Анна Кулашова, модератор дискуссии, вице-президент «Лаборатории Касперского» по развитию бизнеса в России и странах СНГ, отметила: «Мы специально дали такое название сессии, поскольку убеждены: и финансовая сфера, и отрасль кибербезопасности основаны на доверии. Говоря о банках, можно утверждать: именно они являются главными держателями этого доверия и могут объяснить и гражданам, и организациям, как именно обеспечивается безопасность их цифровых активов».

Анна Кулашова («Лаборатория Касперского»). Фото: трансляция Финополис 2025

Дмитрий Никишов, вице-президент по информационной безопасности банка «ДОМ.РФ», развил ее мысль: «Мы хотим продавать клиенту доверие как маркетинговую услугу. Бизнес должен видеть, что выстраивание ИБ дешевле, чем последствия атак».

Но ИБ существует не сама по себе, а в тесном взаимодействии, например, с IT-подразделениями, а также с теми людьми, которые отвечают за развитие инноваций и финтеха. Какие лучшие практики в этой области существуют? Как интегрироваться с сервисами безопасности, выстраиваемыми государством? Эти и множество других проблем были предложено к обсуждению.

Мир, в котором мы живем

«Лаборатория Касперского» представила на «Финополисе 2025» бюллетень «Киберпульс.Финансы», в котором описаны наиболее актуальные угрозы для финансового сектора. По данным Kaspersky Cyber Threat Intelligence, летом 2025 года резко возросло число кибератак на российские финансовые учреждения с применением программ-шифровальщиков.

Число таких атак в целом увеличивается: в первом полугодии 2025 года по сравнению с аналогичным периодом 2024-го оно выросло на 6%.

По данным «Лаборатории Касперского», наибольший рост продемонстрировали атаки с различных онлайн-ресурсов на финансовые организации (рост их числа — на 81% год к году), а также атаки с помощью банкеров (вредоносное ПО для кражи денежных средств через онлайн-доступ к банковским счетам; рост их числа — в 2,4 раза). Количество атак на финансовые организации с помощью программ-вымогателей увеличилось в январе-июне на 6%. При этом число атак с помощью бэкдоров сократилось на 63%.

Помимо этих данных стали известны материалы с четвертой межотраслевой конференция АБИСС (Ассоциации пользователей стандартов по информационной безопасности), на которой представители регуляторов сделали ряд заявлений. В частности, Антон Чернодед, руководитель направления департамента информационной безопасности Банка России, рассказал о нововведениях Положения БР № 851-П, которое вышло в начале года и уже введено в действие. Поскольку документ направлен на защиту граждан от несанкционированных переводов денежных средств, отдельно были отмечены следующие требования: вести детальный цифровой след каждого перевода посредством широкой регистрации событий, сообщать обо всех операциях по картам несовершеннолетних их родителям, а также внедрить функционал для оперативного заявления о мошеннических действиях в мобильные приложения.

В Техническом комитете № 122 совместными усилиями Банка России, Федеральной службы по техническому и экспортному контролю (ФСТЭК) и экспертного сообщества проводится работа по актуализации всего семейства стандарта ГОСТ Р 57580; разработка новой версии ГОСТ Р 57580.1 находится в финальной стадии, а сам документ увидит свет, предположительно, в начале 2026 года.

Антон Чернодед подтвердил, что у Банка России есть планы по разработке отдельного стандарта безопасности аутсорсинга технологических процессов. Однако он также упомянул, что при разработке этого стандарта стоит обратить внимание в целом на подрядные организации, например на аудиторские компании, которые имеют доступ к большому массиву чувствительной и критической информации о кредитных организациях и хранят его, но к ним не предъявляются аналогичные требования и не проводится оценка.

Возращение фишинга

Поскольку в числе приглашенных на сессию были Андрей Выборнов, заместитель директора департамента информационной безопасности Банка России, а также Олег Качанов, заместитель главы Минцифры, наличие свежих новостей было гарантировано. Банки представляли: Дмитрий Гадарь, вице-президент — директор департамента информационной безопасности Т-Банка; Дмитрий Саранцев, начальник управления по обеспечению информационной безопасности департамента по обеспечению безопасности Банка ВТБ; Сергей Симоненко, директор по информационным технологиям ОТП Банка, а также упоминавшийся выше Дмитрий Никишов из банка «ДОМ.РФ».

