Хакерские атаки на НБУ и àбанк: почему стандарты кибербезопасности становятся критически необходимыми

19 февраля Национальный банк Украины официально сообщил об инциденте, произошедшем с интернет-магазином нумизматической продукции. Стоит отметить, что злоумышленники атаковали не внутренний периметр самого регулятора, а компанию-подрядчика, которая отвечала за разработку и техническую поддержку портала. Это классический пример supply chain-атаки (атаки через цепочку поставок).

Supply chain-атаки – это киберугрозы, при которых злоумышленники проникают в целевую организацию не напрямую, а через её подрядчиков, поставщиков ПО или сервисных партнеров. Хакеры используют доверие к сторонним компонентам: обновлениям программного обеспечения, библиотекам, облачным сервисам или внешним командам разработчиков. В результате вредоносный код или несанкционированный доступ попадает внутрь системы вместе с легитимными процессами. Чем больше бизнес полагается на экосистему партнеров, тем шире становится потенциальная поверхность атаки.

Для финансового сектора атаки через цепочку поставок имеют весьма серьезные последствия:

• Компрометация данных и мошенничество: взлом системы подрядчика может привести к утечке персональных данных клиентов и создать условия для несанкционированных операций и фишинга.
• Репутационные потери: даже косвенный инцидент подрывает доверие клиентов и партнеров, что напрямую влияет на стабильность финансового учреждения.
• Финансовые и регуляторные риски: масштабный характер таких атак означает прямые убытки, затраты на реагирование и возможные санкции со стороны регуляторов.

В результате инцидента были скомпрометированы персональные данные пользователей интернет-магазина НБУ: имена, фамилии, контактные номера телефонов и адреса доставки. Хотя благодаря изолированной архитектуре НБУ финансовые реквизиты и данные банковских карт остались в безопасности, сам факт утечки контактных данных является критическим. Теперь эти базы данных становятся топливом для новых волн социальной инженерии.

Финансовый сектор остается наиболее привлекательной мишенью для киберпреступников в глобальном масштабе. Так, в 2024 году 65% финансовых организаций в мире подверглись атакам ransomware, и это самый высокий показатель среди всех отраслей. Кроме того, 97% крупных банков в США параллельно столкнулись с инцидентами из-за третьих сторон, что подтверждает системную проблему зависимости от подрядчиков. А вот средняя стоимость одной утечки данных в финансовом секторе по состоянию на 2025 год достигла 5,56–6,08 млн долларов, превращая инвестиции в кибербезопасность из ИТ-статьи расходов в вопрос выживания бизнеса.

Дополнительным фактором риска стал резкий рост скорости атак. За последние четыре года время от первоначального доступа до вывода данных сократилось в 100 раз и в настоящее время в среднем составляет около 25 минут. Это в значительной степени связано с использованием искусственного интеллекта в атаках: от автоматизированного фишинга до быстрой эскалации привилегий. В то же время финансовые регуляторы в мире движутся к унификации требований: NIST Cybersecurity Framework 2.0 становится базовым ориентиром, в ЕС уже действует DORA (Digital Operational Resilience Act), а устаревшие модели оценки рисков постепенно выводятся из эксплуатации.

Один из самых громких случаев — взлом Evolve Bank & Trust в мае 2024 года, когда группировка LockBit с помощью фишинга похитила около 33 ТБ данных. Пострадали 7,6 млн клиентов банка и миллионы пользователей финтех-платформ Wise, Affirm, Stripe, Shopify, Bilt и Plaid. В утечке оказались SSN, номера счетов и даты рождения, а в 2025 году банк выплатил $11,9 млн компенсации. Подобные инциденты подтвердили системность проблемы: ransomware-атака на LoanDepot в 2024 году затронула 16,9 млн клиентов, а в 2025–2026 годах длительные компрометации выявлялись даже в PayPal и у регулятора Office of the Comptroller of the Currency.

