Аналитика и комментарии

06 сентября 2011

«высокие технологии» в эпоху высокой конкуренции

УЧАСТНИКИ «КРУГЛОГО СТОЛА», ОРГАНИЗОВАННОГО НБЖ ПРИ СОДЕЙСТВИИ АРБ:
Марат АБАСАЛИЕВ, генеральный директор ООО «ПэйОнлайн Систем»;
Олег АГАФОШИН, директор по работе с заказчиками R-Style Softlab;
Тимур АИТОВ, исполнительный директор АРБ;
Юлия АМИРИДИ, заместитель генерального директора по развитию бизнеса Intersoft Lab;
Павел БАЕВ, руководитель направления по работе с ключевыми заказчиками Xerox Россия;
Эльман БЕЙБУТОВ, заместитель руководителя по работе с финансовыми организациями Центра информационной безопасности, компания «Инфосистемы Джет»;
Владислав БЫКОВ, директор Департамента информационных технологий ОАО АКБ «Связь-Банк»;
Марк ВЕРЕЗУБОВ, начальник управления оперативного маркетинга ОАО «КОМКОР» (АКАДО Телеком);
Алексей ГРЕБЕШКОВ, начальник отдела по работе с банковскими и финансовыми организациями ОАО «КОМКОР» (АКАДО Телеком);
Андрей ЖАБИНСКИЙ, директор по развитию бизнеса ЗАО «ФОРС - Банковские системы»;
Марк ЗАЛАН, директор Департамента информационных технологий ЗАО «ДжиИ Мани Банк»;
Аркадий ЗАТУЛОВСКИЙ, директор (руководитель) Дирекции информационных технологий Нордеа Банка;
Валерий КОНЯВСКИЙ, заведующий кафедрой защиты информации МФТИ, член Научного совета при Совете безопасности РФ;
Светлана КОНЯВСКАЯ, заместитель генерального директора ООО «ОКБ САПР»;
Дмитрий КОРОТКОВ, директор по развитию бизнеса компании «KeyCom»;
Максим МИХАЛЕВ, директор по маркетингу и продажам компании CUSTIS;
Юрий ПАНЧЕНКО, заместитель директора Сервисного центра по организации производства, компания «Инфосистемы Джет»;
Сергей ПОЛИКАНОВ, директор Департамента информационных и банковских технологий ОАО КБ «АГРОПРОМКРЕДИТ»;
Сергей ПУТЯТИНСКИЙ, директор по развитию бизнеса компании «Неофлекс»;
Гарегин СИНАНЯН, начальник службы документальной электросвязи ОАО «Центральный телеграф»;
Дмитрий СОКОЛОВ, менеджер по продукту «Рутокен» компании «Актив»;
Сергей ТИХОМИРОВ, руководитель направления «Финансовые институты» компании CUSTIS;
Владимир УТКИН, начальник отдела информационных технологий КБ «Компания розничного кредитования»;
Илья ФЕДОРУШКИН, заместитель коммерческого директора ОАО «РТКомм.РУ»;
Андрей ФЕДОРОВ, руководитель Департамента перспективного развития IT Миллениум Банк (ЗАО);
Андрей ФОМИЧЕВ, заместитель председателя правления ГК «Центр финансовых технологий»;
Валерий ЧАУСОВ, управляющий партнер Intersoft Lab;
Анатолий ШАШЛОВ, главный инженер-программист МЦИ Банка России;
Алексей ШЕХИН, генеральный директор ООО «Связь Гарант»;
Валерий ШИПИЛОВ, исполнительный директор, начальник информационно-технического департамента АРБ.
ВЕДУЩИЕ:
Анастасия СКОГОРЕВА
, главный редактор НБЖ

НИКАКИХ ПЕРЕМЕН - ИЛИ ПЕРЕМЕНЫ ВО ВСЕМ?

НБЖ: Нынешний период на российском банковском рынке, наверное, можно охарактеризовать как период восстановления активности, прежде всего, в сфере кредитования. Это ставит перед банками новые задачи - в первую очередь, с точки зрения повышения качества и доступности их услуг для клиентов, а также с точки зрения минимизации кредитных рисков, обеспечения безопасности персональных данных и средств клиентов на счетах. Все эти задачи невозможно решить без совершенствования ИТ-инфра-структуры, без использования новых, более «продвинутых» ИТ-решений. Не случайно все чаще можно услышать из уст банкиров идею: кто сегодня экономит на ИТ, завтра может оказаться на «обочине» конкурентной борьбы. В связи с этим первый вопрос, который хотелось бы задать участникам нашего «круглого стола»: каковы основные тенденции на рынке «высоких технологий», чем обусловлено их формирование, какие решения, предлагаемые интеграторами, могут оказаться наиболее востребованными и интересными для банков в «новое время»?

