Профессиональное сообщество
лидеров цифровой трансформации
Редакция

Финтех как часть Вселенной безопасных платежей

Почему CIO больше не может отделять ИБ от бизнес-архитектуры

Платежи давно перестали быть просто технической операцией. Сегодня это важнейшая часть клиентского опыта, элемент доверия к бренду и основа устойчивости бизнеса. Любая компания, принимающая оплату онлайн или офлайн, автоматически становится частью глобальной платежной инфраструктуры. А значит — неизбежно сталкивается с вопросами безопасности, надежности процессов и комплаенса.

Об этих вызовах рассказывает Аркадий Прокудин, коммерческий директор международной консалтинговой группы Compliance Control & Rakasta. Аркадий — эксперт в сфере кибербезопасности с 20-летним опытом работы в ИТ- и ИБ-индустрии России, Евросоюза и США, а также преподаватель кафедры ИУ-10 «Защита информации» МГТУ им. Н. Э. Баумана.

Аркадий Прокудин, коммерческий директор международной консалтинговой группы Compliance Control & Rakasta

«В современных условиях повышения критичности киберрисков представители бизнеса уже не могут ориентироваться только на отдельные стандарты и предписания безопасности. Если деятельность организации связана с финансовыми транзакциями, она уже является частью Вселенной безопасных платежей, вопрос лишь в том, насколько осознанно воспринимается организацией эта роль. Именно в этом заключается задача ИБ-комплаенса - в построении безопасных процессов, повышении результативности бизнеса и формировании доверия клиентов к бизнесу», - Аркадий Прокудин, коммерческий директор международной консалтинговой группы Compliance Control & Rakasta.

За последние годы банковская и финтех-сфера прошли через несколько серьезных трансформаций одновременно. Менялись регуляторные требования, ускорялось импортозамещение, усиливался фокус на локальные решения, перестраивались цепочки поставщиков, росла роль собственных разработок и внутренней экспертизы. При этом платежные сервисы не стали проще. Напротив, они стали более распределенными, технологически насыщенными и зависимыми от большого количества участников.

Сегодня платеж уже нельзя воспринимать как отдельную операцию внутри банковской системы. Для клиента это по-прежнему несколько секунд: нажать кнопку, подтвердить транзакцию, получить уведомление. Для CIO банка или финтех-компании за этим действием стоит гораздо более сложная среда: мобильное приложение, процессинг, антифрод, API, внешние интеграции, подрядчики, системы мониторинга, регуляторные требования, персональные данные и ожидание непрерывной доступности сервиса.

Именно поэтому мы все чаще говорим о финтехе не как об отдельной отрасли, а как о части более широкой Вселенной безопасных платежей. Это единое информационно-технологическое пространство, где взаимодействуют банки, финтех-компании, платежные сервисы, маркетплейсы, ритейл, технологические провайдеры и конечные клиенты. У каждого участника свои задачи, бизнес-модели и регуляторные ограничения. Но всех объединяет одно: они работают с платежами, данными и доверием.

Для CIO такой взгляд особенно важен. Если раньше безопасность можно было воспринимать как отдельный контур, который подключается на этапе проверки, аудита или реагирования на инцидент, то сегодня такой подход уже не работает. Платежная инфраструктура стала частью бизнес-архитектуры. Значит, информационная безопасность должна быть встроена в архитектуру продуктов, процессы разработки, управление данными, работу с подрядчиками и стратегию устойчивости бизнеса.

Платежная инфраструктура стала общей средой

Финтех долго развивался вокруг скорости, удобства и новых клиентских сценариев. Быстрый онбординг, моментальные переводы, электронные кошельки, QR-платежи, биометрия, рассрочки, внутренние счета, подписки, встроенные финансовые сервисы. Все это расширяет рынок и повышает качество клиентского опыта. Одновременно каждый новый сценарий увеличивает количество точек входа, интеграций и данных, которые нужно защищать.

Банки в этой экосистеме обеспечивают инфраструктуру, стандарты и контроль. Финтех-компании добавляют инновационные сервисы, новые способы оплаты и гибкость. Ритейл и маркетплейсы встраивают платежи в собственный клиентский путь. Клиент ожидает, что все это будет работать быстро, удобно и безопасно. В результате платежная инфраструктура становится не линейной цепочкой, а сетью взаимосвязей.

