Хакерські атаки на НБУ та àбанк: чому стандарти кібербезпеки стають критично необхідними

19 лютого Національний банк України офіційно повідомив про інцидент, що стався з інтернет-магазином нумізматичної продукції. Варто відмітити, що зловмисники атакували не внутрішній периметр самого регулятора, а компанію-підрядника, яка відповідала за розробку та технічну підтримку порталу. Це класичний приклад supply chain-атаки (атаки через ланцюг постачання).

Supply chain-атаки – це кіберзагрози, за яких зловмисники проникають у цільову організацію не напряму, а через її підрядників, постачальників ПЗ або сервісних партнерів. Хакери використовують довіру до сторонніх компонентів: оновлень програмного забезпечення, бібліотек, хмарних сервісів чи зовнішніх команд розробки. У результаті шкідливий код або несанкціонований доступ потрапляє всередину системи разом із легітимними процесами. Чим більше бізнес покладається на екосистему партнерів, тим ширшою стає потенційна поверхня атаки.

Для фінансового сектору атаки через ланцюг постачання мають досить суттєві наслідки:

• Компрометація даних і шахрайство: злам підрядника може призвести до витоку персональних даних клієнтів і створити умови для несанкціонованих операцій та фішингу.
• Репутаційні втрати: навіть непрямий інцидент підриває довіру клієнтів і партнерів, що напряму впливає на стабільність фінансової установи.
• Фінансові та регуляторні ризики: масштабний характер таких атак означає прямі збитки, витрати на реагування та можливі санкції з боку регуляторів.

Внаслідок інциденту були скомпрометовані персональні дані користувачів магазину НБУ: імена, прізвища, контактні номери телефонів та адреси доставки. Хоча завдяки ізольованій архітектурі НБУ фінансові реквізити та карткові дані залишилися в безпеці, сам факт витоку контактів є критичним. Тепер ці бази стають паливом для нових хвиль соціальної інженерії.

Фінансовий сектор залишається найбільш привабливою ціллю для кіберзлочинців у глобальному масштабі. Так, у 2024 році 65% фінансових організацій у світі зазнали ransomware-атак і це є найвищим показником серед усіх галузей. Окрім цього, 97% великих банків у США паралельно зіткнулися з інцидентами через третіх сторін, що підтверджує системну проблему залежності від підрядників. А от середня вартість одного витоку даних у фінансовому секторі станом на 2025 рік сягнула 5,56–6,08 млн доларів, перетворюючи інвестиції в кібербезпеку з ІТ-статті витрат на питання виживання бізнесу.

Додатковим фактором ризику стало різке зростання швидкості атак. За останні чотири роки час від первинного доступу до виведення даних скоротився у 100 разів і нині в середньому становить близько 25 хвилин. Це значною мірою пов’язано з використанням штучного інтелекту в атаках: від автоматизованого фішингу до швидкої ескалації привілеїв. Водночас фінансові регулятори у світі рухаються до уніфікації вимог: NIST Cybersecurity Framework 2.0 стає базовим орієнтиром, у ЄС уже діє DORA (Digital Operational Resilience Act), а застарілі моделі оцінки ризиків поступово виводяться з експлуатації.

Один із найрезонансніших кейсів – злам Evolve Bank & Trust у травні 2024 року, коли угруповання LockBit через фішинг викрало близько 33 ТБ даних. Постраждали 7,6 млн клієнтів банку та мільйони користувачів фінтех-платформ Wise, Affirm, Stripe, Shopify, Bilt і Plaid. У витоку були SSN, номери рахунків і дати народження, а у 2025 році банк виплатив $11,9 млн компенсації. Подібні інциденти підтвердили системність проблеми: ransomware-атака на LoanDepot у 2024 році зачепила 16,9 млн клієнтів, а у 2025–2026 роках тривалі компрометації виявлялися навіть у PayPal та регулятора Office of the Comptroller of the Currency.

