— Дмитрий, всем известны активности Т-Банка в сфере bug bounty по поиску уязвимостей силами внешних исследователей — «белых хакеров». Какие новости?

— За прошедшие месяцы 2025 года максимальная выплата составила 1 млн рублей, поэтому рекорд прошлого года не побит. Но мы совместно с профильными площадками привлекаем на наши программы все больше багхантеров, в том числе и из других стран. Мы представлены на таких площадках, как: Standoff365, Bi.Zon Bug Bounty. Существует собственная программа Bug Bounty.

Есть и иные наши специальные мероприятия, на которых мы увеличиваем размер выплат исследователям кратно. Кроме того, выпустили специальный мерч для хакеров. Были специальные стенды и мероприятия на топовых конференциях. Понятно, что все «плюшки» предназначены не для черных хакеров, а для тех, кто ищет уязвимости и приносят их нам. Например, выпущена специальная банковская карта багхантера от Т-Банка с бонусами и всякими кешбэками для этой группы ИБ-специалистов.

— На сессии «Кибербезопасность — стратегический актив финтеха» вы говорили о запуске новой программы в формате кибериспытаний. Т-Банк — первая финтех-компания, которая присоединилась к такому формату?

— Да, в рамках панельной дискуссии мы объявили о запуске новой программы в формате кибериспытаний и стали первой финтех-компанией, присоединившейся к такому формату. В отличие от классического поиска технических багов, мы делаем акцент на тестировании «недопустимых событий» — сценариев, которые проверяют устойчивость ключевых систем и процессов к критическим воздействиям.

Программа построена по модели pay-for-impact: вознаграждение выплачивается не за сам факт найденной уязвимости, а за воспроизведенный сценарий, который демонстрирует реальное влияние на безопасность экосистемы. Исследователям не ставятся жесткие рамки — они могут проверять уязвимости в мобильных приложениях, API, бизнес-логике, интеграциях с партнерами и других элементах цифровой инфраструктуры.

Сейчас программа работает в приватном режиме, участие доступно ограниченному кругу исследователей. В дальнейшем планируется расширить формат, сохранив высокий уровень требований к качеству и надежности.

Для банковской отрасли важно не только находить уязвимости, но и уметь доказывать защищенность своих систем. Мы рассчитываем, что подобный подход станет отраслевым стандартом прозрачности и доверия в сфере финансовых технологий.

— На ваш взгляд, концепция Zero Trust — это то, с чем нам всем долго жить, или придумки маркетологов?

— Zero Trust — это точно не выдумка маркетологов, а реальный подход, с которым отрасли придется жить и развиваться дальше. В Т-Банке мы используем его не как модный лозунг про «нулевое доверие», а как архитектурный принцип, который помогает шаг за шагом исключать векторы атак. Если посмотреть на стандарт NIST, там есть уровни зрелости Zero Trust, и каждая компания проходит свой путь — от точечных мер до полной перестройки процессов.

Мы идем именно по этому пути: не просто добавляем новые средства защиты, а изменяем саму логику. Не «закрывать все подряд», а устранять точки уязвимости изначально. У нас с командой подход простой: если понадобились «безопасники», значит, где-то уже что-то пошло не так.

Цель безопасности не в том, чтобы бесконечно латать систему, а в том, чтобы сделать ее по умолчанию устойчивой и встроенной в процесс в рамках концепции Security by Design.

— Можно ли привести пример избавления от «безопасников»?

— Например, практически все борются с простыми паролями, делают их длинными и ротируемыми, обучают пользователей не записывать их на стикерах и не клеить на монитор. Симбиоз концепции Security by Design и стратегии Zero Trust гласит: избавьтесь от паролей! Мы уже реализуем для этих целей аутентификацию собственных сотрудников при помощи аппаратных токенов.

Что касается внешних пользователей, которые приходят на веб-сайт или мобильное приложение банка, то отличным решением является сегментация ресурсов в зависимости от потенциального риска. Например, чтобы узнать, где находятся ближайшие банкоматы банка, не нужны столь строгие процедуры идентификации и аутентификации, как при просмотре баланса по счетами тем более при получении кредита. Для каждой из этих зон можно установить все более и более строгие условия для входа. Этот принцип значительно упрощает жизнь и пользователям, и риск-менеджерам, а также повышает ИБ.