В. КОНЯВСКИЙ: Я хотел бы ответить на ваш вопрос с точки зрения не сотрудника банка, а клиента. На мой взгляд, по сравнению с докризисным и кризисным периодами ничего к лучшему не изменилось, мы «застыли» на решениях двадцатилетней давности. Количество атак на средства физических и юридических лиц в системе ДБО увеличилось: только в 2010 году клиенты потеряли из-за этого порядка 2 млрд евро, а банки не потеряли ни копейки. Что же получается - какие у нас хорошие банки и какие плохие клиенты? Мне кажется, в этом контексте тема ДБО заслуживает особого обсуждения, и я охотно поучаствую в нем, если меня поддержат другие участники «круглого стола».

М. АБАСАЛИЕВ: Я готов откликнуться на ваш призыв и принять участие в дискуссии тоже в качестве клиента. На мой взгляд, все зависит от банка. Не могу согласиться с тем, что мы «застыли» на решениях, которые были реализованы когда-то давно, и не двигаемся вперед. В ряде банков ДБО стало более диверсифицированным, спектр предлагаемых клиенту услуг расширился, банковские карты стали «чипованными», и теперь не нужно каждый раз при покупке товара или услуги предъявлять паспорт или другой документ, удостоверяющий личность. С другой стороны, есть банки, которые, возможно, не уделяют достаточного внимания развитию ДБО.

В. КОНЯВСКИЙ: Я говорил о другом: я не знаю на сегодняшний день ни одного банка в России, в котором система ДБО удовлетворяла хотя бы основным требованиям безопасности. Именно поэтому клиенты теряют деньги, а банковские договоры по дистанционно-банковскому обслуживанию составлены таким образом, что финансово-кредитные структуры не несут никакой ответственности.

Подобный подход кажется мне неэффективным и несовременным. Если мы хотим работать с клиентом, мы должны руководствоваться принципом «клиент всегда прав», а не принципом «клиент всегда виноват». Мне кажется, пройдет совсем немного времени - год-полтора - и первая идея возобладает. Что для этого должны сделать люди, работающие в системе информационной безопасности, - это как раз вопрос, достойный обсуждения. Могу сказать, что моего образования доктора наук не хватает для того, чтобы справляться с трудностями, которые возникают при пользовании ДБО. То ли у меня не тот компьютер, который нужен, то ли причина в том, что банки пока недостаточно уважают собственных клиентов.

М. АБАСАЛИЕВ: Давайте не будем обобщать: клиенты очень разные, и устройства, которые они используют для проведения платежей или осуществления других операций ДБО, различаются. Кто-то отдает предпочтение i-Phone, кто-то i-Pad, кто-то стационарным компьютерам, кто-то обычным мобильным телефонам. Наверное, речь должна идти о том, что банкам следует выделять различные категории клиентов и учитывать особенности каждой категории при формировании предложений по ДБО. Сейчас финансово-кредитные организации чаще всего действительно формируют некий стандартный «пакет».

А. ЗАТУЛОВСКИЙ: Мне кажется очень странным сформировавшееся в обществе убеждение, что банки должны за все платить: за любые ошибки клиентов, за их проблемы. Мне кажется, единственное честное объяснение этому - опять-таки убеждение в том, что у банков денег много, пусть они за все и платят! В 2010 году я подробно исследовал прецеденты воровства средств со счетов клиентов с использованием системы ДБО - и в нашем банке, и в других финансово-кредитных структурах. Так вот, я не знаю ни одного случая, когда в случившемся был бы виноват банк! Клиенты сплошь и рядом проявляли вопиющую беспечность. И почему же в этих ситуациях должны платить финансово-кредитные структуры?

Вторая ремарка, которую хотелось бы вставить, - мы сразу и очень активно начали обсуждать ДБО, как будто это единственная проблема, которая есть на сегодняшний день в российской банковской системе. Если же вернуться к заданной в начале мероприятия теме, то я бы ответил на поставленный вопрос так: с кризисом ничего не изменилось ни на рынке ИТ, ни на банковском рынке в целом. Кризис никого ничему не научил, мы видим это как по мировым финансам, так и у нас. Современная цивилизация абсолютно беспечна. Во время кризиса стало меньше денег, все начали экономить. Кризис закончился, денег стало больше, банки принялись более активно их тратить. Вот и все перемены.

Ю. ПАНЧЕНКО: На мой взгляд, перемены все же есть, особенно если «отталкиваться» от прошлогодней ситуации. Банки «разморозили» свои ИТ-проекты: если в прошлом году они все делали «по минимуму» и в основном с упором на безопасность, то сейчас тенденция иная. Начали осуществляться проекты, связанные с внешним обслуживанием, с развитием систем ДБО. Это сразу вызвало проблему нехватки внутренних ресурсов в банках. Поэтому я бы сказал, что положительный тренд развития налицо.

