Сколько теряют банки при кибератаке и кто в итоге платит за это
В феврале 2024 года крупный российский банк зафиксировал DDoS-атаку, которая на 4 часа нарушила работу мобильного приложения и онлайн-банкинга. По оценкам аналитиков, прямые потери от недоступности транзакционного бизнеса составили около 120 млн рублей. Клиенты не смогли совершить покупки, бизнес-клиенты задержали платежи партнёрам, и часть из них на следующей неделе открыла счета в других банках.
Именно отток клиентов становится самой дорогостоящей частью любого инцидента. По данным Банка России, после публичного сообщения об утечке данных средний банк теряет от 3 до 7% розничных клиентов в течение 90 дней. Для банка с 2 млн активных пользователей это 60–140 тыс. человек, каждый из которых приносил комиссионный доход в среднем 3–5 тыс. рублей в год.
Как устроен каскад потерь
Прямые финансовые потери от кибератаки составляют лишь верхушку айсберга. За ними следует расследование инцидента (форензика), которое при привлечении сертифицированных специалистов стоит 5–30 млн рублей в зависимости от масштаба. Параллельно нужно уведомить регулятора: ЦБ РФ требует сообщать об инцидентах в течение 3 часов, нарушение срока влечёт предписание.
Штрафы за утечку персональных данных после поправок в 152-ФЗ выросли кратно. За первичное нарушение организация платит до 3 млн рублей, за повторное: до 15 млн. Законопроект об оборотных штрафах (до 3% от годовой выручки) проходит рассмотрение: для банка с выручкой 100 млрд рублей это потенциальный штраф в 3 млрд. Перспектива такого масштаба меняет отношение советов директоров к бюджетам на кибербезопасность.
Кто платит в конечном счёте
Банки частично перекладывают стоимость киберзащиты на клиентов: через комиссии за транзакционное обслуживание, стоимость SMS-информирования, цену страховых продуктов. Это не заговор, а рыночная логика: затраты на инфраструктуру входят в себестоимость услуги. Но клиент платит и напрямую: при компрометации карты именно он тратит время на перевыпуск, оспаривание транзакций и восстановление автоплатежей.
Государство тоже несёт потери: атаки на банковскую инфраструктуру влекут временное снижение налоговых поступлений из-за задержки платёжных потоков и могут спровоцировать панику вкладчиков с последующим давлением на ликвидность банковского сектора. Именно поэтому ЦБ РФ ввёл обязательные стресс-тесты на киберустойчивость для системно значимых банков и требует от них страховых резервов под кибер-риски отдельной строкой.