Интеллекту тесно в банках
Хакеры отрабатывают атаки на банковские ИИ-системы
В 2026 году атаки на ИИ-системы могут составить 5–10% от всех целевых атак на банки. Под угрозой как кредитные организации, которые сами разрабатывают подобные решения, так и те, кто пользуется услугами сторонних поставщиков. Последствия от атак на ИИ-системы — утечки чувствительных данных, репутационный и финансовый ущерб для компаний, нарушение операционной деятельности.
Фото: Антон Великжанин, Коммерсантъ
Фото: Антон Великжанин, Коммерсантъ
Хакеры начали осваивать атаки на ИИ-системы в банках, следует из опроса “Ъ” компаний из сферы информационной безопасности. По оценке «Кросс технолоджис», в 2026 году в 5–7% атак на крупные кредитные организации главным или дополнительным вектором будут системы на базе искусственного интеллекта. В компании «Спикател» оценивают, что 5–10% атак «на банковские ИТ-инфраструктуры будут связаны с уязвимостями ИИ». По словам вице-президента по информационной безопасности банка «Дом.РФ» Дмитрия Никишова, до 10% целевых атак на банки в этом году в той или иной форме будут затрагивать ИИ-системы. «ИИ перестает быть экспериментом и все чаще становится частью цепочки атаки»,— констатирует руководитель центра защиты приложений Т-Банка Роман Лебедь.
По оценке системного интегратора компании «Информзащита», в 2025 году злоумышленники провели 1,07 тыс. успешных атак на финсектор (банки, биржи, МФО и др.), на 12% меньше, чем в предшествующем году. Их доля в общем объеме атак на финсектор сократилась до 7%. Наиболее успешными видами атак были социальная инженерия и вредоносное программное обеспечение (см. “Ъ” от 25 декабря 2025 года).
Более 20% российских банков активно используют системы на основе искусственного интеллекта во внутренних процессах и в работе с клиентами, еще столько же в 2025 году запустили пилотные проекты, связанные с ИИ, оценивают в «Кросс технолоджис». «Каждый третий российский банк уже активно использует ИИ в рабочих процессах, а еще примерно столько же находятся на стадии пилотов»,— говорит господин Никишов.
Чаще всего ИИ используется во внешних процессах банка для оптимизации работы с клиентами. Со стороны клиента — это голосовые помощники, упрощающие получение клиентами информации о своих счетах и рекомендаций по управлению финансами, а также доступные в любое время суток чат-боты. Со стороны банка — инструменты оценки кредитоспособности заемщиков и персонализированного клиентского обслуживания, поясняет старший аналитик группы международной аналитики Positive Technologies Дарья Лаврова. Во внутренних банковских процессах, по словам Дарьи Лавровой, ИИ используется для принятия бизнес-решений, оптимизации работы сотрудников и обеспечения кибербезопасности.
Поэтому основными тактиками атак на ИИ-системы станут prompt injection и data poisoning, ожидают в «Кросс технолоджис». В первом случае злоумышленник манипулирует запросами, чтобы заставить ИИ-модель игнорировать внутренние ограничения и, например, предоставить конфиденциальную информацию. Второй способ заключается в подмене или «загрязнении» данных, на которых обучается модель. Например, в цифровых компаниях «много поверхностей, где пользователи могут задавать свои вопросы, и там злоумышленники могут запросить конфиденциальные данные или направить запрос на какое-то действие», поясняют в Сбербанке.
В первую очередь под угрозой атак хакеров находятся банки, которые самостоятельно разрабатывают ИИ-модели без зрелой системы ИБ и аудита, указывают в компании «Спикател». Такие банки занимаются собственной разработкой, при этом в них сложнее обнаружить уязвимость, которая может привести к непоправимым последствиям, отмечает руководитель продукта Solar webProxy ГК «Солар» Анастасия Хвещеник. Под прицелом хакеров также оказываются банки, полагающиеся на внешние ИИ-сервисы без жесткого контроля доступа и интеграции, поскольку внешние API (генеративные модели) повышают риски утечек и компрометации через косвенные уязвимости, отмечают в «Спикателе». Последствия от атак на ИИ-системы будут значительными. Это утечки чувствительных данных, репутационный и финансовый ущерб, нарушение операционной деятельности организаций, говорит госпожа Лаврова.
В настоящее время защита от подобных атак строится на адаптации классических подходов кибербезопасности под специфику ИИ. Это означает, например, включение элементов машинного обучения в процессы разработки (MLSecOps), строгую изоляцию данных и моделей, непрерывный мониторинг «дрейфа» моделей и аномалий в их работе, а также культуру безопасности среди разработчиков и аналитиков, перечисляет Дмитрий Никишов. Эксперты пока не ожидают массовых атак на ИИ-системы. Во многом это связано с комплексным и многоступенчатым характером атак на ИИ, что требует от злоумышленников высокой квалификации и значительных временных затрат, поясняет госпожа Лаврова. Наиболее популярные методы атак — социнженерия, использование вредоносного программного обеспечения и эксплуатация уязвимостей — «все еще результативные и при этом менее трудоемкие», отмечает эксперт.