Кибератаки на российские банки
Новая масштабная DDoS-атака, проведенная поздно вечером в минувший четверг, привела к сбою у ряда крупнейших банков и на некоторое время сделала недоступными часть их сервисов. По словам участников рынка, сами банки атаку выдержали, а вот их интернет-провайдер Orange Business Services испытал существенные трудности, результатом которых и стали проблемы в работе финансовых сервисов. В самой компании утверждают, что DDoS-атаки на российский финансовый сектор идут непрерывно с 9 августа.
Как стало известно “Ъ”, вечером в четверг 2 сентября была проведена новая мощная DDoS-атака на российские финансовые институты. Фактически она последовала за обнародованными накануне данными по предыдущей масштабной атаке (см. “Ъ” от 3 сентября). По словам одного из собеседников “Ъ” на финансовом рынке, в результате последней атаки на некоторое время у ряда крупных банков возникли проблемы с проведением платежей и обслуживанием карт.
Все, что шло через интернет-провайдеров, в том числе и наземные точки, которые подключены по проводам,— банкоматы, POS-терминалы — какое-то время не работали»,— заявил он.
Это подтверждается и статистикой Downdetector, согласно которой в четверг с 19:00 до 22:00 сложности в работе сервисов наблюдались у Альфа-банка, ВТБ и Сбербанка (сведения по другим банкам из топ-10 у этого сервиса отсутствуют). По словам другого источника “Ъ”, основной проблемой в результате проведенной атаки стал сбой у провайдера Orange Business Services, через которого идет значительная часть трафика крупных банков по картам. А поскольку через него идет банковский трафик и в НСПК, то проблемы были не только с картами, но и с переводами через Систему быстрых платежей (СБП), указал собеседник “Ъ”.
Комментарии банков об инциденте фактически подтверждают эти данные.
«Накануне ИТ-сервисы наших партнеров и их провайдеров связи столкнулись с DDoS-атакой, что повлияло на проведение платежей клиентов в удаленных каналах обслуживания»,— сообщили в ВТБ, добавив, что все системы банка работали в штатном режиме и данная DDoS-атака их не затронула. В Сбербанке сообщили, что 2 сентября был зафиксирован сбой на стороне внешнего поставщика услуг, что могло повлечь непродолжительные задержки в работе отдельных сервисов, но системы банка работали в штатном режиме.
В Альфа-банке также отметили, что все системы банка работали и продолжают работать в штатном режиме. «Небольшое количество отчетов, зафиксированных ресурсом Downdetector, могло быть связано с проблемами у одного из локальных интернет-провайдеров»,— пояснили в кредитной организации.
Операционный директор Orange Business Services в России и СНГ Ольга Баранова рассказала “Ъ”, что с 9 августа центр мониторинга киберугроз компании круглосуточно фиксирует атаки на клиентов из сферы финансов с использованием емкостных атак типа Amplification, а также атак с использованием зашифрованных протоколов (HTTPS).
«Эти атаки продолжаются и сейчас. Самая мощная из них составила около 100 Гбит/с, а по количеству зафиксированных нами атак этот август сравним со всем прошлым годом»,— заявила она.
Как пояснил основатель и генеральный директор Qrator Labs Александр Лямин, Amplification-атаки направлены на полосу пропускания, то есть на каналы связи, а атаки уровня HTTPS или Application Layer нацелены непосредственно на приложения. «DDoS-атаки этого типа являются наиболее опасными: они с трудом поддаются выявлению и нейтрализации, поскольку могут имитировать легитимный трафик»,— отмечает он.
И, по мнению Ольги Барановой, для противодействия массированным DDoS-атакам, которые влияют сразу на критически важную для жизни страны отрасль, необходима консолидация усилий всех игроков рынка. Тем более что, по словам совладельца компании RuSIEM Максима Степченкова, качественная защита от DDoS-атак с фильтрацией трафика предоставляется ограниченным числом компаний. Однако даже дорогие системы защиты «пробиваются» гораздо более дешевыми средствами нападения. Например, по оценке господина Степченкова, защиту от DDoS-атак стоимостью 1 млн руб. в год уверенно «пробивает» бот-атаку сети за 100 тыс. руб. «Можно расширить подписку, увеличив пиковый объем фильтруемого трафика, но в момент атаки это сделать нереально»,— отмечает эксперт. «Защита от DDoS-атак должна быть построена совместно на уровне оператора, для которого эта нагрузка не столь существенна и не забьет весь канал»,— резюмирует господин Степченков.
