Кібератака на інтернет-магазин НБУ: під загрозою персональні дані користувачів

Інтернет-магазин нумізматичної продукції НБУ тимчасово недоступний унаслідок кібератаки на компанію-підрядника.

Потенційно зловмисники могли отримати доступ до персональної інформації користувачів інтернет-магазину, а саме: ім’я / прізвище, номер телефону, e-mail, адреса доставки нумізматичної продукції.

Водночас жодні ваші фінансові дані – реквізити платіжних карток, інша конфіденційна інформація, пов’язана з банківськими операціями, не скомпрометовані.

Системи захисту даних та інформаційні системи Національного банку України працюють у штатному режимі. Наразі вживаються необхідні заходи для з’ясування обставин інциденту та оцінки його можливих наслідків. Національний банк України спільно з постачальником послуг працює над усуненням наслідків інциденту.

❓”Чому зловмисники атакували підрядника?”

Supply chain-атаки – поширена тактика хакерів у всьому світі. Нещодавні приклади: SolarWinds у США, атака на Kaseya, компрометація ASUS. Зловмисники намагаються знайти найслабшу ланку в ланцюгу постачання. 

Саме тому НБУ з самого початку проєктував архітектуру з ізоляцією підрядників від критичних систем. І цей підхід себе виправдав;

❓ “Чи не свідчить це про слабкість кібербезпеки НБУ?”

Навпаки. Жодна організація у світі не може гарантувати 100% захист від атак – це реальність сучасної кібербезпеки. Але зріла кібербезпека – це, коли атака не досягає критичних систем. І саме це і сталося: завдяки правильній архітектурі інцидент, що стався у підрядника, не вплинув на НБУ. 

Це підтверджує ефективність підходу;

❓ “Чи були скомпрометовані дані клієнтів, і що варто зараз зробити?”

Потенційно скомпрометованими можуть бути лише дані, які вводилися під час реєстрації в інтернет-магазині і перелічені вище. 

Зловмисники можуть використати ці дані для фішингу, тому просимо вас бути особливо пильними і пам’ятати, що працівники НБУ:

▪️не надсилають листи з проханням підтвердити дані;

▪️не телефонують для уточнення інформації про платіжні картки;

▪️не просять оплатити замовлення альтернативними способами;

▪️не надсилають посилання для “термінової верифікації”.