21 мая 2026 года на XXVI Всероссийской банковской конференции «Цифровая финансовая система России: цифровые валюты, токенизация и искусственный интеллект» (организатор — Ассоциация «Россия») с докладом выступил Тимур Аитов — член Совета ТПП РФ по финансовому рынку и инвестициям, председатель комиссии по безопасности финансового рынка.
Часть 1. Ключевые тезисы
Регламент был жестким — всего десять минут. Поэтому прозвучали только главные тезисы «новой философии» информационной безопасности:
1. Информационная безопасность перестала быть сугубо технической историей. Сегодня ИБ — неотъемлемая часть бизнес-стратегии, а мировой фокус сместился с превентивной защиты транзакций на киберустойчивость (Cyber Resilience).
Киберустойчивость — это способность банка противостоять кибератакам, быстро восстанавливаться после них и продолжать функционировать, минимизируя ущерб для бизнеса и клиентов.
В российской банковской практике это понятие раскрыто через ГОСТ Р 57580.4 «Безопасность финансовых (банковских) операций. Операционная надежность». Документ четко разграничивает:
Дополняет ГОСТ Положение Банка России № 787-П, которое устанавливает обязательные требования к операционной надежности кредитных организаций для обеспечения непрерывности банковских услуг. Оба документа формально требуют киберустойчивости.
2. «Новая философия» докладчика — не об отмене старых правил, а о смене приоритетов. Аитов призывает сделать киберустойчивость не пунктом отчетности, а реальной бизнес-метрикой, измеримой честно и прозрачно.
Вопрос «можно ли нас взломать» устарел. Более актуальный: «Как быстро мы восстановимся и сохраним бизнес?» Атаки и утечки признаны неизбежной частью реальности. Ключевые метрики — время простоя, скорость возврата к работе и уровень доверия клиентов.
3. Социальная инженерия — главный канал атак. До 80% успешных взломов происходят через обман человека, а не через технологические уязвимости. Мошенники перешли к точечным «снайперским» ударам на основе цифрового следа, активно используют дипфейки и генеративные модели искусственного интеллекта.
4. Абсолютной защиты не существует. Банкам необходимо готовить резервные процессы, сценарии отката и даже механизмы психологической помощи жертвам мошенничества. Это включает внедрение автоматизированных систем мониторинга поведения пользователей (UEBA — User and Entity Behavior Analytics), системы резервного копирования данных и планы действий в случае кризиса.
Аитов в докладе коснулся статистики ЦБ за первый квартал 2026 года и трех новых направлений атак на доверие.
Три новых направления атак на доверие
Компрометация ИИ-моделей (состязательные атаки)
Злоумышленник изучает антифрод-модель банка и формирует транзакцию, математически легитимную, но по сути мошенническую. Кроме того, он может «отравить» обучающие данные модели еще до атаки.
Нормативная база: с декабря 2025 года ФСТЭК включила такие угрозы в Банк данных угроз (БДУ) как отдельный класс для объектов КИИ. Теперь на аттестации могут спросить: «Вы учли риски для вашей ИИ-модели?»
Дипфейки и подрыв биометрии
Один из зампредов ЦБ назвал дипфейки «ключевой угрозой 2026 года». Банковские системы от подделки голоса или видео защищены, но люди им верят. Особенно опасна схема «фейк-босс»: мошенники синтезируют голос руководителя жертвы в реальном времени на основе видео длительностью 3–5 секунд.
Компрометация каналов связи и межбанковского взаимодействия
Устаревшие протоколы сотовой связи (SS7) позволяют перехватывать SMS с кодами двухфакторной аутентификации. Техническое решение — переход на защищенные протоколы российского стандарта криптографической защиты для мобильных сетей.
Часть 2. Расширенная версия для BIS Journal
Многие важные нюансы на конференции остались за кадром. BIS Journal попросил Тимура Аитова ответить на некоторые вопросы.
— Ваш ключевой тезис про киберустойчивость — это способ легализовать низкий уровень защиты? Мол, «нас все равно взломают, зачем напрягаться?».
— Мысль не в том, чтобы разобрать «стену», а в том, чтобы перестать верить, что она непробиваема. Базовая «цифровая гигиена» — своевременные обновления, контроль доступа, сегментация сетей — все это остается обязательным. Если банк перестанет закрывать очевидные дыры, количество атак вырастет до такой степени, что никакая киберустойчивость не спасет. «Стена больше не работает» — это не равно «стена больше не нужна». Речь идет о гибком балансе: правильно тратить ресурсы не на иллюзии абсолютной защиты, а на реакцию и последующее восстановление.
— Время простоя — KPI для отдела эксплуатации, а для ИБ это вообще не профильная метрика?
