Зміст:
  1. Психологічні фактори
  2. Захист на сім днів
  3. Прогалини, оголені Київстаром
  4. Чи легко зламати банк

Голову Нацбанку Андрія Пишного на публіці можна часто побачити в одязі з написом Power Banking. Це виглядає як своєрідний меседж, що банківська система надійно захищена і не боїться жодних блекаутів. Чи це насправді так – з’ясовувала LIGA.net.

Power Banking – це створена понад рік тому з подання НБУ об’єднана мережа відділень банків України. Теоретично вони мають працювати та надавати необхідні послуги клієнтам навіть за умови тривалого відключення електроенергії або втрати зв’язку.

Зараз, згідно з даними регулятора, мережа налічує понад 2 300 банківських відділень (53% від загальної кількості). Вони забезпечені альтернативними джерелами енергії, резервними каналами зв’язку, посиленою інкасацією готівки та додатковим персоналом.

Близько 75% всіх відділень мережі  Power Banking припадає на системно важливі банки, чверть – на відділення інших банків.

Найбільше банків мережі в Київській області – 470. Найменше – в  Херсонській – 13. 

Психологічні фактори

"Спільна банківська мережа Power Banking – це унікальний проєкт та приклад консолідації й партнерства банків України. Адже всі банки України погодились обрати не конкуренцію, а щоденну координацію та обмін досвідом, щоб разом ефективно протистояти викликам війни", – каже в коментарі LIGA.net заступниця голови правління ПУМБ Наталія Косенко.

На сьогодні частиною Power Banking є 88 відділень ПУМБ зі 188.

Першочерговим завданням банків Наталія Косенко називає забезпечення безперервності надання банківських послуг. Також вважає, що ініціатива НБУ створити Power Banking сприяла впевненості суспільства в стабільній роботі банківської системи та допомогла клієнтам вчасно розв'язувати свої фінансові питання.

Перебування в системі Power Banking для самих банків фінансовий експерт Андрій Шевчишин називає LIGA.net репутаційним чинником.

"Кожний клієнт бажає отримувати стабільні банківські послуги. Незадоволені клієнти перейдуть в інший банк", – каже він.

Тим часом зазначає, що юрособи, для котрих стабільність та своєчасність трансакцій є необхідністю зазвичай мають рахунки в декількох банках.

Зазначимо, що банки самі визначають перелік відділень і обладнують їх, аби вони могли безперебійно працювати у випадку блекауту. НБУ забезпечує їх доступ до СЕП (система електронних платежів).

"Не всі банки можуть дозволити собі додаткові витрати, які неминучі у разі підключення до Power Banking. До того ж в цьому немає великого сенсу. Все-таки ця система передбачена на екстрений випадок і на короткий період. Відділення Power Banking підтримають роботу банківської системи під час блекауту. Вони візьмуть на себе виконання частини операцій інших банків. А після відновлення подачі електроенергії інші відділення і банки повернуться до нормальної роботи", – говорить у коментарі LIGA.net фінансовий експерт Максим Орищак.

Захист на сім днів

Загалом аналітики кажуть, що система Power Banking цілком здатна виконати покладені на неї завдання. Але… Тільки за умови, що параметри цих завдань не почнуть розширюватися.

Максим Орищак акцентує на тому, що банки, які входять до системи, повинні в разі блекаута протягом семи діб забезпечувати роботу своїх інформаційних систем, дата-центрів і каналів зв'язку. Продовжити надавати основні банківські послуги відділення Power Banking повинні протягом трьох діб. Для цього є генератори, використовуються хмарні технології, диверсифіковані послуги операторів зв'язку, налагоджена взаємодія між банками. Банкоматний роумінг – приклад такої взаємодії.

"Однак якщо від Power Banking буде потрібно продовжити період автономної роботи, то ймовірність збереження працездатності буде знижуватися пропорційно терміну продовження. Що довше – то менші шанси зберегти роботу системи", – каже експерт.

Іще одна вразливість – це періодичність блекаутів.

"Скорочення фінансової та військової допомоги партнерів України знижує ефективність ППО. Це означає, що удари по об'єктах енергетичної інфраструктури можуть частіше досягати цілей. Більш часті блекаути негативно позначаться на роботі обладнання. Його обслуговування і ремонт в умовах дефіциту електроенергії можуть збільшити паузи в працездатності відділень і систем банків", – говорить Орищак. 

