Российские ИБ-компании рискуют остаться без крупных клиентов. Банки массово отказываются от их услуг. ИТ тоже под ударом
Банки забирают у ИТ-компаний крупные проекты. Безопасникам тоже достается меньше
Российские банки один за другим отказываются от услуг сторонних ИТ- и ИБ-компаний. Вместо их сервисов они предпочитают опираться на собственные разработки - полностью или частично. Но на 100% отказаться от ИБ- и ИТ-аутсорса могут лишь крупные банки - небольшие не смогут сделать это из-за нехватки кадров.
Все ИТ-свое ношу собой
Российские кредитные организации начали сокращать долю ИТ- и ИБ-аутсорсинга в своей инфраструктуре, пишет "Коммерсант". Иными словами, они все реже обращаются за помощью к сторонним организациям и все чаще обходятся своими наработками и силами внутренних специалистов.
Согласно статистике российского системного интегратора "Информзащита", в 2022 г., в первый год санкций и ограничений из-за нынешней геополитики, крупные банки отдавали на аутсорс от 25% до 35% своих ИБ- и ИТ-процессов. Постепенно эта доля росла и к концу 2024 г. достигла 32-42%, но в 2025 г. она резко пошла на спад. По итогам 2025 г. показатели вернулись к значениям 2022 г.
В банках средней величины спад не менее существенный. К концу 2024 г. ИТ- и ИБ-процессы в них были отданы в ведение сторонним компаниям на 45-52% в зависимости от конкретного банка, а год спустя этот показатель скатился до 35-45%.
Фактически, только лишь небольшие банки по-прежнему активно эксплуатируют модель аутсорса, когда речь идет о цифровизации и кибербезопасности. Но и здесь наблюдается сокращение - с 52-67% в 2024 г. до 48-62% в 2025 г.
Что изменилось
Сокращение доли ИБ- и ИТ-аутсорса в российских банках "Коммерсант" и "Информзащита" увязали с санкциями, а также с новыми требованиями к "критичным ИТ-сервисам" и с "общими рисками цепочек поставщиков". Отдельно стоит упомянуть и новые рекомендации Центробанка, - он посоветовал банкам с октября 2025 г. не делегировать сторонним компаниям критически важные ИТ- и ИБ-процессы.
Под "критичными ИТ-сервисами" в данном случае подразумевается сразу несколько отдельных ИТ-задач, которые решают банки. Это и криптография, и вся ключевая ИТ-инфраструктура, и даже цифровой рубль, отмечает издание. Сюда же относятся и SOC-сервисы - мониторинг и реагирование на различные инциденты кибербезопасности.
Если еще несколько лет назад большинство российских банков массово отдавали контроль над всем перечисленным отдельным ИТ- и ИБ-компаниям, то теперь все изменилось. В настоящее время банки, напротив, все чаще передают критичные ИТ-сервисы в введение собственным внутренним специалистам, в крайнем случае - своим дочерним предприятиям, входящим в общий контур.
И своим, и чужим
Впрочем, некоторые задачи банки все же оставляют аутсорсерам. К их числу относится, к примеру, аудит систем безопасности - его проведение финорганизации делегируют специализированным компаниям.
Вместе с ним этим фирмам передают разработку и сопровождение фронт-систем, а заодно борьбу с мошенниками и "стандарты безопасности данных платежных карт (PCI DSS)", пишет "Коммерсант". "В последнее время мы наблюдаем тренд на стратегическую переоценку и качественную трансформацию подходов банков к аутсорсингу. Это выражается не в полном отказе от него, а в пересмотре правил взаимодействия", - заявил изданию глава управления развития процессов кибербезопасности "ОТП-банка" Алексей Колпаков.
Своя защита надежнее
Одна из причин частичной потери интереса банков к ИТ- и ИБ-аутсорсу - забота о своей безопасности в период чрезмерной активности киберпреступников. Статистика ИБ-компании "Кросс технолоджис" гласит, что из всех кибератак, совершенных против российских поставок, около 30% было направлено именно на цепочки поставок.
Если такая атака на ИТ- и ИБ-подрядчиков банков будет успешной, у них возникнет риск потери контроля над своими критическими ИТ-сервисами. И даже "если сбой произошел у партнера, при инциденте вся ответственность перед клиентами и регулятором ложится на банк", - сказал изданию Алексей Колпаков.
Надежды на улучшение нет
Опрошенные изданием эксперты не сомневаются, что в 2026 г. практика отказа банков от ИТ- и ИБ-аутсорса никуда не денется. "По критическим ИT- и ИБ-процессам можно ожидать дальнейшего снижения доли аутсорса еще на 3-7 п. п. относительно 2025 г.", отмечено в исследовании "Информзащиты".
Если этот прогноз сбудется, то доля ИТ- и ИБ-аутсорса в крупных банках упадет до 20-30%. а в средних - до 30-40%.
И лишь небольшие банки продолжат отдавать на аутсорс свои 45-60% своих ИТ- и ИБ-процессов, но не потому что хотят, а потому что не могут полностью отказаться от него. У них не хватает профильных специалистов - часто их переманивают более крупные финорганизации.