А. ФОМИЧЕВ: Если оглядываться на год назад, то, по моему убеждению, принципиальных изменений не произошло, и в этом я согласен с Аркадием Ефимовичем (Затуловским - прим. ред.). Единственное, что хотелось бы отметить -продолжают усиливаться тренды, связанные с «выносом» максимально возможного числа проектов на аутсорсинг. Банки ближе к концу кризиса и после кризиса развиваются не экстенсивно, а интенсивно, число «кейсов» и филиалов возрастает незначительно, идет консолидация, развиваются процессы поглощения, и на этом фоне усиливаются процессы дистанционного обслуживания. Поэтому нет ничего удивительного в том, что на аутсорсинг выносятся теперь и проекты, связанные с ДБО.
Другая тенденция, которую хотелось бы отметить, - тенденция централизации. Как я уже говорил, банки укрупняются в результате слияний и поглощений. Соответственно, увеличивается число проектов, связанных с централизацией ИТ-систем в банках. В «поглощенных» активах, как правило, устанавливаются продукты «головного» банка. Но это не новая тенденция, она была и до кризиса.

М. ЗАЛАН: Я не буду спорить с утверждением, что в ИТ-области ничего не изменилось за последний год. Но, по моему убеждению, однозначно стало понятно, что в этой сфере очень многое будет меняться в течение ближайших двух-трех лет. За последний год маржа в банковском секторе стала очень быстро сокращаться, соответственно, доходность финансово-кредитных организаций падает. И один из основных «рычагов», который есть у банков в такой ситуации, - это понижение базовой стоимости владения бизнесом, существенной составляющей которого являются ИТ.

А. ФОМИЧЕВ: О снижении банковской маржи мы говорим уже лет десять, в течение всего этого периода она снижается постоянно. Поэтому я не стал бы указывать на это как на тенденцию. Возможно, следует отметить другое. Банки за рубежом стали брать комиссионные за хранение средств клиентов, в России этого не происходит, а процентные ставки продолжают падать. Это означает, что банки пока насыщены деньгами.

М. ЗАЛАН: Я с вами не соглашусь. В последнее время «проснулись» госбанки, у которых очень дешевое фондирование и которые сейчас существенно наращивают долю рынка. Поэтому мне сложно согласиться с тем, что за последние десять лет ничего не изменилось.

А. ФОМИЧЕВ: Я говорил не о том, что ничего не изменилось, а о том, что тенденцию к снижению маржи в банковском секторе мы наблюдаем все последние десять лет.

М. АБАСАЛИЕВ: Позволю себе присоединиться к вашей дискуссии и указать на то, что перемены все-таки есть. Например, сейчас наблюдается активность банков в сегменте электронной коммерции. В этом году соответствующий проект успешно «запустили» Сбербанк, Банк Москвы, Газпромбанк. Наблюдается интерес к новым технологиям, в частности к NFC-технологиям. Еще одна из интересных тенденций заключается в том, что некоторые европейские банки, которые являются крупными игроками на рынке электронной коммерции, сейчас присматриваются к России и пытаются создать здесь бизнес. Очевидно, что в ближайшие несколько лет это направление будет активно развиваться.

КТО ВИНОВАТ - БАНКИ ИЛИ КЛИЕНТЫ?

НБЖ: Аркадий Ефимович (Затуловский - прим. ред.) выразил удивление, что обсуждение мы начали с темы ДБО. Тем не менее не хотелось бы сразу уходить от нее. Один из участников нашего «круглого стола» высказал весьма радикальное суждение о том, что на сегодняшний день ни в одном из российских банков нет хорошей системы ДБО. Вот и хотелось бы получить ответ на вопрос: что это такое - хорошая система ДБО, каким требованиям она должна отвечать?

М. ЗАЛАН: Я внесу уточнение - говорилось о том, что нет системы ДБО, полностью отвечающей требованиям безопасности. И здесь как раз хотелось бы обратиться к автору реплики с просьбой о разъяснениях, о каких конкретно требованиях идет речь.

В. КОНЯВСКИЙ: Вопрос в общем смысле звучит так: какой принцип должен превалировать - клиент всегда прав или банк всегда прав? А в техническом смысле - существует ли сегодня хотя бы одна система ДБО, которая обеспечивает доверенную среду функционирования криптографии на компьютере клиента?

М. ЗАЛАН: Я вам дам ответ со своей точки зрения: нет подхода, который может быть применим во всех случаях жизни, нет однозначного ответа на вопрос, кто всегда прав - клиент или банк. Надо разбирать каждую ситуацию по отдельности.

B. КОНЯВСКИЙ: Знаете, когда я веду машину, то понимаю, что являюсь при этом источником повышенной опасности. Думаю, что так же должны относиться к банкам их руководители. Потому что на сегодняшний день банки -источник повышенной опасности для своих клиентов.

М. ