Облачный капитал

Крупные российские банки пользуются облачными сервисами не первый год и расширяют их потребление. Технологии уже применяют для развития цифровых каналов, углубленной аналитики данных и автоматизации клиентского обслуживания. При этом массовый переход банков в облака ограничен более строгими по сравнению с другими отраслями требованиями информационной безопасности, в том числе регуляторными. Поэтому многие компании выбирают гибридный подход: часть сервисов и данных размещают в облаке, а часть – на собственной инфраструктуре. Впрочем, законодательство, которое позволит финансовым организациям более широко использовать публичные облака, еще формируется.

Облачная миграция

Российский рынок облачных инфраструктурных сервисов (IaaS + PaaS) растет быстрее мирового: по оценке аналитического агентства iKS-Consulting, по итогам 2024 г. он вырос на 36,3% в сравнении с 2023 г. и достиг 165,6 млрд руб. Для сравнения: глобальные темпы роста рынка облачных вычислений составляют 21% – такие данные приводит Gartner.

Российский финансовый сектор лидирует по росту потребления облачных сервисов несколько лет подряд – это подтверждают данные крупнейших провайдеров. Например, по итогам первого полугодия 2025 г. выручка Yandex Cloud (входит в группу Yandex B2B Tech) выросла на 46%, при этом наибольшие объемы потребления сохраняют банки и финтех наряду с ритейлом и IT-компаниями. Их совокупная доля составила 75%.

«Наши облачные провайдеры более чем конкурентоспособны, зрелы и продвинуты. Это один из факторов, почему банки в том числе смотрят на облака», – считает Юрий Швыдченко, директор технологической практики «Тедо».

Одна из причин, по которой банки активно используют облака, – это ускорение разработки. Технологии позволяют быстрее выводить продукты на рынок за счет тестирования большого количества различных гипотез, получать доступ к технологиям машинного обучения, в том числе к последним версиям генеративных моделей. «Платформа генеративного ИИ AlfaGen использует облачные GPU (графические процессоры. – «Ведомости&»), благодаря чему мы первыми в enterprise-сегменте адаптировали «размышляющую» модель нового поколения DeepSeek R1 под прикладные задачи», – приводит пример представитель Альфа-банка*.

Всеобщая гибридизация

При работе с облаками большинство игроков российского финансового рынка выбирают гибридную модель. Это подход, при котором данные, содержащие банковскую тайну и персональную информацию, хранятся в собственной инфраструктуре. В то же время разработка, тестирование, обработка и анализ обезличенных данных, онлайн-сервисы, такие как мобильные приложения, чат-боты, переносятся в публичное облако. Именно гибридная модель сейчас де-факто стандарт, показывающий уровень зрелости и развития финансового сектора, уверен Швыдченко.

«Наша стратегия на ближайшую перспективу – это развитие и оптимизация гибридной облачной модели», – подтверждает тенденцию Сергей Симоненко, директор дивизиона информационных технологий «ОТП банка»*. Часть сервисов банк размещает в публичном облаке Yandex Cloud, что дает компании доступ к передовым технологиям и быстрой масштабируемости, а часть – в частном облаке. Схожего курса придерживается и Альфа-банк, который развивает гибридную мультиоблачную модель, используя сервисы нескольких провайдеров. «Это дает гибкость и доступ к лучшим сервисам каждого провайдера, снижает зависимость от одного поставщика», – поясняет представитель Альфа-банка. Технологически, по его словам, банк опирается на унификацию: контейнерную платформу, подход «инфраструктура как код» (IaC, использование заранее подготовленных инфраструктурных конфигураций. – «Ведомости&») и единые практики платформенной инженерии.

Новые цифровые игроки применяли гибридную инфраструктуру с момента своего появления на рынке. «Банк 131»* был изначально цифровым банком, и для себя мы выбрали гибридную стратегию», – поясняет Владимир Карнишин, директор по информационным технологиям «Банка 131». На своей инфраструктуре банк размещает критически важные данные и компоненты систем, а в облаке Yandex Cloud – приложения и сервисы для обработки платежей. Чтобы обеспечить быструю разработку, банк использует современный технологический стек. «Мы практикуем теперь уже классический подход в виде реализации сервисной архитектуры, используем Kubernetes и ArgoCD (средства управления приложениями в облаке. – «Ведомости&») для быстрого запуска продуктов. При запуске новой функциональности мы сначала тестируем ее на небольшом проценте пользователей, постепенно увеличивая их число до 100%. Сама инфраструктура полностью создается, управляется и эксплуатируется в концепции IaC», – рассказывает он.