Для CIO это означает, что защищать нужно уже не только периметр организации. Нужно понимать всю карту зависимостей: где какие данные и возникают, какие системы участвуют в обработке транзакции, какие подрядчики имеют доступ к инфраструктуре, какие API открыты для внешнего взаимодействия, какие процессы критичны для доступности платежного сервиса.

Чем больше участников связано с платежом, тем выше риск того, что слабое звено окажется не внутри банка или финтех-компании, а на стыке систем, в интеграции, у поставщика, в процессе разработки или в неправильно настроенном доступе. Именно такие зоны часто остаются недостаточно видимыми для бизнеса, пока не возникает инцидент или жесткий запрос от регулятора, партнера или аудитора.

Почему безопасность стала вопросом устойчивости, а не только ИБ

Рост киберугроз в финансовом секторе давно перестал быть новостью. Но важно другое: изменилась скорость и цена ошибки. Для банка или финтех-компании инцидент сегодня означает не только техническую проблему. Он может привести к простоям, ограничениям платежных каналов, потере данных, регуляторным последствиям, репутационному ущербу и снижению доверия клиентов.

По данным исследовательского центра консалтинговой группы Compliance Control & Rakasta, за январь-май 2026 года в рамках анализа результатов пентестов компаний финансового сектора, банков, ритейла и маркетплейсов было выявлено 1 341 уязвимости. При этом почти треть из них относилась к высокому и критическому уровню. Для зрелого рынка это важный сигнал: проблема не только в количестве уязвимостей, а в их потенциальном влиянии на непрерывность процессов и безопасность данных.


Статистика уязвимостей по результатам пентестов за январь-май 2026 года показывает: для финансового сектора, банков, ритейла и маркетплейсов ключевым риском становится не только наличие уязвимостей, но и их критичность для платежной инфраструктуры.

Характер уязвимостей также показывает, что речь не всегда идет о чем-то принципиально новом. В банковском сегменте встречаются компоненты с известными уязвимостями, хранение учетных данных в открытом виде, несанкционированные места хранения данных платежных карт, ошибки конфигурации. В финтехе среди типовых проблем выделяются авторизация и контроль доступа, небезопасные настройки, использование стандартных учетных данных и простых паролей. В ритейле и маркетплейсах чувствительными зонами остаются разглашение конфиденциальных данных, аутентификация, управление сессиями, бонусные системы и программы лояльности.


Топ-5 уязвимостей по индустриям показывает, что банки и финтех сталкиваются не только с технологически сложными атаками, но и с базовыми проблемами управления доступом , конфигурациями, учетными данными и хранением платежной информации.

Локальные требования к персональным данным, КИИ, SOC, реагированию на инциденты и сертификации решений становятся для CIO не юридическим фоном, а фактором, который напрямую влияет на архитектуру ИТ- и ИБ-систем.

Для CIO это означает необходимость перехода от модели «внедрить решение» к модели «управлять безопасностью как частью операционной устойчивости». Недостаточно поставить отдельный инструмент, пройти разовую проверку или закрыть замечания к аудиту. Важно выстроить систему, в которой безопасность сопровождает продукт на всех этапах жизненного цикла: от архитектурного решения через цикл безопасной разработки (S-SDLC Secure Software Development Lifecycle) до эксплуатации, масштабирования и вывода новых клиентских сценариев на рынок.

Локализация требований меняет архитектурные решения

Отдельный вызов для банков и финтеха в России и соседних регионах связан с локализацией. После периода активного импортозамещения и решения вопросов национальной безопасности, стало очевидно, что речь идет не только о замене одного программного продукта другим, меняется сама логика проектирования ИТ- и ИБ-архитектуры. Теперь часто становится недопустимым использование высококлассных международных решений. Нужно использовать либо собственные разработки, либо локальных игроков.

CIO приходится учитывать, где хранятся и обрабатываются данные, какие средства защиты допустимы, какие сервисные модели можно использовать, какие специалисты могут быть вовлечены в поддержку критичных процессов, какие требования предъявляются как к объекту к КИИ, персональным данным, реагированию на инциденты и сертификации решений.


Распределение утечек данных в финансовой и банковской сферах в России и мире показывает, что платежная инфраструктура остается зоной повышенного риска для разных участников рынка: от банков и страховых компаний до платежных сервисов, кредитных организаций и криптобирж.

