Українські банки досі використовують російське та білоруське ПЗ – НБУ вимагає виправити ситуацію

Національний банк зажадав від банків та фінустанов протягом 21 дня прозвітувати про вирішення проблеми з використанням програмного забезпечення російського та білоруського походження. Про це йдеться у телеграмі НБУ № 57−0008/86444. Про це 18 листопада повідомляє Мінфін. 

У документі наголошується, що таке ПЗ «може нести суттєві ризики», про які регулятор говорив і раніше. Звіт потрібний за двома пунктами: 

  • як банк виконує план заходів щодо мінімізації пов’язаних з використанням російського програмного забезпечення кіберризиків (свої плани фінустанови раніше надали НБУ);
  • поточний стан залежності банку від російського чи білоруського походження.

«Додатково повідомляємо, що Національний банк протягом 2023−2024 років виконував комплексну роботу, спрямовану на реалізацію стратегічного заходу «нульова толерантність до російського та білоруського програмного забезпечення на фінансовому ринку», — йдеться у листі № 57−0008/86444.

До цього в банківській системі неофіційно підтверджували використання програмного забезпечення країни-агресора, у тому числі в держбанках. Хоча й визнавали ризики зі зломами наших банків та атаками хакерів, які спостерігалися неодноразово. Іноді вони виливались у збої у роботі інтернет-банкінгів та мобільних додатків, через які українці тимчасово не могли здійснювати потрібні платежі.

Чому російський софт загрожує українському бізнесу? 

У матеріалі керівниці Централізованої закупівельної організації ДП Українські спеціальні системи Анастасії Скок, опублікованій на сайті Держспецзв’язку вказувалося, що попри санкції проти росії та повномасштабне вторгнення, російський софт не тільки продовжує використовуватись в Україні. Деякі організації його ще й продовжують закуповувати. Така безвідповідальність — не тільки фінансування воєнної агресії проти України, але й кришка труни над безпекою бізнесу. Щоб захиститись від більшості загроз, достатньо дотримуватись правил кібергігієни та приділяти достатньо уваги закупівлям або користуватись послугами ЦЗО. 15 квітня 2023 року президент України Володимир Зеленський ввів на 10 років санкції проти технологічних компаній з РФ: як-от «Яндекс», VK, «1С», Positive Technologies та багатьох інших. Це не перший випадок запровадження санкцій проти російських програмних продуктів. Проте 1С продовжує працювати в країні під новим брендом Business Automation Framework (BAS). Численні вакансії від українських компаній на рекрутингових сайтах свідчать про те, що бізнес і нині активно використовує 1С. Серед них — найбільші українські ритейлери електроніки та інших товарів, компанії, що працюють в галузі безпеки та автоматизації, аптеки тощо. Українські органи влади, перебуваючи під більшим контролем з боку держави, відмовились від 1С. Як зʼясувалось, вони так само час від часу закуповують послуги та сервіси, повʼязані з російськими компаніями. Навіть під час повномасштабної війни.

“На жаль, серед публічних закупівель програмного забезпечення, оголошені через платформу Prozorro, є такі, в яких просліджується російський слід. Наприклад, російська система для автоматизації процесів Directum, зокрема плагін для підпису документів українським КЕП, постачання ноутбуків через компанію з російським корінням та багато іншого. І проблема тут не лише в тому, що користувачі віддають кошти російським компаніям, з чиїх податків фінансуються війська країни-агресорки. Такими діями ми самі даємо ворогу ключі до наших інформаційних систем. І це — питання національної безпеки. З 2 194 кіберінцидентів, які опрацювала торік Урядова команда реагування на компʼютерні надзвичайні події CERT-UA, більшість можна повʼязати з хакерськими угрупованнями, що фінансуються або повʼязані з рф”, – вказувалося у матеріалі. 

