- Шведские банки все больше обеспокоены российскими кибератаками, направленными на то, чтобы посеять хаос и подорвать доверие к финансовой системе.
- Риксбанк готовит новые меры, в том числе офлайн-платежи по картам, чтобы обеспечить работу платежной системы даже в случае сбоя в сети.
- Вносятся правовые изменения, чтобы возложить на центральный банк ответственность в случае «операционного кризиса», а граждан призывают хранить наличные на случай чрезвычайных ситуаций.
Более двух десятилетий Маркус Мюррей исследовал слабости финансовых институтов. Будучи основателем Truesec, одной из крупнейших шведских фирм по кибербезопасности, он помогает банкам Северной Европы защитить себя от злоумышленников.
Однако все больше клиентов беспокоит другой тип угроз – государственные деятели, которые не пытаются украсть или вымогать деньги, а просто сеют хаос, закрывая банковские системы или подрывая доверие к их операциям.
В странах Северной Европы и Балтии правительства все больше обеспокоены российскими атаками «гибридной войны» — тактикой низкого уровня, но весьма разрушительной, которая разрушает инфраструктуру и услуги или вызывает панику и замешательство в обществе.
Диверсии и кибератаки, связанные с Россией и другими враждебными государствами, нацелены на частные компании в Европе. Сообщается, что в частности, мишенью подвергаются банки.
«Банковская система является приоритетным сектором для россиян», — говорит Мюррей. «Они понимают, какой ущерб это наносит обществу».
Для Швеции, общества, которое все меньше использует наличные деньги и где 90% транзакций осуществляются в цифровом формате, банковский сектор представляет собой особую уязвимость.
В то время как шведское правительство увеличивает расходы на оборону и предупреждает граждан о необходимости готовиться в случае стихийного бедствия или конфликта, Риксбанк работает с коммерческими банками над укреплением их систем и сохранением денежных средств и платежей, даже если сети связи рухнут.
Принять это как должное
Люди воспринимают возможность беспрепятственно расплачиваться картами и онлайн-платежами «как должное, предполагая, что они всегда будут работать», — говорит Мария Лундстрём, руководитель отдела оперативной готовности Риксбанка.
«Шведы зависят от платежных систем почти во всех аспектах своей жизни – в вопросах еды, топлива, лекарств, заработной платы и социального обеспечения», – сказала она. «Если система рухнет, последствия будут немедленными и серьезными».
Центральный банк составил карту стрессовых точек платежной системы и разработал свои планы, в основном, исходя из двух основных сценариев: крупномасштабных кибератак и длительных перебоев в электроснабжении и передаче данных.
Кибератаки не обязательно должны быть сложными нарушениями или атаками с использованием программ-вымогателей, от которых страдают компании по всему миру, чтобы вызвать серьезные нарушения.
В апреле BankID, служба цифровой аутентификации, используемая миллионами шведов и большая часть цифровой платежной системы страны, подверглась распределенной атаке типа «отказ в обслуживании» (ddos), в ходе которой злоумышленники пытаются перегрузить систему запросами и выключить ее или замедлить ее работу до такой степени, что она становится непригодной для использования.
В результате произошли многочасовые перерывы в работе, в результате чего шведы не смогли отправлять деньги через Swish — мобильное платежное приложение, используемое для всего: от разделения счетов за обед до оплаты аренды — или получить доступ к онлайн-банкингу и другим услугам, связанным с BankID.
«Это похоже на длинную очередь людей, стоящих у дверей магазина. Внутри магазин цел, но покупатели не могут войти», — говорит Лундстрём.
Банк «не смог пережить» три дня закрытия
Гибридная война может сочетать кибератаки с психологическими операциями. За несколько дней до того, как Россия вторглась в Украину, украинцы получили текстовые сообщения о том, что их вклады пропали. В то же время банки подвергаются кибератакам, которые мешают людям получить доступ к своим счетам в Интернете.
«Люди пытались проникнуть в систему, но не смогли, а потом подумали: «Может быть, мои деньги пропали», — вспоминает Мюррей. «Это порождает страх и разрушает доверие, а банки не могут существовать без доверия».
По его словам, последствия такого рода атак могут быть стремительными и тяжелыми. Один из руководителей сказал Мюррею, что его банк «не сможет пережить» трехдневное закрытие из-за юридических и нормативных последствий.
Мюррей отмечает, что банки усилили свою киберзащиту, включая, помимо прочего, безопасное кодирование, сканирование уязвимостей и планы действий на случай сбоя в работе поставщика. Европейские кредиторы проводят так называемые красные тесты на основе разведки угроз, или учения TIBER, в рамках структуры ЕС, введенной в 2018 году.
Данная система позволяет стандартизированным образом проверять устойчивость к киберрискам среди участников финансовой системы. В Швеции в каждом тесте участвуют три стороны: банк, Риксбанк и внешний оценщик, такой как Truesec, который выступает в роли злоумышленника и собирает информацию об угрозах.
Крупнейшие банки и, следовательно, наиболее важные для общества проверяются чаще, а более мелкие банки проверяются реже. Хотя результаты неоднозначны, общая тенденция ясна:
«Они значительно улучшились по сравнению с тем, когда начинали», — говорит Мюррей. «Я думаю, что они хорошо подготовлены, но пока это не произойдет, ты не узнаешь наверняка», — сказал он.
Шведские банки – пока устойчивы
Кредиторы вкладывают больше средств в устойчивое развитие. В 2024 году SEB AB создал подразделение гражданской защиты, которое теперь возглавляет бывшая сотрудница Риксбанка Лиза Лейрнес, которая координирует структуру управления, внутренние процессы и планирование действий в чрезвычайных ситуациях во всем банке.