У ЄС ключовим фактором ризику стали сторонні сервіси. У 2024 році Banco Santander зазнав витоку даних через хмарного провайдера Snowflake, що призвело до компрометації інформації десятків мільйонів клієнтів і співробітників. Наслідки атак на MOVEit торкнулися Deutsche Bank та ING, а у 2025 році Barclays і HSBC зіткнулися з хвилею DDoS-атак і фішингу. Сукупно ці інциденти посилили тиск регуляторів і ризик багатомільйонних штрафів за GDPR, зробивши кіберстійкість критичною умовою роботи банків.

На жаль, український àбанк теж зазнав однієї з наймасштабніших хакерських атак за час свого існування. Це сталося у ніч з 15 на 16 лютого 2026 року, коли частина клієнтів зіткнулася з неправомірним списанням коштів, що одразу викликало резонанс у публічному просторі. Команді вдалося оперативно локалізувати загрозу, повернути всі кошти постраждалим клієнтам і усунути можливість повторення подібного сценарію.

Попри відносно позитивний фінал у кожному з інцидентів, вони чітко показали, що навіть банки з мільйонною аудиторією не застраховані від складних кібератак. Для фінансового сектору це ще одне підтвердження, що традиційні підходи до безпеки вже не працюють без постійного оновлення та проактивного моніторингу загроз.

Найбільша небезпека витоків даних, подібних до того, що стався у підрядника НБУ, полягає в їхній подальшій монетизації через фішинг. В цьому виді шахрайства користувача намагаються заманити на підроблену сторінку через SMS або імейли. Останніми днями українці масово отримують повідомлення нібито від «Укрпошти» про «неуспішну доставку» через відсутність підпису.

Шахраї використовують вкрадені номери телефонів, щоб повідомлення виглядало персоналізованим. У тексті міститься посилання на фіктивний сайт, що імітує дизайн офіційної поштової служби. Мета стандартна – змусити потенційних жертв ввести дані банківської картки для «оплати мита».

Аналізуючи злам підрядника НБУ, постає питання про необхідність впровадження жорсткого SDLC (Lifecycle of software development, життєвий цикл розробки програмного забезпечення) для всіх державних замовлень. Коли зовнішній постачальник працює з даними громадян, він має відповідати тим самим стандартам безпеки, що й сама державна установа.

По-перше, обов’язковим має стати незалежний аудит коду та архітектури. У світі блокчейну жоден серйозний проєкт не стартує без перевірки безпеки від топових компаній. По-друге, необхідні регулярні пентести (Penetration testing) – тестування на проникнення, де «білі хакери» імітують атаки для виявлення вразливостей ще до того, як їх знайдуть злочинці.

Інциденти навколо НБУ та àбанку чітко показали: у сучасних умовах кібербезпека – це не окремий продукт, а безперервний процес управління ризиками. iIT Distribution працює саме в цьому напрямку – як de-risking partner для всього українського бізнесу, включаючи фінансові установи. Ми допомагаємо зменшувати кіберризики на всіх рівнях: від архітектури та доступів до ланцюга постачання й людського фактору.

Наш ключовий принцип співпраці, «Ready for the unknown», підкреслює, що ви можете не знати, звідки прийде наступна атака, але ми в iIT Distribution готуємо вашу організацію до цього заздалегідь. Ми допомагаємо у побудові комплексних екосистем захисту, здатних виявляти раніше невідомі загрози, стримувати атаки через підрядників, мінімізувати наслідки фішингу та діяти в умовах, коли рахунок іде на хвилини. Саме такий проактивний підхід дозволяє нашим партнерам та кінцевим замовникам зберігати довіру клієнтів, відповідати вимогам регуляторів і залишатися стійкими.

Як офіційний дистриб’ютор флагманів світового ринку, ми надаємо доступ до технологій від таких провідних виробників кіберрішень як CrowdStrike, Cloudflare, Commvault, Vectra AI, Labyrinth, Ping Identity, GTB Technologies, Censys та інших. Обираючи перевірені рішення, ви інвестуєте в стабільність свого бізнесу та довіру мільйонів клієнтів.