Зі свого боку Андрій Шевчишин звертає увагу на те, що система Power Banking складається з декількох вузлів, які повинні бути захищеними, мати безперебійне живлення та стабільний, захищений зв’язок.

"Атака на один з вузлів чи його забезпечення може призвести до часткової втрати контролю за ним. Приклад – Київстар як провайдер зв’язку", – каже експерт.

Прогалини, оголені Київстаром

Варто зазначити, що після атаки на Київстар частина банківської інфраструктури не працювала. Багато банків до такого явно не були готові. 

"Все передбачити фізично неможливо, як би банк не готувався до неочікуваних форс-мажорів", – каже в коментарі LIGA.net голова правління Глобус Банку Сергій Мамедов.

Він визнає, що хакерська атака на найбільшого українського оператора мобільного зв’язку частково позначилася на роботі банку.

"Зокрема це стосується процесу підтвердження платежів, який був зав’язаний на особистому мобільному номері клієнта. Тобто клієнт не міг отримати СМС з кодом, який треба було ввести на підтвердження списання коштів з картки (розуміємо, що цей код також є елементом системи захисту клієнта від шахрайства)", – розповідає Сергій Мамедов.

Позитивом бачить те, що в цій досить складній ситуації банку вдалося оперативно переналаштувати систему на сповіщення в одному із месенджерів.

"Тобто у підсумку ми фактично розширили можливості підтвердження карткових операцій, що дає клієнтові більш зручні можливості для вибору способів сповіщення/підтвердження операцій", – зазначає він.

Те, що деякі з клієнтів, які користуються послугами Київстару, тимчасово не отримували СМС та пуш-повідомлень з кодами підтвердження для проведення фінансових операцій, визнають і в ПУМБ.

"Аби знизити рівень можливого негативу, ми одразу повідомили клієнтів про альтернативні шляхи отримання ОТП-паролів та можливість придбання е-сім у застосунку ПУМБ Онлайн", – розповідає Наталія Косенко.

Підтверджує банкірка і те, що протягом атаки справді не працювали деякі POS-термінали, підключені до Київстару. Однак зазначає, що їхня кількість не була значною.

"Персональні дані та платіжна інформація клієнтів не постраждали – наша система дійсно надійна. Ми регулярно її тестуємо та перевіряємо. Протягом двох років війни ми дуже багато інвестували в безперебійність діяльності банку та нашу безпеку", – каже Наталія Косенко.

Не постраждала робота застосунку ПУМБ Онлайн. Також атака не вплинула на роботу мережі відділень – у відділеннях є "старлінки", канали зв’язку дублюються кількома провайдерами. 

"Очевидно, коли є проблеми з мережею і неможливо зв’язатися з процесинговим центром – неможливо провести і трансакцію. Але сьогодні існує технічна можливість під’єднання тих же банкоматів та POS-терміналів до кількох операторів зв’язку. І багато банків цією опцією користуються. Адже перебої зі зв’язком можуть виникнути і без кібератаки, а завдання банку – надавати свої послуги безперервно. Тому, якщо банки раніше не диверсифікували цей технічний ризик, то після атаки на Київстар, певен, вони точно зроблять висновки і це виправлять", – говорить у коментарі LIGA.net ексголова НБУ Кирило Шевченко.

Тим часом головний висновок, який зробили у Глобус Банку із ситуації з Київстаром: завжди мати напоготові "кризовий протокол" та завдяки йому швидко ухвалювати необхідні рішення, щоб якнайшвидше не лише усунути проблему, а й запобігти її виникненню в майбутньому.

"Крім того, необхідно ретельно пропрацювати причини виникнення проблеми та заподіяну шкоду, щоб у максимально короткий термін знайти можливості для посилення наявних механізмів захисту", – каже Сергій Мамедов з Глобус Банку.

Створити резервні канали зв’язку після атаки на Київстар порадили банкам і в НБУ.

