Кілька місяців тому VARUS отримав листа від хакера. Може прозвучати як привід для паніки, та насправді це приклад того, як «біле хакерство» може приносити вигоду бізнесу й суспільству загалом.
Тож, у повідомленні хакера йшлося про вразливість у системах компанії і містився детальний опис того, як вона працює.
Для будь-якої великої компанії такі історії завжди починаються з невизначеності. Ти ще не розумієш масштаб проблеми, не знаєш мотивів людини по той бік екрана і не можеш бути впевненим, чи йдеться про спробу допомогти, чи про підготовку до атаки.
Ми одразу підключили технічну команду, перевірили інформацію і підтвердили, що вразливість справді існує. Паралельно стало зрозуміло, що наш моніторинг уже кілька днів бачить нетипову активність, але на той момент вона не виглядала критичною. Для великих онлайн-сервісів постійний фоновий шум — це звична історія, адже бот-сканування, автоматичні запити та спроби пошуку слабких місць відбуваються практично безперервно.
Після підтвердження проблеми команда взяла кілька днів на фікс, протестувала зміни й вивела їх у плановий деплой. Уже пізніше ми дізналися більше про самого автора листа. Він працює у сфері кібербезпеки, є клієнтом VARUS і не мав наміру використовувати знайдену вразливість для отримання вигоди чи публічного розголосу. Навпаки, він навіть допоміг її верифікувати після виправлення.
Ця історія виявилася для VARUS значно важливішою, ніж просто технічний інцидент. І ось чому.
Чому ритейл довго недооцінював кіберризики
У багатьох компаніях досі існує негласний поділ: є «критичні» сфери на кшталт банків чи фінтеху, а є ритейл, де ризики нібито нижчі. Частково це пояснюється специфікою самих даних. Супермаркет не працює з банківськими рахунками чи платіжними балансами клієнтів, тому рівень уваги до окремих категорій ризиків у принципі був іншим.
Але за останні роки ритейл дуже змінився. Мобільні застосунки, програми лояльності, персоналізація, онлайн-замовлення, CRM-системи, аналітика поведінки клієнтів — усе це перетворило великі торгові мережі на повноцінні цифрові екосистеми. Разом із цим зростає і поверхня для потенційних атак.
Особливість сучасної розробки в тому, що жоден великий сервіс не перебуває у статичному стані. Системи постійно оновлюються, інтегруються з новими рішеннями, змінюють логіку роботи та масштабуються під нові задачі. Іноді достатньо одного оновлення, щоб ненавмисно відкрити новий ризик.
Саме так сталося і в нашому випадку. Вразливість, на яку вказав хакер, з’явилася після змін у сервісі. Це важливий момент, який добре показує реальність сучасної кібербезпеки: тут не буває фінальної точки, після якої система стає повністю захищеною.
Що змінюється в підходах бізнесу
Для нас ця історія стала приводом переглянути частину внутрішніх процесів. Після інциденту ми додали додаткові перевірки в цикл розробки, провели аудит інших сервісів і переглянули окремі підходи до сегментації та захисту даних.
І це зараз відбувається не лише в ритейлі. Український бізнес загалом починає інакше ставитися до кібербезпеки, як до окремого напряму операційної стійкості компанії.
На це впливає одразу кілька чинників.
Перший — масштаб цифровізації. Бізнеси накопичують дедалі більше даних і створюють дедалі складнішу інфраструктуру.
Другий — повномасштабна війна. За останні роки українські компанії побачили, наскільки системними можуть бути кібератаки і як швидко вони переходять із категорії технічної проблеми у прямі бізнес-ризики.
Третій — швидкий розвиток інструментів автоматизації та ШІ. Уже зараз частина атак відбувається автоматично, наприклад, сканування вразливостей, аналіз інфраструктури та перебір сценаріїв. І далі цей процес лише пришвидшуватиметься.
У цих умовах головним викликом стає не пошук ідеально захищеної системи — таких не існує. Питання радше у швидкості реакції, якості моніторингу та готовності компанії постійно переглядати власні підходи.
Чому кейси з «білими» хакерами важливі для ринку
В Україні досі зберігається доволі насторожене ставлення бізнесу до будь-яких контактів із хакерами. І для цього є підстави: надто часто за подібними історіями стоять шантаж, спроби отримати вигоду або прямі атаки на інфраструктуру.
Але паралельно формується й інша культура — так званих ethical hacking та responsible disclosure, коли спеціалісти повідомляють компаніям про знайдені ризики, щоб ті могли їх виправити до того, як проблему використає хтось інший.
Для українського ринку це важлива зміна. Чим більше компанії будуть готові професійно працювати з такими кейсами, тим швидше загалом зростатиме рівень кіберстійкості бізнесу.
Історія з листом, який отримав VARUS, добре це показала. Вона почалася як потенційний інцидент безпеки, а завершилася нагадуванням про те, наскільки швидко змінюється сама природа цифрових ризиків, навіть у сферах, які ще кілька років тому не вважалися головними цілями для атак.