В статье исследуется институт ответственности за киберугрозы в банковском секторе Российской Федерации в условиях цифровой трансформации финансового рынка. На основе анализа эмпирических данных ФинЦЕРТ, научных трудов отечественных исследователей и нормативно-правовых актов Банка России рассматривается трансформация целевых установок злоумышленников, смещающих фокус с прямого хищения средств на деструктивные многостадийные операции. Особое внимание уделяется феномену латентного присутствия нарушителей в информационной инфраструктуре как ключевому параметру оценки защищенности организаций. В работе систематизированы требования ключевых положений Банка России, регламентирующих обеспечение информационной безопасности и операционной надежности. Проанализирована проблема атак на цепочки поставок и необходимость контроля за уровнем защищенности подрядных организаций. Обосновывается вывод о трехкомпонентной структуре института ответственности, включающей нормативный каркас регулятора, координирующую функцию ФинЦЕРТ и внутреннюю ответственность кредитных организаций за внедрение технологий защиты, управление персоналом и рисками поставщиков.
1. Введение
В эпоху стремительной цифровизации, пронизывающей все уровни социально-экономического взаимодействия, человечество столкнулось с парадоксальным последствием технологического прогресса, так беспрецедентное ускорение коммуникаций и упрощение бизнес-процессов обернулось пропорциональным ростом киберпреступности, поставившим под сомнение базовые гарантии безопасности.
В наибольшей степени эта диалектическая противоречивость проявилась в финансовой сфере, которая, будучи драйвером цифровой трансформации, превратилась в эпицентр киберугроз. Как аргументированно доказывают в своих исследованиях О.В. Лактюшина и Т.А. Горбачева, расширение цифрового ландшафта банковских услуг неизбежно продуцирует расширение атакуемой поверхности, делая кредитные организации первостепенной мишенью для злоумышленников [7, С. 27–40]. В данном контексте проблематика ответственности за киберугрозы обретает характер сложносоставного, полиструктурного феномена, интегрирующего как прямую юридическую ответственность финансовых институтов за целостность данных и бесперебойность сервисов, так и регуляторно-надзорную функцию Банка России, формирующего нормативный фундамент и механизмы обеспечения соответствия обязательным требованиям.
2. Методы и принципы исследования
Обращаясь к эмпирическим данным, систематизированным в отчетах Центра взаимодействия и реагирования Департамента информационной безопасности (далее по тексту — ФинЦЕРТ), являющегося аналитическим ядром регулятора по противодействию кибератакам, невозможно не заметить не только количественную, но и качественную динамику угроз. Статистика регулятора за 2023 год демонстрирует 37-процентный рост атак на кредитные организации, причем эта восходящая траектория сохранила свою устойчивость и в 2024 году [9].
В контексте современной научной дискуссии о трансформации киберпреступности примечательным представляется вывод, сформулированный в аналитических материалах А.П. Буевич, согласно которому наблюдается фундаментальная перестройка целевых установок злоумышленников [5, С. 46–55]. Эволюция угроз выражается в последовательном смещении вектора противоправной деятельности от непосредственного завладения денежными средствами в сторону реализации деструктивных многостадийных сценариев, оказывающих системное воздействие на деятельность финансовой организации.
Содержательное наполнение данной тенденции раскрывается через совокупность взаимосвязанных угроз, а именно дестабилизацию операционных процессов, достигаемую путем компрометации конфиденциальной информации; психологическое воздействие на персонал, направленное на создание атмосферы неопределенности и паники; а также применение программ-блокировщиков, приводящее к временной или полной утрате контроля над информационными активами.
В сложившихся условиях принципиально важное значение для оценки действительного уровня защищенности кредитных организаций приобретает показатель продолжительности скрытого нахождения злоумышленников во внутренней инфраструктуре до момента реализации деструктивных действий. В научный оборот и практическую деятельность органов надзора данный параметр вошел под наименованием времени латентного присутствия (dwell time).
