Финансовый сектор под атакой: опыт последних лет и прогноз на 2026 от CISO Дом.РФ
За последние годы атаки на финансовый сектор резко усилились по интенсивности, вариативности и технологической сложности, переходя от изолированных инцидентов к комбинированным сценариям с использованием социальной инженерии, DDoS и фишинга. Это обусловлено ростом хактивизма, доступностью сервисов phishing-as-a-service, ИИ-генерацией дипфейков и уязвимостями в цепочках поставок, где подрядчики часто становятся слабым звеном. Что ждет финансовый сектор в 2026 году, и как выстроить ИБ-архитектуру в соответствии с этими вызовами, в колонке, подготовленной специально для SecPost, рассказал управляющий директор по ИБ ПАО Дом.РФ Дмитрий Шарапов.
Больше и сложнее
За последние несколько лет существенно выросло не только количество атак на финансовый сектор, но и их интенсивность, вариативность и технологическая сложность. Сегодня мы наблюдаем уже не отдельные, изолированные инциденты, а более сложные сценарии, в которых злоумышленники комбинируют различные техники – от социальной инженерии до атак на инфраструктуру, приложения и внешние цифровые контуры.
Одним из наиболее распространенных типов атак по-прежнему остаются атаки на отказ в обслуживании. При этом их характер заметно изменился. Если ранее подобная активность чаще связывалась с конкретными группировками, то теперь существенную роль играют хактивисты, объединенные общей повесткой, мотивами и способностью быстро координировать действия в отношении выбранной цели. Количество таких участников увеличивается, а порог входа в проведение атак продолжает снижаться.
Параллельно развивается набор сервисов и инструментов, которые дополнительно упрощают участие в атаках и делают его доступным при минимальных технических навыках. Это увеличивает число вовлеченных участников, усиливает масштаб воздействия и, как следствие, существенно повышает риск деградации клиентских и внутренних сервисов финансовых организаций.
Сегодня все чаще целью злоумышленников становится не только компрометация организации, но и полное разрушение либо выведение из строя инфраструктуры, что представляет для бизнеса значительно более серьезную угрозу.
Фишинг и социальная инженерия
Фишинг по-прежнему остается одним из самых простых и одновременно самых эффективных векторов атаки. При всей зрелости защитных технологий человек все еще остается самым уязвимым элементом любой системы безопасности. Именно поэтому злоумышленники продолжают делать ставку не только на технические уязвимости, но и на ошибки, доверчивость, усталость и невнимательность пользователей.
При этом сам фишинг заметно эволюционировал. Сегодня развивается модель phishing-as-a-service (фишинг как сервис — прим ред), при которой инструменты и инфраструктура для проведения кампаний становятся доступны практически как сервис. Это снижает порог входа для атакующих, позволяет быстрее масштабировать кампании и делает такие атаки массовыми, гибкими и адаптивными.
Дополнительный риск создают ИИ-инструменты и дипфейки, которые расширяют возможности обмана и манипуляции. Злоумышленники все убедительнее имитируют стиль переписки, голос, поведение и даже управленческие сценарии коммуникации. В результате атака все чаще выглядит не как грубая подделка, а как правдоподобное и своевременное сообщение, встроенное в привычный бизнес-контекст.
Отдельным направлением остается социальная инженерия, нацеленная не на инфраструктуру компании, а на клиентов финансовых организаций. В отличие от многих других кибератак, здесь основная цель злоумышленника – не техническое проникновение в систему, а прямое воздействие на человека с последующим хищением средств.
Такие схемы строятся на психологическом давлении, манипуляции и имитации доверенной коммуникации. Злоумышленники представляются сотрудниками банка, служб безопасности, государственных органов или операторов связи и убеждают человека самостоятельно совершить действия, которые приводят к потере денег, перевести средства на якобы безопасный счет, раскрыть коды подтверждения, установить вредоносное приложение или предоставить удаленный доступ к устройству.
Особенность таких атак в том, что они происходят в реальном времени, а последствия для пострадавших наступают практически мгновенно. Люди могут терять значительные суммы буквально за несколько минут, и вернуть эти средства зачастую крайне сложно.
При этом сами мошеннические сценарии постоянно усложняются. Используются подмена номеров, заранее подготовленные легенды, сценарии, имитирующие реальные процессы финансовых организаций, а также ИИ-инструменты для автоматизации звонков, генерации сообщений и имитации голоса. Все это делает атаки более убедительными, а значит – повышает их результативность.
