Банки та фінансові компанії завжди були мішенню для злочинців, а з початку повномасштабного вторгнення рівень загроз ще більше зріс. Як в таких умовах бути інноваційними, впроваджувати сучасні інструменти та розробки, водночас залишаючись “безпечною гаванню” для даних та коштів клієнтів? Про це й інше FinTech Insider поспілкувався з Андрієм Бойчуком, технологічним директором компанії CS, а також з Костянтином Погребняком, Chief Information Security Officer CS.
- Ваші основні клієнти – банки, зокрема ви працюєте з 63% українських банків. На яких «китах» повинен будуватися кіберзахист банків, особливо під час війни та постійних атак зловмисників?
Андрій Бойчук: Дійсно, під час повномасштабної війни банківська система є дуже ласим шматком для зловмисників. Ризики завжди були великі, там є гроші, а для деяких хакерів покласти банківську систему – це можливість похизуватися своїми здібностями. Але під час війни це ще й дуже серйозна диверсія щодо економіки та суспільства. Тому «кити», на яких базується захист, такі самі, як і раніше, але під час військового часу вони трохи змінили свою форму і вагу.
Перш за все, це технології та інфраструктура. Декілька років тому теорії про безперервність бізнесу і важливість інфраструктури залишались частіше всього лише теоріями. Персонал тренувався, але з надією, що це ніколи не знадобиться. На жаль, зараз всі теорії реалізуються на практиці.
Другий «кит» – це люди та процеси. В себе в компанії ми відчуваємо, що ніколи не працювали так багато, як зараз, під час повномасштабної війни. Люди втомлені, є нестача персоналу. Комп’ютери ненадійні, а люди ще ненадійніші. Тому, як і раніше, їх треба тренувати. Треба проводити практичні заняття, а не лише навчати теорії. Іноді треба влаштовувати провокації, щоб перевірити, чи правильно вони засвоїли теорію.
Як показує практика, саме через людей виникає більшість проблем у захисті. Це може бути помилка, незнання чогось або умисні дії. Тому робота з персоналом – це дуже важливий «кит» в сучасних умовах. Крім навчання, повинен бути також дуже чіткий контроль прав доступу. Нехтувати цим не можна було і раніше, а зараз в умовах віддаленої роботи це особливо актуально.
Наступний «кит» – це постачальники. Банки знаходяться під пильним наглядом регулятора, прагнуть зберегти свою репутацію та надійність, особливо великі, міжнародні та просто відповідальні банки. Тому вони інвестують великі кошти в безпеку. Тож у зловмисника виникає ідея знайти якусь іншу слабку ланку, і нею може бути постачальник. Все-таки у партнерів банків часто менше фінансових можливостей для побудови адекватної системи кіберзахисту. Тому контроль партнерів в цих умовах є дуже важливим, і тільки постійно здійснюючи аудит того, що відбувається на партнерській стороні, ми можемо впевнитися, що через ці двері до банку не зайде небажаний гість.
Саме цим елементам наша компанія стабільно приділяє увагу. Це не якісь дії, які здійснюються раз на півроку. Це постійна робота. Якщо навіть на декілька днів втратити це з фокусу, щось станеться.
Костянтин Погребняк: Додам, що ландшафт кіберзагроз змінюється. Це і зміни в глобальній безпеці, і зміни в технологіях, це і ускладнення інфраструктури, яке ми спостерігаємо. По факту, методи атак постійно розвиваються, вони вже не такі, як були раніше. Тому і протидія цим атакам вже не може здійснюватися поодинці, це тільки командна робота.
Ще один «кит» для захисту банку – це вже не лише вміння швидко реагувати на інциденти, а й помічати нетипову поведінку в системах і серед користувачів. Тому погоджуюсь з Андрієм, що регулярне тренування в реалістичних умовах дозволяють нам краще зрозуміти ризики, зрозуміти один одного і діяти більш злагоджено між усіма ланками процесу, від розробки до використання продукту.
- Як же банкам, впроваджуючи технології і намагаючись бути інноваційними, залишатися захищеними? Як притримуватися цього балансу між інноваційністю та безпекою?
Андрій Бойчук: Для цього є контрзаходи, починаючи з того, що треба перевіряти, наскільки безпечним є життєвий цикл розробки продукту. Це повинно бути закладено з самого початку. Перевіряється постачальник, тренуються розробники, тому що люди забувають, люди втрачають пильність, треба постійно нагадувати про можливі загрози. Є системи перевірки коду, декілька з них ми використовуємо. В банках є свої команди, які перевіряють код різними засобами: це може бути статичний аналіз, аналіз залежних компонентів, пентести, це можуть бути білі хакери.
