Своя безопасность к делу ближе

Кредитные организации сокращают долю IT- и ИБ-аутсорсинга

После нескольких лет планомерного наращивания доли аутсорсинговых IT- и ИБ-услуг банки начали сокращать долю функций, выполняемых сторонними организациями. Прежде всего это касается критических процессов, таких как мониторинг и реагирование на киберинциденты, криптография. По словам экспертов, это связано с ужесточением политики ЦБ и возросшими рисками атак на цепочки поставок. Небольшим банкам совсем уйти от аутсорсинга в этой сфере мешает нехватка профильных кадров.

Выйти из полноэкранного режима Развернуть на весь экран

Фото: Марина Молдавская, Коммерсантъ

Фото: Марина Молдавская, Коммерсантъ

Банки начали постепенно сворачивать объемы аутсорсинга в отношении IT- и ИБ-услуг. По оценкам системного интегратора «Информзащита», у крупных банков в 2022 году на аутсорсе было 25–35% IT- и ИБ-процессов, в 2024 году их доля выросла до 32–42%, однако в 2025 году показатели вернулись к значениям двухлетней давности. В средних кредитных организациях в 2025 году доля вернулась к 35–45%, тогда как годом ранее достигала 42–52%. Наибольшей доля аутсорсинговых услуг осталась у малых банков (48–62%), тогда как в 2024 году она составляла 52–67%. Под долей процессов на аутсорсе подразумевается соотношение IT- и ИБ-функций банка, выполняемых внешними подрядчиками, и общего объема таких функций. Оценки «Информзащиты» опираются на проекты интеграторов и открытые обзоры.

К 2025 году на фоне санкций, ужесточения требований к критичным IТ-сервисам и общих рисков цепочек поставщиков крупные и часть средних банков сократили долю аутсорса именно в критичной части контура. Раньше банки массово отдавали сервисы IT и ИБ крупным интеграторам и облачным провайдерам, крупнейшие кредитные организации часть отдавали в дочерние IТ-компании, поясняют в «Информзащите». В настоящее время критические функции (мониторинг и реагирование на киберинциденты (SOC), криптография, цифровой рубль и ключевая инфраструктура) все чаще забирают во внутренние команды банка или передаются дочерним компаниям. У интеграторов оставляют разработку и сопровождение фронт?систем, аудит систем ИБ, стандарты безопасности данных платежных карт (PCI DSS) и антифрод. «В последнее время мы наблюдаем тренд на стратегическую переоценку и качественную трансформацию подходов банков к аутсорсингу. Это выражается не в полном отказе от него, а в пересмотре правил взаимодействия»,— указывает глава управления развития процессов кибербезопасности ОТП-банка Алексей Колпаков. Кроме того, Банк России выпустил информационное письмо, в котором рекомендовал банкам с октября 2025 года не передавать на аутсорсинг критически важные процессы.

Изменение подходов работы является реакцией на рост ряда значимых рисков. По данным исследования «Кросс технолоджис», в 2025 году на атаки через цепочки поставок пришлось 25–30% от общего числа киберинцидентов. Среди рисков можно выделить потерю контроля над критическими активами и процессами, поскольку у подрядчика оказываются ключи доступа, устройства защиты (HSM-модули), журналы событий в IT-системах, и «он становится точкой отказа и потенциальной точкой компрометации», указывают в «Информзащите». Если у подрядчика слабая защита, или он уделяет недостаточно ресурсов защите от угроз, его систему можно скомпрометировать, говорит руководитель департамента сопровождения IT Альфа-банка Александр Трикоз. Причем даже «если сбой произошел у партнера, при инциденте вся ответственность перед клиентами и регулятором ложится на банк», отмечает Алексей Колпаков.

В 2026 году доля переданных банками на аутсорсинг услуг продолжит сокращаться. С учетом ужесточения требований к таким сервисам наиболее реалистичен сценарий, «когда по критическим IT- и ИБ-процессам можно ожидать дальнейшего снижения доли аутсорса еще на 3–7 п. п. относительно 2025 года», прогнозируют в «Информзащите». Для крупных банков это означает снижение показателей до 20–30%, для средних — до 30–40%. У малых банков зависимость от аутсорсинговых услуг сохранится высокой — 45–60%, отмечают эксперты. Небольшим игрокам все сложнее конкурировать с крупными банками за IT-кадры без существенного роста фонда оплаты труда. «В этих условиях аутсорсинговые компании за счет масштаба и технологической экспертизы могут быстрее привлекать квалифицированных специалистов и при этом контролировать уровень затрат»,— поясняет директор департамента комплексного аутсорсинга «Инфосистемы Джет» Александр Казаков.

Юлия Пославская

Источник: http://www.kommersant.ru/doc/8378442