Аркадий Прокудин, Compliance Control: Безопасность — это не только деньги, но и доверие

В кибербезопасности давно обсуждают технологии, но ключевая уязвимость остаётся прежней — человек. Даже самые сложные системы защиты не работают, если пользователь сам передаёт доступ злоумышленнику. Вместе с Аркадием Прокудиным, коммерческим директором Compliance Control, обсудили, как меняется ландшафт угроз, почему доверие становится критичным фактором и как бизнесу выстраивать защиту в новой реальности.

По данным Банка России, сегодня банки предотвращают хищения на триллионы рублей. Одновременно рынок оценивает ущерб от дистанционного мошенничества в сотни миллиардов рублей ежегодно. Какой показатель лучше отражает реальное состояние отрасли: объём предотвращённых атак или объём средств, которые всё-таки удалось похитить?

А.П.: Я бы не стал противопоставлять эти показатели напрямую. Объём предотвращённых атак показывает, сколько угроз сегодня останавливают банки и финтех-компании. Объём украденных средств — цену атак, которые всё-таки оказались успешными.

Но, на мой взгляд, для отрасли важнее другой вопрос: как каждая успешная атака влияет на доверие клиентов к финансовым институтам.

Кибербезопасность сегодня работает не только с риском потери средств, но и с доверием. Успешная атака снижает доверие к банку, финтех-компании, ретейлеру, маркетплейсу — любому участнику платёжной цепочки. Она показывает клиенту, что организация недостаточно позаботилась о его данных, платёжной информации и безопасности сервиса.

В российском бизнесе долго существовало ощущение, что репутационные риски не являются критичными. Но в условиях высокой конкуренции и мира, в котором информация распространяется мгновенно, потеря доверия может стоить компании очень дорого.

Поэтому, когда мы говорим о ценности кибербезопасности, я бы говорил не только о количестве предотвращённых атак или сумме украденных средств. Главный показатель — способность бизнеса сохранять доверие клиентов.

В последние годы финансовый рынок получил беспрецедентное количество инструментов защиты: антифрод-платформы, обмен данными между банками, биометрию, машинное обучение, новые требования регуляторов. Если посмотреть на ситуацию глазами клиента, стал ли он объективно более защищённым, чем пять лет назад?

А.П.: Отвечая на этот вопрос, я бы сказал, что клиент оказался в другой цифровой среде. Мир не стал однозначно безопаснее или опаснее. Он стал технологичнее, быстрее и сложнее. Появившиеся инструменты действительно закрывают часть прежних рисков, но вместе с новыми возможностями возникают и новые угрозы.

Хороший пример — системы искусственного интеллекта (ИИ) и машинного обучения (ML). Они позволяют быстро анализировать большие массивы данных, прогнозировать поведение клиентов, формировать индивидуальные предложения, планировать закупки и производство. Раньше эти задачи выполняли люди, сейчас их всё чаще берут на себя алгоритмы.

Однако, как выясняется, у систем ИИ/ML появляются собственные векторы атак. Как минимум можно повлиять на обучающую выборку, изменить алгоритм обучения или исказить результаты работы модели. В каждом из этих случаев бизнес получает некорректный результат и может потерять доверие к самой технологии.

Похожая логика есть и в теме постквантовой криптографии. В профессиональной среде этот риск описывают через подход Harvest Now, Decrypt Later (HNDL), то есть «собрать данные сейчас, а расшифровать позже». Смысл в том, что злоумышленник может перехватить зашифрованный массив очень важных данных сегодня, когда на его взлом требуются годы или практически недостижимое время.

Например, для расшифровки сообщения, защищённого алгоритмом AES-128, современному суперкомпьютеру потребуется более 5 × 10¹⁵ лет — больше возраста нашей Вселенной. Но если через 5–10 лет появятся существенно более мощные квантовые компьютеры, часть текущих алгоритмов может оказаться под угрозой. Поэтому особенно ценны данные, которые не устаревают: можно накопить сегодня и попытаться раскрыть позже.

Безопасность не может быть задачей, решённой раз и навсегда. Она развивается вместе с технологиями.

Сегодня всё чаще звучит тезис, что главной целью мошенников стал не банк, а человек. Получается, финансовая отрасль научилась защищать инфраструктуру быстрее, чем пользователя?

А.П.: Да, человек по-прежнему остаётся самым слабым звеном в цепи защиты. Это классика, которую изучают в университетах по кибербезопасности. Я сам преподаю в МГТУ им. Баумана, на кафедре ИУ-10, поэтому для меня ответ очевиден: можно строить сложные системы защиты, закрывать доступ к данным, усиливать инфраструктуру, но если злоумышленник психологически успешно воздействует на человека с легальным доступом, путь к цели становится гораздо короче, проще и дешевле.

