Система битых платежей

В результате нападения хакеров на Национальную систему платежных карт (НСПК) в течение нескольких часов 20 июня часть платежей по картам в интернете и переводов через СБП не проходила или удавалась не с первого раза. Участники рынка называют сбой самой масштабной кибератакой на российские финансовые структуры за последние годы. По словам экспертов, серьезного ущерба клиентам ситуация не нанесла, вызвав лишь временную дестабилизацию сервисов. Однако для предотвращения повторения проблем потребуются дополнительные меры кибербезопасности.

Выйти из полноэкранного режима

Развернуть на весь экран

С десяти утра 20 июня ряд сервисов НСПК работали нестабильно, в результате чего не проходила часть платежей по банковским картам и через СБП. СБП к середине дня удалось вернуть в штатный режим, однако работоспособность сервиса 3D Secure для подтверждения карточных платежей в интернете восстанавливали дольше.

В НСПК сообщили, что проблемы были вызваны DDoS-атакой на ее инфраструктуру. Там заверили, что готовы «к подобным ситуациям и обладают достаточными средствами мониторинга и предотвращения», поэтому атака затронула «незначительное количество сервисов», а ее влияние было «кратковременным».

По данным источников “Ъ”, накануне та же группа, которая нарушила работу НСПК, пыталась атаковать ряд крупных российских банков, но безуспешно — проблем с платежами отмечено не было: «Возможно, хакеры тренировались на банках, чтобы атаковать НСПК».

Собеседник “Ъ” уточнил, что злоумышленники использовали так называемые ковровые атаки, когда нападению подвергаются одновременно все ресурсы компании: «Такие атаки создают перегрузку пограничного сетевого оборудования, что приводит к потере связанности сетей». По его словам, защищаться от подобных нападений сложнее, чем от обычных DDoS-атак, поскольку стандартный способ перенаправления запроса по несуществующему маршруту (blackhole) приводит к полной недоступности сервиса.

Другой собеседник “Ъ” на рынке считает реакцию НСПК на проблемы недостаточно оперативной и эффективной: «Суть в том, что атаковали платежные шлюзы, и довольно грамотно,— в нормальном режиме в НСПК должны были сразу поднять резервные серверы, но что-то пошло не так».

По мнению источника “Ъ”, хакеры «очень хорошо понимали, как работает национальная система платежей, и знали, как обходить системы мониторинга».

«Некоторые системы мониторинга НСПК не сработали, резервные мощности не подключились. В общем, бардак в сочетании с хорошо подготовленным нападением — это хорошая тренировка, из которой атакованные должны сделать правильные выводы»,— подчеркивает собеседник “Ъ”.

Участники рынка отмечают, что последний раз настолько масштабная атака на российские финансовые организации произошла в сентябре 2021 года. Тогда в течение трех часов наблюдались перебои с прохождением платежей по картам и через СБП. В тот раз злоумышленники атаковали провайдера Orange Business Services, через которого шла значительная часть трафика крупных банков по картам (см. “Ъ” от 4 сентября 2021 года). По словам собеседников “Ъ”, в 2021 году атака была «заметно мощнее» и затронула не только СБП и интернет-платежи, но и обычные магазины и банкоматы.

Впрочем, эксперты отмечают, что и последняя атака была не только на НСПК. По словам председателя комиссии по финансовой и информационной безопасности совета ТПП РФ Тимура Аитова, под удар попали и другие российские организации, включая банки, «Ростелеком» и МТС (в компаниях на запросы “Ъ” не ответили). «НСПК просто оказалась самой заметной целью — клиенты видят, что платежи не проходят, и на нее летят все шишки»,— говорит он. При этом, по его словам, какого-либо ущерба клиентам эта атака не нанесла. «Атака мощная и ничего, кроме временной дестабилизации финансовой инфраструктуры, не принесла злоумышленникам»,— пояснил господин Аитов.

Эксперты подчеркивают, что атаки на участников российского финансового рынка идут регулярно с февраля 2022 года. При этом, по словам главы совета ассоциации «Финансовые инновации» Романа Прохорова, «финансовые учреждения научились успешно противостоять подавляющему большинству атак без потерь работоспособности сервисов». Однако нападение на НСПК, подчеркивает эксперт, «оказалось более успешным, и причины этого предстоит выяснить для учета при предотвращении последующих атак».

Максим Буйлов