Как свидетельствуют данные ФинЦЕРТ, продолжительность такого скрытого пребывания может исчисляться несколькими месяцами, на протяжении которых осуществляется изучение архитектуры сети, сбор аутентификационных данных и подготовка условий для нанесения максимального ущерба. Указанное обстоятельство выдвигает на первый план проблему своевременного обнаружения признаков вторжения, поскольку к моменту выявления деструктивной активности злоумышленники, как правило, уже обладают устойчивым доступом к ключевым элементам информационной инфраструктуры и завершают подготовительную стадию атаки.
Необходимо подчеркнуть, что нормативно-правовой каркас, выстроенный Банком России, служит тем фундаментом, на котором базируется система ответственности финансовых организаций. Как резюмирует в своем исследовании А.П. Буевич, регулятором сформирован комплексный пакет документов, задающих эталонные стандарты защиты. Стержневым элементом этой системы выступает Положение Банка России от 17.08.2023 № 821-П, имплементирующее жесткие требования к информационной безопасности на всех этапах платежного цикла от идентификации клиентов до транзакционного обмена и архивирования данных [2].
В свою очередь неисполнение данных императивных требований инициирует каскад санкционных последствий, варьирующихся от административных штрафов до ограничения операционной деятельности, повышения страховых взносов в систему агентства страховых вкладов (АСВ) и, в экстремальных случаях, отзыва лицензии.
Существенной вехой в эволюции ответственности стало введение в действие в мае 2025 года Положения Банка России № 850-П «Об операционной надежности» [3]. Как подчеркивается А. Сергеевым в аналитических обзорах специализированного портала, новаторский характер данного документа заключается во внедрении количественно измеримых показателей допустимого времени простоя для критически значимых технологических процессов [8].
Для таких операций, как проведение платежей или кассовое обслуживание, законодательно фиксируются временные рамки восстановления, что трансформирует ответственность банка из формальной в содержательную. Так, организация обязана гарантировать непрерывность сервисов даже в условиях сложных целевых атак или деструктивных действий инсайдеров.
Стоит отметить, что Банк России помимо нормотворческой деятельности, направленной на пресечение угроз с правовой точки зрения, осуществляет превентивно-координирующую деятельность. Данная деятельность возложена и соответственно осуществляется ФинЦЕРТ, что отражено в статистических данных за 2024 год. В рамках анализа было выявлено, что в указанный временной период для участников финансового рынка было направлено более 360 бюллетеней с актуальными индикаторами компьютерных атак, а также 38 бюллетеней, которые отражали аналитическую информацию. Также в отчёте было отражено, что были проведены киберучения, в которых задействовали более 290 организаций финансовой сферы.
Анализ данных, отражённых в данном статистическом отчёте, также позволяет провести параллель между работой организаций по предупреждению данных угроз и игнорированием этих рекомендаций, которое впоследствии приводило к кибератакам.
Как подтверждение данного положения дел в отчёте были отражены случаи повторных атак, произошедшие в 2024 году. Так, несмотря на все предостережения о киберугрозах, уязвимость CVE-2022-27228 в системе 1C-Битрикс, которая была обнаружена ещё в 2022 году, несмотря на её устранение, была использована злоумышленниками впоследствии. Данным примером ФинЦЕРТ подчеркнул, что несмотря на устранение уязвимости, необходимо тщательно проверять все остальные системы, так как за время устранения кибератаки могут быть оставлены скрытые элементы, которые позволяют совершить повторные атаки. Стоит отметить, что данный пример также свидетельствует о том, что в финансовых организациях недостаточный уровень ответственности по отношению к реальным киберугрозам, так как в данном случае пренебрежение установленным регламентам приводит к повторным атакам.
