За 2024 год российские банки пережили не менее 750 целевых кибератак. Такие данные приводит ФинЦЕРТ Банка России. Злоумышленников интересует не только непосредственно хищение денег, но и нарушение работы банковских сервисов. Почти каждая вторая атака — DDoS: хакеры намеренно перегружают серверы, делая онлайн-сервисы недоступными для клиентов. Но гораздо опаснее то, что десятки атак остаются незаметными месяцами — и начинаются они вовсе не в дата-центре банка, а у подрядчика, поставляющего ему IТ-услуги

Удар через цепочку поставок

Один из самых тревожных трендов — атаки на IТ-компании, работающие с банками. Зафиксировано как минимум 17 инцидентов, когда взлом подрядчика привел к компрометации 70+ финансовых организаций. Например, в феврале ФинЦЕРТ уведомил финансовые компании о возможной компрометации компаний «Лантер» и «ЛАН АТМсервис», которые обслуживают банковскую инфраструктуру.

Это подтверждает и аналитическая справка «Гарда» о DDoS-атаках в первом квартале 2025 года, где IТ-компании стали главной мишенью злоумышленников — 37% всех зафиксированных атак (11% год назад). Более чем трехкратный рост — следствие цифровизации и того, что IТ все чаще становится точкой входа в экосистемы других интересных для хакеров компаний. По оценке специалистов, с таких атак часто начинается подготовка к выводу средств, внедрению вредоносного ПО или нарушению операционной деятельности.

Пример — кейс в Поволжье: злоумышленники получили доступ к системе мониторинга, используемой несколькими региональными банками, и длительное время наблюдали за внутренней сетью, оставаясь незамеченными.

Государство требует решений здесь и сейчас

В соответствии с Указом Президента РФ № 166 от 30 марта 2022 года в стране действует режим приоритетного использования отечественного программного обеспечения в критической информационной инфраструктуре (КИИ). Эта мера направлена на снижение зависимости от зарубежных IT-продуктов и усиление технологического суверенитета.

В развитие указа Постановление Правительства РФ № 1236 устанавливает запрет на использование иностранного ПО в государственных органах и организациях, отнесенных к субъектам КИИ, начиная с 1 января 2025 года. Банки, как участники финансовой КИИ, подпадают под это требование.

Переход предполагает замену используемых систем решениями из реестра российского ПО с особым вниманием к продуктам в сферах информационной безопасности, операционных систем, СУБД, офисных пакетов и средств виртуализации.

Отечественные технологии уже способны закрывать критичные направления: от защиты трафика до предотвращения утечек. В частности, используются системы классов NDR, DBF, DAM, Deception, Anti-DDoS и другие продукты.

Что можно сделать уже сейчас

Важно, что на рынке есть решения, которые можно внедрить быстро (за 2–6 недель) и которые реально повышают уровень киберустойчивости.

Защита от DDoS-атак. Банки — одни из немногих организаций, работа которых предполагает непрерывный онлайн-доступ в режиме 24/7. Атака может совпасть с периодом массовых операций (например, в дни выплат), что увеличивает эффект. А даже кратковременный отказ в обслуживании может повлечь миллионные убытки и отток клиентов. Кроме того, DDoS-атаки часто используется как отвлекающий маневр: одновременно с ними злоумышленники могут пытаться взломать инфраструктуру, использовать фишинг или вредоносное ПО.

В середине 2024 года сервисы Сбера находились под самой мощной в истории банка DDoS-атакой, которая длилась 13 часов. Специалистам банка удалось успешно отразить атаку. В тот же период пользователи сообщали о проблемах с сервисами ВТБ, Росбанка, Альфа-Банка и Газпромбанка.

Для защиты банков от DDoS-атак необходим комплексный подход, сочетающий технологические решения и грамотную организацию процессов. В первую очередь важно обеспечить способность систем быстро распознавать и блокировать вредоносный трафик, чтобы не допустить сбоев в работе онлайн-сервисов. Современные anti-DDoS-платформы позволяют обнаруживать атаки на ранней стадии и минимизировать их последствия. Чтобы сохранить устойчивость даже при серьезных сбоях, банки используют резервные каналы связи и распределяют ресурсы между несколькими дата-центрами.

На организационном уровне важны готовность персонала к реагированию, регулярные учения, сотрудничество с отраслевыми центрами обмена информацией об угрозах и выполнение требований регулятора.

В условиях перехода на отечественное ПО особое внимание уделяется выбору решений, соответствующих требованиям Банка России. Использование специализированных решений вкупе с сетевой аналитикой и взаимодействием с регулятором позволяет минимизировать последствия и сохранить доступность ключевых сервисов даже в условиях масштабной атаки.

Защита корпоративной сети (решения класса NDR). Системы класса NDR (Network Detection & Response) помогают выявлять скрытые угрозы, включая атаки, не распознаваемые традиционными средствами защиты на основе прослушивания сетевого трафика. Например, в одном из крупных частных банков Поволжья решение позволило выявить подозрительную активность — внутреннее сканирование сетей с IТ-аккаунта подрядчика. Благодаря этому атака была пресечена на раннем этапе.

В отличие от классических средств, NDR отслеживает поведение устройств, приложений и людей внутри сети: кто с кем обменивается данными, насколько это типично и не свидетельствует ли о компрометации. Это особенно важно для обнаружения атак, когда злоумышленник уже находится в сети, действует осторожно и долго остается незамеченным.

Для банков, где критичны как внешние угрозы, так и риски инсайда, NDR-системы позволяют существенно сократить время обнаружения инцидентов, повысить прозрачность инфраструктуры и обеспечить проактивную защиту от сложных атак. Кроме того, использование NDR помогает выполнять требования регулятора в части мониторинга и контроля внутреннего трафика.