Модератору Анне Кулашовой ассистировал Сергей Голованов, главный эксперт «Лаборатории Касперского». Благодаря их активности в обсуждениях не обошли тему фишинга, ставшую крайне острой в последние годы.

Сергей Голованов («Лаборатория Касперского»). Фото: «Б.О»

Сергей Голованов привел курьезный факт: «У нас была проведена контрольная рассылка писем, в которых речь шла о новых корпоративных скидках, и были приложены купоны. По 100 отправленным письмам мы получили 170 фишинговых переходов как от самих сотрудников, так и от тех, кому они “по знакомству” переправили эти письма». Анна Кулашова подтвердила: «Тестовые письма собственному персоналу о том, что им пересмотрели бонусы и повысили зарплату, пробивают любую ментальную защиту».

Представители банков подтвердили наличие этой проблемы и рассказали о том, как они путем повышения киберкультуры и кибергигиены борются с фишингом. Но нашлись и те CISO, которые вполне успешно применяют для этих целей современные технические решения.

Сергей Голованов помимо фишинга назвал основные топ-3 причины киберинцидентов в финансовом секторе: «уязвимости в IT-системах, кража паролей, а также атаки через подрядчиков, который наблюдает явное большинство».

Слева направо: Дмитрий Никишов (банк «ДОМ.РФ») и Сергей Симоненко (ОТП Банк). Фото: «Б.О»

По словам эксперта, основной тенденцией текущего года становятся атаки на юридических лиц, что возвращает отрасль в 2016–2017-е. В этом году уже было несколько волн через систему ЭДО.

«Статистика показывает, что пострадавших от злоумышленников организаций было в этом году уже с десяток, и шанс, что в конце этого года у нас будет большое количество хищений денежных средств со счетов “юриков” — он большой», — предупредил Сергей Голованов.

ЦБ: «редко, но метко»

Высказал свою позицию и Андрей Выборнов: «С моей точки зрения, наиболее остро стоит вопрос обеспечения минимальной ИБ-гигиены в бизнесе. С позиций комплексного подхода, а также норм регулирования и даже надзора важно вовлечение в ИБ-процессы высшего менеджмента, потому что не всегда так, и не всегда все понимают, что это нужно! Говорят, что безопасность стоит дорого, требует отвлечения средств и усилий в то время, как им требуется вывести новый продукт на рынок».

При этом, как считают в Банке России, набор рисков один и тот же на протяжении 10 лет. Технологии меняются, а суть остается прежней. Во-первых, это хищение средств у клиентов — физических лиц. Во-вторых, обеспечение операционной надежности и киберустойчивости, ведь, помимо всего прочего, инциденты и недоступность сервисов у крупных банков неизбежно вызывают напряженность в обществе. В-третьих, обеспечение контроля над утечками персональных данных. Четвертое, это хищение собственных средств банков и других финансовых организаций. Последнее входит в охват поговорки: «Редко, но метко».

Регулятор продолжит внедрять процедуру управления рисками, показатели которых должны оцифровываться, а руководство банков должно почувствовать ответственность за их превышение. Для этого в приоритете останутся перечисленные ниже направления работы.

• Несмотря на наличие формальных трех линий контроля и внутреннего аудита, реальная эффективность процессов недостаточна. Руководители недостаточно вовлечены в управление рисками, а значит, продолжит отрабатываться инициатива по ужесточению персональной ответственности.
• Инфраструктура банков устойчива перед современными угрозами, однако остаются нерешенными вопросы аутсорсинга и доступа третьих лиц. Необходимость законодательного урегулирования данной сферы очевидна. Контроль качества услуг провайдеров приобретает особую значимость ввиду возможного возникновения рисков концентрации у крупнейших сервис-провайдеров. В ЦБ надеются, что соответствующий закон все же будет принят.
• Особое внимание будет уделено проблематике безопасной разработки программного обеспечения и культуре работы сотрудников с криптографическими средствами защиты информации (СКЗИ). Требуется внедрение правильной культуры использования СКЗИ на всех этапах жизненного цикла ПО для исключения сложных процедуы оценки встраивания, чтобы это было именно на этапе жизни цикла разработки.
• Актуальным остается вопрос мошеннических действий, особенно в сфере дистанционного обслуживания. Недостаточная идентификация пользователей и слабая процедура аутентификации увеличивают риски хищений. Банки должны нести полную ответственность за нарушения в процедурах аутентификации и защиты клиентов. Недостатки в процедуре аутентификации не могут переводить ответственность на клиента.

