«Закручивание гаек» для защиты информации может привести к уходу малого бизнеса с рынка

00:00, 24.02.2026

Эксперты «Реального времени» считают меры по усилению требований к МФО и страховщикам дорогими, но необходимыми

«Закручивание гаек» для защиты информации может привести к уходу малого бизнеса с рынка — Фото: Реальное время

С 1 января 2027 года Банк России ужесточит требования к некредитным финансовым организациям в области защиты информации. В частности, планируется ввести обязательное использование антивирусных средств для МФО, обязать страховые компании, НПФ и регистраторов не реже, чем раз в три года привлекать сторонних специалистов для проверки уровня защиты информации, ввести обязательную оценку программного обеспечения и приложений на соответствие требованиям безопасности, а также запретить использование технологии «единого входа через «Госуслуги» для финансовых операций. В том, насколько необходимы эти меры, будет ли от них реальный эффект и насколько дорого компании и их клиенты заплатят за усиление кибербезопасности, разбиралось «Реальное время».

Основа безопасности — защита и проверка ее надежности

Центробанк расширил перечень финансовых организаций, которые с 1 января 2027 года будут обязаны повысить уровень безопасности информации при проведении операций с клиентами. Банк России опубликовал поправки, внесенные в Положение «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций».

Для страховых компаний, НПФ и регистраторов вводятся следующие требования:

привлечение независимых специалистов не реже одного раза в три года для проверки защиты данных с учетом требований Национального стандарта РФ ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций...»;
обязательный анализ программного обеспечения и приложений (в том числе которые предоставляются клиентам) на соответствие требованиям по защите данных.

При этом Центробанк закрепил право некредитных финансовых организаций не проводить сертификацию или оценку соответствия разрабатываемого ими программного обеспечения и приложений, если они обеспечили сертификацию процессов безопасной разработки программного обеспечения ФСТЭК России.

Также установлены новые требования к микрофинансовым организациям:

обязательное использование антивирусных программ;
регистрация событий, которые связаны с защитой данных.

Установлены новые требования к микрофинансовым организациям. *Артем Дергунов / realnoevremya.ru*

Установлены сроки предоставления некредитными финансовыми организациями Банку России сведений о выявленных инцидентах защиты информации, принятых мерах и проведенных мероприятиях по реагированию на инцидент.

Также Центробанк уточнил требования к использованию электронной подписи и средств криптографической защиты и установил порядок регистрации информации о действиях клиентов при приеме электронных сообщений к исполнению в автоматизированных системах и приложениях.

«Кто не сможет оплатить, будет вынужден уйти»

Генеральный директор Ассоциации развития финансовой грамотности Эльман Мехтиев считает, что эти изменения давно назрели.

— Одна из основных сегодняшних проблем — это не просто утечка персональных данных, а использование мошенниками этих самых персональных данных, — заявил он «Реальному времени». — Персональные данные — это всего лишь один из видов информации. И если речь идет о том, что в одном секторе финансового рынка требования к их защите одни, а в другом секторе — другие, понятно, что рынок потечет туда, где требований меньше, и туда же пойдут мошенники и взломщики. Хочет того бизнес или нет, стандарты надо соблюдать, и если в одном месте они работают эффективно или обеспечивают более высокий уровень защиты, то и в другом месте надо двигаться в этом направлении. Поэтому спасибо Банку России, который сказал, что изменения вступят в силу 1 января 2027 года, а не еще вчера.

Он полагает, что за усиление кибербезопасности бизнесу придется заплатить, но оценивать последствия надо не с точки зрения сумм, которые придется вкладывать, а с точки зрения последствий: тот, кто не сможет оплатить меры по защите данных, будет вынужден уйти из бизнеса. А поскольку спрос на услуги этого бизнеса останется, он достанется тому, кто готов инвестировать в безопасность:

— Поэтому вопрос не в том, сколько это будет стоить бизнесу. Вопрос в том, чтобы понимать, что будет твориться на рынке и как не уменьшить будущие доходы.

