CISO крупнейших банков России – о применении ИИ в кибербезопасности

Банки смотрят в сторону ИИ

Российские банки в том или ином виде уже используют ИИ-технологий или планируют их внедрение в структуру кибербезопасности. Об этом SecPost рассказали сами CISO и пресс-службы финансовых организаций. По словам руководителя департамента кибербезопасности Альфа-Банка Сергея Крамаренко, банк постоянно находится в поиске новых ИБ-решений. В частности, планируется внедрение системы управления данными аналитики киберугроз с применением ИИ, DCAP (системы защиты пользовательских данных в файловых хранилищах – SecPost) и других инструментов.

«Мы изучаем возможности применения ИИ в сфере информационной безопасности и проводим пилоты как готовых решений, так и апробацию прототипов», — пояснил Крамаренко SecPost.

По его словам, использование ИИ позволит снизить объем рутинных операций, ускорить выявление инцидентов и повысить эффективность реагирования на угрозы.

Вице-президент по кибербезопасности Сбербанка Сергей Лебедь и вовсе уверен, что невозможно сегодня сделать хороший продукт в области кибербезопасности без ИИ. По его словам, банк в настоящее время силами около 5 тыс Agile-команд разрабатывает программные продукты самостоятельно.

«При таком количестве команд и при желании бизнеса минимизировать показатель Time-to-Market (времени от рождения идеи продукта до его выхода на рынок – SecPost), без автоматизации и без искусственного интеллекта решить задачу при такой нагрузке на наш DevSecOps-конвейер без искусственного интеллекта невозможно», — добавил он, отвечая на вопросы SecPost.

Как объясняет Лебедь, есть два основных направления практического применения искусственного интеллекта в информационной защите. Первое: где необходимо повысить скорость реагирования на киберугрозы, расследования инцидентов, выявления подозрительных действий в инфраструктурах экосистемы Сбера. В этих вопросах банк уже давно активно использует искусственный интеллект, рассказал CISO.

«Второе направление, где мы используем ИИ, — это различные помощники, копайлоты, которые позволяют повысить эффективность сотрудников кибербеза в самых различных задачах: в реагировании, в безопасной разработке, в расследовании инцидентов, в задачах противодействия мошенничеству», — пояснил Лебедь.

В пресс-службе ВТБ также рассказали SecPost, что банк уделяет большое внимание вопросам информационной безопасности, строго следует всем нормативным требованиям в этой области, а также активно внедряет и использует самые передовые решения в области ИБ, в том числе решения, связанные с применением ИИ.

Т-Банк не ответил на запрос SecPost, однако в конце мая Forbes писал, что компания выводит на рынок ассистента по информационной безопасности (ИБ) Safeliner на основе искусственного интеллекта. Его задача — снизить нагрузку на продуктовые команды разработки в компании, быстрее реагировать на угрозы и ликвидировать уязвимости. В компании рассчитывают на то, что Safeliner поможет экономить «Т-Технологиям» (материнской компании Т-Банка) более 1 млрд рублей в год, утверждал Forbes.

В сторону ИИ смотрят и хакеры

Как подчеркнул Лебедь, огромными вызовами для ИБ в настоящее время являются скорость изменений в ландшафте киберугроз, в новых технологиях, в количестве изменений, которые вносит бизнес в инфраструктуру, а также в недостаточности знаний у экспертов по кибербезопасности. Он призвал помнить, что сегодня искусственный интеллект активно используется и киберпреступниками.

«Они модифицируют вирусы, практически каждый вирус сегодня генерируется с помощью искусственного интеллекта, что создает сложности для обнаружения и противодействия с помощью средств защиты», — сказал Лебедь.

По его словам, в том числе в связи с этим нельзя не использовать искусственный интеллект для организации защиты своих компаний. К этому подталкивает и стремление бизнеса автоматизировать свои процессы.

Подтверждением слов вице-президента по кибербезопасности Сбербанка могут служить последние сообщения компании Anthropic, которая разрабатывает модель Claude Opus. В конце августа 2025 года “Коммерсантъ” со ссылкой на данные компании писал, что хакеры стали чаще использовать искусственный интеллект для кибератак. По словам представителей компании, их ассистента впервые использовали для полной автоматизации атаки на 17 организаций, включая больницы и экстренные службы.

Кроме того, китайская кибершпионская группа GTG-1002 использовала возможности модели Claude Code для попыток взлома примерно 30 крупных компаний и государственных структур. Это первый задокументированный случай, когда агентный искусственный интеллект смог получить доступ к действительно ценным целям в рамках разведывательной операции, отмечал портал в середине ноября.