Щоб зламати інформаційні системи нашої країни, російські хакери вдаються до багатьох методів: розсилають шкідливе програмне забезпечення, яке допомагає їм красти облікові дані та іншу інформацію, викладають на торенти зламане офісне програмне забезпечення, щоб потім слідкувати за організаціями, які його встановили, використовують технічні вразливості. Що відбувається, коли українські організації встановлюють російське програмне забезпечення на компʼютери? Вони фактично дають доступ російським компаніям до своєї інформації. Російські компанії співпрацюють з російським режимом — по-іншому в автократіях не буває. Тож ті, хто використовує російський софт або загалом недбало ставляться до програмного забезпечення, спрощують роботу російським спецслужбам. Що робити бізнесу та державним органам, щоб мінімізувати загрозу?

  • Використовувати виключно ліцензійне програмне забезпечення, завантажене з офіційних сайтів розробників. За даними CERT-UA за перший квартал цього року, кількість атак з використанням неліцензійного ПЗ зростає. На жаль, це означає, що неліцензійне ПЗ досі залишається проблемою для багатьох. Якщо в організації немає грошей на ліцензії, потрібно шукати безоплатні аналоги. Державні органи влади та критична інфраструктура можуть також шукати програми матеріальної технічної допомоги, які включатимуть ліцензії на ПЗ.
  • Оновлювати програмне забезпечення вчасно та регулярно. За даними CERT-UA за другу половину минулого року і за цей рік, кількість атак з використанням технічних вразливостей також зростає. Чимало таких атак — це атаки на ланцюжок постачання (Supply Chain Attacks), вони загрожують організаціям будь-яких форм власності. У нещодавньому звіті Державного центру кіберзахисту Держспецзв’язку йдеться про те, що абсолютна більшість технічних уразливостей, які використовувалися для злому державних інформаційних ресурсів та об’єктів критичної інфраструктури у 1 кварталі 2023 року, була зареєстрована до 2022 року, а більшість — взагалі до 2018 року. Державний сектор і критична інфраструктура можуть звертатися в Державний центр кіберзахисту для проведення сканування вразливостей.
  • Перевіряти виробника. Російські виробники ПЗ шукають можливості залишитись на українському ринку: змінюють назви своїх продуктів, міняють країну реєстрації тощо. Так, слідкувати за цим самостійно важко, але потреби це робити самостійно і в ручному режимі немає. Наприклад, за допомогою спеціального бота @checker_products_bot для перевірки ПЗ на російське походження, який створив Державний центр кіберзахисту. Бот бере дані з російського сайту з їхнім ПЗ та плеймаркету. Крім того, потрібно слідкувати за новими санкціями, які запроваджує проти повʼязаних з Росією компаній уряд України.
  • Користуватися послугами ЦЗО для закупівлі товарів та послуг в галузі цифровізації. Органи державної влади України можуть здійснювати цифрові закупівлі через централізовану закупівельну організацію державного підприємства «Українські спеціальні системи» (ЦЗО ДП «УСС»). Фахівці установи не лише збирають заявки, узагальнюють їх та допомагають сформувати гуртові заявки, щоб забезпечити найкращу ціну, а й здійснюють перевірку безпечності цифрових товарів та послуг, а також їх постачальників.

Для 74 центральних органів виконавчої влади України закупівлі за 50 кодами ДК є обовʼязковими та безоплатними. Сюди входить як програмне забезпечення, так і електроніка — сервери, ноутбуки, компʼютери. Проте інші органи центральної та місцевої влади також можуть звертатися до ЦЗО ДП «УСС» для організації закупівель на їхню користь. Ця послуга платна, водночас вона позбавляє організацію головного болю щодо проведення тендерів, перевірки контрагентів та якості закуплених товарів і послуг. Невідкладно повідомляти про кіберінциденти та кібератаки CERT-UA, своїх партнерів та інші компанії галузі. Швидкість реагування на кіберінциденти — надзвичайно важлива. Чим швидше буде повідомлено про загрозу, тим швидше вдасться її нейтралізувати. Найкраще — це звʼязатись з CERT-UA заздалегідь, не чекаючи на атаку, і встановити контакт, який буде використаний для швидкого обміну даними в разі загрози. Фахівці команди надають допомогу у дослідженні та нейтралізації атаки організаціям всіх форм власності. Якщо хакери зламали одну організацію, є ризик, що її партнери або інші організації відповідної індустрії також постраждали. Тому важливо не замовчувати загрози та атаки.

Джерело