Інтернет-магазин нумізматичної продукції Національного банку України тимчасово недоступний унаслідок кібератаки на компанію-підрядника. Потенційно зловмисники могли отримати доступ до персональної інформації користувачів інтернет-магазину, а саме: ім’я, прізвище, номер телефону, e-mail, адреса доставки нумізматичної продукції.
Як наголосили у пресслужбі НБУ, жодні фінансові дані користувачів – реквізити платіжних карток, інша конфіденційна інформація, пов’язана з банківськими операціями, не скомпрометовані.
Системи захисту даних та інформаційні системи Національного банку України працюють у штатному режимі. Наразі вживаються необхідні заходи для з’ясування обставин інциденту та оцінки його можливих наслідків. Регулятор спільно з постачальником послуг працює над усуненням наслідків інциденту.
Представники НБУ відповіли на поширені питання:
Чому зловмисники атакували підрядника?
“Supply chain-атаки – поширена тактика хакерів у всьому світі. Нещодавні приклади: SolarWinds у США, атака на Kaseya, компрометація ASUS. Зловмисники намагаються знайти найслабшу ланку в ланцюгу постачання. Саме тому НБУ з самого початку проєктував архітектуру з ізоляцією підрядників від критичних систем. І цей підхід себе виправдав”.
Чи не свідчить це про слабкість кібербезпеки НБУ?
“Навпаки. Жодна організація у світі не може гарантувати 100% захист від атак – це реальність сучасної кібербезпеки. Але зріла кібербезпека – це, коли атака не досягає критичних систем. І саме це і сталося: завдяки правильній архітектурі інцидент, що стався у підрядника, не вплинув на НБУ. Це підтверджує ефективність нашого підходу”.
Чи були скомпрометовані дані клієнтів, і що варто зараз зробити?
“Потенційно скомпрометованими можуть бути лише дані, які вводилися під час реєстрації в інтернет-магазині і перелічені вище. Зловмисники можуть використати ці дані для фішингу”.
У Нацбанку закликали користувачів бути особливо пильними і пам’ятати, що працівники НБУ:
- не надсилають листи з проханням підтвердити дані;
- не телефонують для уточнення інформації про платіжні картки;
- не просять оплатити замовлення альтернативними способами;
- не надсилають посилання для “термінової верифікації”.
Нагадаємо – у грудні минулого року НБУ визначив порядок організації заходів із забезпечення інформаційної безпеки та кіберзахисту надавачами фінансових послуг. Йдеться про таких учасників ринку небанківських фінансових послуг, як страховики, кредитні спілки, фінансові компанії, ломбарди.