Крім того, є апаратні програмні засоби, які слідкують за аномаліями, несанкціонованими діями, перевіряють трафік, джерела цього трафіку, його характеристики. І навіть це все не зменшує ризики до нуля. Неможливо побудувати фортецю, яку не можна здолати. Задача будь-якого кіберзахисту – зменшення ризиків. Чим більше ми побудуємо шарів захисту, тим менше шансів, що нас зламають. А якщо щось все-таки станеться, наша задача зробити так, як на кораблі: коли вороги захопили маленьку каюту, ми втрачаємо речі в цій каюті, але все інше залишається в безпеці.
Костянтин Погребняк: Повністю погоджуюся, що наша задача, коли ми будуємо цикл розробки, зробити так, щоб кіберзлочинці не змогли завантажити зловмисний код. А друге – це надати механізми конфігурації і базові механізми безпеки в рамках продукту. У свою чергу, відповідальність наших клієнтів – налаштувати та організувати операційний моніторинг та захист функціонування продукту. Тому, відповідаючи на ваше питання, потрібна взаємодія і повне розуміння, де наша зона відповідальності, а де зона відповідальності наших замовників. Водночас ми ніколи не забуваємо про такі ризики, як наприклад, людський фактор або технічна помилка. Тому останні роки навчили нас бути гнучкими, адаптуватися до будь-яких змін. У нас також немає дуже далекого горизонта планування, ми плануємо більш короткими термінами, і готові реагувати на непередбачувані обставини разом з клієнтами.
- Які саме задачі компанія CS вирішує для банків? І чому банки, маючи власні підрозділи розробки, звертаються до вас?
Андрій Бойчук: Ми постачаємо core banking system банкам. Core banking system – це одна з головних систем для банків, яка забезпечує платежі, роботу кредитів, депозитів, вона забезпечує функціонування грошей. Це один з наших продуктів. Інший наш продукт – це система мобільного доступу до бази даних банків. Це мобільний банкінг, інтернет банкінг. Ця система ще більш відкрита для зовнішнього світу.
Банки звертаються до нас тому, що дуже мало банків в світі хочуть писати Core Banking System самостійно. Це складно, дорого і довго. In-house розробка для Core Banking System вимагає мати спеціальну команду, а значить ви стаєте залежним від певних людей. Простіше це перекласти на зовнішнього постачальника, на партнера.
Коли ми говоримо про нашу роль в банківській системі, то це в першу чергу постачання готових продуктів, які допомагають банкам здійснювати їх діяльність.
Як я сказав раніше, ми є саме тим постачальником, через який можна проникнути в банк. Для цього є два варіанти: перший – ми поставили неякісний продукт, а другий – поставили якісний продукт, але не допомогли банку його налаштувати так, щоб він був безпечним.
Є ще один шлях виникнення загрози. Ми використовуємо канали зв’язку, які дають можливість комунікувати з банками на трошки іншому рівні, ніж просто люди з вулиці. І ці канали можуть використовувати зловмисники, якщо вони проникли до нас. Це очевидний вектор атаки – проломити наш захист для того, щоб вийти на наших замовників. Тому нам важливо бути впевненими, що ми «цю хворобу за собою не принесемо». Ми не можемо гарантувати, що загроз не виникне, але наша задача – мінімізувати ризики.
Костянтин Погребняк: Ризик постачальника дійсно автоматично стає ризиком банку. Але ми дуже мотивовані максимально мінімізувати ці ризики. Тому що вартість помилки – не просто вибачитися, йдеться про можливість втрати бізнесу. Якщо через нас заходять злочинці – це автоматично впливає на всіх замовників. Наша помилка реально може вплинути на стабільність банківської системи.
- Повертаючись до питання ненадійності людей. Чи може бути таке – можливо не зараз, а за декілька років – що спеціалістів почнуть масово замінювати штучним інтелектом, якщо він продемонструє більшу надійність?
Андрій Бойчук: В деяких сферах так. Вже зараз можна і треба використовувати системи зі штучним інтелектом для того, щоб моніторити, що відбувається, і шукати аномалії. Я би не відкидав існуючі алгоритмічні системи, які шукають певні аномальні речі згідно закладених в них алгоритмів, але нестандартні патерни гарно шукає штучний інтелект.
В Штатах, наприклад, коли ви приходите на касу самообслуговування, штучний інтелект бачить нестандартну поведінку і може запросити службу безпеки перевірити, чи все ви сплатили. Тому це вже працює.
Але є речі, які штучний інтелект не може зараз замінити, і я не думаю, що ми очікуємо мегапрориву в цьому напрямку. Все-таки рівень штучного інтелекту – це рівень старанного джуна, якого треба направляти, якому треба чітко сказати, чого ти від нього хочеш. А ось роботу архітекторів, сеньйорів він точно поки що не в змозі замінити.
