Информационная безопасность банков: угрозы, решения и стратегии защиты

В 2024 году ФинЦЕРТ (спецслужба ЦБ по кибербезопасности) получил от банков и других финансовых организаций свыше 750 сообщений о хакерских атаках и сбоях. Чаще всего фиксировались три типа угроз: DDoS-атаки, когда сайт или сервис «заваливают» запросами, чтобы вывести из строя, атаки с вирусами и вредоносным ПО и кражи логинов и паролей.

Информационная безопасность банковских данных или information security становится острой проблемой. Компаниям приходится выстраивать новые модели, вырабатывать комплексные подходы к защите информации.

Актуальные угрозы информационной безопасности в банковском секторе

По данным ФинЦЕРТ, в 2024 году число нападений на банковскую сферу увеличилось. Хакеры атакуют все изощреннее, используя многоуровневые схемы. Злоумышленники лучше маскируют свои действия, обходя традиционные системы безопасности. Это сильно затрудняет обнаружение и остановку атак в реальном времени. Сценарии становятся повторяющимися — на их примере можно построить картину актуальных угроз. Вот семь наиболее типичных векторов, с которыми регулярно сталкиваются банки:

1. Фишинг — встречаемость этого типа составляет 8,63% от всех компьютерных атак за 2024 год, судя по отчету ФинЦЕРТ. Социальная инженерия помогает хакерам получить доступ к ценным данным с помощью следующих схем: поддельные письма от Центробанка, сайты-клоны, звонки от «службы безопасности».

2. Эксплуатация уязвимостей информационной структуры — это брешь в защите корпоративного софта — «эксплойт». Встречаемость этого типа составляет 5,71% от всех компьютерных атак. В 2024 году некоторые банки оказались под угрозой из-за уязвимости в почтовом клиенте Microsoft Outlook: хакеры могли получать пароли без ведома пользователя.

3. Инсайдерские угрозы — выгрузка клиентских данных, USB-флешки без контроля, отправка отчетов в личные мессенджеры — возможные сценарии кибератак.

4. APT (Advanced Persistent Threats) — целенаправленные атаки, которые готовятся долгое время. Их цель — незаметно проникнуть в инфраструктуру, закрепиться и получить доступ к внутренним данным или транзакциям. В 2024 году ФинЦЕРТ зафиксировал случаи, когда злоумышленники проникали в сеть через подрядчиков: провайдеров ИТ-поддержки, внешние сервисы, интеграторов.

5. DDoS-атаки — атаки, направленные на нарушение доступности для клиентов основных банковских систем и приложений. Часто такие атаки становятся причиной сбоев в работе платежных систем, снижения производительности и зависания мобильных приложений и личных кабинетов.

6. Атаки с применением методов социальной инженерии на клиентов и работников финансовой организации — это настоящий бич 2022-2025 годов. На этот тип атак приходится 4,25% инцидентов, согласно отчету ФинЦЕРТ. По телефону, в мессенджерах и социальных сетях злоумышленники пытаются психологическими уловками ввести в заблуждение и заставить свою жертву совершить нужное им действие: перевод денег, разглашение чувствительной информации, установку приложения и прочее.

7. Атаки на цепочки поставок (supply chain attack) — то есть попытки оказать воздействие на финансовые организации путем кибератаки на ее доверенных поставщиков услуг, выведения из процесса внешних контрагентов, остановки работы сервисных организации, с которыми у банков заключены договоры и определены обязательства, которые важно выполнять непрерывно в режиме реального времени.

Важно помнить, что уровень и характер угроз растет — хакеры становятся изобретательней, а нейросети упрощают кибератаки. В финансовом секторе риски особенно велики — в 2024 году Банк России зафиксировал порядка 750 кибератак.

Последствия нарушений безопасности для банков и клиентов

Неудачные киберинциденты оказывают прямое влияние на бизнес. Нарушение информационной безопасности сказывается на всех: от ИТ до PR и поддержки. Ключевые риски можно разделить на три группы:

• Простые сервисы — спланированная DDoS-атака на банк может длится 13 часов силами десятков тысяч ботов. Это ведет к перегрузке серверов, хаосу в системе поддержки, сбоям в работе приложений и финансовым потерям.
• Репутационные риски — особенно остро сказываются в сфере банкинга. Вопрос о безопасности денежных операций напрямую влияет на лояльность клиентов.
• Юридические последствия — утечка персональных данных пользователей грозит штрафами и усилением контроля со стороны ЦБ и Роскомнадзора. При серьезных инцидентах возможны ограничения на дистанционные операции, блокировки сервисов.

