Атака на Приватбанк та Ощадбанк. Чи можуть хакери дістатися грошей вкладників
В Україні відбулася масштабна атака хакерів на банки. Які збитки від підступів ворогів та наскільки захищена наша система від таких загроз?
15 лютого на українські державні банки, а також офіційні сайти деяких відомств було здійснено масштабні DDoS-атаки. Зокрема, йдеться про атаки на Приватбанк та Ощадбанк. Їхні клієнти скаржилися на роботу інтернет- та мобільного банкінгу.
Як повідомили у Приватбанку, атака відбувалася протягом кількох годин. "Протягом однієї години під час атаки деякі сервіси (АТМ, ТСО) не працювали. Починаючи з 16.30 ці сервіси відновлені", — заявили в пресслужбі. Стабільний доступ до програми "Приват24" було відновлено з 22:00 у вівторок.
Щось подібне відбувалося і в Ощадбанку. Спостерігалося уповільнення входу в систему "Ощад24/7" через додаткове навантаження на канали зв'язку. Банк відновив роботу своїх сервісів о 20:44 вівторка, 15 лютого. Для клієнтів знову стали доступні сайт, мобільний додаток, банкоматна та термінальна служби.
Атака повторилася і в середу, 16 лютого, але банки вже були готові до цього. "Станом на 12:00 Приватбанк відновився повністю і Ощадбанк відновився пів години тому. Жодних витоків, втрат коштів не сталося. І мета дестабілізації банківської системи не досягнута", — заявив на брифінгу в обід директор департаменту безпеки НБУ Ігор Коновалов.
Два найбільші українські банки пережили серйозне випробування, що змушує замислитися — а чи готова загалом банківська система України до таких атак і які наслідки це може нести.
Мета атак — не крадіжка грошей
Міністр цифрової трансформації Михайло Федоров під час спеціального брифінгу назвав останні події "найбільшою в історії України DDoS-атакою" на банківський сектор та державні сайти. Справді, на піку запити по Ощадбанку становили 2 млн на секунду, по Приватбанку — набагато більше.
Ключовою метою атаки представники влади назвали дестабілізацію в Україні та поширення паніки. Федоров розповів, що вартість такої атаки може досягати $1 млн, а вектори її були організовані з різних країн. Передбачається, що за атакою може стояти РФ.
Співзасновник monobank Олег Гороховський написав на своїй сторінці у Facebook, що DDoS-атака йшла майже на всі українські банки з різною результативністю. "Пробували "Альфу" та А-банк, — написав банкір… — Пішли до нас масовані запити з вузла в Нідерландах. Спостерігаємо за ситуацією дуже уважно. Якщо буде потужно штормити, будемо змушені тимчасово відключити "зовнішній світ" і залишити лише Україну".
Важливо відзначити, що під час цих атак кошти клієнтів не постраждали, але виникли суттєві труднощі та дискомфорт у використанні звичних банківських сервісів.
"Йдеться про інформаційний сервіс банків, а не про платіжну систему, тому що платіжна система — це окрема захищена структура, — каже ексзаступник голови НБУ Олександр Савченко. — Незручності для клієнтів банків будуть, вони є, гальмуються платежі переважно серед фізосіб та малих підприємств. Я думаю, втрати будуть незначними. Залежить від того, скільки часу та ресурсів буде потрібно банкам для відновлення в повному обсязі своїх сервісних структур. Про сотні мільйонів доларів не йдеться. Якісь втрати є, але вони не носять фундаментальних ризиків" .
На що міг розраховувати ініціатор атак? Найбільш істотні ризики не тільки для окремих банків, але й банківської системи України загалом були б у разі, якби сервіси не змогли відновити роботу протягом тривалого часу. Тоді клієнти могли б переконатися, що з банками щось недобре, і почати турбуватися про свої рахунки, наприклад, швидше забрати звідти свої гроші. Тому головною метою атаки назвали спробу похитнути довіру та посіяти паніку.