Защита баз данных (DBF и DAM). Базы данных — один из главных объектов атак в банковском секторе, поскольку содержат персональные данные клиентов, платежную информацию и другую чувствительную информацию. Защита этих систем требует специализированных решений, таких как DBF (Database Firewall) и DAM (Database Activity Monitoring).

DBF контролирует все входящие запросы к базам данных и блокирует подозрительные или несанкционированные действия. Это снижает риск компрометации информации еще на этапе попытки вторжения. DAM отслеживает всю активность внутри баз данных — кто, когда и какие операции выполнял. Это позволяет выявлять аномалии, в том числе действия инсайдеров или злоумышленников, уже получивших доступ к системе. Такие решения обеспечивают прозрачность операций и формируют доказательную базу при расследовании инцидентов.

Так, одна из федеральных кредитных организаций обнаружила попытку прямого обращения к базе данных с критической информацией из подсети офиса во время тестирования нового защитного решения. Благодаря DBF угрозу устранили без последствий.

Для банков применение DBF и DAM — это не только вопрос безопасности, но и соответствие требованиям регулятора к защите критичных данных и контролю внутренней активности.

Система ловушек для хакеров и ложной инфраструктуры (Deception). Deception-системы — это технологии активной защиты, основанные на создании в сети банка фальшивых ресурсов: поддельных серверов, рабочих станций, файлов и учетных записей. Их задача — привлечь внимание злоумышленника и зафиксировать его действия до того, как он нанесет реальный ущерб.

В банковском секторе deception-технологии особенно эффективны в борьбе с целевыми и скрытыми атаками. Они не заменяют традиционных средств защиты, а дополняют их, усиливая общий уровень киберустойчивости. Кроме того, такие решения позволяют улучшить внутренний мониторинг и продемонстрировать зрелость системы безопасности при проверках регулятора.

Работа системы Deception наглядно видна на примере: в одном из крупных региональных банков система была развернута в рамках усилий по проактивной защите внутреннего периметра. Специалисты по ИБ настроили фальшивую базу данных с фиктивной клиентской информацией и создали ряд поддельных учетных записей с «привлекательными» привилегиями доступа.

Через несколько месяцев после внедрения система зафиксировала подозрительную активность: неизвестный пользователь начал сканировать сеть и вскоре попытался подключиться к ловушке, приняв ее за реальный сервер. Это дало команде безопасности возможность мгновенно отследить маршрут атаки, заблокировать активность злоумышленника и проанализировать использованные инструменты.

Расследование показало, что взлом был осуществлен через скомпрометированную учетную запись подрядчика. Благодаря раннему срабатыванию deception-системы удалось предотвратить доступ к реальным клиентским данным и минимизировать последствия инцидента. Этот случай стал основанием для пересмотра политики управления доступом и дополнительных проверок поставщиков.

Кстати, Deception отлично дополняет системы NDR, гарантируя обнаружение информации об угрозе и незамедлительную автоматическую блокировку хакера.

Аналитика (потоки данных об угрозах — TI, Threat Intelligence). Threat Intelligence — это сбор и использование информации о киберугрозах, которая помогает банкам заранее узнавать о новых методах атак и быстро на них реагировать. Например, если TI-сервис сообщает о вредоносных сайтах, с которых идут фишинговые атаки, банк может заранее их заблокировать и обезопасить клиентов. Если появляются данные о взломах через конкретное программное обеспечение, IТ-служба может вовремя обновить или усилить защиту нужных систем.

Для бизнеса это означает снижение рисков потерь, связанных с атаками, защиу репутации и соответствие требованиям регулятора. Использование TI также помогает банкам обмениваться актуальной информацией с другими организациями и отраслевыми центрами, что усиливает коллективную безопасность всего финансового сектора.

Защита от утечек данных (DLP, Data Leak Prevention). DLP — это набор технологий и правил, которые помогают банкам не допустить случайного или преднамеренного выхода важной информации за пределы организации. Такие системы контролируют, как и куда отправляются данные — по электронной почте, через мессенджеры, на внешние носители и другие каналы.

В российских банках мессенджеры (WhatsApp, Telegram, корпоративные мессенджеры и другие) часто используются для рабочих коммуникаций, но одновременно становятся каналом утечки данных.

DLP помогают контролировать и блокировать передачу конфиденциальной информации через эти каналы.

На примере мессенджеров система действует следующим образом: в первую очередь осуществляется постоянный мониторинг всех пересылаемых файлов — система автоматически проверяет вложения в Excel, PDF и других форматах на наличие конфиденциальной информации, такой как номера банковских карт, паспортные данные или иные чувствительные сведения. При попытке передачи защищаемых данных система мгновенно реагирует — либо полностью блокирует отправку сообщения, либо направляет уведомление в службу безопасности для принятия соответствующих мер. Особое внимание уделяется анализу текстовых сообщений: даже если конфиденциальная информация замаскирована в обычной переписке (например, фразы типа «переведи 1000 на карту 1234...»), современные алгоритмы распознавания позволяют выявить и предотвратить потенциальную утечку данных. Такой многоуровневый подход обеспечивает надежную защиту информации во всех возможных каналах коммуникации.

Киберзащита как обязательная инвестиция

Банковская система становится все более цифровой, а значит, все более уязвимой. Киберугрозы меняются, адаптируются, и игнорировать их становится опасно не только для репутации, но и для устойчивости бизнеса. Подход «внедрим, когда будет время» больше не работает. Работает только одно: быть готовыми заранее к атаке.