Останні події в українському цифровому просторі вкотре доводять: роль кібербезпеки при розробці програмного забезпечення не просто "трохи перебільшена" — це критична складова, особливо коли йдеться про державні портали та фінансові установи.

Лише за кілька днів українці стали свідками одразу трьох серйозних інцидентів, які ставлять під питання надійність захисту персональних та фінансових даних. Розберемо кожен з них та подивимось, які висновки з цього варто зробити як користувачам, так і державі.

Ланцюг постачання: як зламали підрядника НБУ

Національний банк України повідомив про кібератаку на компанію-підрядника, яка займалася розробкою та підтримкою інтернет-магазину нумізматичної продукції (coins.bank.gov.ua).

В цьому випадку була застосована класична Supply chain-атака (атака через ланцюг постачання). Зловмисники знайшли вразливість не в самому НБУ, а в системах стороннього розробника.

Які наслідки? Були скомпрометовані персональні дані користувачів: імена, номери телефонів, e-mail та адреси доставки. Хоча фінансові реквізити залишилися в безпеці завдяки правильній архітектурі ізоляції в НБУ, сам факт витоку контактної бази створює величезні ризики для клієнтів у майбутньому.

Атака на А-Банк: новий рівень загроз для фінтеху

Майже одночасно, в ніч з 15 на 16 лютого, А-Банк зазнав потужної, раніше невідомої банківській системі хакерської атаки.

Частина клієнтів зіткнулася з неправомірним списанням коштів. Варто віддати належне банку: їм вдалося швидко відбити атаку, взяти ситуацію під контроль та повернути всі вкрадені гроші на рахунки постраждалих. Проте цей інцидент яскраво демонструє, що навіть великі гравці фінансового ринку з мільйонною аудиторією залишаються постійною мішенню для кіберзагроз.

Наслідки витоків: масовий фішинг під виглядом Укрпошти

Що хакери роблять зі вкраденими базами номерів телефонів та імейлів? Використовують їх для соціальної інженерії та фішингу.

Зараз користувачі масово отримують SMS-повідомлення нібито від "Укрпошти" з текстом про "неуспішну доставку відправлення" через відсутність підпису. У повідомленні міститься посилання на фіктивний сайт (наприклад, ukrposhta.292151.com/ua).

Мета шахраїв проста: змусити людину запанікувати, перейти за посиланням на підроблений сайт та самостійно ввести свої дані та банківської картки для "оплати мита" чи "повторної доставки".

Чому безпекові стандарти розробки — це не забаганка

Аналізуючи кейс із сайтом НБУ, постає цілком логічне питання: чи існують взагалі жорсткі державні стандарти щодо розробки програмних систем для держсектору?

Коли сторонній постачальник допускає такі прогалини у захисті, це свідчить про недоліки в контролі якості. Щоб уникнути подібного, життєвий цикл розробки подібних порталів має включати обов'язкові етапи:

  1. Незалежний аудит коду та архітектури. У сфері криптоіндустрії та Web3 жоден серйозний проєкт не запускається без незалежного аудиту смарт-контрактів та систем безпеки від топових компаній (наприклад, CertiK). Державні портали, які накопичують бази даних громадян, повинні проходити не менш суворий контроль перед релізом.

  2. Penetration testing (Пентести). Перед виходом у "продакшн" система має пройти стрес-тестування білими хакерами, які спробують знайти вразливості та зламати її всіма можливими векторами атак.

Висновки

Для держави: Відсутність єдиних безпекових стандартів розробки ПЗ для підрядників коштує занадто дорого — втрачається довіра. Запровадження обов'язкових аудитів та регулярних пентестів для систем, що обробляють дані українців, має стати правилом на законодавчому рівні.

Для кінцевого користувача: Якщо ви вводите свої дані на будь-якому веб-порталі, майте на увазі, що ця інформація рано чи пізно може бути скомпрометована.

  • Ніколи не переходьте за посиланнями в SMS від невідомих номерів.

  • Офіційні установи не просять "терміново підтвердити дані" або "оплатити доставку" через підозрілі посилання.

  • Для онлайн-покупок та реєстрацій використовуйте віртуальні банківські картки зі встановленими лімітами на інтернет-оплати.

Зберігайте пильність та дбайте про свою цифрову гігієну.