СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Блоги
RTM Group
27 марта
#Статьи #ИБ

Смерть бумажной безопасности: почему «лучшие практики» больше не гарантируют защиту и что с этим делать

Смерть бумажной безопасности: почему лучшие практики больше не гарантируют защиту и что с этим делать

Компании каждый год проходят аудит безопасности, но атак меньше не становится. По статистике, в 2024 году утечки данных суммарно составили 457 млн строк с данными российских пользователей. А уже в 2025 году значение выросло до 767 млн. Рост почти вдвое всего за один год показывает – техники злоумышленников развиваются стремительно. Стандарты безопасности уже не защищают, как раньше.

В этом материале Алина Кардашевская, младший консультант по ИБ RTM Group, разберется в том, является ли в наше время бумажное свидетельство о прохождении аудита гарантией безопасности для финансовых организаций или формальное соответствие больше не обеспечивает защиту?

Почему ГОСТ 57580 и PCI DSS уже не работают?

Сегодня все финансовые организации, от крупных банков до НФО, придерживаются требований стандартов по информационной безопасности, включая ISO/IEC 27001, СТО БР ИББС, ГОСТ 57580.1 и PCI DSS. Именно они считаются лучшими практиками для защиты игроков этого рынка. Однако мы сосредоточимся именно на двух стандартах, связанных с финансовыми операциями. Это ГОСТ 57580.1-2017 и международный PCI DSS.

ГОСТ 57580.1-2017 — ключевой стандарт для финансового сектора. Он включает в себя более 600 мер безопасности и представляет собой самое полное руководство по защите информации. Для банков, страховых компаний и НФО его выполнение – основное условие соответствия требованиям Центрального Банка.

PCI DSS – международный стандарт, разработанный Visa, Mastercard, American Express, JCB и Discover. Сегодня он действует во всем мире и задает единые правила защиты данных карт. Его обязаны соблюдать все компании, работающие с картами, включая российскую систему «Мир». Без выполнения требований организация не сможет принимать оплату картами, а за нарушения назначают штрафы или полностью отключают от проведения платежей.

Но достаточно ли этих требований сегодня? Работают ли стандарты так же эффективно, как раньше? ГОСТ 57580.1-2017 опубликовали в 2017 году, то есть почти 10 лет. Для сферы информационных технологий это огромный срок. За это время кардинально изменилась архитектура приложений, широко распространились сложные технологии. Появились совершенно новые атаки: с использованием искусственного интеллекта, программ-вымогателей ransomware, развилась социальная инженерия. Упомянутый стандарт всего этого не учитывает, а значит, только с его помощью обеспечить комплексную защиту невозможно.

PCI DSS в 2024 году был актуализирован до новой версии 4.0.1 с более сложными требованиями к обеспечению безопасности платежей. Но улучшает ли это реальную защиту?

Очень хорошо и подробно об этом говорят авторы исследования, опубликованного в 2025 году в «Международном журнале научных исследований в области компьютерных наук, инженерии и информационных технологий». В данной работе были рассмотрены утечки прошлых лет в крупных компаниях и выявлены значительные разрывы между соответствием и реальными результатами в области безопасности. Злоумышленники успешно использовали вредоносное ПО, которое не замечали антивирусы. Эксплуатировали необновленное ПО и подолгу оставались в сети незамеченными. При этом все организации на момент атак имели действующие сертификаты PCI DSS предыдущих версий.

Сейчас подход не изменился. Стандартом по-прежнему проверяется наличие средств защиты вместо оценки их эффективности против реальных атак. Поэтому, даже с учетом недавнего обновления требований, возникает необходимость более динамичного подхода к защите данных платежных карт.

Проблема далеко не в возрасте стандартов, а в самом подходе к оценке. Они не учитывают современные атаки, такие как:

  • социальная инженерия;
  • атаки с использованием искусственного интеллекта;
  • вредоносное ПО, которое антивирусы не видят;
  • программы-вымогатели.

Перейдем к конкретике и посмотрим, какие несоответствия есть в требованиях защиты.

PCI DSS требует многофакторной аутентификации для любого подключения к среде данных держателей карт. Но даже MFA не спасает, если злоумышленники через социальную инженерию убеждают пользователя самостоятельно сбросить защиту. Требование выполнено. Система соответствует стандарту, но данные утекают.

Стандарты предусматривают обучение сотрудников по процессам защиты. Но противостоять опасностям, связанным с ИИ, не предусмотрено требованиями. Нейросети генерируют реалистичные дипфейки, а также без ошибок создают фишинговые письма. Обучение проведено, но распознать поддельный голос руководителя сотрудники не могут.

Стандарты требуют использования антивирусного программного обеспечения и регулярного обновления сигнатурных баз. Но современные атаки применяют вредоносное ПО, которое антивирусы не видят. Например, Zero-day эксплойты или полиморфные вирусы. Пока средство защиты функционирует, вредоносное ПО уже собирает данные.

Меры защиты предусматривают требования о создании, хранении и проверке целостности резервных копий. Но программы-вымогатели уже научились шифрованию копий, если они доступны из сети. И если до них доберется вредонос, восстановить все равно будет невозможно.

Аналогичных примеров много, но вывод один: наличие процедур не равно защите.

Когда дыры в защите становятся проблемой

Выше мы разобрали основные несоответствия реальности, имеющиеся в главных стандартах для финансовой сферы. Теперь обратимся к цифрам – когда пробелы превращаются в проблемы безопасности и оборачиваются реальными инцидентами. Посмотрим на статистику.

По данным экспертов, в 2025 году 53% успешных атак на финансовый сектор были реализованы именно через социальную инженерию. «Лаборатория Касперского» отмечает, что 83% финансовых учреждений в России столкнулись с киберугрозами в корпоративной электронной почте – одним из главных каналов доставки фишинга.

