Об этом рассказал международный эксперт в кибербезопасности ООО "Ракаста" (Compliance control & Rakasta) Аркадий Прокудин на конференции "Финтех в безопасности 2026". По его словам, более 1,3 тыс. тестов на проникновение (пентестов) среди компаний, относящихся к финансовому, банковскому, ритейл секторам и маркетплейсам (более 52%) обнаружили уязвимости низкого уровня, а 29,3% - высокого и критического. Он отметил, что ни одна из компаний-участниц проверок ни разу не смогла пройти ее без замечаний вне зависимости от вида деятельности.

При этом, по словам Аркадия Прокудина, уязвимости носят типовой характер, и с ними сталкиваются все сотрудники отделов информационной безопасности. В топ самых распространенных уязвимостей среди банков и финтех-компаний вошли "использование компонентов с известными уязвимостями" и "корректность настроек параметров безопасности", помимо этого вторые и маркетплейсы испытывают сложности с информационной безопасностью в областях контроля доступа. Также к уязвимостям кредитных организаций относятся "хранение учетных данных в открытом виде в текстовых файлах", "несанкционированные места хранения данных платежных карт", сетевые атаки класса NTLM relay, финтех-компаний - "корректность настроек параметров безопасности", "использование стандартных учетных данных и простых словарей паролей" и "ошибки конфигурации и небезопасные настройки сервисов", а ритейл и маркетплейсы - "разглашение конфиденциальных данных", "аутентификация и управление сессиями", "исчерпание пакета SMS", "уязвимость бонусной системы и программ лояльности".

"Финтех традиционно остается одной из наиболее атакуемых и одновременно одной из наиболее продвинутых в плане защиты от различных векторов угроз отраслей. Однако вскоре индустрию ждет новый виток развития, который повлечет за собой пересмотр подходов к кибербезопасности. В июле 2026 г. может вступить в силу закон "О цифровой валюте и цифровых правах", который легализует операции с криптовалютой в правовом поле. Это даст крупнейшим институциональным игрокам (банкам, брокерам, фондам и пр.) новые финансовые и технологические инструменты. Отечественный рынок цифровых активов заметно расширится - появятся новые игроки, существенно вырастут объемы операций, но вместе с ними вырастет и количество кибермошенников, которые целенаправленно будут атаковать цифровые платформы", - рассказал директор по развитию ООО "Веб3 Технологии" (Web3 Tech) Кирилл Антонов.

По его словам, злоумышленники все чаще пытаются получить доступ к закрытым ключам, кошелькам, административным панелям, системам обновления программ, внешним подрядчикам и процессам согласования операций. Риск, как он отметил, возникает не только в коде, но и виде хранения активов, доступе сотрудников и подписании транзакций. Кирилл Антонов рассказал, что в 2025 г. львиная доля потерь пришлась на проблемы инфраструктуры и атаки цепочек поставок.

Руководитель центра тестирования на проникновение ООО "Инностейдж" (Innostage) Александр Колесов отметил необходимость разделить уязвимости и атаки на инфраструктуру и приложения. По его словам, злоумышленники чаще всего атакуют либо связанные с деньгами приложения, либо инфраструктуру. В случае атак на инфраструктуру, злоумышленники чаще всего ищут уязвимости для проникновения внутрь системы и дальнейшего развития атаки.

"Большая часть уязвимостей приложений связана с бизнес-логикой и логикой приложения. Для подобных систем часто выявляются уязвимости - получения доступа к чужим данным в обход средств защиты информации (это различные IDOR'ы и broken access control и так далее). Это ошибки, связанные с логикой работы (например, округление операций или отмена транзакции в обход логики или процесса оплаты\перевода\транзакции). Это специфичные уязвимости\атаки именно на приложения финтеха и в целом связанного с финансами", - заключил Александр Колесов.