Однако, явный перекос в локализацию наблюдается не только в России, это всемирный тренд. В Казахстане развивается концепция «Киберщит Казахстана», обязывающая использовать локальный средства защиты. В Узбекистане усиливаются требования к организации сбора, обработки и реагирования на инциденты информационной безопасности локальными командами в финтехе и банках. В Беларуси сохраняется фокус на локальную защиту персональных данных и национальный сегмент интернета. В странах MENA активно внедряется законодательство (например в ОАЭ и Саудовской Аравии – PDPL Personal Data Protection Law), основанное на принципах регулирования защиты персональных данных граждан Евросоюза (GDPR).


Для бизнеса, который работает в нескольких юрисдикциях или развивает трансграничные сервисы, это создает дополнительную сложность. Нельзя построить универсальную архитектуру, не учитывая локальные требования.

Задача CIO здесь состоит в том, чтобы найти баланс между локальной применимостью и единой архитектурной логикой. Системы должны соответствовать требованиям конкретного рынка, но при этом оставаться управляемыми, масштабируемыми и понятными для команд безопасности, разработки, эксплуатации и бизнеса. Не стоит забывать, что и кибербезопасность существует для решения задач бизнеса, а не для препятствия его развитию.

Почему точечные ИБ-решения не закрывают проблему

Многие организации уже вкладываются в информационную безопасность: развивают SOC, внедряют антифрод, проводят пентесты, выстраивают процессы управления доступами, обучают сотрудников, готовятся к аудитам. Но даже при этом безопасность часто остается «горящей» задачей. Причина не всегда в нехватке инструментов. Часто проблема в разрыве между ИБ и бизнес-архитектурой.

Безопасность подключается к продукту слишком поздно: перед запуском, перед проверкой, после инцидента или после запроса со стороны партнера. В результате ИБ-команда вынуждена не управлять рисками заранее, а исправлять наложенными средствами уже принятое архитектурное или бизнес-решение. Для платежной инфраструктуры такой подход особенно опасен, потому что здесь любая ошибка быстро становится не только техническим, но и коммерческим риском.

Современные тренды защиты показывают, куда движется рынок. автоматизация SOC, переход к MDR, архитектура Zero Trust, безопасность цепочек поставок ПО, использование искусственного интеллекта в защите и атаке. Все это говорит об одном: защита становится непрерывной и распределенной. Она уже не может строиться вокруг идеи, что у компании есть защищенный внутренний периметр и все остальное находится снаружи.

В платежной инфраструктуре периметр размывается. Пользователь приходит из мобильного приложения партнер подключается через API, подрядчик участвует в разработке или сопровождении. Финансовый сервис встраивается в экосистему ритейла, данные проходят через несколько систем, атака может начаться не с центральной банковской инфраструктуры, а с менее заметного элемента цепочки.

Поэтому для CIO критично смотреть на безопасность как на архитектурный принцип. Zero Trust, контроль доступа, мониторинг аномалий, управление привилегиями, безопасная разработка, регулярные пентесты, анализ уязвимостей и контроль цепочки поставщиков должны быть не набором отдельных инициатив, а частью единой модели управления платежной средой.

AI/ML: инструмент защиты и новый источник риска

Отдельного внимания заслуживает искусственный интеллект. Для финтеха и банков AI/ML уже стал практическим инструментом: антифрод, анализ транзакций, онбординг, верификация пользователей, скоринг, выявление подозрительных схем, снижение ложных блокировок. Для CIO это возможность повысить скорость реакции, качество аналитики и эффективность команд.

Но у этой же технологии есть обратная сторона. ИИ используют не только защитники, но и атакующие. С его помощью можно автоматизировать сбор информации об объекте атаки, адаптировать сценарии социальной инженерии, анализировать поведение систем защиты, ускорять поиск слабых мест. Кроме того, сами AI-инструменты создают новые риски: утечки данных при работе с внешними платформами, атаки на модели, манипуляции обучающими выборками, неконтролируемое использование сотрудниками публичных сервисов.

Поэтому вопрос для CIO звучит не так: использовать или не использовать искусственный интеллект. Вопрос в том, как встроить AI/ML в управляемую и безопасную среду. Какие данные можно передавать в модели? Какие сценарии требуют изоляции? Как контролировать доступ к данным выборки, алгоритму и результатам? Как проверять результаты? Кто отвечает за ошибки обученной модели ? Как защитить модели от манипуляций и утечек?