Таким образом, сбои затрагивают клиентов, сотрудников, регуляторов — всех, кто взаимодействует с банком. Отчеты, штрафы, негатив в прессе — последствия того, что защита сработала не вовремя. Поэтому важно выстраивать гибкий периметр безопасности.

Регуляторные требования в сфере банковской кибербезопасности

За соблюдением требований информационной безопасности банков следят несколько ведомств: от Банка России до ФСБ. Множество законодательных актов и предписаний устанавливают стандарты защиты. Основными ведомственными регуляторами можно назвать:

1. Центробанк требует защищать инфраструктуру — согласно положению 683‑П, кредитные организации должны пройти оценку рисков, выстроить контроль доступа, защиту каналов связи, реакцию на инциденты. Отдельный документ — 821‑П — регулирует безопасность денежных переводов: за выполнением следит ФинЦЕРТ. При атаке банк обязан сообщить об инциденте в течение часа.

2. Роскомнадзор фокусируется на защите персональных данных. Любая утечка — даже из-за подрядчика — грозит проверкой. За несоблюдение закона 152‑ФЗ банк получает штраф. Повторные инциденты могут привести к блокировке сервисов или ограничениям со стороны ЦБ.

3. ФСТЭК контролирует, чем пользуется банк внутри: оборудование, операционные системы, СУБД — всё, что обрабатывает чувствительные данные, должно пройти сертификацию или получить уровень доверия.

4. ФСБ играет ключевую роль в обеспечении национальной безопасности, включая защиту финансовой системы. В рамках своей деятельности ФСБ контролирует соблюдение требований к защите информации, а также предотвращает и расследует киберпреступления. Банк обязан соблюдать требования, изложенные в различных нормативных актах ФСБ, включая правила по защите критической информационной инфраструктуры. При выявлении инцидентов, связанных с киберугрозами, банки обязаны незамедлительно информировать ФСБ о произошедших атаках и предпринимаемых мерах по устранению последствий.

5. Минцифры отвечает за развитие цифровых технологий и инфраструктуры в России, включая вопросы информационной безопасности. Оно разрабатывает и внедряет стратегии по защите информации в цифровой среде, включая банковский сектор. Минцифры также регулирует вопросы внедрения технологий блокчейн и криптовалют, что становится все более актуальным для финансовых учреждений. Банк должен следовать рекомендациям и стандартам, установленным Минцифры, чтобы обеспечить соответствие современным требованиям к безопасности данных.

6. МВД занимается борьбой с преступностью, в том числе с экономическими и киберпреступлениями. Оно осуществляет контроль за деятельностью банков в части предотвращения мошенничества и отмывания денег. В случае выявления подозрительных операций или инцидентов, связанных с финансовыми преступлениями, банки обязаны сообщать информацию в МВД. Это включает в себя сотрудничество с правоохранительными органами для расследования случаев мошенничества и киберпреступлений, а также реализацию мер по повышению уровня безопасности клиентов и защиты их данных.

Нарушения фиксируются не только в актах, но и в «рисковом профиле» банка. Его формирует Центробанк. Регулятор может ограничить работу с клиентами, приостановить онлайн-операции или вовсе инициировать отзыв лицензии.

Технические меры защиты банковских систем

Необходимо учитывать все уровни, на которых может произойти атака и использовать актуальные средства противодействия мошенничеству. Архитектура безопасности в современных банках обычно представляет собой следующую структуру:

— Сетевой периметр, который включает все внешние границы, через которые возможен доступ к ИТ-инфраструктуре: интернет-каналы, удаленные подключения, шлюзы. Для защиты используют межсетевые экраны нового поколения (NGFW), такие как UserGate и FortiGate, а для фильтрации трафика — анти-DDoS-сервисы.

— Мониторинг и реагирование на события в корпоративной сети. Без систем SIEM и EDR невозможно отличить штатную активность от атаки. Центробанк требует проводить регулярный аудит событий безопасности.

— Контроль утечек и защита данных обычно требует DLP-системы: эта технология отслеживают отправку файлов и писем, контролируют печать, копирование, подключение флешек, фиксируют действия пользователей в корпоративных сетях.

— Шифрование и криптография также очень важны. Без сертифицированных СКЗИ (средств криптографической защиты информации) банк не соответствует требованиям 152‑ФЗ и 683‑П. Стандарты шифрования каналов связи, электронные подписи, защита данных при хранении — все это нуждается в надежной криптографической экспертизе.

Даже самые надежные технические решения не дают 100% защиты от киберпреступников. Многие атаки строятся на социальной инженерии и фишинге, поэтому вторая несущая стена цифровой безопасности — готовность к инцидентам.

Организационные меры и политика безопасности

Одна из мер создания надежной кибербезопасности — это доступ к данным по ролям и принцип минимальных прав. Сотрудник получает только то, что нужно для работы. Избыточные доступы блокируются, а запросы проходят согласование в IDM-системах.