«Наш подход к облакам прагматичный и гибридный», – говорит управляющий директор по информационным технологиям Мосбиржи* Андрей Бурилов. Публичные облака используются точечно для сервисов коммуникации и тестовых сред, в то время как производственные системы и данные клиентов остаются в собственном контуре, уточняет он.

Однако, по словам представителя Альфа-банка, гибридный подход не лишен и слабых сторон: «Это операционная сложность, риск роста затрат без дисциплины FinOps (управление финансами в облаке), зависимость от экосистем провайдеров и сложность миграции между облаками».

Некоторые проблемы гибридного формата можно нивелировать на уровне «выхода» в интернет и внутренние сети – т. е. использовать браузер в качестве инструмента безопасности.

«Это позволяет значительно сэкономить на ИБ-инфраструктуре и оптимизировать работу сотрудников. Например, с одним из наших заказчиков из финсектора мы решали проблему использования двух разных браузеров для работы во внешней и внутренней сетях, требовавших постоянного переключения сотрудников, и высокой стоимости поддержания VDI-инфраструктуры, – рассказывает Дмитрий Мажарцев, директор по информационной безопасности «Яндекс Браузера для организаций». – Среди проблем в компании отмечали неудобство переключения и медленную работу, нестабильность, отсутствие единого администрирования, зависимость от зарубежных браузеров, отсутствие технической поддержки на территории РФ, ограниченные возможности устранения уязвимостей и обновления ПО, риски компрометации всей фирмы при потенциальном взломе любого пользовательского компьютера».

«Песочница» для финансов

Для тех, кто только начинает работать с облаками или хочет протестировать новые технологии, важным инструментом становятся изолированные тестовые среды, или «песочницы». «Технологическая «песочница» «Ассоциации Финтех» (АФТ) стала ключевым инструментом для кредитных организаций. Она позволяет им безопасно тестировать и внедрять инновационные решения без угрозы для основной инфраструктуры», – объясняет Кирилл Кузьмин, заместитель генерального директора АФТ.

По его словам, банки чаще всего тестируют в «песочнице» миграцию сервисов в облако (инфраструктура IaaS, базы данных, системы аналитики и BI (бизнес-аналитика. – «Ведомости&»), работу моделей ИИ и машинного обучения (AI/ML) и импортозамещение критических сервисов. В одном из недавних пилотных проектов банк сравнил облачный и традиционный подходы к размещению IT-инфраструктуры. «Гипотеза подтвердилась: использование облачных сервисов обеспечивает кратное ускорение процессов и позволяет существенно сократить ресурсы», – говорит Кузьмин. Результатом работы в «песочнице» для банков становятся не просто отчеты, а готовые к применению архитектурные решения с детальными инструкциями, добавляет он.

Безопасность превыше всего

Безопасность остается главным вопросом и основной точкой приложения усилий при миграции финансовой организации в облако. От правильного выстраивания архитектуры и четкого разделения ответственности с провайдером напрямую зависит не только сохранность чувствительных данных, но и соблюдение строгих требований регулятора, уверены участники рынка.

Ключевой принцип, по которому банки разделяют свои сервисы, – это классификация данных и критичности систем. «В публичное облако выносим системы, не обрабатывающие конфиденциальные данные, фронтовые слои, dev/test (разработка и тестирование. – «Ведомости&»), аналитические и экспериментальные нагрузки на деперсонифицированных наборах, а также продукты, требующие быстрого масштабирования», – поясняет представитель Альфа-банка.

По словам Симоненко, в публичное облако чаще всего делегируются задачи, требующие быстрого масштабирования и доступа к специализированным сервисам, таким как машинное обучение, аналитика больших данных, речевая аналитика и конвейеры непрерывной интеграции и доставки (CI/CD).

Для защиты гибридной среды банки выстраивают единый контур управления. «Публичное облако подключается к нашей инфраструктуре по защищенным каналам связи. Ключевой принцип – весь трафик из публичного облака идет через внутренний контур банка. Таким образом, любые сетевые взаимодействия сначала проходят через наши корпоративные средства информационной безопасности (ИБ)», – делится опытом Симоненко.

