Как банкам управлять рисками в облаках

На секции «Информационная безопасность» в рамках CNews Forum 2026 Александр Товстолип, руководитель Управления информационной безопасности Ассоциации ФинТех(АФТ), рассказал, где проходит граница допустимого риска при переходе банков на облачные технологии, а также о том, почему аутсорсинг инфраструктуры не освобождает от ответственности.

Облака: почему банки переходят в цифровую инфраструктуру

Сегодня облака становятся новой инфраструктурой для финансового сектора. Банки сталкиваются с понятными вызовами: растёт скорость трансформации, количество киберугроз, повышаются требования регуляторов. Клиенты при этом хотят сервис 24/7 без простоев и зависших транзакций. Во многих из этих задач помогают облака. Облачная инфраструктура позволяет решать вопросы распределённости, устойчивости и масштабируемости. По сути, облака становятся инфраструктурой цифровой конкуренции, они дают банкам возможность реализовывать проекты быстро, надёжно и, зачастую, недорого.

Для банка вопрос миграции в облака уже решён, он видит пользу. Но возникает вопрос о рисках, которые банк готов при этом принять. 

Пять главных рисков: что волнует банки при переходе в облако?

Особенность банковской сферы — большая концентрация критичных данных и зависимость от непрерывности сервисов. Технологический риск, который приносят облака, может превратиться в операционный, финансовый, кредитный и репутационный.

Если говорить на верхнем уровне, банки выделяют пять типов рисков:

1. Потеря прямого контроля.Инфраструктура разворачивается у провайдера, банк физически не видит и не понимает, что происходит в его инфраструктуре.
2. Риск концентрации.Если у облачного провайдера сосредоточено несколько банков-клиентов, то отказ инфраструктуры провайдера создает риски отказа в работе ряда финансовых организаций и это бьёт по репутации как отдельных банков, так и по устойчивости финансовой системы.
3. Управление данными.Хранение и доступ к данным находятся у третьей стороны, а это требует как четкого регулирования, так и прозрачных подходов в управлении таким доступом.
4. Скорость изменений.В облаке обновления и появление новых сущностей происходят быстрее, чем некоторые банки успевают это контролировать.
5. Зависимость от третьей стороны.Репутационные потери может нанести сбой не у самого банка, а у провайдера.

Ассоциация ФинТех совместно с экспертами рынка сформировала детальную карту рисков применения публичных облачных провайдеров на финансовом рынке, в которой разделила эти риски на несколько категорий и предложила перечень мер управления рисками. Каждый банк должен понимать свои риски и управлять ими, т.к. переход в облако без такой подготовки — не самая правильная история.

Облака не убирают риски полностью, они их перераспределяют. Модель меняется: в традиционной архитектуре у банка есть периметр, он его защищает, изменения предсказуемы. В облаках всё иначе: постоянные обновления, появление новых сущностей и зависимостей.

Разделяемая ответственность: главный принцип и главное заблуждение

Краеугольный камень при переходе в облако — модель разделяемой ответственности. Многие провайдеры предлагают матрицы, кто за что отвечает. Но есть важный нюанс: разделяемая ответственность часто воспринимается как разделяемая подотчётность.

По факту это не так, подотчётность всё равно остаётся у банка. Ответственность за клиента и ответственность перед регулятором остаётся у банка, где бы он ни размещал свою инфраструктуру. Провайдер отвечает за инфраструктуру: железо, сеть, дата-центр. А банк — за доступы, конфигурации, мониторинг, управление данными. Это нужно чётко понимать.

Банки в облаках: где проходит граница допустимого риска?

Банк, планирующий переход в облако, должен задать вопросы провайдеру и внутренним командам:

1. Что произойдёт, если провайдер упадёт?
2. Как быстро восстановится сервис?
3. Как быстро можно мигрировать в другой облачный дата-центр?
4. Какие роли существуют, кто какие данные видит?

Ответы на эти вопросы – основа для старта проекта по облачной трансформации.

Безопасность в облаке: непрерывный процесс

Инфраструктуру можно аутсорсить, а ответственность — нет. Она остаётся на банке, поэтому управление безопасностью крайне важно, особенно — контроль над критическими сервисами и процессами.

Роль руководителя ИБ меняется, теперь он отвечает не просто за периметр, а за устойчивость бизнеса. Даже если банк не привязан к облакам, безопасность должна участвовать в разработке архитектуры, тестировании инфраструктуры и оценке рисков третьих сторон.

Что помогает банку управлять рисками при использовании публичных облаков:

1. проработанная стратегия безопасности организации в облаке;
2. регулярные штатные учения, чтобы все понимали, как действовать при инциденте;
3. независимая оценка готовности команды;
4. постоянный контроль конфигураций — изменения в облаке нужно мониторить;
5. сегментация и принцип минимальных привилегий;
6. тестирование и постоянный аудит прав доступа.

Безопасность облака — это не какой-то чек-лист для галочки, который поставили и забыли. Её нужно тестировать, поддерживать, мониторить, проводить аудиты и понимать, что она соответствует ожиданиям и потребностям банка.

Банки уже идут в облака

Облака в банках — это уже не эксперимент, а состоявшаяся реальность. Банки активно идут в облака, пользуются ими, ближайшее будущее уже наступило. Главный риск — не технология, а отсутствие выстроенного процесса управления рисками и кибербезопасностью. Этот процесс нужно начинать выстраивать до того, как принято решение о переходе в облако.

В конкурентной борьбе будут выигрывать те банки, которые умеют применять технологии и сочетать скорость, устойчивость, инновации и управление рисками.

Важно помнить, что инфраструктуру можно отдать на аутсорс, но ответственность — никогда.

Источник: RUБЕЖ