Обзор подготовлен
Александр Гольцов:
Банкам потребуются новые услуги в сфере ИБ
Генеральный директор "АМТ-Груп" Александр Гольцов рассказал, почему его компания готовит для кредитных организаций и других участников рынка платежных систем пул новых услуг в сфере ИБ. Они будут "закрывать" вопросы соответствия требованиям закона "О Национальной платежной системе", нормативным актам ЦБ РФ в части борьбы с мошенничеством, построения системы риск-менеджмента и системы защиты информации по требованиям ФСТЭК и ФСБ.
CNews: Каковы, по вашим наблюдениям, характерные черты информатизации банковского сектора в этом году?
Александр Гольцов: И в этом, и в прошлом году активно обновляется парк устаревшего оборудования, модернизируется ИТ-инфраструктура. При не очень устойчивой экономической ситуации многие экономили ресурсы, откладывали проекты по модернизации на будущее. Также большое число подобных проектов объясняется стремлением банков к централизации и консолидации ресурсов по тем или иным причинам. И, конечно, остается фактор ужесточающейся конкуренции. Банки вынуждены соответствовать современному уровню развития технологий.
Еще одна заметная тенденция – стремление банков максимально автоматизировать все операции, которые поддаются автоматизации. Такой подход позволяет выстроить бизнес-процессы более эффективно, одновременно сократив затраты, в том числе и на персонал. Банки идут по пути уменьшения количества контактов клиента с сотрудниками в офисах. Это приводит к активному развитию и внедрению сервисов ДБО.
CNews: Как изменяются подходы к безопасности ИТ-систем в банковской сфере? Как концепция GRC помогает банкам обеспечить защиту систем?
Александр Гольцов: Прежде всего, меняется понимание задачи обеспечения безопасности ИТ-систем: с исключительно затратной статьи на способ снижения рисков бизнеса. Кроме этого, появляется обоснованная возможность выбрать оптимальный, экономически обоснованный вариант обеспечения безопасности.
До применения концепции, внедрения целостной стратегии управления рисками, использование защиты информационных комплексов в основном опиралось на компетентность и опыт руководителей и специалистов соответствующего подразделения. А также на умение доказать руководству значимость тех или иных направлений, так как цели и задачи определяли сами подразделения информационной безопасности. После внедрения стратегии управления рисками цели, достигаемые средствами безопасности, определяются бизнесом и риск-менеджментом. Определяется влияние, взаимозависимость "рискованности" бизнеса в целом и отдельных его направлений от проработанности вопросов безопасности. Полноценное внедрение концепции GRC – новый качественный шаг в обеспечении защиты всех банковских систем.
Однако следует понимать, что концепция GRC не является частью общей системы защиты, не определяет используемых средств и методов. Концепция определяет цели и ключевые показатели, которых необходимо достичь в области безопасности.
CNews: Каковы, на ваш взгляд, наиболее результативные пути для снижения инсайдерских рисков в банках?
Александр Гольцов: Полностью исключить, снизить до нуля инсайдерские риски невозможно. Но можно поставить цель – сделать риски управляемыми. Есть способы контроля деятельности сотрудников в целях снижения инсайдерских рисков. Эти способы можно условно разделить на две группы: превентивный контроль и оперативный контроль.
Превентивный контроль основан на выявлении аномалий в поведении работника как в рамках своих полномочий, своих служебных обязанностей, так и в попытках превысить полномочия. Оперативный контроль основан на выявлении совершения работником действий, превышающих полномочия, фактов несанкционированной передачи конфиденциальной информации, действий по уничтожению данных о действиях пользователей, в том числе своих действиях в автоматизированных системах и т.д. Достаточно важным является контроль действий привилегированных пользователей и администраторов, которые могут сами совершать мошеннические действия или затирать следы действий других пользователей.
Работники банка могут совершать "запретные" действия как с умыслом, так и по ошибке. Например, в переписке с клиентом сам клиент мог прислать в сообщении свои конфиденциальные данные, а работник банка просто забыть затереть их в ответном сообщении. Поэтому введение описанного контроля позволит сократить количество неумышленных нарушений.
CNews: Каким образом можно минимизировать опасность утечки данных при пользовании ДБО?