"Висновки напевно зроблені, і ризики повторення ситуації з Київстаром знижені. Однак неможливо прикрити всі вразливості. Немає систем, які неможливо зламати. У цьому сенсі банки, НБУ і оператори повинні бути готовими до вирішення несподіваних завдань. Але не за допомогою заздалегідь заготовлених планів, хоча вони не завадять. А створення штабу для швидкого пошуку рішень у нестандартних ситуаціях, в обхід вертикальних бюрократичних процедур", – каже Максим Орищак.

Чи легко зламати банк

Повторення ситуації, яка мала місце з Київстаром, у разі з банками, на думку Андрія Шевчишина, цілком можливе.

"Хакерські групи зламують й більш захищені урядові об’єкти в Штатах, Європі. Тому саме кібербезпека та внутрішні протоколи безпеки є обов’язковими для всіх співробітників банку. У всіх банках уже давно розроблені та впроваджені протоколи на випадок таких атак. Впевнений, що зі сторони хакерів були неодноразові намагання зламати наші банки. Але, як ми бачимо, протоколи працюють", – каже він.  

Ціллю атаки можуть бути: дані, гроші або фізичне обладнання. Можуть бути й комбіновані атаки.

"У випадку блокування чи виводу з ладу фізичного обладнання діяльність банку буде заблокована на період його відновлення – це можуть бути дні. В цей період в залежності від масштабів банк не зможе обслуговувати клієнтів або повністю, або частково. У випадку крадіжки коштів, як правило, банк буде працювати, бо це необхідно для забезпечення виводу коштів. Між тим НБУ може у разі досягнення якихось порогових нестандартних для банку платежів заблокувати рух. Однак вивести кошти за кордон шахраї навряд чи зможуть. Дані – це чутлива інформація, яку використовують для майбутнього шахрайства, як, наприклад, доступ до особистого кабінету, управління рахунком, здійснення несанкціонованих трансакцій, шантаж тощо", – каже Шевчишин.

Загалом експерт вважає, що атака на системні банки може бути дуже болісною. А враховуючи масштаби та кількість клієнтів, що обслуговуються, – може бути критичною навіть на рівні всієї економіки у разі блокування роботи.

Зі свого боку Кирило Шевченко розповідає, що ще до початку великої війни Україна пережила цілий ряд кібератак як на держоргани, так і на об’єкти критичної інфраструктури. І банківська система тоді не стала винятком.

"Ворог намагався атакувати як Національний банк, так і найбільші банки країни. Проте успіху ці атаки не мали. Адже задовго до повномасштабного вторгнення в НБУ було створено групу CSIRT. Це – спеціальна група реагування на кіберінциденти в банківській системі, яка діяла у складі Центру кіберзахисту НБУ", – каже він.

Команда НБУ стала частиною міжнародної спільноти з протидії кібератакам, приєднавшись до міжнародної Робочої групи команд реагування на інциденти безпеки.

"НБУ дійсно було зроблено чимало у сфері кіберзахисту. Це дозволило відбити цілу хвилю інтенсивних кібератак", – каже Шевченко.

Зазначимо, у 2024 році НБУ планує здійснити перевірки з питань кіберзахисту в сімох банках. Це ПриватБанк, Ощадбанк, Універсал Банк, Альянс, ПроКредитБанк, Кредит Дніпро, Банк Інвестицій та Заощаджень.

"Це сприятиме актуалізації та вдосконаленню банками власних спроможностей для реагування на сучасні кіберзагрози, а також зміцненню кіберстійкості як банків зокрема, так і банківської системи загалом", – пояснили в НБУ.

Про те, що сама система кіберзахисту постійно вдосконалюється, говорять і в самих банках.

Після атаки на Київстар банки, фінустанови та платіжні системи отримали кілька важливих уроків, які, на думку директора з інновацій NovaPay Олексія Рубана, посилять їхній захист. Перш за все це увага до кібербезпеки, додаткове укріплення ІТ-інфраструктури.

"Важливо зазначити, що так звані уроки слід винести як банкам, так і клієнтам. Для споживачів моя порада – диверсифікувати фінансові установи, тобто користуватися кількома мобільними застосунками, мати кілька платіжних карток. Наразі фінансова інфраструктура країни дуже різноманітна", – каже він у коментарі LIGA.net.