Именно поэтому мы видим так много атак через звонки, мессенджеры и социальную инженерию. Войти в доверие к человеку и заставить его самостоятельно передать данные, деньги или доступы часто проще, чем обходить сложную эшелонированную техническую защиту.

Технологии сами по себе не решают проблему, если человек не понимает, как ими пользоваться. Можно привести простую аналогию: у нас в кармане лежит устройство огромной вычислительной мощности. Например, производительность iPhone 16 — примерно 350 000 MIPS, то есть 350 миллиардов операций в секунду. При этом компьютер, который рассчитывал миссию «Аполлон-11» (первый полёт человека на Луну), работал на несопоставимо меньших параметрах: порядка 2 МГц и 2 КБ оперативной памяти — около 0,1 MIPS.

Проблема не только в мощности технологии, а в том, как мы её используем. Если пользователь записывает пароль на стикере и клеит его на экран, уровень технологичности уже не играет решающей роли.

Защищать нужно не только инфраструктуру, но и поведение пользователя: через обучение, понятные сценарии, предупреждения и формирование так называемого human firewall.

В профессиональном сообществе активно обсуждают дипфейки, подделку голоса, генеративный ИИ и новые сценарии социальной инженерии. Что из угроз, связанных с ИИ, стало реальностью для финансового сектора, а что пока остаётся, скорее, страшилкой?

А.П.: Видеозвонки с подменой лица и голоса уже не страшилка, а реальность. Сегодня можно смоделировать голос, интонацию, мимику, манеру речи. Человеку пора принять подход, который в сетевой безопасности давно существует как политика нулевого доверия (Zero Trust). Логика простая: по умолчанию не доверять коммуникации только потому, что человек кажется знакомым или представляется сотрудником «важной» организации.

Раньше сам факт звонка мог восприниматься как событие: если человек говорит голосом руководителя, родственника или сотрудника банка, значит, это действительно он. Сейчас это больше не работает. По голосу уже нельзя надёжно определить, настоящий это человек или сгенерированная подделка.

Требуются дополнительные правила проверки. В корпоративной среде это могут быть регламенты подтверждения критичных операций через независимый канал, многофакторная аутентификация или привлечение нескольких участников для принятия решения (подход «четырёх глаз»). В семье — заранее согласованные проверочные фразы на случай экстренных ситуаций.

Главная мысль простая: если вас торопят, просят срочно перевести деньги или передать данные, нужно остановиться и проверить источник коммуникации. Например, попросить собеседника назвать кодовую фразу, о которой вы договорились заранее.

За последние два года государства и банки получили больше полномочий для вмешательства в подозрительные операции. Появились периоды охлаждения, дополнительные проверки переводов, новые признаки мошеннических действий. Мы движемся к модели, где безопасность начинает ограничивать свободу финансовых операций. Где проходит граница между защитой клиента и чрезмерным контролем?

А.П.: Здесь важно разделять несколько уровней.

С одной стороны, цифровой профиль человека давно стал ценным активом. Например, можно вспомнить обсуждение вокруг Т-Банка, который недавно сообщал о планах использовать данные и персональные предпочтения клиентов для таргетированной рекламы своих услуг. Банки, маркетплейсы, телеком-операторы и цифровые сервисы собирают данные о поведении клиентов и используют их для своих коммерческих задач. Это реальность современной экономики данных.

Тема выходит за пределы только банковских операций. Мы видим, что регулирование постепенно распространяется на весь цифровой контур: авторизацию пользователей, работу рекомендательных алгоритмов, прозрачность правил для владельцев сайтов и приложений. Например, сейчас обсуждаются инициативы, которые предполагают штрафы для ИТ-ресурсов за нарушение правил авторизации, скрытую работу рекомендательных систем или игнорирование требований регулятора при продвижении услуг.

Вопрос не в том, нужен контроль или нет. Вопрос в том, насколько он соразмерен рискам и не разрушает ли удобство и развитие цифровых сервисов.

Если говорить о финансовом рынке, и банки, и государство заинтересованы в снижении количества мошеннических операций. Коммерческая компания хочет сохранить клиента и его доверие. Если человек потеряет деньги из-за мошенников, он может уйти из банка или перестать пользоваться сервисом. Поэтому периоды охлаждения, дополнительные подтверждения и звонки службы безопасности часто направлены не на ограничение свободы, а на сохранение средств клиента внутри безопасного контура.

Но риск чрезмерного контроля действительно существует. Если каждая важная операция превращается в многоступенчатую процедуру и может сорвать легитимную сделку, клиент воспринимает такую защиту как препятствие. Безопасность должна останавливать подозрительные сценарии, но не превращать нормальные финансовые операции в непреодолимый бюрократический процесс. Не забываем истину: безопасность для бизнеса, а не бизнес для безопасности!