Костянтин Погребняк: Останні роки навчили нас, що можливий будь-який розвиток подій. Тому ми почали дивитися ширше на все, зокрема на ШІ та квантові комп’ютери. Ми робимо реалістичні прогнози, але й не виключаємо нереалістичні. Фокус змістився на те, щоб швидко адаптуватися. І питання зараз не в тому, яким буде ШІ – зараз це важко передбачити, враховуючи його стрімкий розвиток. Питання в тому, щоб бути попереду і приймати ці технології, адаптуватися під них.
Наразі змінюються як методи атак, так і способи протидії. ШІ допомагає з автоматизацією, допомагає розширювати патерни. Це не самостійна одиниця сьогодні, але це те, що прискорює процеси.
- Ви працюєте і на інших ринках, зокрема співпрацюєте з банками в Молдові і Узбекистані. Перше питання, виходячи з цього: як відрізняється інформаційна безпека та кіберзахист банківської системи в інших країнах? І друге: враховуючи євроінтеграцію України, чи зміняться вимоги до українських банків з точки зору безпеки?
Андрій Бойчук: Звісно, вимоги зміняться. З одного боку, інколи ми навіть попереду Європейського Союзу. Хочу нагадати, що система електронних платежів в Україні була створена раніше, ніж SEPA в Європі.
Якщо говорити про криптозахист, то в Україні вимога використовувати криптозахист була ще в 90 -х. Таких вимог використання криптозахисту на рівні платіжних документів, інтернет-банкінгу я не знаю в жодній іншій країні.
Національний банк виставляє вимоги банкам, які базуються на реальних європейських стандартах, зокрема на стандарті ISO 27001. Коли ми приєднаємося до Європейського Союзу, нас звісно очікують ще певні зміни, наприклад, в ЄС керівництво банку несе персональну юридичну відповідальність за кібербезпеку.
Окрім того, можливо нам доведеться підпорядковуватися не тільки Національному банку, а й іншим регуляторним органам, які будуть контролювати якість захисту. Можуть бути змінені вимоги до тестування безпеки у вигляді Red Team чи пентестів. В Європейському Союзі обов’язок банків – проходити таке тестування, щоб перевіряти, наскільки ваша система здатна протистояти загрозам, наскільки швидко ви можете помітити, що вас атакують, і наскільки адекватно персонал реагує на те, що відбувається. Це основна мета таких перевірок. Ймовірно, це стане обов’язковим в Україні також.
Захист персональних даних є дуже важливим «китом» європейського законодавства. Штрафи за порушення цього законодавства дуже серйозні, вони можуть вплинути на бізнес. Якщо, чи точніше коли, ми будемо адаптувати ці норми законодавства, це стане і нашою реальністю.
Окремо зазначу, що ми як постачальники банків є постачальниками для критичної інстраструктури. В Європі такі компанії теж підпадають під регуляцію і повинні проходити додаткову сертифікацію. Я не здивуюся, якщо буде додатковий орган, який перевірятиме адекватність партнерів банків.
Тому один із кроків, який ми вже зробили назустріч цим вимогам, це процес сертифікації ISO 27001, який ми завершили. Я думаю, що цей рівень буде мінімально достатнім, щоб продовжувати бути постачальником для фінансової сфери в Європі.
Щодо різниці між нашим банківським сектором та іншими ринками. Я згадував про криптографію і як давно банки в Україні цим займаються. У нас свої стандарти, які не будуть працювати в Європі, тому нам доведеться змінювати багато. Молдова цього уникнула, вони відразу імплементували законодавство і стандарти, більш схожі на європейські.
В Узбекистані, в свою чергу, гарно прописано в законодавстві функціонування служби безпеки в банках, як вона повинна бути організована, описана роль головного спеціаліста з інформаційної безпеки, роль команди. У нас в Україні такого немає. І це те, що ми можемо запозичити.
Якщо ми говоримо про продуктові лінійки, то та ж Молдова випереджає нас. Вони вже приєдналися до SEPA, раніше впровадили миттєві платежі, як і продажі за QR-кодами. Але не забуваймо, що ми знаходимось в умовах великої війни. І я взагалі дивуюсь, як Національний банк продовжує реформувати банківську систему, і при цьому настільки ефективно.
