Не мошенники: что на самом деле угрожает банкам сегодня

OTP Bank — 27.04.2026

Пока обсуждение киберугроз в банках снова сводится к телефонным мошенникам и новым схемам обмана, основная угроза всё чаще оказывается внутри. По оценке ОТП Банка, до 90% инцидентов так или иначе связаны с человеческим фактором, и именно это сегодня заметно меняет подход к безопасности.

В этом материале мы расскажем, какие угрозы действительно считаются ключевыми, как меняется характер атак, почему ИИ становится частью будущих рисков и как в этой системе выглядит роль кибербезопасника.

Самый критичный сценарий для банка

Самой болезненной угрозой в банке остаются целенаправленные атаки, которые способны выводить из строя инфраструктуру целиком, затрагивая сотни систем, от которых одновременно зависят и клиентские сервисы, и внутренняя операционная работа. Для цифрового банка это особенно критично, поскольку более 90% операций и продаж проходят онлайн, а значит при серьезном сбое рассчитывать на ручной режим фактически не приходится.

Если системы оказываются зашифрованы или просто недоступны, банк теряет возможность корректно работать с базовыми вещами, и в этот момент сбой быстро выходит за пределы ИТ-задачи и начинает влиять на всю операционную деятельность.

Где всё начинается на самом деле

На этом фоне вторая крупная зона риска связана с сотрудниками, и здесь речь идет не о намеренных действиях, а о повседневных ошибках, которые в масштабе организации дают наибольшее количество инцидентов. По данным ОТП Банка, около 90% случаев возникает именно из таких ситуаций, когда сотрудник открывает письмо, пересылает документ на личную почту, чтобы поработать из дома, ускоряет процесс и пропускает один из шагов, не воспринимая это как риск.

В условиях, когда команды разработки постоянно выпускают новые функции, а изменения в системах происходят практически непрерывно, подразделение информационной безопасности физически не может вручную контролировать каждый процесс, и в результате именно такие ошибки в разработке и операционной работе становятся уязвимостями, которые проще использовать, чем обходить технические средства защиты.

Уязвимость вне банка

Еще один сдвиг связан с тем, что банк давно перестал быть замкнутой системой, а его инфраструктура постепенно обрастает внешними зависимостями – подрядчиками, колл-центрами, сервисными компаниями, государственными платформами и API, через которые проходит значительная часть взаимодействий. При этом уровень защиты у таких участников может заметно отличаться, поскольку для многих из них безопасность – это дополнительные затраты, которые не всегда готовы учитывать в полном объеме.

В тендерах такие компании могут выигрывать за счет более низкой стоимости, даже если не готовы в полной мере соблюдать требования по безопасности, и в результате, сколько бы банк ни инвестировал в защиту собственной инфраструктуры, уязвимость может возникнуть на стороне одного из партнеров, на которого напрямую повлиять невозможно

ИИ как помощь и как новая угроза

К уже привычным угрозам постепенно добавляется еще один слой – искусственный интеллект. Причем речь идет не только о защите, но и о новых сценариях атак, которые появляются вместе с его распространением. Среди них – так называемый prompt injection, когда злоумышленник формирует запрос таким образом, чтобы заставить модель игнорировать исходные ограничения и действовать в его интересах. Другой пример – data poisoning, при котором в обучающие данные попадают искаженные наборы, способные повлиять на поведение системы уже после её внедрения.

Если мы как обычные пользователи используем ИИ в работе, чтобы быстрее решать задачи, то злоумышленники делают примерно то же самое, только применяют его для своей «работы». В их случае это про ускорение и масштабирование атак: то, что раньше делалось вручную и занимало время, теперь можно запускать быстрее, точнее и в гораздо большем объеме.

Отдельный риск связан с развитием квантовых вычислений. Уже сейчас обсуждается сценарий, при котором зашифрованный трафик может сохраняться с расчетом на его последующую расшифровку, когда технологии станут доступнее. Такие данные не теряют ценности со временем и могут использоваться в более сложных цепочках атак или мошенничества.

Поймать мошенника и не заблокировать клиента

Чтобы работать с этими угрозами, в ОТП Банке мы описываем антифрод как умение сочетать несочетаемое. С одной стороны – предотвращать мошеннические операции, с другой – не создавать лишний дискомфорт для клиентов.

На практике это постоянный баланс между двумя типами ошибок: пропущенные мошеннические операции и корректные действия, которые блокируются по ошибке. Причем в сценариях социальной инженерии по параметрам транзакции не всегда можно однозначно понять её характер, и решения приходится принимать в условиях неопределенности. Поэтому антифрод – это не столько про жесткие ограничения, сколько про настройку процессов. Наша задача – сделать так, чтобы безопасность работала, но не вмешивалась в нормальный ход операций больше, чем это действительно необходимо. При этом в организации с длительной историей нельзя просто остановить бизнес и пересобрать всё заново, поэтому изменения идут постепенно и почти всегда через компромисс.

Эта же логика отражается и в том, как устроена команда. В ОТП Банке мы используем достаточно необычный для банков подход – две линии защиты. Операционная линия отвечает за развитие и сопровождение средств защиты, участие в разработке, управление инцидентами, доступами и уязвимостями. Контрольная – за оценку эффективности, развитие методологии и соответствие требованиям регулятора. С учетом антифрода в этих направлениях задействовано около 75 человек, без него – чуть больше 50. Работа распределена между четырьмя основными направлениями: технологическая защита, развитие процессов, управление инцидентами и безопасность информационных систем. Параллельно команда ОТП Банка развивает внутренние стажировки, вовлекая молодых специалистов и постепенно усиливая команду изнутри.

Участие в bug bounty

ОТП Банке мы также используем bug bounty как инструмент для поиска уязвимостей и слабых мест, которые сложно выявить только внутренними силами. Для этого мы подключаем внешние платформы, чтобы получать независимый взгляд.

Параллельно у нас работает внутренняя программа – по сути расширенный bug bounty. Сотрудники могут сообщать о любых проблемах, от недочетов в процессах до технических багов, такие предложения собираются регулярно, формируется внутренний рейтинг, а авторов поощряют.

Кто такой кибербезопасник сегодня

На этом фоне меняется и сама роль специалиста по кибербезопасности. Если раньше достаточно было настроить отдельные решения и поддерживать их работу, то сегодня важнее, как они встроены в процессы и как ими управляют.

Кибербезопасник всё чаще работает на стыке разработки и аналитики, участвует в создании продуктов и смотрит на систему шире – не только с точки зрения того, как она должна работать, но и того, что произойдет, если что-то пойдет не так. Граница между ИТ и безопасностью постепенно стирается, и это меняет сам подход к задачам: в фокусе оказываются не отдельные инструменты, а архитектура, процессы и управление рисками.