Когда в некоторых банках в России впервые стали применять искусственный интеллект (ИИ) для анализа рисков по клиентским портфелям, что случилось ещё лет пять назад, всё было «ламповым», работало под контролем людей. Там было больше «человеческого», чем от больших лингвистических моделей.
Но сейчас такие штуки — как ключи к интерфейсам программирования приложений и служебные учетные записи — появляются с невероятной скоростью.
Сейчас нужно говорить о том, что делать с нечеловеческими айдентити — теми самыми «роботами» (ботами, ИИ-агентами и др.), которые контактируют с сервисами автономно.
В России это явление уже стало повсеместным, но цельная концепция управления выстроена лишь в единичных компаниях — там, где уделено соответствующее внимание данному вопросу при построении корпоративной стратегии.
Давайте разберёмся, с чем мы имеем дело.
1. Контекст управления нечеловеческими идентичностями в России
По оценкам Entro Security, по итогу 2025 года нечеловеческие айдентити в 100 раз превысят человеческие в корпоративных средах.
Раньше говорили о соотношении 45:1, но с ростом агентов искусственного интеллекта это число стремительно растёт.
У нас это особенно заметно в банковской сфере и финтехе: крупные игроки используют тысячи ключей к интерфейсам программирования приложений для интеграций с партнёрами, а брокеры — для автоматизированных торговых ботов.
И сейчас актуальным становится вопрос, как обеспечить кибербезопасность. До сих пор идёт много обсуждений по поводу случившегося с платформой автоматизации продаж Salesloft.
В августе этого года она оказалась скомпрометирована: хакеры через токены открытого разрешения доступа в чат-боте Drift, работающего с «мозгами» от искусственного интеллекта (ИИ), смогли добраться до информации о работе Salesloft с Salesforce, Pardot и др.
Salesloft пришлось во время острой фазы инцидента отключать взаимодействие с этими системами, о чем сообщила сама компания. А это всё — упущенная выгода и коммуникации с клиентами.
Но это ещё неплохо, что организация выявила такой инцидент и сообщила о нём публично. А сколько таких утечек остаются неизвестными? А ведь в итоге чувствительная информация может в какой-то момент сыграть очень больно компаниям, поэтому лучше все эти моменты предусмотреть и иметь план действий.
В целом, стоит, увы, ожидать вал таких происшествий. Уже фиксируется, как в пять раз выросла активность по поиску уязвимых мест в веб-приложениях, например, в России.
Почему так? Россия — лидер по цифровизации в СНГ, но инфраструктура не всегда надёжно защищена.
Я знаю, что сейчас среди банков в России даже какое-то «соревнование»: кто больше покажет, как он внедрил ИИ, сколько на это выделено денег и какой большой штат сотрудников этим занимается.
Но к этому нужно подходить очень аккуратно. Прежде всего, пока что большинство компаний так и не смогли «отбить» деньги, вложенные в ИИ. Более того, растёт потребность в сотрудниках, которые начинают разгребать те проблемы, которые возникли после применения нейросетей.
И это — лишь часть негатива. Например, банки запускают в самостоятельное плавание ИИ-агентов для оценки кредитоспособности заёмщиков, однако до конца часто не осознают, что каждая такая система обладает правами на доступ к данным клиентов. Без контроля это как оставить ключи от сейфа в помещении, где двери не закрываются никогда, или, как в известном меме с кукурузной палочкой и дверью.
Я внедрял смену токенов не реже чем каждые 24 часа — и только это уже отбивало половину атак, а другую половину мы вычисляли ещё, как говорится, на подступах, прежде чем злоумышленники могли вплотную приблизиться к нашим системам.
Статистика неумолима: число угроз в финансовом секторе нарастает. В 2025 году с кибер-вымогателями столкнулось на 35,7% больше участников индустрии, чем в 2023 году.
И я вижу, что большая уязвимость кроется в нечеловеческих айдентити. В мире 68% организаций признаются : большая часть их нечеловеческих айдентити не в достаточной мере находятся под контролем. На самом деле, даже там, где сейчас банки и брокеры думают, что «всё под контролем», не всегда это так.