«Затраты неизбежны»

Проблема защиты информации не нова, говорит президент Союза страховщиков Республики Татарстан Ринат Касимов, и страховой рынок периодически сталкивается с проблемами утечки данных:

— Последний яркий случай — когда взломали ВСК, и работа компании была практически парализована на долгое время. Поэтому страховщики давно озабочены защитой данных и сами проверяют программное обеспечение на уязвимость, обязательно пользуются антивирусными приложениями, перестраивают в этом направлении инфраструктуру. Да, все это стоит дорого, но затраты на безопасность неизбежны, особенно после того, как началась СВО — количество атак на инфраструктуру страховых компаний кратно выросло.

Ринат Касимов говорит, что страховой рынок периодически сталкивается с проблемами утечки данных. *Динар Фатыхов / realnoevremya.ru*

Он перечислил проблемы, с которыми пришлось столкнуться: взломы личных кабинетов сотрудников, оформление через них договоров и полисов, по которым деньги страховщикам не передавались, попытки украсть информацию, персональные данные.

Касимов полагает, что затраты на доработку систем защиты, покупку программного обеспечения и т. п. влетят в копеечку страховщикам, причем труднее всего придется небольшим страховым компаниям, а для крупных федеральных компаний все это не станет непосильным бременем:

— Ведь при объемах сборов в десятки миллиардов рублей и при сборах один-два миллиарда рублей расходы будут примерно одинаковые.

Глава Союза страховщиков РТ также рассказал, что компании уже практикуют тренировки с участием всех сотрудников. В рамках проверки, например, могут поставить перед всем персоналом задачу в течение нескольких часов поменять пароли рабочих компьютеров, проверить сотрудников на бдительность в отношении фишинговых ссылок, учитывая, что взломы обычно происходят по одной схеме — сотрудник открывает вредоносное сообщение и нажимает кнопку. Есть, говорит он, у страховых компаний и специальные инструменты — фильтры и ящики для сомнительных писем, которыми занимаются специальные группы.

«Формально поставить антивирус — не значит защититься»

Директор по развитию компании TOP IT Артур Гараев считает эти меры оправданными.

— Точно имеют смысл сокращение срока реагирования с суток до трех часов — современные кибератаки развиваются молниеносно, и сутки — это «возраст» инцидента, когда ущерб уже нанесен, — пояснил он «Реальному времени». — Три часа — это приведение стандартов финансового сектора к нормам реагирования для объектов КИИ, где такой регламент уже работает. Важно при этом выстроить грамотно настроенный SOC (центра мониторинга кибератак) внутри компании.

Обязательный аудит ИБ сторонними специалистами для страховых компаний и НПФ тоже полезен, говорит Гараев, поскольку это «взгляд со стороны», который всегда выявляет слепые зоны, к которым привыкла команда внутри. Но, по его мнению, аудит приведет к дополнительным затратам, которые явно отразятся на клиентах.

Запрет на единый вход через «Госуслуги» для финансовых операций — это тоже необходимая мера, считает эксперт, которая направлена на прямое закрытие направления атак, когда компрометация одного пароля от Госуслуг открывала мошенникам доступ ко всем финансам жертвы. И хотя платой за безопасность будут избыточные действия по неоднократной авторизации, дело того стоит.

— Малоэффективным может оказаться только установка антивирусных средств для МФО, хотя это и базовое требование, — отметил Артур Гараев. — Формально поставить антивирус без выстраивания процессов регистрации событий и быстрого реагирования на те самые три часа— не значит защититься. Все меры защиты обязательно должны идти вместе, в комплексе.

«Ограничение выглядит разумным»

Генеральный директор компании Innostage Айдар Гузаиров говорит, что использование антивирусов выглядит логичным минимальным стандартом безопасности и особенно это актуально для региональных организаций, где базовая защита рабочих станций и серверов может быть слабой:

— Важно понимать, что классический антивирус сегодня не способен полностью защитить от некоторых видов угроз — целевых фишинговых атак или сложных атак на веб-приложения. Эффективность такой меры будет высокой только при использовании современных решений с поведенческим анализом, возможностью локального мониторинга, а не просто для галочки в отчете.

