За даними НБУ, у 2022 році було здійснено понад 50 кібератак на ресурси Національного банку України та 200 — на банківські. За нашими даними, на фінансові компанії України здійснюється не менше кібератак.
Хоча ми далеко не про всі із них знаємо, адже бізнес успішно з ними справляється. Проте кіберзагрози під час війни можуть мати катастрофічні наслідки. Серед них — фінансові втрати, збої та компрометація персональних даних. Їхня кінцева мета — дестабілізація економіки в умовах війни.
Для банків і фінансової сфери кібератака взагалі може поставити під сумнів репутацію та навіть існування бізнесу.
Що українські компанії роблять для того, щоб забезпечити собі та своїм клієнтам багаторівневий кіберзахист?
Основні принципи кіберстійкості фінансового сектору
Фізична безпека
Ще на початку повномасштабного вторгнення Національний банк України дозволив гравцям фінансового ринку розміщувати свою інфраструктуру та сервіси у хмарних сервісах і дата-центрах на території Європейського Союзу.
Це рішення стало одним із ключових у забезпеченні безперервної діяльності фінансового сектору, адже стало можливим використовувати європейські дата-центри та публічні хмарні сервіси: Amazon, Google Cloud, Azure та інші. У перші тижні й місяці війни український бізнес робив проєкти міграції, які раніше планувалися і впроваджувалися роками.
Цей підхід дав змогу компаніям мінімізувати ризики, пов’язані з фізичною безпекою ІТ-інфраструктури та забезпечити доступність і надійність послуг для своїх клієнтів.
До того ж у перший рік повномасштабного вторгнення більшість хмарних провайдерів надавали безоплатну можливість українським бізнесам користуватися хмарними послугами. Знаю, що дуже багато фінансових компаній скористалися такою можливістю.
Ретельна перевірка
Фінансові установи, серед них і NovaPay, давно впроваджують багаторівневі стратегії кіберзахисту. Фінансовий сервіс — це не тільки власний продукт і захищена інфраструктура, але й інтеграції з партнерами.
З початку війни ми повністю змінили підхід до побудови інтеграцій. Незважаючи на впевненість, що партнери максимально захищені, їх можуть атакувати в будь-який момент. Тому принцип Zero Trust вийшов на перший план.
Значно зріс і ризик фроду та шахрайських операцій. Компанії, шукаючи компроміс між зручністю користування та безпекою, обирають друге. Тому клієнтам не варто дивуватися додатковим запитам у мобільному застосунку про підтвердження тих чи інших фінансових операцій.
Міжнародна співпраця
Сучасні стратегії кібербезпеки передбачають обмін інформацією про атаки між міжнародними організаціями. Отримуючи інформацію, наприклад, від CSIRT і Cisco talos про нові потенційні вектори кібератак, можна завчасно впровадити компенсаційні заходи.
Від кібератак ніхто не застрахований
Навіть із цими заходами загроза кібератак залишається високою. Українська «кіберармія» успішно атакує ресурси агресора. Водночас супротивник не припиняє спроб здійснювати масштабні кібератаки на фінансові сервіси та критичну інфраструктуру України.
Це означає, що будь-яка компанія може в будь-який момент опинитися під загрозою фізичного знищення своїх ресурсів. Оскільки кібератаки спрямовані як на дата-центри, так і на окремі сервіси чи робочі станції.
Особливого значення нині набуває кібергігієна. Це не лише регулярне навчання співробітників принципів інформаційної безпеки, але й особиста кібергігієна кожного працівника. Маленькими, але послідовними діями можна досягти високого рівня захисту.
Важливі кроки для підвищення кібербезпеки:
- Правильне використання паролів. Використовувати складні паролі, що складаються з різних символів, цифр і літер, регулярно їх змінювати та не використовувати однакові паролі для різних сервісів.
- Захист від фішингових атак. Не відкривати підозрілі листи та не переходити за сумнівними посиланнями. Перевіряти справжність відправника перед відкриттям вкладених файлів. Використовувати антифішингові програми для захисту від шкідливих посилань та електронних листів.
- Захист особистих даних. Не ділитися особистими даними через незахищені канали зв’язку. Використовувати двофакторну автентифікацію для доступу до важливих акаунтів. Шифрувати важливі файли та інформацію.
- Регулярне оновлення програмного забезпечення. Оновлювати операційні системи та програмне забезпечення до останніх версій. Використовувати антивірусні програми й регулярно перевіряти пристрої на наявність шкідливих програм.
- Навчання та підвищення обізнаності. Регулярно проходити навчання з кібербезпеки та бути в курсі нових загроз.
Кібергігієна має бути інтегрована у корпоративну культуру, де кожен працівник усвідомлює свою відповідальність. Послідовне виконання цих порад знижує ризики та підвищує загальний рівень захисту компанії.
Кіберзагрози можуть стати «чорним лебедем» і ладні зруйнувати цілу компанію. Тому організації повинні постійно адаптувати свої стратегії захисту, впроваджуючи нові заходи для протидії кібератакам. Адже від ефективності цієї роботи залежать не лише фінансові втрати компаній, але й життя людей.
Захист критичної інфраструктури, забезпечення безперебійної роботи фінансових сервісів — це ті завдання, які український бізнес повинен виконувати з максимальною відповідальністю та увагою до подробиць.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
Редакція не несе відповідальності за інформацію, викладену у блогах. Це особиста думка автора.