"Такі атаки не призводять до крадіжки грошей, — зазначає конфліктолог Богдан Петренко. — Вони призводять до того, що людина йде в банк і знімає свої кошти про всяк випадок. Це не так перевірка самої системи безпеки банків, як безпеки громадян. Наступним кроком можуть бути обмеження банків на зняття коштів. Це ще більше спонукає паніку".
Звичайно, обмежувати зняття коштів із рахунків зараз ніхто не планує. Але цілі хакерських атак цілком зрозумілі і можуть мати реальний економічний ефект: відтік коштів із банківської системи та ослаблення валюти.
Запас міцності
Зрозуміло, що під час таких атак банки зацікавлені якнайшвидше відновити роботу своїх сервісів, перенаправити шкідливий трафік на інші адреси і таким чином зняти навантаження на систему.
"Очевидно, коли йде така атака, звичайні користувачі втрачають можливість використовувати послугу від кількох годин до декількох днів, — пояснює голова Центру аналізу та стратегій Ігор Чаленко. — Чим довше це буде затягуватися, тим більший збиток конкретного банка, тому що від нього будуть йти клієнти. Якщо це затягнеться на пів тижня і довше, то, звичайно, це викличе паніку і почне руйнувати систему. На роздрібному ринку відсоток безготівкових розрахунків більше 50%. Коли ми маємо таку ситуацію з державними банками, а це 53% всього банківського ринку, то це сіє паніку і підштовхує людей до ірраціональних дій".
Ексзаступник голови НБУ Ярослав Солтис зазначає, що запас міцності банку залежить від його прибутковості, ефективності, наскільки добре обслуговуються і повертаються його кредити та ін. На думку фахівця, хакерські атаки банки можуть витримувати досить тривалий час.
"Вони можуть і два тижні так працювати. Відключається ж не вся система. Готівка видається, платежі сплачуються, але відключається лише якась частина, — каже Ярослав Солтис. — Я думаю, українські банки достатньо вкладають у свою кібербезпеку. Система безпеки потребує великих коштів. Великі банки вкладають у кібербезпеку кілька десятків мільйонів гривень на рік".
Робота різних продуктів у банківській системі України, за оцінками експертів, може коштувати кілька сотень мільйонів доларів на рік. Сюди входить її зміст, техніка, програмісти, підтримка продуктів і навіть їх захист. Тобто банки не прагнуть заощаджувати на безпеці.
Іншої думки щодо цього представник компанії International Technology Transfer Association (ITTA) Олександр Теплюк. "У нас усі намагаються на чомусь економити, — каже експерт. — Наскільки я знаю, багато хто заощаджує на безпеці. Приватбанк досить прогресивний у цій частині, але важко уявити, що може бути взагалі з банківською системою, якщо таке станеться з іншими банками. Якщо така атака відбуватиметься на приватні банки, це буде гірше. Банки намагаються самі викручуватися, навчати адміністраторів, а ось до фахівців звертаються не завжди. Це можемо сказати по своїй роботі. Все залежить від обсягів банку. На кібербезпеку треба витрачати десятки тисяч доларів на місяць".
Чи подорожчають послуги?
Ще одним наслідком атаки на банки можливо подорожчання їхніх послуг. Тепер деякі з них можуть розширювати витрати на безпеку, звернувши увагу на досвід таких атак. А для цього потрібно більше персоналу, техніки, програм моніторингу тощо.
"Я думаю, банки зараз вперше зіткнулися зі свідомою атакою і вкладатимуть більше коштів у захист. За це платитимуть клієнти, буде дорожчий сервіс", — каже Олександр Савченко.
А аналітик Ігор Чаленко вважає, що DDoS-атаки на банки цього тижня збитків не завдали. Просто сталося короткострокове призупинення надання послуг.
"Я думаю, що сильно переглядати бюджети не будуть, — каже експерт. — Україна сьогодні і так є лідером із запровадження ІТ-нововведень у банківській сфері і надає в ній низку цікавих продуктів. Я не думаю, що послуги дуже подорожчають. Зараз, навпаки, йде тенденція зниження вартості безготівкових розрахунків, тому що стандартні 2% вважаються пограбуванням".