Новые платежные сценарии усиливают роль человеческого фактора

Криптовалютный сектор и новые платежные механики хорошо показывают, что даже в самых технологичных сценариях человеческий фактор остается критичным. Крупные атаки на криптобиржи, кошельки, мосты и инфраструктуру подтверждения транзакций часто связаны не только с техническими уязвимостями, но и с социальной инженерией, а также компрометацией ключей l.

Для банков и финтех-компаний этот опыт важен шире, чем сама криптоиндустрия. Он показывает, что защита транзакции не ограничивается кодом или инфраструктурой. Нужно защищать процесс принятия решения, цепочку подтверждения, роли пользователей, привилегированные доступы, внутренние регламенты и поведение сотрудников.


Можно построить технологически сложную систему, но оставить слабым процесс управления ключами, доступами или подтверждением операций. Можно внедрить многофакторную аутентификацию, но не обучить сотрудников распознавать социальную инженерию. Можно закрыть уязвимости в приложении, но не контролировать подрядчика, который имеет доступ к критичной среде.

Поэтому обучение, security awareness и культура безопасности остаются не второстепенным HR-процессом, а частью защиты платежной инфраструктуры. Особенно в условиях, когда атаки становятся более персонализированными, а граница между технической атакой и манипуляцией человеком все менее очевидна.

Что меняется в роли CIO

В новой платежной реальности CIO становится одним из ключевых участников управления доверием. Это не означает, что CIO должен заменить CISO или взять на себя все функции ИБ. Но именно CIO во многом определяет архитектуру, технологические зависимости, скорость изменений, качество интеграций и устойчивость цифровой среды.

Сегодня CIO в банке или финтех-компании должен видеть платеж не как отдельный сервис, а как цепочку зависимостей. Где рождаются данные? Где они хранятся? Кто их обрабатывает?, Какие внешние сервисы подключены и какие требования к ним применимы? Какие процессы критичны для непрерывности бизнеса?

В этой роли становится важна связка CIO и CISO. Один отвечает за технологическую и продуктовую реализуемость, другой за защиту и управление рисками. Но в платежной инфраструктуре эти задачи уже нельзя разделять жесткой границей. Безопасность должна быть встроена в архитектурные решения, бюджетирование, выбор поставщиков, разработку, эксплуатацию и масштабирование.

Именно поэтому аудит и сертификация не должны восприниматься как разовое внешнее событие. PCI DSS, ISO/IEC 27001, SWIFT CSP, ГОСТ Р 57580, требования к персональным данным, пентесты, анализ уязвимостей, Secure SDLC и проверки мобильных или web-приложений являются не набором формальных процедур, а инструментами зрелого управления платежной инфраструктурой.

Разовая проверка может подтвердить состояние на определенный момент. Но устойчивость бизнеса обеспечивает не сертификат сам по себе, а способность компании постоянно поддерживать управляемость процессов, видеть изменения в ландшафте, закрывать уязвимости, контролировать доступы и доказывать надежность перед партнерами, регуляторами и клиентами.

Безопасность платежей становится стандартом доверия

Финтех и банки больше не работают в изолированной финансовой среде. Они являются частью большой экосистемы, где платежи проходят через разные интерфейсы, каналы, сервисы и партнерские модели. В этой экосистеме безопасность становится не дополнительной функцией, а стандартом взаимодействия.

Для CIO главный вопрос уже не в том, нужна ли безопасность платежной инфраструктуры. Вопрос в другом: управляет ли компания этой безопасностью системно или реагирует на нее, когда запрос приходит извне.

В итоге безопасность платежей выходит далеко за пределы технического контроля. Это уже не только про защиту отдельных систем, прохождение аудита или закрытие уязвимостей. Это про способность компании управлять всей платежной средой как единой архитектурой: видеть зависимости, контролировать данные, учитывать требования разных рынков, работать с политиками подрядчиками и сохранять устойчивость сервисов в условиях постоянных изменений.

Если платеж есть в бизнесе, значит, есть данные. Если есть данные, есть ответственность. Если есть ответственность, должна быть архитектура доверия. Именно она сегодня определяет, насколько банк, финтех-компания или цифровая платформа готовы не только запускать новые сервисы, но и устойчиво развивать их в среде растущих требований, атак и ожиданий клиентов.


249
фильтр
Предметная область
Отрасль
Управление
Мы используем файлы cookie в аналитических целях и для того, чтобы обеспечить вам наилучшие впечатления от работы с нашим сайтом. Заходя на сайт, вы соглашаетесь с Политикой использования файлов cookie.