Александр Гольцов: При обсуждении вопроса значимости риска утечки данных в каналах ДБО обычно главенствующими являются требования бизнеса по перечню и способам предоставления банковских продуктов дистанционно. Например, до сих пор остается востребованным определенным кругом клиентов совершенно незащищенный и негарантированный канал обслуживания клиентов по e-mail. Обычно банк определяет необходимый, с его точки зрения, минимальный уровень информационной безопасности. А клиент, со своей стороны, берет на себя некоторый перечень рисков, связанных с используемым им способом взаимодействия с банком.
В целом, не привязываясь к конкретным технологиям и услугам, можно выделить типовые способы "минимизации опасности утечки данных". Во-первых, это обезличивание – исключение из состава передаваемых данных тех, что могут вызвать негативный эффект в случае утечки. Во-вторых, важно наладить мониторинг мошеннических действий – контроль и, по возможности, пресечение действий, которые могут быть признаны мошенническими. В-третьих, надо использовать предотвращение несанкционированного доступа к передаваемой информации – есть широкий спектр средств кодирования, шифрования и подобных для исключения возможности использования информации даже в случае ее перехвата. В-четвертых, важно предотвратить несанкционированный доступ к функциям систем ДБО – противодействовать использованию тех или иных функций систем ДБО неавторизованным пользователям. В-пятых, необходимо предотвращать передачу подлежащей защите информации из защищенного сегмента системы в незащищенный.
CNews: Каково на сегодняшний день положение с уровнем безопасности банкоматов и банковских карт в России? Каким образом решаются споры между банками и их клиентами по поводу возмещения украденных с карт средств?
Александр Гольцов: Статистика показывает, что количество случаев мошенничества в сфере банковских карт за последний год выросло в девять раз. При этом, по данным ЦБ РФ, более 15% денежных средств было похищено путем сговора между владельцем карты и третьими лицами. Иными словами, кроме самого мошенничества здесь присутствуют проблемы халатности со стороны клиентов, а также недостаточного внимания банков к проблемам безопасности систем ДБО.
До сегодняшнего дня специального регулирования этих отношений в российском законодательстве не было. При рассмотрении споров между банками и их клиентами по поводу возмещения украденных с карт средств суды руководствовались, прежде всего, условиями договора между банком и клиентом. Но случаев, когда требования клиентов были удовлетворены, в российской судебной практике единицы. То есть держатель карты сегодня несет на себе практически все риски по использованию банковской карты.
CNews: Как, по вашему мнению, изменится ситуация в сфере безопасности платежных систем в связи с принятием закона №161-ФЗ "О национальной платежной системе"?
Александр Гольцов: Естественно, то, как регулировались споры между банками и их клиентами, приводило к постоянному нарастанию недовольства последних. Это послужило катализатором к принятию нового закона "О Национальной платежной системе". Статья 9 этого закона, которая вступает в силу с 1 января 2013 года, регулирует отношения между банком и держателями электронных платежных средств (то есть – банковских карт), а их у нас сегодня выпущено более 160 млн штук.
Согласно требованиям данной статьи, отношение банка к выбору клиента в сегменте банковских карт станет жестче, не будет такой активной раздачи карт, прекратится рассылка карт по почте. Вырастут и расходы банков на средства защиты от мошенничества, банки начнут переходить на чиповые карты, которые априори дороже. Кроме того, закон недвусмысленно обязывает банки сообщать клиенту о каждой совершенной по его карте транзакции. Сегодня услуга SMS-информирования является платной и предоставляется не каждому владельцу пластиковой карты.
CNews: Потребуется ли банкам приводить свои системы и политики безопасности в соответствие с новым законом?
Александр Гольцов: Безусловно. Мы уже сейчас прорабатываем и готовим пул услуг, который будем оказывать кредитным организациям и другим участникам рынка платежных систем для выполнения положений данного закона и нормативных актов ЦБ РФ в части борьбы с мошенничеством, построением системы управления рисками и системы защиты информации по требованиям основных регуляторов в сфере информационной безопасности (ФСТЭК и ФСБ РФ).
CNews: Насколько отечественному банковскому сектору интересен сегодня ИТ-аутсорсинг? Можно ли говорить о росте интереса?
