У 2022 році кібератак на український фінтех стало в рази більше, а хакери виявилися винахідливішими – це не лише DDoS-атаки та фішинг. Що потрібно компаніям, щоб вберегти ресурси, дані і кошти клієнтів та партнерів у вирі кібератак
Один із перших днів повномасштабної війни міг стати катастрофою для платіжної системи Portmone через масовану DDoS-атаку. «Тоді ж у хакерських групах РФ з’явилися заклики атакувати нас», – згадує СТО компанії Григорій Лісничий. Врятував захист, впроваджений напередодні: вже за пів години сервіс працював у звичному режимі.
У 2022-му підрозділ кіберзахисту Державної служби спецзв’язку України (CERT-UA) зареєстрував у 2,8 раза більше кіберінцидентів, ніж у довоєнному році. Кількість загроз, геолокація яких асоційована з РФ, зросла на 26%. Кожна 10-та атака була спрямована на фінансовий сектор або розробників відповідного програмного забезпечення, свідчить статистика, надана Forbes пресслужбою Держспецзвʼязку.
Цьогоріч кібератак від проросійських груп поменшало, але вони досі інтенсивні. Інвестиції у додатковий захист коштують десятки, а іноді й сотні тисяч доларів.
Як український фінтех вирішує проблему російських хакерів і яких ресурсів це вартує?
З десятків до сотень на рік. Як хакери РФ атакують фінтех
Україна – друга серед найбільш атакованих країн світу після США, каже технічний директор UNITY-BARS Олег Музика.
Спостереження компанії свідчать, що у 2022-му кількість кібератак зросла у 3,5 рази порівняно з 2021-м. На фінансовий сектор України припадає 5% усіх кібератак, на ІТ-галузь – близько 10%, додає Музика, посилаючись на річний звіт Microsoft.
Шквал звернень українського бізнесу до розробників вебсервісів Stfalcon з питань кібербезпеки розпочався приблизно у червні 2022-го. Кого атакують? На першому місці за частотою звернень – банки, на другому – ІТ-компанії, далі – платіжні сервіси, що планували надавати послуги в ЄС, йдеться у коментарі компанії.
Сервіс Portmone до початку повномасштабної війни фіксував по 2-3 невеликі кібератаки на місяць і одну серйозну приблизно раз на пів року. У 2022-му кількість невеликих атак збільшилась у шість разів, великі напади траплялися щомісяця, каже Лісничий з Portmone.
«Більшість атак – справа рук російських хакерських груп. Також атакують китайські та індійські хакери – вони прагнуть викрасти дані клієнтів і продати їх або намагаються зламати платіжні інструменти», – йдеться у коментарі у Portmone.
Платформу SDK.finance, зареєстровану у Литві, теж атакували з усього світу. Найбільше – з Азії, де є трафік, і з російських ресурсів, каже засновник компанії Павло Сідельов.
NeoFin, що розробляє програмне забезпечення для автоматизації кредитування, фіксує шкідливий трафік не лише з РФ, а й з Білорусі й кількох країн СНД. Тому компанія відфільтрувала перелік країн, звідки можна зайти на її ресурси. Доступ з Росії з міркувань безпеки заблокувала й EasyPay, що має понад 15 млн українських користувачів, тому зараз фіксує лише поодинокі спроби атак з країн Азії, які не становлять загрози.
Скільки коштує захист від кібератак
У другій половині 2022 року російські хакери змінили тактику – вони не атакують безпосередньо організації за допомогою фішингу чи інших подібних методів. Новий підхід – використати технічні вразливості сервісів, що надають послуги операторам критичної інформаційної інфраструктури в Україні, кажуть у пресслужбі Держспецзв’язку.
Найнебезпечнішою є ситуація, коли хакери влаштовують масовану DDoS-атаку, щоб компанія кинула усі сили на стабілізацію систем. У цей час зловмисники атакують доступ до інфраструктури чи розсилають таргетований фішинг, розповідають у Portmone. З подібними випадками стикалися й співзасновниця Concord Fintech Solutions Олена Сосєдка, і голова правління Української асоціації фінтех-компаній Ростилав Дюк.
Як фінтех перевіряє свою стійкість до кібератак
(Натисніть «Читати більше», щоб відкрити повний текст)
Щоб убезпечити інфраструктуру від хакерів, компаніям варто щороку проходити комплаєнс на відповідність PCI DSS стандарту захисту інформації, замовляти аудит програмного забезпечення за методами проникнення white box, використовувати програмні застосунки, які допускають/відмовляють/шифрують мережевий трафік (firewalls), VPN з обмеженнями по ІP-адресах, працювати із загрозами нульового дня, регулярно перевіряти вразливості (AVS-сканування).
Від кібератак захищає шифрування конфіденційних даних, створення безпечного коду, архітектури і аутентифікації та впровадження захисту відповідно до Due diligence Mastercard (багаторівнева перевірка – Forbes), кажуть керівники українських фінтех-компаній.
У Держспецзв’язку рекомендують робити тести на проникнення, щоб виявити слабкі місця інфраструктури, якими можуть скористатися зловмисники та завдати шкоди бізнесу. За результатами таких тестів айтівці з UNITY-BARS радять запроваджувати керування доступом на основі ролей, багатофакторну аутентифікацію на всіх рівнях доступу, міжмережеві екрани з сучасними функціями протидії атакам тощо.
Скільки коштує ефективний захист? Цінники на заходи з кібербезпеки, за даними ІТ-компанії Stfalcon, є такими: контроль за поведінкою працівників компанії (Social Engineering) коштує $3000, симуляція кібератаки на компʼютерні системи з метою перевірки захищеності системи (Web Application Penetration Test) – від $20 000 до $50 000, імітація реальної атаки на інфраструктуру (Red Team) – від $30 000 до $90 000.
«Кіберзахист для організації, яка має 200 користувачів, в середньому коштує $100 000», – каже Олег Музика з UNITY-BARS. Це приблизно $500 на захист одного співробітника: для фінтеху кіберзахист є необхідним, без цього він не може працювати.
Бюджет криптобіржі Kuna на безпеку вимірюється у сотнях тисяч usdt на рік, каже СЕО компанії Михайло Чобанян. NeoFin вкладає десятки тисяч доларів щоквартально на страхування, сертифікацію і програмне забезпечення для моніторингу і контролю систем, які були придбані у компанії клієнтами.
Середній ринковий показник витрат на кібербезпеку – 10% від усього бюджету компанії, кажуть у Portmone. Зараз компанія інвестує 35%. Суттєво зросли видатки на систему кібербезпеки у Concord Fintech Solutions і її юнітів (Конкорд Банк та NEOBANK) – на понад 60% порівняно з 2019-м, розповідає співзасновниця екосистеми Сосєдка.
На аудити, обладнання та оплату роботи спеціалістів з кібербезпеки провайдер Platon щороку витрачає $100 000, каже СМО компанії Гела Слюсарчук.
У 2022-му його компанія не вкладала додаткових коштів у безпеку і не планує збільшувати бюджет цьогоріч. Чому? Після випробувань минулого року у Platon певні, що поточних заходів кібербезпеки достатньо, зазначає Слюсарчук.
Ви знайшли помилку чи неточність?
Залиште відгук для редакції. Ми врахуємо ваші зауваження якнайшвидше.