52% российских банков имеют слабую защиту региональных отделений, но усилили контроль за IT-подрядчиками

Российские банки заметно усилили контроль за IT-подрядчиками, но на этом фоне у атакующих появляется другой удобный маршрут — региональные филиалы и распределённые офисы. По данным RED Security SOC, всё больше кредитных организаций проверяют компании с прямым доступом к банковской инфраструктуре, но одновременно снижается доля банков с защитой филиальной сети на уровне головного офиса.

Для финансового сектора это значимый сдвиг. Долгое время одной из главных проблем считались подрядчики со слабым звеном в цепочке доверия. Сейчас банки активно закрывают этот контур через несколько инструментов:

• требования по ИБ в договорах и тендерной документации;
• запросы результатов аудитов и исследований защищённости;
• ограничение круга партнёров с прямыми интеграциями;
• проверки соблюдения требований ИБ у будущих партнёров;
• внедрение единых средств защиты для подключений.

По итогам 4 месяцев 2026 года доля банков с проверкой защищённости IT-компаний прямого доступа выросла на 6 процентных пунктов и достигла 24%. Технический директор центра мониторинга и реагирования на кибератаки RED Security SOC Владимир Зуев поясняет частое включение требований по ИБ в договоры и тендеры с запросом аудитов.

Доля инцидентов через подрядчиков выросла в 4 раза за год, и теперь почти каждый четвёртый сложный взлом начинается со взлома партнёра банка.

Атаки через подрядчиков перестали восприниматься редким риском. Банк может иметь зрелую внутреннюю защиту, но уровень защиты внешнего поставщика с технологическим доступом становится частью общей устойчивости. Для атакующих взлом небольшого подрядчика часто дешевле и проще, чем пробивание периметра крупного банка напрямую.

По результатам расследований сложных кибератак центра исследования киберугроз Solar 4RAYS ГК «Солар», в 2025 году доля инцидентов от взлома подрядчиков выросла в 4 раза и достигла 24%.

Директор по консалтингу Positive Technologies Юлия Воронова отмечает выход рисков атак через цепочки доверия из теоретической зоны. По словам Юлии Вороновой, финансовые организации стали внимательнее относиться к защите подрядчиков и партнёров с подключением к банковским системам.

Руководитель департамента кибербезопасности Альфа-банка Сергей Крамаренко говорит о проверке любой компании с подключением к инфраструктуре банка и обязательном соблюдении требований киберзащиты. По словам Сергея Крамаренко, число партнёров с прямыми технологическими интеграциями и доступом к контурам банка ограничено.

У такой проверки есть юридические и организационные пределы. Заместитель начальника департамента защиты информации Газпромбанка Алексей Плешков отмечает возможность проверки периметра IT-компаний только при письменном согласии их руководства. По словам Алексея Плешкова, со стороны IT-компаний часто появляются встречные условия с блокировкой полноценной проверки.

Пока банки усиливают контроль подрядчиков, растёт проблема филиалов. По данным RED Security SOC, доля банков с уровнем защиты региональных отделений на уровне головного офиса снизилась на 8 процентных пунктов и составила 52%. Почти у половины кредитных организаций филиальная сеть защищена слабее центральной инфраструктуры.

В филиалах часто проявляется целый набор слабых мест:

• нехватка сильных специалистов по IT и ИБ;
• меньше зрелых процессов реагирования;
• ниже скорость реакции на инциденты;
• сложнее контролировать локальное оборудование;
• слабее защита физического доступа.

Юлия Воронова указывает на поиск атакующими точек входа с высокой вероятностью успешного проникновения. Территориально распределённые структуры и филиалы попадают в эту зону.

Глава комитета по информбезопасности Ассоциации российских банков Андрей Федорец считает филиальную сеть хуже сопровождаемой с точки зрения IT и ИБ, но имеющегося уровня, по его оценке, достаточно. Внутри рынка нет единого взгляда на масштаб проблемы.

Сергей Крамаренко отмечает использование в Альфа-банке единых централизованных подходов, одинаковых процессов и защищённых каналов связи. Подобная модель снижает разрыв между головным офисом и регионами, но требует серьёзных инвестиций.

55% российских банков работают на старых системах собственной разработки без обновлений и современных требований ИБ, и в филиалах подобного хватает с избытком.

Отдельная проблема связана с унаследованными системами. По данным RED Security SOC, 55% банков используют только старые системы собственной разработки без обновлений и соответствия современным требованиям ИБ. Подобные решения часто плохо документированы, завязаны на старые технологии и имеют ограниченную поддержку.

Унаследованные системы особенно опасны в связке с филиальной сетью. При работе филиала на устаревшей системе без видимости центрального офиса в реальном времени время обнаружения инцидента увеличивается.

Ранее сообщалось о направлении российскими банками в 2025 году от 330 до 390 млрд рублей на киберзащиту. Подобная сумма составляет около 0,2% совокупных активов рынка и примерно 10% годовой прибыли.

Зона расходов банков на ИБ расширяется в нескольких направлениях:

• защита центральных дата-центров и приложений;
• аудит и контроль внешних подрядчиков;
• мониторинг региональных офисов и филиалов;
• модернизация устаревших систем разработки;
• защищённые каналы связи между объектами;
• реагирование на инциденты в распределённой инфраструктуре.

Для атакующих филиал становится удобнее, чем подрядчик при усилении контроля третьих лиц. Подрядчики проходят проверки, договоры становятся строже, доступ ограничивается. Филиал же остаётся ближе к внутренней инфраструктуре, но с более слабыми процессами и старыми системами.

Для финансовых организаций главный вывод сводится к необходимости одинаково сильной защиты по всей экосистеме. Закрыть головной офис и оставить филиалы на остаточном принципе уже не получится. Банковская инфраструктура защищена ровно настолько, насколько защищена её самая слабая точка входа.

Эксперты редакции CISOCLUB отмечают, что данные RED Security SOC показывают вход банковской ИБ в этап борьбы за всю цепочку доверия. По мнению редакции, подрядчики, филиалы, старые системы, региональные каналы связи и технологические интеграции становятся единой поверхностью атаки. При усилении одного участка защиты злоумышленники быстро переходят к другому. Финансовому сектору пора оценивать не отдельный периметр, а всю распределённую экосистему, где каждый филиал и партнёр могут стать началом атаки на центральную инфраструктуру.