Атаки через подрядчиков, дефицит кадров и квест с импортозамещением: главные вызовы ИБ в 2026 году

Привет, Хабр! На связи Кирилл Морданов, PR-менеджер Своего Банка.

Наша DevRel-команда регулярно вытаскивает на свет интересные кейсы и инсайды от технических специалистов СВОЙ Тех, чтобы вытащить наружу самые сочные инсайды. В этот раз с чашкой кофе я дошел до Алексея Ахмеева, начальника управления информационной безопасности банка.

Тема ИБ сейчас максимально горячая: атаки эволюционируют, регуляторы закручивают гайки, а дедлайны по импортозамещению КИИ уже дышат в спину. Я позадавал Алексею вопросы о том, как устроен современный Supply Chain в финтехе, где брать дефицитных специалистов и почему классический фишинг теперь пишут нейросети.

Под катом — выжимка нашего разговора без лишней канцелярщины и «воды».

Новые векторы атак: почему хакеры идут к вашим подрядчикам

Первое, с чего мы начали — это тренды в атаках. И здесь у меня новость, которая вряд ли кого-то обрадует: защищать только собственный периметр в 2026 году уже недостаточно. Алексей подсветил ключевой тренд — атаки на цепочку поставок.

Зачем злоумышленникам биться об эшелонированную оборону крупной финансовой организации, если можно найти мелкого подрядчика с менее зрелой ИТ-инфраструктурой? Схема классическая: хакеры взламывают компанию-партнера, закрепляются в ее доверенном контуре и через нее заходят прямиком в защищенный периметр основной жертвы. Все как в кино, только на практике.

Как банки оценивают потенциальный ущерб?

Алексей делит партнеров на две категории.

1. Второстепенный партнер. Если скомпрометировано звено, поддерживающее внутренний процесс, не влияющий напрямую на бизнес-логику, компания отделывается легким испугом и оперативной заменой партнера на более надежного.

2. Критичный партнер. Когда падает поставщик, завязанный на ключевые бизнес-процессы, под угрозой оказывается операционная надежность всего финтеха. Очевидно, что здесь цена ошибки кратно возрастает.

Параллельно эволюционировал и старый «добрый» социальный инжиниринг. Фишинг на коленке с орфографическими ошибками и дикой версткой ушел в прошлое. Теперь злоумышленники вовсю используют генеративные языковые модели. Нейросети создают кастомизированные, стилистически выверенные письма под конкретного сотрудника, информацию о котором можно получить из открытых сведений в сети или из сливов данных. Отличить такую коммуникацию от реальной рабочей переписки становится все сложнее.

Кадровый голод: дефицит качественных «управленцев» и практиков

Конечно, я не мог не спросить про кадры — сегодня больная тема для любого ИТ-направления. На рынке ИБ сложилась парадоксальная ситуация: резюме много, а работать некому. Алексей выделил две самые дефицитные категории:

1. Практики («технари»). Нужны узконаправленные эксперты, которые умеют руками настраивать и эксплуатировать специализированные средства защиты. В вузах этому практически не учат, а компетенции передаются либо производителями софта, либо интеграторами.

«На мой взгляд, наиболее оптимальное решение — взращивание компетенций в молодых специалистах. На собеседованиях мы ищем базовый фундамент и желание развиваться, а дальше точечно растим джуниоров в конкретных треках: антивирусная защита, выявление аномалий в сети, поиск уязвимостей», — отмечает Алексей.

2. Грамотные управленцы. Найти сильного руководителя в сфере ИБ — задача со звездочкой. Нужен не просто менеджер, а стратег, способный оценить зрелость процессов и найти баланс между требованиями бизнеса, которому важно ограничивать расходы и сокращать Time-to-Market, и безопасностью компании.

Регуляторный разгон: ФЗ-187, указы №166 и 250 и штрафы

Спрос на ИБ-кадры подогревается не только активностью хакеров, но и жестким контролем со стороны государства. Регулятор планомерно ужесточает требования:

• 187-ФЗ «О безопасности КИИ» + Указы Президента №166 и №250 задали курс на тотальное импортозамещение и технологическую независимость.

• Изменения в 152-ФЗ «О персональных данных» обязали финтех мгновенно информировать Роскомнадзор и ФСБ о любых инцидентах и утечках.

• Отдельным пунктом идут активные обсуждения введения оборотных штрафов за сокрытие фактов утечек ПД, профстандарт ИБ от ЦБ РФ и усиление требований к некредитным финансовым организациям.

Все это создает колоссальный спрос на квалифицированные кадры, которых на рынке физически нет в нужном количестве.

Квест «Импортозамещение КИИ»: итоги и новые дедлайны

Под конец разобрали самую хардкорную тему — импортозамещение объектов критической информационной инфраструктуры. Процесс идет полным ходом, и Алексей разложил его на два этапа:

По словам Алексея, миграция инфраструктуры — это отдельная головная боль для финтеха по двум причинам:

1. Сложность поиска аналогов. Подобрать адекватную замену «тяжелым» зарубежным СУБД и системам виртуализации без критической просадки производительности — тот еще квест. Некоторые enterprise-решения создавались десятилетиями, и бесшовно заменить их за пару лет не так просто.

2. Бюджеты. Потребуются колоссальные суммы как на покупку софта и «железа», так и на оплату архитекторов и инженеров, которые смогут все это собрать и заставить работать.

Реализация требований 187-ФЗ требует серьезного погружения в детали, и быстро такие вопросы не решаются. Те, кто начал этот путь заранее, сейчас чувствуют себя увереннее, но работы впереди все еще очень много.

Мы успели обсудить лишь верхушку айсберга, поэтому передаю слово вам в комментарии.

Коллеги, делитесь опытом:

• Как у вас в компаниях выстроена проверка безопасности подрядчиков? Устраиваете ли вы им жесткий аудит перед тем, как дать доступы к API или контуру?

• На каком этапе миграции инфраструктуры КИИ вы сейчас находитесь? С какими неожиданными «граблями» уже успели столкнуться при импортозамещении СУБД или систем виртуализации?