Под шквалом яростных DDoS. Как банки противостоят киберугрозам

Под шквалом яростных DDoS. Как банки противостоят киберугрозам

Об успешных DDoS-атаках на кредитные организации, которые привели к многочасовой недоступности сервисов, сообщали СМИ и в 2025 году, и в 2024-м. Однако главная волна подобных атак на финсектор началась в феврале 2022 года, когда банки были вынуждены пересмотреть свой взгляд на информационную безопасность.

В 2024 году Международный валютный фонд в «Докладе по вопросам глобальной финансовой стабильности» особое внимание обращал на возросшие киберриски для банков, следствием которых является и угроза финансовой стабильности многих стран. В частности, в докладе указывается на двукратный рост числа киберинцидентов почти с допандемийных времён. По данным опроса EY, результаты которого были опубликованы в начале 2024 года, 82% главных директоров по рискам (CRO) европейских банков назвали киберриски главными из рисков, причём 71% CRO говорили об атаках хактивистов как главном из киберрисков.

Это утверждение актуально и нашей страны. «Большое количество атак на российские компании начиная с 2022 года обусловлено геополитической ситуацией», — подтверждает в своём исследовании «Актуальные киберугрозы в странах СНГ 2023–2024» компания Positive Technologies.

И здесь банки являются одной из наиболее популярных мишеней хактивистов. «Ещё три года назад и более DDoS-атаки на финансовый сектор носили единичный характер, скажу больше — специалисты по информационной безопасности даже не рассматривали их как действительно серьёзную угрозу, так как к длительной недоступности сервисов они не приводили, — рассказывает директор по продуктам Servicepipe Михаил Хлебунов. — Однако напряжённая геополитическая обстановка и активизация хактивистов изменили отношение кредитных организаций к этому типу киберугроз».

Действительно, до 2022 года DDoS-атаки на кредитные организации «были относительно редкими», подтверждает в интервью CNews директор департамента информационной безопасности Московского кредитного банка (МКБ) Вячеслав Касимов. Да и цели таких атак были иными: «Тогда не было стремления сделать атаку резонансной, не было желания опубликовать информацию о том, что какой-то банк недоступен и его клиенты испытывают неудобства. DDoS-атаки в основном носили коммерческий характер».

Но в феврале 2024 года всё изменилось: атаки хактивистов с каждым годом становились всё изощрённее. «Например, летом 2024 года на отрасль обрушились многовекторные ковровые атаки, когда вредоносный трафик направлялся по большому количеству IP-адресов, — указывает Михаил Хлебунов. — Если в начале 2024 года злоумышленники атаковали в среднем 10–15% IP-адресов финансовой организации, то в июне в среднем — 98,5% IP-адресов одновременно. Мы видели "ковры" площадью более чем 400 IP-адресов», — резюмировал эксперт. При этом мощность атак во II квартале 2024 года выросла на четверть.

Как ранее в интервью CNews отмечал Вячеслав Касимов, МКБ также подвергался ковровым атакам. Например, последняя, произошедшая в сентябре прошлого года, была рекордной по мощности: 300 Гбит/с, а на пике — 310 Гбит/с. Не обошли стороной хактивисты и другие российские банки. В частности, крупнейшая отечественная кредитная организация пережила мощнейшую в её истории DDoS-атаку в конце июля 2024 года, рассказывал в интервью «РИА Новостям» заместитель председателя правления «Сбера» Станислав Кузнецов. Она длилась 13 часов, и её мощность, по его словам, составляла 500 Гбит/с. Подобные новости об атаках поступали и от многих других российских банков.

Проблема роста количества и мощности кибератак на российские банки соседствует с другой. Как ранее отмечал Вячеслав Касимов, «до определённого времени Россия использовала в основном западные решения для защиты от DDoS-атак». Однако в настоящее время они стали менее доступны. Когда западные вендоры покинули отечественный рынок, возникла дилемма: «либо платить повышенную премию для организации параллельного импорта, либо искать альтернативные варианты», рассказывал топ-менеджер.

К счастью, на рынке уже были зрелые решения. По словам директора по продажам ИТ-интегратора «Телеком биржа» Василия Полькина, сложнейшие DDoS-атаки, обрушившиеся на отечественный бизнес и госкомпании после событий 2022 года, стали определённой школой жизни для отечественных вендоров. На сегодняшний день можно уже говорить, что российские решения вышли на уровень топовых западных вендоров, являясь достойной альтернативой для решения поставленных задач, резюмировал он.

Как ранее сообщал Forbes, к 2023 году уже лишь 10% крупнейших российских компаний использовали зарубежные решения для защиты от DDoS-атак. К 2024 году эта цифра ещё больше сократилась — до 6,5%,приводит издание IT Channel News.

По словам Василия Полькина, изменение регуляторных требований в отношении субъектов критической инфраструктуры способствовало активному переходу на российские решения. Кредитные организации имеют особый статус в законодательстве о КИИ, потому для них это особенно актуально.

По пути применения отечественных решений пошёл, в частности, и МКБ. «В нашем случае это, в частности, решения российского вендора Servicepipe, которые мы внедрили с помощью ИТ-интегратора "Телеком биржа"», — рассказывает Вячеслав Касимов. По его словам, в том числе благодаря совместной работе вендора и интегратора банку удалось успешно справиться с сентябрьской DDoS-атакой.

По словам Василия Полькина, при этом финансовые игроки в первую очередь интересуются решениями on-premise, которые удовлетворят всем регуляторным требованиям и обеспечат кредитной организации желаемый контроль над трафиком.

Вячеслав Касимов также подтвердил, что банкам нужен именно ПАК (программно-аппаратный комплекс). «Мне кажется, что утверждения о том, что ПАК не нужен, исходят либо от людей, не совсем понимающих все риски, либо от тех, кто не придаёт значения конфиденциальности данных своих клиентов и фактически передаёт эту информацию третьим сторонам — сервис-провайдерам, — пояснял он в интервью CNews. — Когда трафик не идёт напрямую в организацию, а проходит через сервис-провайдера, то он имеет доступ ко всей информации, которая передаётся: от финансовых данных до личных данных клиентов, и только после этого трафик поступает в организацию». Это, конечно, создаёт дополнительные риски для безопасности и конфиденциальности данных, резюмировал Касимов.

При этом эксперт подчеркнул, что «одной "чудо-железки", то есть программно-аппаратного комплекса, при серьёзной атаке может быть недостаточно — её нужно будет масштабировать». Поэтому МКБ использует гибридные схемы, которые включают как ПАК, так и возможность подключения облачного сервиса для защиты, а именно — решения российского вендора Servicepipe, которые банк внедрил с помощью ИТ-интегратора «Телеком биржа».

Атаки на банки, отмечает в своём блоге МВФ, могут «даже поставить под угрозу платёжеспособность» финансовых организаций, не говоря уже о репутационных издержках, которые сложно оценить в денежном выражении.

«Если раньше при коммерциализированных атаках основной целью было просто украсть деньги, при этом не нанося серьёзного ущерба, то сейчас хактивисты преследуют множество целей, — рассказывает Вячеслав Касимов. — Если есть возможность украсть деньги, они это сделают, если можно эксплуатировать конфиденциальную информацию или передать её третьим лицам, они, безусловно, это сделают». Если же ни первое, ни второе невозможно, то они наверняка постараются разрушить инфраструктуру, указывает эксперт, и сетевые угрозы в этом году никуда не денутся, хотя принципиальных изменений в формах DDoS-атак ожидать, скорее всего, не стоит.