Атаки через подрядчиков и импортозамещение: как финансовый сектор меняет ландшафт кибербезопасности
Российский финансовый сектор столкнулся с двойным вызовом: ростом атак через цепочки поставок ПО и масштабной технологической трансформацией. Банки форсируют переход на отечественный софт, попутно предлагая государству новые механизмы раннего оповещения о киберинцидентах. Однако эксперты предупреждают: без обязательности требований и решения проблем совместимости российского ПО эффективность этих мер останется под вопросом.
Контур уязвимости: подрядчики как точка входа
По данным аналитиков, в 2025 году с атаками на цепочки поставок ПО столкнулись 35% российских компаний — это самый частый тип угрозы для бизнеса. Системы подрядчиков, как правило, защищены слабее, чем у клиентов из регулируемых секторов, а скомпрометированный поставщик открывает злоумышленникам доступ к десяткам организаций одновременно.
На форуме ГосСОПКА прозвучала инициатива одного из крупных банков: доработать личный кабинет в системе ГосСОПКА, предоставив компаниям возможность дополнять профиль сведениями о своих подрядчиках. Предполагается, что это позволит Национальному координационному центру по компьютерным инцидентам (НКЦКИ) оперативно уведомлять «группу риска» — других клиентов взломанного поставщика, а также получать больше обратной связи для планирования дальнейших шагов.
Эксперты называют предложение полезным, но недостаточным. Архитектор департамента информационной безопасности одной из ИТ-компаний отмечает: «Идея полезная — если организации смогут заранее указывать критических подрядчиков, реагирование станет быстрее. Но это не решение всех проблем, поскольку атак через поставщиков меньше не станет. Необходимо усилить контроль доступа, требования к подрядчикам и обязательный обмен данными об инцидентах».
Другой специалист по защите инфраструктурных ИТ-решений обращает внимание на проблему качества данных: «Не все знают своих подрядчиков, особенно 3 и 4 уровня, а те не собираются их раскрывать. НКЦКИ рискует начать рассылать объективный "мусор", потому что информация о связях будет неактуальной». К тому же остаются юридические вопросы: кто сможет обязать компании раскрывать подрядчиков, и кто понесёт ответственность за ложные уведомления
Альтернативные предложения включают внедрение «цифрового паспорта интеграции» с техническим профилем подключения подрядчика, создание обратного канала уведомлений для самого поставщика и введение обязательного аудита для подрядчиков с массовым доступом к клиентам. Как резюмирует один из экспертов, «радикального перелома не произойдёт, пока информирование о подрядчиках не станет обязательным, а сами подрядчики не начнут проходить регулярный аудит безопасности».
Импортозамещение: между «холодным душем» и экономией в 180 млрд
Параллельно банковский сектор переживает масштабную миграцию на отечественный технологический стек. Крупные игроки начали этот процесс ещё до 2022 года — не столько из-за санкционных рисков, сколько из-за недовольства взаимодействием с вендорами, чьи списки доработок порой расписывались «на 15 лет вперед».
Один из ключевых вызовов, с которым столкнулись банки — необходимость смены архитектуры исторических систем. Десятилетиями они строились на вертикальном масштабировании: рост производительности достигался наращиванием аппаратных мощностей, а не переписыванием кода. Портировать такие системы на отечественный стек напрямую невозможно. Банкам совместно с вендорами приходится выносить функциональность в системы-сателлиты и менять СУБД.
Один из госбанков рассказал о «холодном душе» при переходе: высокопроизводительных серверов на российском рынке нет, PostgreSQL плохо масштабируется при увеличении количества ядер, а сетевое оборудование и межсетевые экраны имеют недостаточную производительность. В результате приходится отказываться от горизонтальной архитектуры в пользу вертикальной нарезки. Банк даже инвестировал значительные средства в доведение программно-аппаратных комплексов до бизнес-уровня, называя такой подход «альтруистичным» по отношению к рынку.
Другой крупный игрок начал строить собственные базовые системы банкинга, решив «растворить АБС в ИТ-ландшафте». Из 62 систем, относящихся к значимым объектам критической информационной инфраструктуры, 47 были написаны собственными силами. Экономия от использования импортозамещённых разработок до 2030 года оценивается в 180 млрд рублей. Правда, как отмечают в банке, процесс мог бы быть дешевле, если бы законодательство разрешило передавать часть систем на аутсорсинг в защищённые ЦОД.
Проблемы совместимости и ценообразования
Участники рынка фиксируют системные сложности. Один из банков, будучи вынужденным заниматься «настоящим импортозамещением» раньше других из-за обслуживания гособоронзаказа, столкнулся с серией проблем совместимости отечественных продуктов. Операционные системы не всегда корректно работают с платформами виртуализации, а те, в свою очередь, несовместимы с ПО для контакт-центров.
Другая проблема — непрозрачное ценообразование. По словам представителя банка, проекты с аналогичными техническими заданиями за несколько лет подорожали со 100 до 150–200 млн рублей. В отрасли призывают «играть в долгую, а не пытаться собрать куш». Также отмечается отсутствие законодательной ответственности за срыв проектов по импортозамещению.
ИТ-подрядчики банков, в свою очередь, поднимают вопрос рентабельности. Индексация затрат по договорам поддержки не покрывает рост расходов на персонал, а компаниям приходится продолжать закупку лицензий иностранных вендоров по параллельному импорту. Прозвучало предложение ввести единый «Индекс роста цен на ИТ-услуги», который учитывал бы инфляцию, рост зарплат, ключевую ставку и другие факторы.
Текущий этап трансформации финансового сектора демонстрирует, что кибербезопасность и импортозамещение становятся двумя взаимосвязанными процессами. Скорость реакции на инциденты всё сильнее зависит от архитектурной зрелости инфраструктуры, а защищённость — от способности государства и бизнеса выстроить обязательные и прозрачные механизмы обмена данными об угрозах.