Костянтин Погребняк: Додам, що Євросоюз має досить складну систему законів, яка, на відміну від України, орієнтована в першу чергу на захист громадян, на захист персональних даних, фінансових даних і так далі. З іншого боку, ці закони досить узагальнені, тому що країн багато, і закони мають бути застосовані до кожної країни. А третя особливість – це те, що невиконання цих законів призводить до дуже великих штрафів. Тож ми маємо у підсумку складну систему законів, яка досить узагальнено написана, а невиконання цих законів має фінансові наслідки. Це призводить до того, що ці закони недостатньо прочитати та впровадити. Їх необхідно прожити з урахуванням певних моментів і моментів інтеграції. Євроінтеграція якраз і принесе для нас цю складність. Але ми до цього готуємося. Багато банків міжнародні, на них вже розповсюджуються різні закони (GDPR, DORA). Ці банки і до нас приходять з певними вимогами, тому ми будуємо уніфіковану систему управління інформаційною безпекою. І в цьому, до речі, робота на інших ринках, як-от Молдова і Узбекистан, це теж гарна вправа для нас, тому що кожен новий ринок – це нові вимоги. Вони можуть бути гарні, вони можуть бути специфічні, вони можуть бути різні. Але ми їх вивчаємо і адаптуємося. І кожна ітерація, кожна адаптація стає легшою. Коли береш краще з різних вимог, то в результаті отримуєш дуже стійку модель.
- Чи відчули ви кадрову кризу? І якщо так, то як це вирішуєте?
Андрій Бойчук: Відчули, звісно, і, на жаль, це лише «квіточки». Частина нашої команди в лавах захисників, інша частина працює так багато, як ніколи раніше. Водночас, ми продовжуємо зростати. Нам наразі вдається знаходити кваліфіковані кадри в Україні. Але в мене є побоювання, що наслідки великої війни ми будемо відчувати ще багато років потому. По-перше, дуже важко отримати нормальну освіту, коли вона дистанційна або в бомбосховищі. Все це має вплив на рівень знань. Друга проблема – відтік кадрів за кордон. Чи будуть молоді люди, які виїхали, зацікавлені стати IT-фахівцями для української компанії? Це питання поки що майбутнього, але такий ризик є.
Який вихід? Вирощувати кадри самостійно, допомагати вузам, використовувати штучний інтелект для того, щоб зменшити необхідність у збільшенні команди, збільшувати ефективність роботи за рахунок покращення процесів.
Щодо роботи з вузами, то з 2010 року розпочався курс навчання роботі з нашим core banking в 6-8 вузах, і триває досі.
- Які виклики в 2026 році ви передбачаєте для себе і для банківської галузі, з якою співпрацюєте, в контексті загроз і кіберзахисту?
Андрій Бойчук: На жаль, є специфічні для України виклики. Наша енергосистема працює в досить складному режимі. Це означає, що все обладнання в банках працює постійно в позаштатному режимі.
Друга проблема – це те, що люди втомлені, люди під час обстрілів роблять помилки. Нещодавно у нас був інцидент, який, на щастя, закінчився добре. До нас звернулися з підозрою щодо того, що є несанкціоноване втручання в систему. Через декілька хвилин ми з’ясували, що людина під час обстрілу, замість того, щоб ввести інформацію в приватний чат, ввела інформацію в систему. Тобто, на жаль, ризики людської помилки в таких умовах зростають. З цим треба боротися навчанням, плейбуками, а іноді навіть примусовою відпусткою.
Якщо ми говоримо про загальні тренди, то використання штучного інтелекту вплине на рівень атак. Знайти вразливість, яку люди пропустили, написати зловмисний код, ввести його в експлуатацію – все це стало простіше зробити за допомогою штучного інтелекту. Соціальна інженерія отримала новий розвиток завдяки ШІ. Атаки в соціальних мережах стали більш персоналізованими. Не забуваймо і про дипфейки.
З іншого боку, той самий штучний інтелект ми вже використовуємо для того, щоб побачити ті речі, які пропускає людина. Я сподіваюсь, що системи, які аналізують аномалії, про які ми вже говорили, стануть більш доступними на ринку саме завдяки ШІ.
Сподіваюсь, що в 2026 році квантового прориву не буде. Але треба готуватися і до цього, рано чи пізно це теж станеться.
Костянтин Погребняк: Погоджуюсь, що 2026 рік буде про впровадження штучного інтелекту, але все ж таки і про використання власного.
По-друге, останні роки навчили нас тому, що треба планувати, впроваджувати, але бути готовими до всього. Навіть якщо якийсь сценарій здавався нам не реалістичним п’ять років тому, його все-таки теж варто розглядати. При цьому треба собі ставити питання: як ми цим можемо скористатися, що можемо зробити, щоб мінімізувати ризики та інше.
Треба відслідковувати події в технологіях, тестувати, щоб мати власний досвід і бачення. Ми намагатимемось це робити і в своїй компанії.
