Benchmark пентеста банков РФ

Распределение типов кибератак на финансовые организации России в 2024 году

1. Нормативная рамка и её эволюция

1.1 От 683-П к 2-МР (2025)

Положение 683-П обязало банки ежегодно проводить пентесты, оценивать защищённость по ГОСТ 57580 и устранять уязвимости^[3][4]. Документ 2-МР ЦБ расширил регулятив — теперь:

·       определена типовая область: ДБО, мобильные и веб-каналы, API, базы данных;

·       прописаны цели (оценка уровня защищённости, доверие к критичной архитектуре) и задачи (поиск уязвимостей, разработка мер)^[5];

·       установлены требования к подрядчикам: лицензия ФСТЭК (пункт «б»), опыт ≥ 3 лет, работы на территории РФ^[5];

·       введён единый формат отчёта и срок хранения ≥ 5 лет^[5].

1.2 ГОСТ 57580 и оценка соответствия

ГОСТ 57580.1-2017 задаёт организационно-технические меры, а 57580.2-2018 — методику оценки. Кредитные организации должны достичь уровня 4+ с 2023 г. и подтверждать соответствие каждые 2 года^[6][7].

1.3 Риск-ориентированный надзор

ЦБ увязал пентесты с киберинцидентами: результаты должны передаваться через АСОИ ФинЦЕРТ, а невыполнение сроков устранения уязвимостей учитывается при проверках^[1][8].

2. Рынок услуг пентеста: игроки и экономика

2.1 Концентрация рынка

Российский рынок ИБ-сервисов демонстрирует рост > 50% за 2024 г. (выручка ГК «Солар» 22,3 млрд ₽ + 53%)^[9] и 10% у Positive Technologies (24,1 млрд ₽)^[10]. Тройка лидеров (Positive Technologies, BI.Zone, «Солар») держит свыше 60% корпоративных пентест-проектов^[11][12][9].

2.2 Трансформация бизнес-моделей

·       Сдвиг от разовых «аудитов» к рекуррентным Red Team-/Purple Team-подпискам (доля сервисной выручки «Солара» — 80%)^[9].

·       Импортонезависимость: собственные сканеры кода и ASD-платформы (Solar NGFW, MaxPatrol O2) заменяют западные инструменты, что снижает барьер входа и затраты^[13][9].

2.3 Дефицит компетенций

ЦБ и крупные банки формируют внутренние Red Teams (вакансии ЦБ^[14]) и спонсируют профильные курсы (CyberED)^[15]. Спрос на специалистов с опытом OSCP, CISA, Red Team Ops стабильно превышает предложение.

3. Технологические тренды и практики пентеста

3.1 Смена векторов атак

ФинЦЕРТ фиксирует рост комбинированных атак с цепочкой «поставщик → банк» и эксплуатацией API^[2][16]. Red Team-сценарии теперь имитируют:

·       supply-chain compromise;

·       QR-/deep-link abuse в мобильных ДБО;

·       shadow API enumeration;

·       фишинг с use of AI-generated deepfakes (Call-center vishing)^[17].

3.2 Автоматизация и purple-team

Банки внедряют BAS-платформы (Breach & Attack Simulation) для непрерывного теста контроля EDR/XDR. По данным BI.Zone, внедрение EDR сократило долю критичных инцидентов с 0,7% до 0,6%^[18].

3.3 Отчётность и метрики

2-МР требует ранжировать уязвимости по методике ФСТЭК CVSS-RU и связывать их с MITRE ATT&CK, что облегчает риск-картирование и бюджетирование^[5].

4. Практические кейсы банков

4.1 Сбербанк

·       Собственная Red Team с 24/7 Purple-loop: в сутки анализируется до 7 млрд событий^[19].

·       Результат: ни одной публичной утечки в 2024 г. при 2,2 тыс. атак в месяц^[17].

4.2 ВТБ

·       Интегрированный SOC + разноуровневые пентесты (внешний/внутренний).

·       За 2024 г. предотвращено 13,5 трлн ₽ мошеннических переводов^[20].

4.3 Альфа-Банк (инцидент 2023–24)

Несмотря на публичные заявления о фейке, утечка 115 млн записей привела к пересмотру процессов DevSecOps и увеличению частоты пентестов до квартала^[21].

5. Основные вызовы 2025–2026 гг.

1 Эксплуатация уязвимых API и microservice-mesh^[16][22].
2 «Ковровые» DDoS и атаки через подрядчиков — нужна сегментация сетей и Zero Trust^[20].
3 AI-фишинг: deepfake-видео и синтез речи требуют Voice-Biometrics 2-FA.
4 Дефицит квалификации: спрос на Red Team-инженеров растёт на 40% в год^[23].
5 Соответствие уровню 4+ ГОСТ 57580 к 2026 г. для всех участников платёжных систем^[6].

Заключение

Пентест в банках РФ перестал быть «лучшей практикой» и стал регуляторным минимумом. 2-МР унифицировал подходы, но усилил ответственность: результаты тестирования напрямую влияют на надзор и штрафы. Рост числа атак и утечек заставляет банки переходить от ежегодных проектов к непрерывному Purple-Team-циклу, интегрируя BAS, EDR и модель Zero Trust. Для рынка ИБ-услуг это означает устойчивый двузначный рост, а для отрасли — необходимость инвестировать не только в технологии, но и в людей, способных мыслить как атакующий.

Рекомендации

·       Проводить комбинированный пентест (external + internal) не реже двух раз в год, включая моделирование атак на поставщиков.

·       Использовать 2-МР как чек-лист: фиксировать область, метод, метрики, хранить отчёты ≥ 5 лет.

·       Внедрить BAS-платформу и настроить continuous purple-loop с проверкой ИТ-контролей еженедельно.

·       Формировать внутреннюю Red Team или подписку на Red-as-a-Service для постоянного обучения Blue-Team.

·       Синхронизировать CMDB с FinCERT и автоматизировать передачу индикаторов компрометации для быстрого реагирования.

Банки, которые превратят пентесты из разовых проверок в непрерывный процесс, получат не только регуляторное спокойствие, но и реальную киберустойчивость, критически важную в период геополитической турбулентности.

⁂