На рынке часто говорят о противостоянии удобства и безопасности. Но если посмотреть на самые успешные цифровые сервисы последних лет, они выигрывают именно за счёт простоты. Можно ли сегодня сделать финансовый сервис одновременно бесшовным для клиента и по-настоящему безопасным, или это неизбежный компромисс?

А.П.: Это всегда компромисс. Но выигрывают те компании, которые умеют сделать такую интеграцию незаметной для клиента. Пользователь не должен каждый раз вручную включать защиту, разбираться в протоколах или проходить сложные процедуры без понятной причины.

Мы каждый день подключаемся к сайтам и не думаем о том, что соединение защищено с помощью TLS. Мы пользуемся мобильной связью и не настраиваем вручную зашифрованный канал, например по протоколу RC4, чтобы защитить голосовые сообщения или СМС. Хорошая защита встроена в сервис так, что пользователь её не замечает, пока не появляется реальный риск.

Если для каждой операции человеку нужно совершать дополнительные сложные действия, сервис становится неудобным. Вспомните, например, ситуацию с использованием VPN. Поэтому востребованы будут те инструменты, которые быстро решают задачу клиента и одновременно обеспечивают безопасность в фоновом, прозрачном режиме.

На финтех-форуме много обсуждают взаимодействие банков, финтех-компаний, маркетплейсов и технологических платформ. Кто сегодня реально отвечает за безопасность клиента: банк, который проводит платёж, сервис, через который он совершается, или ответственность уже настолько распределена, что говорить об одном ответственном участнике невозможно?

А.П.: Ответственность уже давно распределена между всеми участниками платёжной цепочки. На форуме «Финтех в безопасности» мы представляем подход «Вселенная безопасного платежа». Он как раз исходит из того, что защита платежа зависит не от одного игрока, а от всей экосистемы.

Банк отвечает за безопасность средств и операций. Платёжные организации, кошельки и процессинговые компании — за перевод средств и корректную работу инфраструктуры. Ретейлеры и маркетплейсы — за взаимодействие с покупателем и безопасность клиентского пути. Сам клиент тоже участвует в защите, потому что именно он вводит второй фактор, проверяет сайт и подтверждает операцию.

У каждого участника есть свой набор требований: отраслевых, регуляторных, международных. Это могут быть PCI DSS, стандарты НСПК, требования Банка России, требования к защите криптоактивов MiCA и другие нормы. Выполнять их можно своими силами или с привлечением внешних команд по модели сервисного партнёрства.

Поэтому говорить, что безопасность клиента лежит только на банке, уже невозможно.

Вы используете термин «вселенная безопасного платежа». Если посмотреть на современную финансовую экосистему, какие её участники сегодня оказывают на безопасность не меньшее влияние, чем сами банки?

А.П.: Помимо банков, важную роль играют платёжные организации, процессинговые компании, кошельки, страховые компании, ретейлеры и маркетплейсы. Это те участники, через которых проходит взаимодействие клиента с платежом.

Отдельно стоит говорить о телеком-операторах: они обеспечивают передачу данных и развивают собственные цифровые сервисы. Кроме того, в экосистему входят криптобиржи, криптообменники и технологические платформы, которые подключаются к инфраструктуре финансовых организаций.

По сути, безопасность платежа сегодня формируется на стыке нескольких участников. И каждый из них влияет на итоговый уровень защищённости: кто-то через инфраструктуру, кто-то через клиентский интерфейс, кто-то через обработку данных, а кто-то через выполнение регуляторных требований.

В ИБ давно существует проблема формального соответствия требованиям. Компания может успешно проходить проверки, аудиты, сертификации, но при этом оставаться уязвимой. Насколько эта проблема актуальна для финансового рынка в 2026 году и какие признаки говорят о том, что безопасность в организации существует только на бумаге?

А.П.: Эта проблема остаётся актуальной с давних времён. Стандарты и аудиты нужны, потому что они задают единые правила для отрасли — устанавливают минимальный порог требований, по которым работают её участники. Для клиентов и партнёров наличие сертификатов независимого аудита — это сигнал, что компания прошла определённую проверку и соответствует базовому уровню безопасности.

Но аудит сам по себе не означает, что организация действительно защищена. Выполнение требований может быть гигиеническим минимумом, а может быть частью зрелой стратегии безопасности. Разница в том, зачем компания выполняет указанные требования.

Если бизнес воспринимает информационную безопасность только как обязательную формальность, он будет готовиться к проверкам, закрывать документы и минимально выполнять требования. Если же ИТ-инфраструктура и данные являются основным активом компании, безопасность становится условием существования бизнеса. Для банка, финтех-сервиса, телеком-компании или необанка потеря ключевой ИТ-системы может означать фактическую остановку деятельности.

Признаки «бумажной» безопасности обычно видны по отношению компании к рискам. Если о безопасности вспоминают только перед аудитом, если нет выстроенного процесса управления инцидентами, если подрядчиков подключают без проверки соблюдения внутренних политик ИБ, если одни и те же уязвимости повторяются из года в год, значит, безопасность существует скорее в отчётах, чем в реальной операционной практике.

По прогнозам Positive Technologies, в ближайшие годы особую роль будут играть атаки через API, подрядчиков и партнёрские цепочки. Получается ли так, что чем более цифровой и связанной становится финансовая экосистема, тем сложнее обеспечить её безопасность?

А.П.: Да, потому что современная ИТ-система почти никогда не создаётся полностью внутри одной компании. Любой сложный продукт состоит из множества блоков, которые разрабатываются разными командами и поставщиками. В финансовой инфраструктуре это могут быть банковские системы, процессинг, процедуры выпуска карт, учётные системы, внешние сервисы, API и подрядные решения.

Атака на цепочку поставщиков (supply chain attack) опасна именно тем, что злоумышленник может воздействовать не на основную цель, а на поставщика или подрядчика. Компания покупает или подключает легитимный продукт, но внутри него уже может быть изменённый код, уязвимый компонент или скрытая, незадекларированная возможность доступа.

То же самое касается подрядчиков и партнёров, которые работают с клиентскими данными или подключаются к внутренним системам. Иногда проще атаковать не хорошо защищённую компанию, а более слабое звено в её партнёрской цепочке. Поэтому в финансовой экосистеме критически важны аудит подрядчиков, проверка требований до интеграции и контроль того, кто и на каких основаниях получает доступ к данным.

Если бы вам сегодня пришлось выбирать только одно направление инвестиций в безопасность финансового бизнеса на ближайшие три года, что бы вы выбрали: технологии, процессы, обучение людей или изменение подходов к управлению рисками?

А.П.: Я бы не выбирал одно направление в отрыве от остальных. В каждом из них есть постоянный рост. Технологии меняются, появляются новые вычислительные возможности, развиваются модели искусственного интеллекта, а вместе с ними возникают новые риски. Процессы также усложняются: требуются сбор и эскалация инцидентов, управление инцидентами, безопасная разработка, работа с подрядчиками.

Люди остаются отдельным большим направлением, потому что именно человеческий фактор часто становится точкой входа для злоумышленников. Но заменить всех людей роботами невозможно и не нужно: именно люди часто видят нестандартные риски и помогают бизнесу развиваться, совершенствуя его своими идеями.

Если всё же искать объединяющий ответ, я бы выбрал изменение подходов к управлению рисками. Зрелое управление рисками связывает технологии, процессы и людей в единую систему. Важно понимать, какие активы являются критичными, какие сценарии для бизнеса наиболее значимы, какие подрядчики и интеграции создают дополнительные риски и где человеческий фактор требует особого внимания.

Какой миф о безопасности платежей вы считаете самым опасным для рынка сегодня?

А.П.: Самый опасный миф — «если я сделал платёж, а деньги ушли злоумышленникам, это проблема банка, а не моя». Он возникает из-за нежелания или неспособности человека брать ответственность за собственные действия в цифровой среде.

Если злоумышленник воздействует на человека, а тот сам проходит все легитимные подтверждения, вводит коды, подтверждает операцию и переводит деньги, ситуация становится сложнее, чем просто «банк меня не защитил». Банк и финансовая организация, конечно, должны выявлять подозрительные операции и снижать риск мошенничества. Но и клиент должен понимать, что его действия должны быть взвешенными и осознанными.

Опасно перекладывать всю ответственность на банк. Безопасность платежа — это совместная ответственность финансовой организации, инфраструктуры и самого пользователя.

Заголовок нашего интервью — «Самая уязвимая часть платёжной системы — человек». Что должна сделать отрасль в ближайшие годы, чтобы этот заголовок перестал быть правдой?

А.П.: Нужно постоянно обучать людей и давать им готовые сценарии поведения. Не абстрактные лекции о мошенничестве, а понятные паттерны: что делать, если звонят от имени банка; как реагировать, если просят срочно перевести деньги; как проверить собеседника; куда звонить; какие данные нельзя передавать ни при каких условиях.

Важно работать со всеми группами: с детьми, взрослыми, пожилыми людьми, сотрудниками компаний. Мир меняется быстро, и угрозы будут меняться вместе с ним. Через 20–30 лет мы сами можем оказаться в роли людей, которым сложно понять новые технологии и новые схемы обмана.

Поэтому просвещение не должно быть разовой кампанией. Это постоянный процесс: обучение, повторение, простые инструкции, тренировка критического мышления и закрепление личной ответственности за действия в цифровой среде. Только так можно снизить уязвимость человека в платёжной системе.

Аркадий, огромное спасибо за такой информативный и честный разговор. Всего вам самого безопасного!