Банк, который выжил: Как украинские банки боролись с вирусом Petya.A

Украинские банки с трудом пережили атаку вируса-шифровальщика Petya.A. Многим финучреждениям пришлось на несколько дней фактически закрыть свои отделения, переведя их в "консультационный" режим работы.

Из 30 крупнейших банков по количеству средств клиентов от Petya.A пострадали 13. Больше всех досталось государственным Ощадбанку и Укргазбанку, а также частным Укрсоцбанку, ТАСкомбанку и ОТП Банку.

Delo.UA разбиралось в главных проблемах пострадавших банков.

Кто пережил

Проблемы возникали с банкоматами, POS-терминалами и интернет-банкингом, не работали сайты банков, без связи остались их колл-центры. Некоторый функционал ограничивали даже те банки, которых вирус не коснулся напрямую.

Данные: сайты и колл-центры банков, сведения пресс-служб

"Мы не испытывали проблем с процессингом. Операции с платежными картами, терминалами, банкоматами, онлайн- и мобильным банкингом для физлиц проходили в стандартном режиме, несмотря на вирус. По состоянию на утро 30 июня 175 отделений банка открыто, еще 76 находятся в процессе открытия. 70% сети работает в стандартном режиме с полным функционалом", — описывают в Укрсоцбанке сложившуюся ситуацию.

Самым проблематичным в плане борьбы с вирусом оказался Ощадбанк. Днем 30 июня, когда большая часть банков почти полностью восстановила свои системы, Ощад по-прежнему держал отделения в "консультационном режиме" и не мог запустить часть банкоматов и терминалов. До середины дня 30 июня нельзя было расплатиться картой в киевском метро, где эквайером платежей тоже выступает Ощадбанк.

"Из официального: во вторник в результате беспрецедентной кибератаки Ощадбанк ввел в действие протоколы безопасности и защиты информации. Это заставило нас ограничить доступ к функционалу ряда сервисов, изменить режим работы сети отделений и извиниться перед клиентами за неудобства", — писал у себя в Facebook предправления Ощадбанка Андрей Пышный 29 июня.

"Протоколы безопасности", о которых говорит Пышный, заставили ограничить функционал даже банки, где IT-системы смогли успешно отбить атаку вируса. Правэкс-Банк и банк "Кредит Днепр" по этой причине закрыли доступ клиентов к интернет-банкингу. Универсал Банк на время ограничил международные переводы, хотя и отделения банка, и прочие сервисы изначально работали в обычном режиме. Международный инвестиционный банк вплоть до 30 июня принимал платежные поручения только на бумажных носителях.

Стартовав 27 июня, атаки вируса продолжались вплоть до утра 29 июня. Как рассказывает директор департамента информационных технологий ПУМБ Андрей Бегунов, первая попытка проникновения вируса была зафиксирована в районе середины дня вторника 27 июня. Как и у большинства других юрлиц, в ПУМБе она происходила через бухгалтерское программное обеспечение M.E.Doc.

"Мы столкнулись с вирусом-шифровальщиком, использующим для запуска так называемый начальный загрузчик. При таких атаках желательно отключить компьютеры от локальной сети, антивирусом восстановить начальный загрузчик и только после этого выключать компьютер или перезагружаться", — говорит начальник Управления информационных технологий банка "Пивденный" Виталий Шпатаковский.

В связи с проблемами финучреждения пошли навстречу своим клиентам. Например, Укрсоцбанк решил не штрафовать заемщиков, которые из-за вируса не смогли вовремя внести платеж по кредиту. Кредобанк в пятницу 30 июня продлил время работы отделений до 20:00.

Ощад — да, Приват — нет

Самое главное, что отмечают все банки — персональные данные их клиентов вирус не затронул. По словам Виталия Шпатаковского, атака 27 июня была направлена исключительно на инфраструктуру Windows, но не на базы данных банков, которым IT-службы финучреждений и без того уделяют повышенное внимание.

"Потерь информации о клиентах, счетах, операциях и т.д., хранящейся в базах данных, не было. Используемые технологии позволяют в режиме реального времени поддерживать несколько оперативных копий базы данных, причем эти копии разделены друг от друга большим расстоянием. У нас есть архивы, хранящиеся отдельно и позволяющие восстановить состояние базы в любой момент времени в прошлом с точностью до секунды", — говорит Шпатаковский.

Petya.A действительно использовал уязвимость только в тех компьютерах, которые работали на операционной системе Windows. Это одна из причин, по которой одни банки пострадали от атаки, а другие — нет.

Например, в ПриватБанке отмечают, что пользуются закрытой корпоративной операционной системой на Linux. Вторая особенность банка в этом смысле — работа с облачными технологиями. "Это облачные сервера для полного бэкапа данных. Плюс наши конвейеры для каждого бизнес-процесса — это сложная технология, использующая как сервера, так и независимые облачные хранилища", — рассказывают в "Привате".

Особая ситуация возникла и в паре "Укрсоцбанк — Альфа-Банк". С прошлого года банки проводят постепенное слияние. Но от вируса пострадал только "Укрсоц", в то время как "Альфа" работал в обычном режиме (при этом вирус зацепил "Альфа Страхование").

"Важные факторы в подобных ситуациях — профессионализм команд IТ и IТ-безопасности, слаженность их действий, инвестиции в инфраструктуру защиты до того, как что-то произошло, а не тогда, когда уже потеряны данные и, конечно, правильная технологическая архитектура как приложений, сетей, так и самой защиты", — говорит Андрей Бегунов из банка ПУМБ.

Жизнь после Petya.A

После истории с вирусом Petya.A банки вряд ли глобально станут менять архитектуру своих систем. Как поясняет Виталий Шпатаковский из банка "Пивденный", это слишком дорого и долго. Хотя и вывод о меньшей уязвимости операционных систем Linux и MacOS после масштабных атак на Windows со стороны вирусов WannaCry и Petya.A напрашивается сам по себе.

"Замена операционных систем на Linux или Mac — это непростое решение. На украинском рынке в свободной продаже очень мало полнофункциональных банковских учетных систем, полностью работающих на Linux или Mac. Чтобы создать систему собственной разработки — на это нужны годы труда и миллионы долларов инвестиций", — говорит он.

По словам Шпатаковского, скорее всего банки не будут менять инфраструктуру Windows, а пойдут по пути более аккуратного сегментирования сети и введения дополнительного контроля за сетевой активностью. Отдельный вопрос — в работе с поставщиками программного обеспечения. Как поясняют в банке "Пивденный", сейчас в качестве переносчика использовались программы (та самая M.E.Doc украинского производства), регламентированные фискальными органами и считавшиеся до сих пор достаточно надежными.

Пока банкиры не берутся оценивать ущерб от атаки вируса. Но как отмечают в Укрсоцбанке, эта ситуация грозит в первую очередь репутационными потерями для всей банковской системы. Причем касается это не только пострадавших банков, но и тех, кого Petya.A прямо не затронул.