Для финансовых организаций противодействие таким угрозам становится отдельным направлением работы. Помимо технических мер, все большее значение приобретают просветительская работа с клиентами, постоянное информирование о новых схемах мошенничества, а также выстраивание механизмов быстрого реагирования, позволяющих своевременно выявлять подозрительные операции и минимизировать ущерб.
Атака на цепочку поставок
Отдельным уязвимым вектором остается цепочка поставок и контрагенты. На практике подрядчики и партнеры нередко становятся слабым звеном в общей модели защиты, поскольку уровень зрелости их процессов ИБ, качество контроля доступа и глубина мониторинга могут существенно отличаться от требований самой финансовой организации.
Именно поэтому сегодня уже недостаточно оценивать только собственный защищенный контур. Требуется повышенное внимание к тому, как у контрагентов организованы процессы информационной безопасности. Требования к подрядчику должны определяться на этапе выбора подрядчика и закрепляться в договорных обязательствах, через требования к безопасности, порядку уведомления об инцидентах, правилах доступа и ответственность сторон.
Параллельно должна выстраиваться модель взаимодействия с подрядчиками в логике Zero Trust. Это означает отказ от избыточного доверия и прямого доступа к внутренним системам компании. Доступ контрагентов должен предоставляться строго по необходимому минимуму, через контролируемые точки входа, с сегментацией, журналированием, дополнительной аутентификацией и ограничением по времени, роли и цели подключения. Такой подход существенно снижает риск несанкционированного доступа, утечки информации и использования подрядчика как канала атаки на корпоративную инфраструктуру.
При этом работа с подрядчиками – это не только вопрос безопасности, но и вопрос экономики. Чем больше требований мы предъявляем к контрагенту и чем подробнее закрепляем их в договоре, тем выше становится стоимость контракта. Аналогично работают и повышенные меры защиты при организации доступа к ИТ-инфраструктуре – они делают взаимодействие безопаснее, но одновременно сложнее и дороже.
Проблема в том, что даже формально жесткие требования еще не гарантируют их реального исполнения. Контролировать, как именно подрядчик соблюдает процессы ИБ на своей стороне, на практике значительно сложнее, чем описать эти требования на бумаге. Более того, часть контрагентов предпочитает компенсировать риск не зрелостью процессов, а страховыми механизмами, то есть фактически страхует последствия вместо того, чтобы полноценно снижать вероятность инцидента.
Поэтому здесь особенно важен взвешенный подход. Требования к подрядчикам и меры контроля должны быть не максимальными ради формальности, а обоснованными, проверяемыми и соразмерными риску. Это не всегда дает быстрый и легко измеримый результат, но именно такой подход позволяет избежать ситуации, когда безопасность существует только в договоре, а не на практике.
Меняется подход к защите
Стратегия информационной безопасности трансформируется. Вместо попыток предотвратить гипотетический взлом, фокус смещается на киберустойчивость – способность бизнеса функционировать даже при частичной компрометации систем. В этой парадигме критически важны не только превентивные меры, но и скорость обнаружения атаки, а также готовность оперативно восстановить инфраструктуру и процессы. Это выводит на первый план технологии резервного копирования, планы аварийного восстановления (DRP) и обеспечение отказоустойчивости, а также принципы безопасности на этапе проектирования по умолчанию (Security by Design), при которых требования информационной безопасности закладываются в системы, процессы и изменения изначально. Дополнительно возрастает значение сегментации, минимизации доверия между компонентами, непрерывного мониторинга и регулярной проверки готовности к инцидентам на практике.
Что будет дальше?
В 2026 году можно ожидать, что продолжится тренд на количественный и качественный рост киберугроз. Ключевой характеристикой атак станет скорость, ИИ и автоматизация позволят злоумышленникам намного быстрее находить уязвимости и переводить их в стадию эксплуатации. Окно между появлением бреши в защите и началом атаки сократится до минимума. При этом ИИ станет полноценным автономным инструментом, он будет использоваться для скрытой разведки, создания неотличимых от реальности сценариев социальной инженерии и генерации полиморфного вредоносного кода, что позволит масштабировать сложные атаки в «один клик».
Читайте также