«Наращивание потенциала для предоставления услуг нашим клиентам даже во время военного положения имеет важное значение», — сказал Лейрн в ответном письме по электронной почте. Она отказалась комментировать финансовое бремя выполнения директив Риксбанка.
Сара Бенгтссон, руководитель отдела гражданской готовности Nordea Abp, заявила в ответном письме, что банк уже много лет включает готовность к кризису в свое стратегическое планирование и работает с регулятором и другими органами власти, «чтобы гарантировать, что финансовые услуги, критически важные для общества, могут функционировать даже в самых экстремальных условиях, таких как война».
Представители других крупнейших кредиторов Швеции, Swedbank AB и Svenska Handelsbanken AB, заявили, что они работают над обеспечением операционной устойчивости и готовности к кризису.
Оффлайн платежи по карте
Предлагаемый новый закон, который вступит в силу в следующем году в случае его принятия, возложит на Рискбанк юридическую ответственность за управление перебоями в платежах и «операционными кризисами» в финансовом секторе. Лундстрем отмечает, что Риксбанк уже выразил поддержку этому предложению.
«Мы ясно дали понять, что приветствуем эту ответственность», — сказала она.
Следующая крупная инициатива Риксбанка по обеспечению устойчивости направлена на улучшение способности финансовой системы функционировать в случае сбоя в системе связи. Флагманский проект — это автономная картографическая система, которая воплощает в себе то, что Лундстрем называет «постепенной деградацией» — сохранение основных функций даже при сбое сети.
Почти все платежи, включая транзакции по картам, Swish, вход в BankID и даже снятие средств в банкоматах, предполагают прямое соединение, поэтому сбой в сети быстро отразится на пользователях.
«Зависимость от электроэнергии и передачи данных высока», — говорит Лундстрем из Риксбанка. «Чем дольше перерыв, тем серьезнее последствия».
Внедрение цифровых платежей в Швеции сделало страну пионером и примером рисков, связанных с почти полным отсутствием наличных денег. Начавшийся с волны вооруженных ограблений в 1990-х годах и ускоренный ростом популярности BankID как стандартного способа оплаты и подтверждения личности, этот сдвиг позволил большинству шведов полагаться на свои телефоны и карты для перевода денег.
Это удобство вызвало новые опасения: к 2022 году только 8% шведов заявили, что использовали наличные для своей последней покупки, а из-за наименьшего количества банкоматов на душу населения в Европе почти все транзакции теперь осуществляются в цифровом формате. Любое нарушение, будь то кибератака или технический сбой, может парализовать повседневную жизнь.
Обеспокоенность по поводу этой зависимости возросла в январе, когда премьер-министр Ульф Кристерссон предупредил, что Швеция и ее соседи столкнулись с гибридными атаками, осуществляемыми не с использованием ракет или солдат, а «с использованием компьютеров, денег, дезинформации и риска саботажа».
В распространяемой правительством Швеции брошюре под названием «На случай кризиса или войны» гражданам рекомендуется иметь достаточно наличных денег как минимум на неделю и время от времени использовать их на случай, если электронные платежи не сработают.
Согласно новой инициативе Риксбанка, терминалы должны будут иметь возможность обрабатывать транзакции на месте в течение недели, ограничиваясь товарами первой необходимости, такими как продукты питания и лекарства. «Не для людей, которые идут и покупают новые телевизоры», — говорит Лундстрем.
Это требует модернизации со стороны банков, процессоров, поставщиков POS-терминалов и торговцев, а также сдерживания затрат и сверки после восстановления систем.
Для платежной индустрии переход к возможностям оффлайн-карт — это не столько огромные новые инвестиции, сколько тщательная координация.
Бенгт Ниллервалл, старший советник по платежам Шведской ассоциации розничной и оптовой торговли Шведская торговля, сказал, что первый этап — предоставление возможности использовать чиповые и ПИН-карты в супермаркетах, аптеках и заправочных станциях без активной сети — был основан на небольших технических изменениях и общеотраслевых соглашениях.
Visa и Mastercard увеличили лимиты офлайн-транзакций до 200 евро, а банки и торговцы адаптировали свои системы для хранения и сверки покупок после восстановления сети.
«Это было очень гибкое решение, а не масштабный или дорогостоящий капитальный ремонт», — сказал Нилерваль. «Все, от крупных продуктовых магазинов до банков и карточных сетей, быстро согласились, что сделало это решение возможным».
Функциональность строго контролируется. Офлайн-транзакции ограничены кодами торговых точек, то есть они будут работать в супермаркетах, аптеках или заправочных станциях, но не в магазинах одежды или электроники. Таким образом, система фокусируется на товарах первой необходимости в случае кризиса.
Как мне действовать при оплате с помощью мобильного устройства?
Однако Нилерваль предупредил, что следующий этап будет сложнее. Поскольку молодые потребители все чаще оставляют свои карты дома, около трети платежей в магазинах Швеции сегодня совершаются с помощью мобильных телефонов или умных часов.
Расширение автономных возможностей этих цифровых кошельков потребует новых технологий, поддержки со стороны Apple, Samsung и производителей телефонов и, возможно, более высоких затрат по всей цепочке. По его словам, Риксбанку придется взять на себя ведущую роль в продвижении этой работы.
«Это будет более серьезная техническая и финансовая задача», — говорит Нилерваль. «Но если мы хотим реальной устойчивости, мы должны начать работать над этим сейчас».