В обзоре Банка России на 2026 год атаки с применением искусственного интеллекта названы одними из главных киберугроз. В ЦБ поясняют: ИИ-атаки имеют высокий уровень автоматизации и невысокий порог входа, что делает их доступными для широкого круга злоумышленников. Можно не сомневаться, что в ближайшее время число таких инцидентов вырастет.

Также аналитики подсчитали, что в 50% случаев для успешных атак использовалось вредоносное программное обеспечение. По данным «Лаборатории Касперского», в 2025 году количество атак с применением банкеров выросло в 4 раза, шпионского ПО – на 42%. По исследованиям центра исследования киберугроз Solar 4RAYS, в 2025 году в кредитно-финансовых организациях зафиксировано свыше 375 тыс. случаев заражений ВПО.

По данным «Лаборатории Касперского», число атак программ-вымогателей на финансовый сектор выросло на 32% в 2025 году. Осенью этого же года эксперты зафиксировали крупнейший всплеск числа атак шифровальщиков на российские организации, включая финансовые.

Цифры говорят сами за себя: хакеры атакуют именно там, где есть слабости. Чтобы противостоять этим угрозам, недостаточно просто выполнить требования ГОСТ 57580.1-2017 или PCI DSS. Нужно перестраивать подход к защите. Разберем, на что реально стоит обратить внимание, пока стандарты не доработаны.

На что обратить внимание при построении защиты

Поговорим о решениях. Мы обобщили опыт защиты банков и платежных сервисов. Далее расскажем, какие реальные практики помогут финансовым организациям устранить пробелы стандартов и позаботиться о безопасности.

1. Защищайтесь от реальных угроз

Изучайте статистику атак в финансовом секторе. Например, отчеты ФинЦЕРТ, Solar 4RAYS, Positive Technologies, Лаборатории Касперского. Они показывают актуальную картину событий в мире информационной безопасности и прогнозируют ожидаемые угрозы. Регулярный анализ отчетов помогает настроить защиту под реальные атаки.

2. Готовьтесь к новым и сложным атакам на инфраструктуру

Выявляйте скрытые угрозы с помощью анализа активности в сети, поведения пользователей, контроля целостности систем при помощи следующих решений:

  • SIEM для сбора событий;
  • UEBA для выявления аномалий в поведении пользователей;
  • EDR для мониторинга конечных точек;
  • NTA для анализа сетевого трафика.

Такие решения замечают атаку на ранних стадиях, пока злоумышленник еще не успел добраться до критической информации.

3. Проводите тестирование на проникновение

Обязательно проверяйте собственную защищенность от актуальных угроз через тесты на проникновение, моделирующие реальные действия злоумышленников. Для финансовых организаций важно, чтобы пентест включал разные сценарии: внешний и внутренний, тестирование веб и мобильных приложений, а также социальной инженерии. Результаты покажут способность системы защиты противостоять атакам, а также выявят ее слабые места.

4. Организуйте процесс реагирования на инциденты

Для банков и платежных сервисов критически важно реагирование на атаки в любой момент времени. Используйте внешний центр мониторинга (SOC) как дополнение к своей команде специалистов. SOC круглосуточно анализирует события в системе и самостоятельно принимает меры по реагированию на инциденты. Внедрение такого центра значительно снижает нагрузку для специалистов ИБ и повышает защищенность систем от инцидентов.

5. Защищайте резервные копии

Применяйте метод резервного копирования данных «3-2-1». Он заключается в создании трех копий данных, две из которых хранятся на разных носителях, одна – вне организации. Регулярно проводите тестовое восстановление данных, чтобы убедиться в их работоспособности. Используйте неизменяемые хранилища, которые не позволят удалить или зашифровать копии. Такие действия защитят от программ-вымогателей и обеспечат возможность восстановления данных в любой момент времени.

6. Проводите обучение сотрудников

Обучайте сотрудников противостоять атакам социальной инженерии на практике. В такие курсы важно включить рассылку фишинговых писем, сообщений в мессенджерах и SMS, а также имитацию звонков от «руководства» или «техподдержки». Для автоматизации можно использовать российские платформы: Phishman, SECURE-T, StopPhish, StartX или MEDOED. Они отслеживают статистику и обучают сотрудника сразу после ошибки. Отдельное внимание – атакам с использованием ИИ. Объясняйте, как распознать дипфейки или поддельный голос.

Практическое обучение с разбором ошибок дает реальный результат и повышает внимательность к актуальным угрозам.

Все эти меры действенны только в комплексе. Нужно выстраивать системную работу: защита данных, тестирование, мониторинг, обучение. И делать это постоянно, а не перед аудитом.

Заключение

Нельзя однозначно сказать, что наступила «смерть бумажной безопасности».

С одной стороны, ГОСТ 57580.1-2017 и PCI DSS все еще остаются лучшими практиками защиты финансовых организаций. Они выстраивают крепкий фундамент. Тем более, соблюдать их необходимо – без соответствия невозможно выполнить требования ЦБ или осуществлять прием платежей по банковским картам.

С другой стороны, злоумышленники сегодня действуют за рамками «бумажек». Они используют методы социальной инженерии, технологии искусственного интеллекта, вредоносное ПО и программы-вымогатели. Те организации, которые ограничиваются лишь получением свидетельства соответствия, подвергаются повышенному риску.

Поэтому только комбинированный подход, сочетающий лучшие практики ГОСТ 57580.1-2017, PCI DSS и современные решения, может являться гарантией защиты финансовых организаций в настоящее время.

RTM Group
Автор: RTM Group
RTM Group — ведущая консалтинговая компания в области информационной безопасности, судебной экспертизы и ИТ-права.
Комментарии: