5 часов назад
Александр Товстолип
руководитель Управления информационной безопасности Ассоциации Финтех
На секции «Информационная безопасность» в рамках CNews Forum 2026 Александр Товстолип, руководитель Управления информационной безопасности Ассоциации ФинТех(АФТ), рассказал, где проходит граница допустимого риска при переходе банков на облачные технологии, а также о том, почему аутсорсинг инфраструктуры не освобождает от ответственности.
Облака: почему банки переходят в цифровую инфраструктуру
Сегодня облака становятся новой инфраструктурой для финансового сектора. Банки сталкиваются с понятными вызовами: растёт скорость трансформации, количество киберугроз, повышаются требования регуляторов. Клиенты при этом хотят сервис 24/7 без простоев и зависших транзакций. Во многих из этих задач помогают облака. Облачная инфраструктура позволяет решать вопросы распределённости, устойчивости и масштабируемости. По сути, облака становятся инфраструктурой цифровой конкуренции, они дают банкам возможность реализовывать проекты быстро, надёжно и, зачастую, недорого.
Для банка вопрос миграции в облака уже решён, он видит пользу. Но возникает вопрос о рисках, которые банк готов при этом принять.
Пять главных рисков: что волнует банки при переходе в облако?
Особенность банковской сферы — большая концентрация критичных данных и зависимость от непрерывности сервисов. Технологический риск, который приносят облака, может превратиться в операционный, финансовый, кредитный и репутационный.
Если говорить на верхнем уровне, банки выделяют пять типов рисков:
- Потеря прямого контроля.Инфраструктура разворачивается у провайдера, банк физически не видит и не понимает, что происходит в его инфраструктуре.
- Риск концентрации.Если у облачного провайдера сосредоточено несколько банков-клиентов, то отказ инфраструктуры провайдера создает риски отказа в работе ряда финансовых организаций и это бьёт по репутации как отдельных банков, так и по устойчивости финансовой системы.
- Управление данными.Хранение и доступ к данным находятся у третьей стороны, а это требует как четкого регулирования, так и прозрачных подходов в управлении таким доступом.
- Скорость изменений.В облаке обновления и появление новых сущностей происходят быстрее, чем некоторые банки успевают это контролировать.
- Зависимость от третьей стороны.Репутационные потери может нанести сбой не у самого банка, а у провайдера.
Ассоциация ФинТех совместно с экспертами рынка сформировала детальную карту рисков применения публичных облачных провайдеров на финансовом рынке, в которой разделила эти риски на несколько категорий и предложила перечень мер управления рисками. Каждый банк должен понимать свои риски и управлять ими, т.к. переход в облако без такой подготовки — не самая правильная история.
Облака не убирают риски полностью, они их перераспределяют. Модель меняется: в традиционной архитектуре у банка есть периметр, он его защищает, изменения предсказуемы. В облаках всё иначе: постоянные обновления, появление новых сущностей и зависимостей.
Разделяемая ответственность: главный принцип и главное заблуждение
Краеугольный камень при переходе в облако — модель разделяемой ответственности. Многие провайдеры предлагают матрицы, кто за что отвечает. Но есть важный нюанс: разделяемая ответственность часто воспринимается как разделяемая подотчётность.
По факту это не так, подотчётность всё равно остаётся у банка. Ответственность за клиента и ответственность перед регулятором остаётся у банка, где бы он ни размещал свою инфраструктуру. Провайдер отвечает за инфраструктуру: железо, сеть, дата-центр. А банк — за доступы, конфигурации, мониторинг, управление данными. Это нужно чётко понимать.
Банки в облаках: где проходит граница допустимого риска?
Банк, планирующий переход в облако, должен задать вопросы провайдеру и внутренним командам:
- Что произойдёт, если провайдер упадёт?
- Как быстро восстановится сервис?
- Как быстро можно мигрировать в другой облачный дата-центр?
- Какие роли существуют, кто какие данные видит?
Ответы на эти вопросы – основа для старта проекта по облачной трансформации.
Безопасность в облаке: непрерывный процесс
Инфраструктуру можно аутсорсить, а ответственность — нет. Она остаётся на банке, поэтому управление безопасностью крайне важно, особенно — контроль над критическими сервисами и процессами.
Роль руководителя ИБ меняется, теперь он отвечает не просто за периметр, а за устойчивость бизнеса. Даже если банк не привязан к облакам, безопасность должна участвовать в разработке архитектуры, тестировании инфраструктуры и оценке рисков третьих сторон.
Что помогает банку управлять рисками при использовании публичных облаков:
- проработанная стратегия безопасности организации в облаке;
- регулярные штатные учения, чтобы все понимали, как действовать при инциденте;
- независимая оценка готовности команды;
- постоянный контроль конфигураций — изменения в облаке нужно мониторить;
- сегментация и принцип минимальных привилегий;
- тестирование и постоянный аудит прав доступа.
Безопасность облака — это не какой-то чек-лист для галочки, который поставили и забыли. Её нужно тестировать, поддерживать, мониторить, проводить аудиты и понимать, что она соответствует ожиданиям и потребностям банка.
Банки уже идут в облака
Облака в банках — это уже не эксперимент, а состоявшаяся реальность. Банки активно идут в облака, пользуются ими, ближайшее будущее уже наступило. Главный риск — не технология, а отсутствие выстроенного процесса управления рисками и кибербезопасностью. Этот процесс нужно начинать выстраивать до того, как принято решение о переходе в облако.
В конкурентной борьбе будут выигрывать те банки, которые умеют применять технологии и сочетать скорость, устойчивость, инновации и управление рисками.
Важно помнить, что инфраструктуру можно отдать на аутсорс, но ответственность — никогда.
 Финтех АФТ.jpg)
фото: Ассоциация ФинТех
Журнал RUБЕЖ
Пожарная безопасность
Транспортная безопасность