Еще один сегмент, где огромное поле для Security by Design, — это избавление бизнес-процессов от ненужных в них персональных данных клиентов, которые «безопасники» вынуждены защищать. Возьмем, к примеру, нашу CRM-систему в контактном центре. Оператор не видит в ней никаких чувствительных данных клиента, потому что их нет в интерфейсе. Вместо этого при звонке клиента на экране монитора ИИ-ассистент подсказывает оператору наиболее адекватные для той или иной ситуации фразы. Персональные данные находятся где-то в далеко в недрах бэк-офиса банка и используются автоматически процедурами только тогда, когда это реально необходимо.

Существуют классические примеры реагирования на события информационной безопасности, например реагирование на перебор паролей или на ограничение (как вариант — критичный доступ ночью). На такие события нужно реагировать, это также работа сотрудников ИБ. Концепции ZeroTrust помогают перейти на устойчивые к переборам и угадыванию способы аутентификации. Провести успешные атаки перебора паролей в такой схеме просто невозможно, нет необходимости и реагировать на них.

Другой пример — точечные доступы на уровне сети. Классическая схема предполагает, что есть группа сотрудников безопасности, которая согласовывает или отклоняет запрос на сетевой доступ. Эти схемы можно развернуть. По умолчанию доступ отсутствует. Если одна система запрашивает доступ, вторая система подтверждает его в соответствии с заранее описанной технической политикой (откуда, кому и как можно) — доступ предоставляется, иначе — нет. Крайне сложно сделать эффективными процессы, когда сотрудник ИБ должен внимательно что-то проанализировать и принять собственное интуитивное решение.

Дмитрий Гадарь (Т-Банк). Фото: Александр Садчиков / «Б.О»

— Как, вам кажется, где в ближайшие годы ИИ может выступить помощником в борьбе с мошенниками и хакерами, а где встать на сторону «плохих парней»?

— ИИ уже сегодня становится ключевым инструментом в борьбе с мошенничеством и кибератаками. Мы разработали искусственный интеллект, который помогает разработчикам автоматически устранять уязвимости в коде.

В крупных организациях безопасность кода — постоянный вызов: тысячи репозиториев, десятки тысяч потенциальных уязвимостей и всего несколько инженеров безопасности.

Safeliner — это AI-ассистент, который решает эту проблему, только за этот год Safeliner предотвратил почти две тысячи потенциальных проблем безопасности.

В клиентском контуре примером может служить «Нейрощит» — собственная разработка «Т-Мобайла» на базе ИИ, которая в режиме реального времени распознает и разрывает мошеннические звонки с точностью до 99%. Сейчас совместно с другими технологиями Т-Банка система определяет и блокирует около 82 млн нежелательных звонков в месяц, а за прошлый год удалось предотвратить хищения примерно на 33 млрд рублей.

Уже накоплена некоторая статистика использования ИИ внутри банка, я ее частично привел на сессии. Так, у нас в банке 84% фишинга останавливают при помощи собственных ИИ-моделей. Например, злоумышленники используют ИИ для персонализации фишинга, адаптируя атаки под конкретных пользователей, используя доступные онлайн-данные.

Если раньше подобные угрозы, наподобие сообщений о «наследстве от никарагуанского родственника», не воспринимались всерьез, то теперь атаки персонализируются, учитываются доступные в интернете данные пользователей.

— Какие специфические риски возникли вместе с ИИ?

— На уровне техники ИИ — это такое же программное обеспечение, как и все остальные. К нему применимы многие типовые угрозы. С другой стороны, ИИ обладает рядом уникальных характеристик.

Во-первых, колоссальное проникновение, сейчас ИИ в браузере, в телефоне, на звонке, в галерее и фотографиях, в документообороте — буквально везде. Никакие другие технологии не распространялись с такой скоростью, а значит, времени на реагирование гораздо меньше, чем обычно.

Во-вторых, для работы ИИ получает большое число данных, многие современные ИИ-приложения отправляют их на сервера в неизвестном направлении. Это большой риск для приватности данных (любой категории — от персональных данных и банковских счетов, до личных переписок, коммерческой тайны и иного). Приходится находить способы защиты данных в таких условиях.