Александр Гольцов: Заметная тенденция отсутствует. У нас есть несколько клиентов данного сектора, которые используют услуги аутсорсинга, правда, достаточно ограниченно. Рынок не имеет какой-либо заметной динамики на текущий момент, и это объяснимо. Мало того, что текущая ситуация (в том числе законодательная) не способствует бурному росту этого сегмента рынка ИТ-услуг. Более значимую роль тут играет консерватизм, присущий банкам – опять-таки, по вполне понятным причинам. Единственное направление аутсорсинга, которое, пожалуй, я мог бы назвать растущим в банковском секторе, – это услуги поддержки контакт-центров.
CNews: Какие требования банковский сектор предъявляет в настоящий момент к характеристикам ЦОД?
Александр Гольцов: Банки всегда были пионерами в области ИТ, предъявляя такие же повышенные требования к хранению информации, как и к хранению денежных средств. Простой информационных систем банка связан с огромными финансовыми рисками, это приводит к повышенным требованиям к надежности и резервированию ЦОДов.
На данный момент оптимальная схема по надежности и стоимости – это два ЦОДа, построенные с высокой категорией надежности, с синхронной репликацией данных между площадками. Мы сейчас завершаем подобный проект для крупной финансовой структуры. Основным требованием заказчика было создание кластерной системы, которая обеспечивала бы автоматизированный перевод работы всех приложений из основного ЦОДа в резервный без остановки бизнес-процессов.
Налицо также тенденция замены оборудования. Используются топовые технические решения. Хотелось бы отметить, что заметным трендом стало смещение акцентов – банки уходят от дешевых решений, все чаще выбирая надежность. Уже почти нет ни одного проекта, в котором бы не применялись технологии виртуализации.
CNews: Какие интересные ИТ-проекты в банковском секторе реализует ваша компания сегодня?
Александр Гольцов: Один из проектов я уже упомянул. Также сейчас идет очень крупный проект по внедрению промышленной антифродовой системы. В другом крупном банке мы полностью модернизируем контакт-центр. Все эти проекты интересны для нас – как масштабом, так и новыми технологиями и уникальными задачами, которые ставят перед нами заказчики.
CNews: Каковы ваши планы дальнейшего развития банковского направления? Какие новые ИТ-решения вы планируете здесь предлагать?
Александр Гольцов: Одно из интересных для нас направлений – разработка прикладных систем для ДБО под конкретные запросы наших клиентов, с учетом их уникальных требований и специфики. Такие системы востребованы для повышения автоматизации бизнес-процессов, их применение позволяет снизить количество задействованного персонала.
CNews: Какими вы видите перспективы развития контакт-центров?
Александр Гольцов: Финансовые операции подразумевают под собой персональные отношения с клиентами, поэтому роль контакт-центров в банках нельзя недооценивать. По тому, насколько эффективно решаются вопросы и проблемы клиента, оценивается качество предоставляемых банком услуг. Требования к качеству работы банковских контакт-центров постоянно растут и усложняются. Для того чтобы быть конкурентоспособными, банки постоянно внедряют новые услуги и решения в своих контакт-центрах.
Их будущее – в предоставлении альтернативных каналов коммуникаций, таких, как SKYPE, chat, ICQ, видео; в увеличении степени автоматизации контакт-центров и использовании высокотехнологичных решений, таких, как синтез и распознавание речи. Дальнейшее развитие сервиса пойдет в сторону "искусственного интеллекта", то есть организации более качественного диалога с клиентом с минимизацией использования "человеческого" ресурса.
CNews: Согласны ли вы с тем, что банки будущего будут предлагать исключительно виртуальные сервисы, которые не будут требовать присутствия человека в физическом отделении банка? Сколько потребуется времени на реализацию данной концепции?
Александр Гольцов: В большей мере согласен, есть и тренд, и реальные примеры. По такому пути идет, к примеру, банк "Тинькофф Кредитные Системы". Предпосылками здесь выступают увеличение занятости, разделение труда, повышение ИТ-образованности населения и глубины проникновения информационных технологий в массы. Тем не менее полный переход к "виртуальной реальности" будет возможен, на мой взгляд, только для следующих поколений, для тех, кто с детства будет воспринимать виртуальную среду как норму взаимодействия.
CNews: Спасибо.