Я имел дело с нечеловеческими айдентити ещё в самом начале современного бума в ИИ, когда и никакого хайпа не было. Но во время пандемии COVID-19 было очевидно, насколько необходимо, с одной стороны, начинать применять автоматизацию с помощью наработок в области развития нейросетей, с другой стороны — как важно понимать, что при всех человеческих ошибках сотрудники-люди лучше контролируются и мотивируются, чем базирующиеся на ИИ системы.
Россия несёт большие потери от киберутечек, а отсутствие выверенной корпоративной стратегии по внедрению ИИ (немало банков и брокеров сегодня относятся к необходимости этого беспечно) может, увы, увеличить их на порядок.
Ну и, конечно, такая стратегия не должна быть продуктом запросов в большие лингвистические модели: нет ничего хуже, чем пытаться выстроить стратегию управления нечеловеческими айдентити и ИИ, опираясь на ответы нейросетей.
ЦБ РФ обращает внимание на киберриски.
Но вот что любопытно. Сейчас масса разговоров о макроэкономике, курсе доллара, дефиците бюджета, и обсуждение перспектив 2026 года. Многие эксперты дают самые разные прогнозы.
Однако, почти никто не говорит, что не инфляция и что-то подобное, а киберугрозы — вот ключевой риск для экономики РФ. А основной, почти не замечаемый большинством, риск проистекает из плохо контролируемого функционирования нечеловеческих айдентити.
Действительно, опыт последних лет убедил всех аналитиков, и внутри страны, и за её пределами, что экономика РФ научилась достаточно эффективно справляться со всеми вызовами. Но при этом, как говорится, «слона-то не заметили».
По ключевым моментам цифровизации Россия действительно вышла на лидирующие места в мире. Но у этого есть и оборотная сторона. Нужно чётко понимать: уже сейчас никто не знает, сколько всего функционирует нечеловеческих айдентити в стране, какими они обладают реально правами, а главное возможностями, какую информацию они уже аккумулируют и к чему получают доступ.
Всё это стало приобретать особенно угрожающие черты из-за хаотичного внедрения ИИ в бизнес-процессы всё большего числа компаний и организаций.
Мой анализ показывает, что нужно срочно принимать меры, в том числе в правовом поле, чтобы предотвратить реализацию худшего сценария киберугроз, связанных с нечеловеческими айдентити. Учитывая, что мир постепенно приближается к глобальному кризису, спровоцированному нынешней волной внедрения ИИ, России нужно быть готовой к этому событию.
2. Особенности российского правового поля и регулирования: что стоило бы изменить
Российское регулирование нечеловеческих айдентити — это лоскутное одеяло. Федеральный закон о персональных данных (152-ФЗ) фокусируется на работе с людьми. Нужен отдельный подход к работе с нечеловеческими идентичностями.
ЦБ РФ в положении от 30 января 2025 г. N 851-П (действует с 29 марта) верно отмечает: «Кредитные организации, филиалы иностранных банков должны доводить до клиентов информацию о возможных рисках получения несанкционированного доступа к защищаемой информации».
В конце ноября вышел отчёт Regula о верификации в банках: биометрия — в зоне растущего риска. И я бы подчеркнул: нынешняя распространенная модель бесконтрольного внедрения ИИ вносит свой негативный вклад в это.
Проблема в том, что у нас нет общего регламента по защите данных в связи с функционированием нечеловеческих айдентити.
Банки обязаны отчитываться по 115-ФЗ об противодействии отмыванию денег, но нечеловеческие айдентити часто «висят» без владельца, и большая их часть — вне регулярного контроля.
ЦБ РФ выпустил в 2024 году доклад «Основные направления развития финансовых технологий на период 2025–2027 годов», где упоминаются инструменты регулирования для идентификации и обмена данными. Но нужна дальнейшая детализация по итогам 2025 года: рисков и того, как с ними быть в связи с распространением нечеловеческих айдентити, а также включение результатов такой исследовательской работы в анализ рисков для макроэкономической стабильности в России.
Что стоило бы ещё сделать?
Во-первых, ввести обязательный реестр нечеловеческих айдентити.
Во-вторых, стоило бы внедрить модель нулевого доверия для финтеха: динамические токены с ограниченным временем существования.
Я говорю об этом с 2021 года. Сейчас, с ростом ИИ-агентов, нужно внедрение универсальных стандартов везде, где они применяются.
Этот момент уже не просто созрел, а перезрел. Аналитические структуры в этом году определяют уже не менее 10 рисков нечеловеческих айдентити, обращая внимание на айдентити с высокими правами доступа как наиболее рискованные.
Всё это должно стать сигналом для регуляторов: нужно выходить с законодательными инициативами по этому вопросу. И как можно скорее.
3. Стратегические риски и возможности с точки зрения финтеха, банковского и брокерского бизнеса
В финтехе нечеловеческие айдентити — большие риски, которые многие в упор не замечают.
Один из важных моментов для понимания — это то, что никакая многофакторная аутентификация — не панацея. Наглядный пример — то, с чем столкнулась корпорация Google: хакеры смогли добраться до одной из баз данных Google на Salesforce, где хранилась информация о компаниях малого и среднего бизнеса. Google это подтвердила . Злоумышленники использовали OAuth-токены для обхода многофакторной аутентификации и получили доступ к данным тысяч юридических лиц.
И это — не единичный случай. Значит, нужно понимать: в российском финансовом секторе могут утекать данные, в частности информация о клиентских портфелях. Брокеры рискуют и в вопросах трейдинга: бот с ключом к интерфейсу программирования приложений к бирже — это большая опасность.
Ключевые риски в следующем году — программы-вымогатели и трояны, с «мозгами» от ИИ. Исследование Invezz о рисках ИИ в децентрализованных финансах (DeFi) говорит о наличии уязвимостей в смарт-контрактах, что ведёт к масштабным кибератакам и финансовым потерям.
При этом есть данные другого исследования , от Anthropic: известный игрок в мире ИИ в ходе поставленного эксперимента обнаружил уязвимости в смарт-контрактах, которые могли бы нанести ущерб в размере 4,6 млн долларов. И это, как говорится, выявлено при небольшом объёме тестирования!
Всё это говорит о том, что инновации на базе ИИ позволяют злоумышленникам подобрать алгоритмы для обнаружения и использования в своих преступных целях слабых мест в протоколах децентрализованных финансов (DeFi).
Нейросети же стали массово доступными, а киберпреступники нередко обходят их внутренние фильтры — всё это усиливает риски для всей финансовой отрасли и требует разработки новых мер защиты.
Это напрямую касается нечеловеческих айдентити, поскольку именно ИИ-агенты, действующие как автономные структуры, способны находить и использовать уязвимости в смарт-контрактах и других системах DeFi, причём могут это делать с абсолютно неблагонадёжными целями.
ИИ-агенты работают без участия человека, используя собственные учётные записи и доступы. А это делает их неотличимыми от обычных пользователей и, в свою очередь, позволяет им обходить классические механизмы безопасности. Всё это создаёт новые риски, так как злоумышленники могут маскировать свои действия под действия «стандартных» нечеловеческих айдентити, что усложняет выявление и предотвращение атак.
А какие есть возможности?
В необанкинге, например, нечеловеческие айдентити позволяют ИИ-помощникам персонализировать кредиты в реальном времени.
Очевидно, что всё больше решений в банковской и брокерской сферах будет приниматься не людьми, а ИИ-структурами. Это, конечно, повысит скорость операционных процессов, но здесь нужно быть аккуратным.
Те же трейдинговые ИИ-боты. Мало того, что они собирают большой массив информации, который нужно надёжно охранять от утечек. Их эффективность на средней и долгосрочной дистанциях в большинстве своём провальна. По крайней мере, на текущий момент. Они могут с высокой степенью вероятности показывать отличный результат, если с ними на регулярной основе работают профессионалы отрасли.