«Банк России как регулятор будет стоять здесь на стороне слабой стороны — клиента, а не банка. Если сервис небезопасный, то ответственность за это должна быть у банка; собственно, должен быть возврат клиентам похищенных при этом денежных средств. Мы продолжим законодательно развивать эту тему», — отметил Андрей Выборнов.

Далее он рассмотрел проблему противодействия мошенничеству против физлиц и выделил участников: клиентов банков, банки, операторов связи, мошенников и дропов. На каждом этапе есть возможность предотвратить преступление: операторы могут блокировать подозрительные звонки, граждане — распознавать обман благодаря повышению своего уровня финансовой грамотности, банки — предотвращать сомнительные операции с помощью эффективных антифрод-систем.

Андрей Выборнов выделил главное: «Важно обеспечить взаимодействие операторов связи и банков для своевременного выявления мошеннических действий. Однако баланс между полной защитой клиентов и удобством пользования банковскими услугами требует тщательной проработки. Основная задача — обеспечить максимальную защиту гражданина как самой уязвимой стороны схемы».

Минцифры нам поможет

Олег Качанов из Минцифры по всем принципиальным вопросам оказался согласен с представителем Банка России. Он рассказал о первых положительных итогах применения Закона № 41-ФЗ от 1 апреля 2025 года, направленного на борьбу с телефонным мошенничеством и защиту граждан от финансовых преступлений.

Следующее шаги Минцифры на этом направлении связаны с дополнительной защитой портала «Госуслуги», в частности с внедрением доверенных процедур восстановления утерянных учетных данных к нему.

Кроме того, усилия ведомства сосредоточены на развитии недавно заработавшей ГИС «Антифрод». На XXII Международном банковском форуме в Сочи в сентябре 2025 года на эту тема прошла крайне содержательная дискуссия. Тогда Вадим Уваров, директор департамента информационной безопасности Банка России, сообщил: «Отмечен рекордный показатель качества работы антифрод-систем системно значимых кредитных организаций — 99,7%». Наверное, это та планка, которую должна достичь и государственная межведомственная система.

Одно из конкретных направлений развития платформы Олег Качанов связал с разработкой механизма блокировки мошеннических каналов в мессенджерах на основе имеющегося договора о предоставлении услуг связи с данным клиентом и прописанного там его номера мобильного телефона.

Сергей Симоненко остановился на лучших практиках ОТП Банка в области процессов безопасной разработки ПО. Кроме того, он полностью согласился, с тем, что собственные сотрудники представляют собой в плане фишинга и других аспектов обеспечения ИБ самое слабое звено, поэтому их обучение необходимо оставлять в списке приоритетных задач ИБ.

Дмитрий Саранцев из ВТБ поднял вопрос об атаках через подрядчика: «Проблема в том, что банки были первой линии атаки, теперь преступники выбирают более легкие пути хищения средств благодаря взлому организаций, которые оказывают банку те или иные услуги».

Дмитрий Гадарь (Т-Банк). Фото: «Б.О»

Самым ярким оказалось выступление Дмитрия Гадаря из Т-Банка, который призывал коллег проявлять больше здравого смысла и применять знания современных технологий при организации защиты. В частности, эксперт заявил о том, что Т-Банк первым из финтехов запускает формат кибериспытаний. Они представляют собой закрытую программу, в рамках которой за денежное вознаграждение внешним исследователям предлагается успешно реализовать тот или иной полный сценарий атаки на бизнес-процессы банка, что поможет приблизитесь его IT-инфраструктуру к концепции Security by Design, требующей минимального участия служб ИБ в функционировании банка.