Более половины банков используют устаревшие системы защиты
Более половины российских банков до сих пор эксплуатируют унаследованные системы собственной разработки, которые не обновляются и не соответствуют текущим требованиям ИБ, выяснили в RED Security. При этом 70% кредитных организаций не проверяют уровень защищенности ИТ-компаний, имеющих прямой доступ к их инфраструктурам, — а через подрядчиков в 2025 году был реализован каждый третий крупный взлом.
Большинство банков используют в своей инфраструктуре унаследованные системы собственной разработки, в том числе и процессинговые (системы, обеспечивающие обработку транзакций, передачу данных о платежах, их проверку и тд, прим ред.). Эти системы не обновляются и не соответствуют текущим требованиям информационной безопасности. Из исследования RED Security следует, что доля банков, имеющих такую проблему, составляет 55%. Об этом сообщили SecPost в компании.
Опасность устаревших систем в RED Security объясняют незакрытыми уязвимостями, которыми могут воспользоваться злоумышленники. Это грозит многомиллионными финансовыми потерями, регуляторными санкциями и репутационным ущербом. Отмечается, что эта угроза наиболее актуальна для крупнейших участников рынка.
При этом 7 из 10 банков не проверяют уровень защищенности ИТ-компаний, имеющих прямой доступ к их инфраструктурам. В RED Security отмечают, что риски атак через подрядчиков растут — в 2024 году количество атак через доверенных подрядчиков выросло втрое, а в 2025 году каждый третий крупный взлом реализовывался именно через этот вектор.
Другая существенная проблема: неравномерный уровень защиты внутри банковских групп. В 48% случаев уровень киберзащиты в региональных отделениях и филиалах существенно ниже, чем в головном офисе. Отмечается, что эта асимметрия активно используется злоумышленниками: недостаточно защищенный филиал атакуется, злоумышленник закрепляется в инфраструктуре, а затем двигается к критически важным системам центральной организации. «Инвестиции в безопасность головного офиса могут быть нивелированы одной успешной атакой на региональное подразделение», — отмечают в RED Security.
В конце февраля правительство утвердило перечень объектов критической информационной инфраструктуры в банковской среде — теперь у банков появился исчерпывающий список систем, которые автоматически считаются значимыми в отрасли. Кто и как сегодня защищает критическую инфраструктуру в российских банках, а также как изменились требования к обеспечению ее безопасности — читайте в материале SecPost.
