Кібербезпека банку під час війни: минулі труднощі зробили нас сильнішими сьогодні

Юрій Захарченко, директор департаменту кібербезпеки АТ «Кредобанк»

Повномасштабна агресія росії проти України поставила перед нами унікальні виклики, серед яких – атаки на фізичну інфраструктуру, проблеми з людськими ресурсами та суттєве збільшення кібератак. До деяких викликів ми були готові, до інших знадобився більш тривалий час на пристосування та стабілізацію. 

На початковому етапі великої війни основною проблемою стала робота в умовах невизначеності та необхідність швидкого прийняття рішень. Ніхто не розумів подальший масштаб воєнних дій, і можна було оперувати лише підготовкою до різних варіантів розвитку подій. 

Одним із найбільш болісних і неочікуваних викликів стали ракетні атаки на фізичну інфраструктуру, електроенергетичну мережу та телекомунікації. На відміну від інших компаній, банки мали обмеження на використання хмарних сервісів – адже до початку повномасштабної війни діяла заборона Національного банку України на зберігання даних клієнтів у хмарі. Задовго до пандемії Covid-19 у Кредобанку вже чимало систем перебували в хмарі, але це не були системи, які обробляли дані наших клієнтів. Після скасування цієї заборони ми максимально швидко зробили додаткову резервну копію наших систем у хмару. Ми й надалі продовжуємо працювати з найбільшими хмарними операторами. Перенесення усіх систем у хмару для нас сьогодні є пріоритетом. 

Проте навіть якщо ІТ-інфраструктура переважно розміщена в «хмарі», а персонал працює віддалено, для доступу персоналу необхідно мати надійний зв’язок, стійке енергозабезпечення та кінцеві пристрої для підключення та роботи. Забезпечення цих факторів є основою для діяльності департаменту кібербезпеки і вимагає особливої уваги.

Якщо згадувати перші місяці 2022 року, то ситуація розвивалася зі швидкістю світла. Західні корпорації надавали нам ліцензії та послуги безкоштовно. Через відсутність запасних частин та нового обладнання банки його між собою позичали. Наша серверна кімната була сховищем для серверів інших установ та банків. Ми налагодили надійні резервні канали зв’язку й супутниковий інтернет за допомогою придбаних терміналів StarLink як для головних офісів, так і для відділень Кредобанку. 

Діяльність підрозділу кібербезпеки також сильно залежить від наявності кваліфікованого персоналу. Після початку військових дій значно зросли кіберризики, і багато роботодавців стали активно розвивати галузь кібербезпеки та наймати додаткових спеціалістів. Отже, на ринку праці України поступово зростає дефіцит кваліфікованих кадрів у сфері кібербезпеки. Наша команда також зіткнулася з цією проблемою. З огляду на звільнення та мобілізацію, частину команди було заміщено новими працівниками. Тут нам допомогли готові процеси для швидкого перерозподілу обов’язків і залучення нових спеціалістів до роботи. Для цього в банку ми використовуємо максимальну автоматизацію процесів та резервування персоналу через підготовку спеціалістів рівня Junior. Ситуацію також спрощує можливість дистанційної роботи, до якої ще з часів Covid ми, як і багато компаній у світі, були готові.

Не зважаючи на нові виклики банк залишається одним з найпривабливіших місць для початку карʼєри в напрямку кібербезпеки.

“Основними векторами атак залишаються DDoS, сканування та використання експлойтів на веб-ресурси, та також фішинг.”

У 2022 році відзначалося збільшення кількості кібератак з подальшим зменшенням з початку 2023 року. На щастя, Кредобанк наразі не виглядає для росіян важливим об’єктом критичної інфраструктури, тому він не потрапив до списку основних цілей кібератак з боку російських груп. Хоча найбільший головний біль нам доставили атаки саме російської групи хактивістів NoName057(16) та їх проект DDoSia Project. 

Також постійно спостерігаємо велику кількість фішингових атак. За статистикою, понад 80% атак здійснюються з використанням публічних сервісів. Активно використовується геолокація для обходу систем захисту та створення профілів клієнтів. Також збільшилася кількість використання месенджерів у ланцюгах поширення фішингу (з особливою увагою до Telegram та Viber). Найбільш поширеними загрозами фішингових атак є крадіжка автентифікаційних даних, поширення шкідливого програмного забезпечення та експлуатація вразливостей.

На щастя, до інфраструктури банку потрапляло небагато шкідливого програмного забезпечення. Серед виявленого в інфраструктурі банку шкідливого ПЗ найчастіше зустрічалися завантажувачі VBSTrojanDownloaders та різновиди троянців. Найчастіше шкідливе ПО потрапляло в інфраструктуру через електронні листи у вигляді архівних файлів (zip, 7z).

Однак ми постійно працюємо над протидією найнебезпечнішому шкідливому ПЗ.  Human-operated ransomware та Destructive malware. Серед потенційних шляхів вторгнення основна увага приділяється Unmanaged device та Supply chain.

За допомогою статистики, накопиченої в Security Operations Centre банку, ми спробували об’єднати на одному таймлайні кінетичні атаки на інфраструктуру України та кібератаки на ресурси банку. Вдалося вималювати криву, де пік кібератак співпадав із періодом масової ракетної атаки на всю територію України. Важко визначити прямі взаємозв’язки, але можна зробити висновки, що підготовка до кібератак відбувалася до початку воєнних дій. Це також підтверджує, що постійно проводиться активне сканування та дослідження слабких місць для здійснення масованих атак, а  збільшенню фішингових атак передує збільшення випадків виявлення шкідливого програмного забезпечення в інфраструктурі банку. 

“Протягом майже двох років війни не було ні довготривалого припинення процесів, ні масових витоків даних внаслідок кібератак.”

У той же час, в деяких напрямках ми продовжили реалізацію проектів щодо розвитку існуючих процесів та систем кібербезпеки, а також впровадження нових. Ми підсилили моніторинг та співпрацю з іншими організаціями, встановивши більш тісні взаємовідносини з колегами з CERT PKO Bank Polski.

Деякі події минулого, які ми вважали катастрофічними, наприклад: кібератаки NotPetya чи епідемія Covid, допомогли нам зміцнитися і підготували до більш складних викликів. Існує такий вислів: Те, що не вбиває нас, робить нас сильнішими, і зараз ми є більш досвідченими і впевненими в тому, що робимо.