен був частиною групи банків, які ще до повномасштабного вторгнення співпрацювали з Нацбанком України щодо можливостей використання хмарних технологій в операційній діяльності. Тому з першого ж дня ми розуміли, які у нас можливості.
Національний банк України сильно допоміг нам, дозволивши використовувати хмарні технології у дуже короткі терміни (НБУ врегулював питання щодо використання банками України хмарних послуг у своїй діяльності 9 березня 2022 року, - ред.).
Фото: Частина команди Райффайзен Банку, яка займалася міграцією даних з дата-центрів до хмариЧи постраждала ваша фізична інфраструктура від війни?
Євген Балютов: Поки ми переїжджали до клауду, у нас було декілька наземних дата-центрів. Вони розподілені географічно. І нам просто пощастило, що ці дата-центри не постраждали від бойових дій. Це звичайна удача, бо неможливо сказати точно, куди потрапить ракета. Кілька разів були прильоти біля дата-центрів банку, але без наслідків для нас.
Як швидко ви переїхали у хмару?
Євген Балютов: Райффайзен Банк впорався із цим завданням дуже швидко – за три місяці 95% нашої інфраструктури переїхали у клауд. Решту ми довозили крок за кроком протягом року.
І зараз ми повноцінно оперуємо нашими системами та даними у клауді, використовуємо різних хмарних провайдерів.
Чому не в усіх банків вийшло повноцінно переїхати до клауду?
Євген Балютов: Багато банків спробували переїхати до клауду, але магія хмар працює тільки за двох важливих умов.
По-перше, ви маєте виділити на це завдання 100% ресурсів, експертів, інженерів. Неможливо це робити на 30% часу або 30% систем.
По-друге, слід розуміти, що операційна модель в хмарі дуже сильно відрізняється від операційної моделі на землі. Тому один із ключових або навіть найважливіший момент – це як ви керуєте своїми ресурсами і наскільки це економічно ефективно. Тобто наскільки грамотно ви оперуєте своїми ресурсами, щоб не робити зайвих витрат.
І для багатьох банків це був дуже серйозний челендж. Багато банків, навіть спробувавши переїхати у хмару, повернулися, тому що їх витрати були надвисокими.
Для Райффайзен Банку ситуація була трохи іншою. До повномасштабного вторгнення у нас уже була дуже потужна кампанія з навчання щодо того, як використовувати клауд, в нас дуже потужна експертиза. І саме тому ми зуміли зробити це без зайвих витрат та ефективно. На сьогодні наші витрати у клауді не перевищують витрат, які були “на землі”.
Читайте також:
Кіберспеціалісти Райффайзен Банку у 2023 році врятували клієнтів від втрати близько 107 млн грн зі скомпрометованих шахраями рахунків. Для порівняння у 2022 році ця сума складала 52 млн грн.