Другая важная практика — регулярное обучение персонала. По данным SearchInform, 30% сотрудников компаний переходят по фишинговым ссылкам. Чтобы снизить этот риск, банки внедряют тестовые рассылки, курсы по антивирусной защите и компьютерной грамотности и даже KPI по устойчивости к социальной инженерии.

Нельзя также забывать про регламенты и сценарии реагирования при кибератаках, которые включают ответы на следующие вопросы: что делать при утечке, куда обращаться и кто отключает доступ. Это не бумажная политика, а ежедневная практика, которую проверяют аудиторы и регуляторы.

Сравнение решений: отечественные и зарубежные технологии

До 2022 года российские банки активно использовали зарубежные решения: Splunk, IBM QRadar, Cisco, Palo Alto. Сейчас большинство банков используют российские платформы, сертифицированные ФСТЭК и включенные в реестр Минцифры. Крупнейшие игроки — Ростелеком-Солар, Positive Technologies, InfoWatch, Код Безопасности.

Разберем зарубежные решения и их отечественные аналоги по функциям:

• SIEM (анализ угроз в реальном времени): зарубежные Splunk, IBM QRadar и отечественные MaxPatrol SIEM, Solar SIEM
• EDR (фокусируется на мониторинге и защите конечных точек, таких как компьютеры и серверы): зарубежные CrowdStrike, Palo Alto Cortex и отечественные Kaspersky Next, MaxPatrol EDR
• DLP (защита конфиденциальности данных): зарубежные Symantec DLP, McAfee DLP и отечественные InfoWatch Traffic Monitor, SearchInform
• Анти-DDoS: зарубежные Cloudflare, Arbor и отечественные Qrator Labs, Solar JSOC
• Аудит уязвимостей: зарубежные Nessus, Qualys и отечественные MaxPatrol VM, Attack Killer
• Криптография и электронная цифровая подпись: зарубежные Entrust, Thales и отечественные Криптопро, Рутокен, VipNet

Газпромбанк применяет платформенные решения от Positive Technologies и InfoWatch, а также развивает внутренние центры киберустойчивости. В 2023 году банк получил премию RB Digital Awards за внедрение постквантовой криптографии совместно с QApp.

Почему безопасность нужно выстраивать системно

Эффективная система информационной безопасности банка возможна только при комплексном подходе, интегрирующем технические средства, кадровую политику, регламенты и процедуры управления инцидентами.

Фрагментарные решения, сколь бы продвинутыми они ни были, уязвимы. Даже единичный инцидент, вызванный человеческой ошибкой, например, переход сотрудника по фишинговой ссылке, способен свести на нет инвестиции в самые современные технологии защиты.

Системность безопасности означает:

1. Синхронизацию компонентов: технические средства (защитное ПО, системы мониторинга) должны быть неразрывно связаны с четкими регламентами доступа и эффективными процедурами контроля.
2. Осознанное управление доступом: понимание ИТ-подразделением, кому, к каким ресурсам и с какой целью предоставляется доступ, является фундаментальным требованием.
3. Культуру безопасности среди персонала: сотрудники должны не только знать правила, но и осознавать свою роль в защите банка, не опасаясь сообщать о подозрительных событиях или инцидентах.
4. Готовность к реагированию: наличие заранее разработанных, регулярно тестируемых планов действий в случае инцидентов для минимизации ущерба и восстановления нормальной работы.

Только такой интегрированный подход формирует устойчивость банка к угрозам. В современных условиях информационная безопасность банка — ключевой фактор доверия клиентов и регуляторов. Для банка в 2025 году и далее, доверие, основанное на доказанной способности обеспечивать безопасность данных, является его важнейшим стратегическим активом.

Источники:

https://www.klerk.ru/blogs/laboratoria_kasperskogo/630765/#chapter-osnovnye-riski-kiberbezopasnosti-v-finansovom-sektore

https://searchinform.ru/resheniya/ugrozy-informacionnoj-bezopasnosti-banka/

https://vc.ru/education/1789238-problemy-informacionnoi-bezopasnosti-bankov

https://falcongaze.com/ru/pressroom/publications/informacionnaya-bezopasnost-v-otraslyah/obespechenie-informacionnoj-bezopasnosti-bankovskoj-sistemy.html

https://gendalf.ru/news/security/audit-informatsionnoy-bezopasnosti-v-ban/

https://finexpert24.ru/poleznye-materialy/articles/bankovskaya-deyatelnost/informatsionnaya-bankovskaya-bezopasnost-i-ee-neobhodimost/

https://www.cbr.ru/collection/collection/file/55129/attack_2024.pdf