4. Построение системы управления нечеловеческими идентичностями: советы от корпоративного стратега
Внедрение корпоративных стандартов по кибербезопасности никак не должно приводить к ухудшению качества взаимодействия с клиентами. Например, не нужно создавать ситуаций, когда пользователь, зайдя в банковское или брокерское приложение, через каждые пять минут, если он чуть занялся другими делами, должен проходить в очередной раз проверку, что «он — человек».
Мало того, что современные ИИ системы легко могут выдать себя за человека, так подобные надоедливые вещи в коммуникациях с клиентом могут привести его к уходу к конкуренту.
«Ловить» нечеловеческие айдентити на неправильном поведении нужно тонко и деликатно.
Как это сделать системно на уровне компании?
1. Полностью отследить всё, от хранилищ кода до «облаков», выявить все нечеловеческие айдентити. Уже сейчас половина нечеловеческих айдентити — бесхозные, то есть «призраки» без владельца.
2. Принцип наименьших привилегий. Каждое нечеловеческое айдентити должно обладать только необходимыми для работы доступами. Даже аналитическая работа и сбор данных должны быть под контролем, не говоря о том, чтобы предоставлять возможность полностью автономно совершать какие-либо действия, приводящие к изменению финансового и материального положения клиентов бизнеса.
3. Фиксировать необычную активность нечеловеческих айдентити. Предусмотреть быстрое и лёгкое отключение таких айдентити.
4. Нужно создать для нечеловеческих айдентити своеобразный «отдел кадров».
5. Оптимально интегрировать нечеловеческие айдентити с блокчейном, чтобы чётко отслеживать их работу.
5. Возникающие трудности и решения с учётом специфики работы в России
Вопрос есть и по софту, и по «железу», когда мы работаем с нечеловеческими айдентити. Нужно создавать решения на стыке финтеха, блокчейна и ИИ. При этом особое внимание нужно уделить обеспечению надёжной сохранности биометрических данных — их я бы в первую очередь рекомендовал переводить на распределённый реестр.
Если говорить про «железо», то здесь нужно взвешивать издержки создания «своего» в рамках компании или лучше арендовать необходимое оборудование на долгий срок.
При этом в ближайшие годы банки и брокеры, которые захотят оставаться лидерами, будут вынуждены разрабатывать не только своё ПО, но иметь в своей экосистеме структуры, которые будут выстраивать корпоративные дата-центры, а также закольцовывать эффективно все бизнес-процессы через наличие собственных энергетических мощностей. Ровно так же, как, например, металлургия или целлюлозно-бумажная отрасль для успешного развития всегда должны понимать, откуда они будут брать стабильные поставки недорогой энергии.
Банки и брокеры, которые традиционно являются сосредоточием капитала, будут активно интересоваться и энергетическими активами, учитывая, что финансовый сектор становится самым масштабным с точки зрения сбора информации. А там, где информация, есть и множество инструментов, включая нечеловеческие айдентити, которые «плавают» в этой среде и требуют контроля.
Отдельно отмечу кратко и проблему дефицита кадров. Нужно готовить отдельных специалистов по работе с нечеловеческими айдентити.
Ну и, наконец, как говорилось выше, требуется донастройка регуляторных правил.
6. Что будет завтра?
Эффективная работа с нечеловеческими айдентити может стать важной «изюминкой» российского финтеха. Более того, это укрепило бы позицию России как одного из ключевых финтех-хабов СНГ.
Кроме того, конечно, большие перспективы у биотех-интеграций. Роботы с ИИ, увы, становятся мишенью для киберпреступников, использующих в своих целях и нечеловеческие айдентити.
К сожалению, сбои в кибербезопасности роботов всё равно будут, а значит нужно готовиться к такому развитию событий. На мой взгляд, необходимо обязательно внедрять человеческий мониторинг действий любых структур с ИИ — от агентов до роботов. Да, это потребует увеличения численности персонала. Однако, отсутствие понимания необходимости этого может обойтись очень дорого не только экономике, но и человечеству в целом.