В ЕС ключевым фактором риска стали сторонние сервисы. В 2024 году Banco Santander подвергся утечке данных через облачного провайдера Snowflake, что привело к компрометации информации десятков миллионов клиентов и сотрудников. Последствия атак на MOVEit коснулись Deutsche Bank и ING, а в 2025 году Barclays и HSBC столкнулись с волной DDoS-атак и фишинга. В совокупности эти инциденты усилили давление регуляторов и риск многомиллионных штрафов по GDPR, сделав киберустойчивость критическим условием работы банков.

К сожалению, украинский банк также подвергся одной из самых масштабных хакерских атак за всю историю своего существования. Это произошло в ночь с 15 на 16 февраля 2026 года, когда у части клиентов произошло неправомерное списание средств, что сразу же вызвало резонанс в общественном пространстве. Команде удалось оперативно локализовать угрозу, вернуть все средства пострадавшим клиентам и устранить возможность повторения подобного сценария.

Несмотря на относительно благоприятный исход каждого из этих инцидентов, они наглядно продемонстрировали, что даже банки с миллионной аудиторией не застрахованы от сложных кибератак. Для финансового сектора это ещё одно подтверждение того, что традиционные подходы к безопасности уже не работают без постоянного обновления и проактивного мониторинга угроз.

Наибольшая опасность утечек данных, подобных той, что произошла у подрядчика НБУ, заключается в их дальнейшей монетизации через фишинг. В этом виде мошенничества пользователя пытаются заманить на поддельную страницу через SMS или имейлы. В последние дни украинцы массово получают сообщения якобы от «Укрпочты» о «неуспешной доставке» из-за отсутствия подписи.

Мошенники используют украденные номера телефонов, чтобы сообщение выглядело персонализированным. В тексте содержится ссылка на фиктивный сайт, который имитирует дизайн официальной почтовой службы. Цель стандартная – заставить потенциальных жертв ввести данные банковской карты для «оплаты пошлины».

Анализируя взлом подрядчика НБУ, встает вопрос о необходимости внедрения жесткого SDLC (Lifecycle of software development, жизненный цикл разработки программного обеспечения) для всех государственных заказов. Когда внешний поставщик работает с данными граждан, он должен соответствовать тем же стандартам безопасности, что и сама государственная организация.

Во-первых, обязательным должен стать независимый аудит кода и архитектуры. В мире блокчейна ни один серьезный проект не стартует без проверки безопасности от топовых компаний. Во-вторых, необходимы регулярные пентесты (Penetration testing) – тестирование на проникновение, где «белые хакеры» имитируют атаки для выявления уязвимостей еще до того, как их найдут преступники.

Инциденты вокруг НБУ и àбанка четко показали: в современных условиях кибербезопасность — это не отдельный продукт, а непрерывный процесс управления рисками. iIT Distribution работает именно в этом направлении — как de-risking partner для всего украинского бизнеса, включая финансовые учреждения. Мы помогаем уменьшать киберриски на всех уровнях: от архитектуры и доступов до цепочки поставок и человеческого фактора.

Наш ключевой принцип сотрудничества, «Ready for the unknown», подчеркивает, что вы можете не знать, откуда придет следующая атака, но мы в iIT Distribution готовим вашу организацию к этому заранее. Мы помогаем в построении комплексных экосистем защиты, способных выявлять ранее неизвестные угрозы, сдерживать атаки через подрядчиков, минимизировать последствия фишинга и действовать в условиях, когда счет идет на минуты. Именно такой проактивный подход позволяет нашим партнерам и конечным заказчикам сохранять доверие клиентов, соответствовать требованиям регуляторов и оставаться устойчивыми.

Как официальный дистрибьютор флагманов мирового рынка, мы предоставляем доступ к технологиям от таких ведущих производителей киберрешений как CrowdStrike, Cloudflare, Commvault, Vectra AI, Labyrinth, Ping Identity, GTB Technologies, Censys и других. Выбирая проверенные решения, вы инвестируете в стабильность своего бизнеса и доверие миллионов клиентов.