В Альфа-банке также встраивают облачные сценарии в действующие банковские регламенты и «прячут специфику внешних облаков «под капотом», чтобы для внутренних команд все оставалось прозрачным». Этот подход, по словам представителя банка, охватывает выдачу доступов пользователям, сетевые доступы, а также мониторинг и реагирование на инциденты.

Безопасность собственной инфраструктуры также не абсолютна, добавляет генеральный директор Fork-Tech Кристина Коваленко. По ее словам, инциденты могут произойти и на частных мощностях, если не соблюдается триада безопасности: правильные инструменты, подходы и административные меры.

По словам Евгения Сидорова, CISO Yandex Cloud, при выборе провайдера банки обращают внимание на соответствие провайдеров требованиям регуляторов в ИБ, в частности ГОСТ 57580 – национального стандарта безопасности банковских и финансовых операций, требованию ФЗ № 152 о персональных данных, PCI DSS (международный стандарт безопасности платежных карт. – «Ведомости&») в части обработки данных карт. «Ресурсы банка должны быть гарантированно изолированы от других клиентов, а доступ к данным – строго регулироваться. Значимую роль при выборе провайдера играет наличие собственного центра мониторинга ИБ (SOC), процедур реагирования на инциденты, а также помощь со стороны провайдера в соблюдении регуляторных норм и прозрачность процедур безопасности с принципами совместной ответственности», – говорит эксперт.

Путь к облачному будущему

Регуляторные ограничения остаются главным вызовом для банков при использовании облачных ресурсов. «Вопрос размещения банковской тайны в публичных облаках, даже отечественных, остается нормативно не до конца определенным, что создает некоторую правовую недосказанность», – отмечает Симоненко.

«Основной барьер для применения облачных технологий для нас, как и для большинства финтехорганизаций в России, – регуляторный», – соглашается Карнишин из «Банка 131».

Ст. 26 федерального закона «О банках и банковской деятельности» устанавливает закрытый перечень физических и юридических лиц, которым можно передавать сведения об операциях, счетах и вкладах клиентов, и облачные провайдеры в этот список не входят. Чтобы облегчить работу финансовым организациям, в 2023 г. при участии Банка России был разработан законопроект о передаче банковской тайны на аутсорсинг. Документ, который позволит банкам передавать на аутсорс разработку IT-решений и допускает хранение данных с банковской тайной в облачных сервисах, был поддержан комитетом Госдумы по финансовому рынку, но пока не принят.

Банки ожидают, что новая редакция закона создаст более гибкие и понятные рамки для использования публичных облачных сервисов. «Это, в свою очередь, даст банкам возможность активнее использовать современные решения – от масштабируемых аналитических платформ до сервисов искусственного интеллекта», – полагает Карнишин.

Решением могло бы стать создание официального перечня доверенных поставщиков, уверена Коваленко. «В случае банков отечественные облачные провайдеры должны проходить аккредитацию и входить в перечень рекомендованных регулятором. Это нормальная практика. В таком случае снимется основное опасение у участников рынка, а облачная трансформация активизируется», – говорит она.

В августе 2025 г. Банк России дал общие рекомендации по выбору контрагентов и необходимых процедур при передаче части критически важных процессов на аутсорсинг. В частности, регулятор обратил внимание, что перед сотрудничеством стоит проводить сравнительный анализ нескольких третьих лиц, принимая к сведению не только функциональные и технические характеристики, но и опыт и деловую репутацию.

Для того чтобы банки стали активнее использовать инновационные облачные сервисы, не опасаясь юридических рисков, участники рынка ждут принятия закона, четко регламентирующего аутсорсинг IT-услуг, и, возможно, создание реестра аккредитованных провайдеров, отмечает Коваленко.

Впрочем, некоторые эксперты отмечают, что фокус на рисках публичных облаков может быть преувеличен, так как безопасность зависит от процессов, а не от места размещения данных.

«При правильной аттестации облачных провайдеров риски даже могут быть существенно снижены, особенно для некрупных игроков на банковском рынке, потому что любой специализированный облачный провайдер обладает большими ресурсами и квалификацией в части защиты систем и данных», – считает Швыдченко. &

DeepSeek R1, Kubernetes и ArgoCD, Yandex Cloud – 18+

* «АО Банк 131», ПАО «Московская биржа», «Газпромбанк» (акционерное общество), АО «ОТП банк»