В-третьих, автономность. Развитие ИИ сейчас связано с распространением и широким внедрением ИИ-агентов — систем, которые могут не просто дать ответ на вопрос, а сами принять решение и выполнить конкретное действие (например, на вашей системе отправить почту или в реальном мире открыть шлагбаум). Защищать диалог в чате — не самая сложная проблема, а защитить пользователя, его данные и все его окружение от огромного числа всевозможных агентов, которые могут выполнять действия самостоятельно, — нетривиальная задача, текущие решения не готовы к этому.

Кроме того, ИИ — инструмент усиления. Он усиливает коэффициент полезного действия (автоматизируя работу, упрощая аналитику и другое), но в случае успешной атаки он также усиливает потенциальный ущерб.

— Каково ваше видение перспектив биометрии в Т-Банке?

— Мы видим в биометрии устойчивый технологический тренд, который уже сегодня помогает сделать банковские сервисы удобнее, безопаснее и быстрее. В Т-Банке реализованы пять сценариев ее применения: выездной сбор биометрических данных, банкоматы, биоэквайринг, мобильное приложение и биометрические системы контроля доступа. Наиболее востребованным стал сценарий подтверждения операций в мобильном банке — пользователи активно переходят на Face ID и другие методы биометрической аутентификации.

Сейчас у нас работает около 1,5 тыс. планшетов для выездного обслуживания — фактически это 1,5 тыс. мобильных отделений по всей стране. Каждый запрос, передаваемый с планшета, подписывается усиленной квалифицированной электронной подписью (УКЭП) представителя, который несет персональную ответственность за оформленные продукты. Это повышает надежность и прозрачность процесса.

Биометрия используется и внутри банка — в системе контроля доступа. Сотрудники проходят в офисы по биометрическим данным, без пропусков и кодов. Решение показало высокую эффективность и готово к масштабированию в B2B-сегменте — например, в бизнес-центрах, промышленных объектах и коворкингах, где важны безопасность и удобство.

Мы рассматриваем биометрию не просто как инструмент идентификации, а как основу новых сервисных сценариев — от гостиничного и транспортного бизнеса до онлайн-торговли, медицины и госуслуг. Технология помогает компаниям снижать издержки, ускорять обслуживание и повышать доверие клиентов.

В экосистеме «Т-Технологии» мы уже реализовали ряд кейсов, включая оформление биометрии для строителей-нерезидентов в крупных корпорациях. Сейчас совместно с Центром биометрических технологий и «Магнитом» разработали проект по онлайн-продаже товаров с 18+. На первом этапе, который стартует в конце 2025 — начале 2026 года, будет тестироваться онлайн-продажа энергетических напитков. В будущем планируется распространить сервис на российское вино.

Для нас биометрия — это прежде всего вопросы доверия, удобства и естественного взаимодействия человека с цифровыми сервисами.

— Как решается кадровая проблема? Работаете ли с молодежью в рамках университетов и т.п.? Нужны ли вам новые финтех-проекты в сфере ИБ?

— В Т-Банке мы выстраиваем экосистемный подход к образованию, соединяя школу, университет и бизнес. Наша цель — создать бесшовный путь развития от талантливого школьника до востребованного специалиста и сформировать культуру lifelong learning в рамках STEM-подхода.

За семь лет в наших программах участвовали более 70 тыс. школьников и студентов из всех регионов страны. Мы сотрудничаем с ведущими вузами — МФТИ, ВШЭ, Центральным университетом, МГУ, ИТМО, СПбГУ, УрФУ, ННГУ, НГУ и другими, а также с 60+ региональными университетами, где открываем лаборатории, кафедры и программы стажировок. Считаем, что вузы должны стать более гибкими, формировать учебную программу в соответствии с запросами рынка.

Вузы должны выпускать «дженералистов» — широкопрофильных специалистов с сильной технической базой, междисциплинарных профессионалов, знающих глубоко свою предметную область, но при этом хорошо ориентирующихся в смежных областях.

Такие специалисты будут стоять над технологиями, совершенствовать их, а не оставаться простыми пользователями.

Именно такой подход мы используем в Центральном университете — вузе, который мы открыли совместно с 60 крупнейшими российскими компаниями и организациями страны для преодоления кадрового дефицита. В 2024 году Центральный университет вошел в число лучших по качеству общего и платного набора студентов, обогнав даже МГУ, и стал примером успешной модели взаимодействия бизнеса и образования: гибкие программы, преподаватели из индустрии и современная база для практики.