— Положение 787-П уже упоминает допустимое время простоя. Но беда в том, что нет единой методики его честного измерения. Банк может начать отсчет с момента, когда уже переключился на резерв, или не включать в простой работу в «замедленном режиме». Клиенту же все равно, кто виноват — хакеры или сбой в дата-центре. Он не платит за «отраженные атаки». Он платит за доступность сервиса.
Да, время простоя — непривычная метрика для ИБ. Но если мы говорим о киберустойчивости как части бизнес-стратегии, мы обязаны говорить на языке бизнеса. Сколько минут не работали переводы? Сколько клиентов не смогли войти в приложение? Это и есть реальный ущерб.
Без внешнего аудита и четких регуляторных требований эта метрика скорее инструмент отчетности, а не управления. Идеал — это единый стандарт ЦБ по измерению простоя (например, «время от первого сообщения клиента о сбое до восстановления штатной работы для 95% операций»).
— Где взять деньги на «психологическую» помощь и возврат средств, когда норма прибыли в малых банках и так невелика? Вы предлагаете им разориться?
— Это основной экономический вызов. Прямо сейчас доля возвратов по картам — около 10%, по СБП — еще ниже. Регулятор уже обязал возвращать средства в отдельных случаях (например, если банк сделал перевод на «засвеченный» счет).
Но расширение этой практики на все случаи социальной инженерии — это огромные резервы. Для топ-10 банков вопрос репутации и долгосрочного доверия может перевесить затраты. А для сотен небольших игроков такие расходы действительно неподъемны.
В докладе я упомянул практику Великобритании: с октября 2025 года клиенту возвращают полную сумму, при этом половину возвращает банк-отправитель, а вторую половину — банк-получатель платежа. В Сингапуре в этот «дуэт» добавили и телеком.
Что делать нам? Как минимум — создать отраслевой механизм распределения рисков, по аналогии с фондами страхования вкладов. Как максимум — регулятор должен разрешить банкам нести эти расходы не как прямое списание прибыли, а с налоговыми или резервными преференциями.
— Доверие клиентов — «запаздывающий» индикатор. К моменту, когда мы его измерим, клиенты уже уйдут в другой банк. Что толку?
— Абсолютно точно. Доверие уходит мгновенно, а возвращается годами. Это не повод отказываться от метрики, а повод перестать ждать, пока статистика покажет падение.
Думаю, разумно мерить доверие не постфактум, а прокси-метриками в реальном времени: например, скорость повторных обращений в чат после инцидента. Те банки, которые внедрят такой мониторинг доверия в реальном времени (а не по итогам квартала), получат конкурентное преимущество. Остальные будут догонять.
— Вы говорите, что регулятор не должен штрафовать за факт атаки. Но требования ЦБ пока ориентированы на штрафы за сокрытие инцидентов. Как убедить регулятора изменить подход?
— Наказывать надо не за атаку, а за неподготовленность. Если банк не провел учения, не имеет плана восстановления, не тестировал антифрод-модель на adversarial-атаки — тогда да, штрафы оправданы. Но если атака была новой, сложной, неизвестной — штрафовать за сам факт бессмысленно. Это только заставит банки скрывать инциденты.
Например, для банков, которые добровольно раскрывают инциденты и демонстрируют работающий план восстановления, правильнее применять не штраф, а предписание с отсрочкой.
В целом так: разделить регуляторную оценку на две части. Первое — техническая защищенность (базовые требования периметра). Второе — зрелость процессов восстановления. И оценивать по второму блоку не количество атак, а скорость возврата к работе. Это и есть суть киберустойчивости.
Киберустойчивость — это марафон. Начинать его нужно сегодня, но оценивать результаты не на следующей неделе, а на горизонте двух-трех лет.
От редакции
Автор в своем акценте на киберустойчивость не одинок. На рынке уже появились многочисленные курсы по киберустойчивости еще и с международным ракурсом (например, как программы для Cyber Resilience Officer). Они недешевы, но что реально преподают и как слушатели овладевают навыками — для нас остается за кадром. Провайдерам таких курсов стоило бы организовать и раскрывать методику оценки знаний: например, как защиту выпускного проекта на реальных логах инцидентов.
Наш вывод: появление курсов — признак зрелости и важности темы, но отсутствие измеримых результатов не способствует доверию рынка к программам.
Банку России (Департаменту ИБ и ФинТеху) возможно следовало бы выпустить рекомендательное письмо (или хотя бы информационное сообщение) с критериями качественного обучения киберустойчивости, чтобы рынок не потонул в маркетинговых проектах.
.jpg)
- Стоимость медиауслуг (открыть PDF) -
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
.png)