Чотири місяці за двадцять років. Який результат тестування війною IT-безпеки українських банків і чому ця сфера гостро потребує жінок

Нещодавно я виступила на конференції «Кіберризик та кібербезпека», яку організувала компанія Extra Consulting. Понад 360 brothers in arms з галузі іT-безпеки обговорили, як українські банки відповідають викликам, що поставила перед ними війна. Головний висновок: у цій сфері, як і в багатьох інших, українським айтівцям вдається утримувати свій фронт.

Доступність фінансових послуг в Україні під час війни вже вважають історією успіху в Європі. І це при тому, що складність інформаційних технологій та ризики безпеки постійно зростають навіть у мирний час. Частота інцидентів IT-безпеки зростає згідно з опитуваннями на 30% на рік разом з потенційним несприятливим впливом на роботу фінансових установ, що загрожує можливими системними наслідками. Якою б не була цифрова «ахіллесова п'ята» банку — незахищений сервер із 50 мільйонами записів або вразливість коду, який контролює доступ до криптогаманців, — зловмисники використовуватимуть усі засоби, які є в їхньому розпорядженні, щоб проникнути в цю лазівку. А якщо ці зловмисники підтримуються потужною державною машиною країни-агресора, то загроза зростає багаторазово.

Банківська справа — це бізнес, побудований на довірі, а під час війни ця довіра зазнає серйозного випробування. Наш обов'язок — захистити гроші клієнта, зберегти репутацію банку та запобігти збиткам. Постійні кібератаки є новою нормою для банків. Причому багатьом атакам на IT-системи можна запобігти за допомогою передових кіберпрактик та суворого контролю. Зворотний бік медалі: у світлі цих загроз банки мають підтримувати і навіть підвищувати рівень своїх витрат на кібербезпеку, незважаючи на збитки, яких завдала війна.

Активна фаза агресії росії почалася для Ощадбанку десятьма днями раніше, ніж для більшості. Ми, як і багато інших державних установ та банків, зазнали потужної DDоS-атаки. У принципі до подібних атак ми ставимось як до «звичайного бізнесу» — для запобігання ним існує низка програмних та апаратних засобів контролю як усередині банку, так і у постачальників послуг. Однак інтенсивність тієї атаки була просто божевільною. Можливості засобів захисту вичерпувались, і нам довелось оперативно встановити додаткові програмно-апаратні засоби захисту інформації, щоб забезпечити доступність послуг банку та звести вплив атаки до мінімуму. Це був єдиний випадок, коли нам довелося «гасити пожежу».

Не відкрию секрет, якщо скажу, що ключем до зниження кіберризиків є підготовка до таких загроз. У нас вона активізувалась у 2014 році внаслідок засвоєння уроків, отриманих на початку війни після окупації Криму та частини Донбасу. Якість цієї підготовки пройшла серйозний тест під час нинішньої активної фази війни. Для отримання того досвіду, який ми здобули за чотири місяці агресії, в мирних умовах знадобилося б двадцять років.

Завдання наглядової ради банку в цьому аспекті полягає в тому, щоб максимально використовувати інституційні знання, оптимізувати стратегію, бізнес-план, політику інформаційної безпеки та план забезпечення безперервності бізнесу відповідно до цих знань. Наприклад, архітектура інформаційної системи має бути побудована таким чином, щоб забезпечити оперативну евакуацію даних із філій у разі такої потреби. Подібні зміни до організації ІТ-процесів банку відповідно до кращих практик слід запровадити задовго до початку війни.

У цій роботі ми дотримуємося стандартів CоBIT (Control Objectives for Information and Related Technology) і принципу Secure-by-Design. Найкращі практики передбачають неприпустимість компромісів: повинні підтримуватись системи, встановлюватись виправлення, необхідні регулярне тестування безпеки, моніторинг та забезпечення доступності потужностей з обробки даних. Особливу увагу слід приділити резервним копіям – їх наявність та можливість банку відновити з них дані потрібно перевірити навіть двічі. Ключовим елементом контролю кіберризиків для наглядової ради є доступність системи, кіберінциденти та реагування на них. Ці показники ми внесли до переліку ключових задовго до повномасштабної агресії та постійно їх відстежували. Така практика не змінилась і після відновлення активних воєнних дій, проте виконання цих вимог зараз стало складнішим завданням.

Як зазначали учасники дискусії, велику допомогу в посиленні ІТ-безпеки під час війни надав банкам регулятор. Національний банк оперативно дав дозвіл переводити дані до хмарних сервісів, щоб безпека цих даних не залежала від перебігу бойових дій. 

Безперервне обслуговування ІТ-послуг та ІТ-інфраструктури з боку зовнішніх провайдерів ще важливіше під час війни. Головний чинник і тут — підготовка: необхідно визначити ключових людей для ключових систем з боку зовнішніх постачальників послуг, цим людям потрібна броня від мобілізації на воєнну службу. Оскільки робити її можна не завжди і армія зараз у пріоритеті, то напрошується висновок: українській IT-індустрії потрібно більше жінок. Нині їх лише 22%. Незважаючи на те що війна колись закінчиться і багато солдатів повернуться до своїх довоєнних професій, жінки в IT будуть дуже корисними і в мирний час, оскільки незадоволений попит на професіоналів у цій сфері залишається дуже високим.

Байба Апін, Голова наглядової ради Ощадбанку

https://speka.media/oshhadbank/cotiri-misyaci-za-dvadcyat-rokiv-yakim-je-rezultat-testuvannya-viinoyu-it-bezpeki-ukrayinskix-bankiv-i-comu-cya-sfera-gostro-potrebuje-zinok-p23qd9