В Газпромбанке рассказали SecPost об эволюции хакерских атак на банковский сектор. Как отметил в интервью SecPost заместитель начальника департамента защиты информации банка Алексей Плешков, основные тенденции в области кибератак на российские финтех-организации, — это рост кибератак на цепочки поставок (supply chain), смещение фокуса при выборе цели с крупных компаний на малый и средний бизнес (MSB), рост кибератак с долгосрочным присутствием в инфраструктуре. Кроме того, по его словам, в 2025 году наблюдается технологическое маскирование кибератак и использование в сценариях легитимного программного обеспечения (antiAV). Также хакеры делают акцент на деструктивное воздействие на инфраструктуру и бизнес-процессы в финансовых организациях.

«Универсальных механизмов противодействия указанным выше угрозам на отечественном ИБ рынке нет, допустимое по уровню защищенности и по метрикам эффективности ИБ-решение может быть сформировано только в случае применения комплексного (многовекторного, с перекрытием по угрозам, в некотором смысле – избыточного) подхода на основе анализа актуальных рисков ИБ», — добавил он.

Говоря конкретно про Газпромбанк, Плешков отметил, что их инфраструктура стабильно и регулярно подвергается кибератакам различного типа и сценариев, реализуемым через интернет. Чаще других в 2025 году банк сталкивался с хакерскими атаками класса «отказ в обслуживании», попытками сканирования и выявления актуальных уязвимостей в компонентах инфраструктуры, доступных из интернета, атаками, нацеленными на сбор и анализ информации (в том числе разведка по открытым источникам) о работниках, процессах и продуктах, используемых для защиты информации в Газпромбанке. Кроме того, речь шла об атаках через или на доверенного поставщика, провайдера услуг, контрагента, атаках на терминалы или устройства с удаленным доступом в инфраструктуру банка, атаках с применением методов социальной инженерии и фишинговых атаках в цифровых каналах, рассказал Плешков.

Над какими ИБ-решениями еще нужно поработать

Опрошенные CISO рассказали SecPost, что в настоящее время нельзя однозначно оценить уровень отечественных ИБ-решений по сравнению с зарубежными аналогами: какие-то технологии уже превосходят иностранные, но есть еще не решенные задачи в области кибербезопасности.

Так, по словам Крамаренко, Альфа-Банк использует ИБ-решения различных классов: NGFW, anti-DDoS-системы, SIEM (системы мониторинга событий информационной безопасности), DLP (система предотвращения утечек конфиденциальных данных), PAM (система управления привилегированным доступом), SOAR (комплекс технологий и решений, направленных на автоматизацию процессов управления ИБ), SAST (статический анализ безопасности, который выполняется на уровне исходного кода без запуска приложения), SCA (система анализа состава программного обеспечения) и многие другие.

«Большинство систем уже заменены на отечественные. При этом, мы видим, что ряд выбранных отечественных решений сопоставимы с зарубежными аналогами, а некоторые даже эффективнее — например, MFA (многофакторная аутентификация – SecPost), — и при этом выгоднее в эксплуатации», — добавил он.

Как отметил Плешков, в Газпромбанке «были приятно удивлены» уровнем, полнотой и качеством отдельных представленных на российском рынке ИБ-продуктов. При этом он отмечает неоднородность рынках ИБ сервисов, продуктов и решений в РФ. В каких-то областях (к примеру, антивирусные решения, защита конечных устройств, контроль целостности) российские решения могут на равных конкурировать с лидерами ИБ-рынка во всем мире, объясняет специалист. Тем не менее, по его словам, в других сферах (межсетевое экранирование, балансировщики нагрузки, сетевые анализаторы) российским ИБ-продуктам «еще есть, куда расти».

Стоит отметить, что на рынке ИБ не прекращается дискуссия вокруг российских межсетевых экранов нового поколения (NGFW). SecPost ранее писал о высказывании заместителя начальника управления по обеспечению информационной безопасности ВТБ Сергея Пазизина, который заявил министру цифрового развития Максуту Шадаеву, что российский бизнес сталкивается с проблемой NGFW. По его словам, хоть в РФ и достаточно своих производителей NGFW, они отстают по качеству от иностранных.

Лебедь также ранее заявлял, что сейчас на российском рынке отсутствуют высокопроизводительные решения, «способные в полной мере удовлетворить нашим требованиям как по производительности, так и по функциональным возможностям». Ряд вендоров отмечали в беседе с SecPost, что им нужно около 5 лет для достижения паритета с зарубежными игроками.