Мы поддерживаем олимпиадное движение и популяризацию точных наук: сборные России, подготовленные Центральным университетом, два года подряд выигрывают мировые олимпиады по искусственному интеллекту и кибербезопасности. Проект «Т = Математика» делает науку доступной широкой аудитории — от школьников до взрослых. Кроме того, 200 студентов ежегодно получают стипендии Т-Банка. Более 300 сотрудников банка приняли участие в ранней профориентации, рассказывая школьникам о профессиях в IT и финтехе. Из этой инициативы вырос федеральный проект «Уроки Т». Более 70 тыс. выпускников наших образовательных программ, сотрудники ведущих компаний — Т-Банка, «Яндекса», Сбера и других — смогут вернуться в родные школы и рассказать о своих профессиях. В будущем мы планируем масштабировать проект на более 52 млн наших клиентов.

— ИБ в глазах молодежи часто ассоциируется с не самой интересной работой. Не могли бы вы привести несколько случаев из вашей практики, доказывающих обратное?

— На панельной дискуссии, к сожалению, мне не хватило времени рассказать о курьезном случае, который мы назвали инцидент «Д». Представьте себе вечер пятницы, рабочий день закончился, и мы строим смелые и грандиозные планы на выходные.

Неожиданно от нашего SOC (Security Operation Center, корпоративный центр кибербезопасности. — Ред.), практически от всех его средств защиты, а также сотрудников начинают поступать тревожные сообщения, сопровождающееся миганием всех красных ламп, какие только у нас были, о том, что внутри нашей IT-инфраструктуры обнаружен злоумышленник. И не просто выявлен, а установлено, что забрался он туда очень глубоко и уже начал, не стесняясь никого и ничего, сканировать нашу сеть.

Для сотрудников службы ИБ происходящие — смесь стыда, агрессии и непонимания того, что происходит и как не удалось остановить нарушителя еще на IT-периметре банка. Были предприняты все необходимые согласно регламентам действия, и нарушитель был «пойман». И, не поверите, нас атаковал собственный сканер днища, т.е. анализатор нижней части автомобилей на нашей парковке. Это такая штука, благодаря которой на въезде на стоянку сотрудники охраны проверяют дно автомобиля на наличие взрывчатых и прочих опасных предметов. Это устройство было подключено к компьютеру, который по недосмотру воткнули сразу во внутреннюю сеть банка. Оказавшись там, оно первым делом начало искать «себе подобных собратьев», для чего принялось сканировать сеть. «Собратьев» оно не нашло, а жаль. В итоге этого инцидента ни один сканер днища не пострадал, чего не скажешь о наших самолюбии и репутации.

— Вы известны на ИБ-рынке как человек, который сказал, что SIEM как часть SOС — необязательная вещь. Описанный инцидент и остальная практика не заставили вас изменить это мнение?

— Нет, мое мнение не изменилось. SIEM — это всего лишь аналитический компонент ИБ-инфраструктуры. Это действительно громкое заявление, но надо понимать, что оно не до конца правдивое. Конечно, в Т-Банке есть SIEM. Конечно же, мы им активно пользуемся.

Вопрос в том, что SIEM не является обязательным «пререквизитом» Security Operation Center, потому что SOC вполне может быть построен и без нее. Например, ее функции может выполнять IT-система мониторинга, в которую мы загрузим свои правила реагирования. Это тоже была бы часть SOC.

Строго говоря, SOC — это все-таки совокупность людей, процессов и инфраструктуры. Поэтому специальный перекос в сторону SIEM не нужен. Так же, как я давно заявляю везде, что и «безопасники», по логике вещей, не нужны, если внедрена концепция Security by Design. Вот это действительно необходимо, и туда надо стремиться.

Здесь есть и некая доля философии. Поэтому могу еще раз сказать, что SIEM не нужна, для того чтобы вызвать какую-то попытку мыслить по-другому ИБ-специалистов. К сожалению, многие люди мыслят очень простыми категориями. Например, мы поставили SIEM — значит, у нас по умолчанию есть и SOC. А вот чтобы он появился на самом деле, требуются грамотные люди, которые в зависимости от потребностей банка, правил реагирования и противодействия тем или иным векторам угроз и атак, свойственных этому бизнесу, выстроят нужную инфраструктуру. А она будет включать в себя и SIEM, и технологию для быстрого и эффективного реагирования на кибератаки (SOAR), и управление инцидентами, и еще с десяток компонентов.