Айдар Гузаиров говорит, что использование антивирусов выглядит логичным минимальным стандартом безопасности и особенно это актуально для региональных организаций. *Мария Зверева / realnoevremya.ru*

По мнению эксперта «Реального времени», привлечение к проверкам уровня защиты информации сторонних специалистов — правильный шаг, но периодичность — раз в три года — вызывает вопросы. Независимый аудит, включая тесты на проникновение, анализ конфигураций серверов и веб-приложений, помогает выявить уязвимости, которые внутренние ИБ-службы могут пропустить, говорит он, но за три года могут появиться новые уязвимости и эксплойты, поэтому есть риск, что проверка превратится в формальную процедуру, особенно если результаты не будут оперативно внедряться.

— Оценка программного обеспечения и приложений на соответствие требованиям безопасности, на первый взгляд, одна из наиболее эффективных мер из перечисленных, — пояснил Гузаиров. — Она позволяет выявлять уязвимости еще на этапе разработки и эксплуатации, прежде чем ими смогут воспользоваться злоумышленники. Это особенно важно для мобильных и веб-приложений, где часто встречаются ошибки авторизации, уязвимости API и проблемы со сторонними библиотеками. Аудит должен включать анализ кода (SAST/DAST), проверку сторонних компонентов и поставщиков, а также оценку процессов безопасной разработки.

Что же касается сокращения времени реагирования на инциденты с суток до трех часов, то, по его мнению, быстрое выявление и локализация инцидента минимизируют ущерб и стимулируют создание круглосуточных центров мониторинга, но это реализуемо для крупных организаций. Для небольших же участников рынка такой стандарт создаст дополнительную нагрузку и увеличит издержки, поэтому важно сочетать требования с рекомендациями по организации процессов и при необходимости использовать аутсорсинговый SOC (Центр противодействия киберугрозам) или облачные решения мониторинга.

Аккаунт ЕСИА не будет единственным способом авторизации переводов, кредитов или заключения договоров. *Михаил Захаров / realnoevremya.ru*

Айдар Гузаиров также оценил эффект от вводящегося с 2027 года запрета на использование «единого входа через Госуслуги» для финансовых операций. Он предположил: скорее всего, имеется в виду, что аккаунт ЕСИА не будет единственным способом авторизации переводов, кредитов или заключения договоров. Такая мера снижает системный риск, считает он: даже если один аккаунт окажется скомпрометированным, злоумышленник не получит мгновенного доступа ко всем сервисам. При этом первичная идентификация через Госуслуги может сохраняться при использовании дополнительных факторов аутентификации — push-уведомлений, одноразовых кодов или биометрии:

— Ограничение на проведение финансовых операций выглядит разумным, но его реальная эффективность будет зависеть от конкретной технической реализации и того, как организации адаптируют свои процессы под эти требования.

«Это влияет на жизнь каждого»

Айдар Гузаиров ранее отмечал, что Россия переживает момент, когда последствия кибератак становятся очевидными для всех, они напрямую затрагивают жизнь граждан:

— Мы наконец-то все вместе начинаем понимать, что такое кибербез в нашей жизни, как хакеры могут влиять на жизнь каждого. Не просто звонить, как мошенники, и воровать деньги, а делать атаку на какой-то объект, который влияет на экономику страны, на население.

Он указывал на очень важное обстоятельство: расследования все чаще показывают, что злоумышленники проникают в инфраструктуру компаний задолго до обнаружения взлома и остаются незамеченными годами, имея возможность в любой момент полностью вывести организацию из строя, и это происходит даже в тех компаниях, в которых на обеспечение информационной защиты тратятся большие деньги.

Злоумышленники проникают в инфраструктуру компаний задолго до обнаружения взлома и остаются незамеченными годами, имея возможность в любой момент полностью вывести организацию из строя. *Артем Дергунов / realnoevremya.ru*

Также Айдар Гузаиров говорил о том, что ранее надежные зарубежные системы безопасности сегодня могут стать потенциальной угрозой, так как нет прозрачности относительно того, кто их контролирует.

Технический директор «Лаборатории Касперского» Антон Иванов указывал, что одна из причин той легкости, с которой происходят вмешательства, кроется в том, что многие компании используют зарубежные облачные сервисы. И предрекал скорое осуществление автоматических кибератак на инфраструктуры предприятий с использованием возможностей ИИ.

Инна Серова

Подписывайтесь на телеграм-канал, группу «ВКонтакте» и страницу в «Одноклассниках» «Реального времени». Ежедневные видео на Rutube и «Дзене».