При анализе рассматриваемого отчета было выявлено, что наиболее популярным способом для получения первичного доступа к организации стала компрометация подрядных организаций. Так, в 2024 году было зафиксировано 17 инцидентов у ИТ-провайдеров, что поставило под удар более 70 финансовых компаний. Примечательно, что даже после получения 80 уведомлений о компрометации контрагентов, отдельные банки все же подверглись успешным целевым атакам, что отражает проблематику ответственности не только внутренней, но и экстерриториальной.
3. Обсуждение
Касаемо данной проблемы в научно-правовом обществе также сформировалась позиция. Так, в работе А.В. Зверева было указано, что банки обязаны не только следить за собственной безопасностью, но и внедрять проверяющие механизмы на уровень безопасности партнеров, с которыми они сотрудничают [6, С. 462–464]. С данным подходом нельзя не согласиться ввиду того, что внедрение бесперебойной проверки поступающих данных, а также строгая регламентация прав доступа позволят максимально обезопасить не только себя, но и контрагентов от формирования уязвимостей и дальнейших кибератак.
Данная проблема, к сожалению, в 2024 году заблокировала оптимальную работу у 300 небольших банков на всей территории Индии, когда группировка RansomEXX совершила атаку на C-Edge Technologies, которая была непосредственным поставщиком банковских систем [10]. Таким образом, данный пример является наглядным отражением того, почему так необходима защита от атак через цепочку поставок.
Показательно, что законодательная ветвь власти также движется по траектории ужесточения ответственности конечных бенефициаров и пособников киберпреступлений. Как детализируется в обзорах ФинЦЕРТ, с 1 января 2025 года вступили в силу поправки в Федеральный закон «О связи», ужесточающие идентификацию иностранных граждан при заключении договоров на связь [1]. Дополнительно, с 1 апреля 2025 года для граждан РФ вводится лимит на регистрацию сим-карт. Данные меры, по замыслу законодателя, направлены на деанонимизацию злоумышленников, использующих мобильные прокси и подменные номера, что является критически значимым для противодействия методам социальной инженерии.
Вместе с тем, как справедливо отмечают в своих исследованиях Е. Н. Беспалов и М. Ю. Мишина, абсолютизация технических средств защиты представляется методологически ошибочной [4, С. 46-51]. Вторая, не менее значимая составляющая — это культура кибербезопасности и персональная ответственность сотрудников. Эмпирические исследования демонстрируют, что до 30% работников могут стать жертвой фишинговой атаки при отсутствии систематического обучения. Ответственность за минимизацию этого человеческого фактора ложится на руководство, обязанное интегрировать программы повышения цифровой грамотности в корпоративные KPI. Регулятор активно стимулирует этот процесс, внедряя практику обязательных киберучений, стоит отметить, что только в 2024 году в них приняло участие более 290 организаций, и тестирований на проникновение.
4. Заключение
Резюмируя вышеизложенное, можно с достаточной степенью обоснованности констатировать, что институт ответственности за киберугрозы в российском банковском секторе представляет собой динамично эволюционирующую, многосубъектную систему, структурная организация которой базируется на трех фундаментальных элементах. Во-первых, это жесткий нормативный каркас, выстроенный Банком России, подкрепленный неотвратимостью санкционного воздействия. Во-вторых, это координирующая и превентивная функция ФинЦЕРТ, формирующего единое информационное поле для противодействия угрозам. В-третьих, это внутренняя ответственность самих кредитных организаций, которые, как справедливо заключает в своей работе А.П. Буевич, призваны не только имплементировать передовые технологии защиты, но и формировать культуру безопасности, управлять рисками поставщиков и минимизировать уязвимости персонала.
Именно синергия этих трех компонентов, по единодушному мнению, исследовательского сообщества, выступает необходимым и достаточным условием обеспечения устойчивости финансовой системы и сохранения доверия к ней в эпоху перманентного киберпротивостояния.
The additional file for this article can be found as follows:
Further description of analytic pipeline and patient demographic information. DOI: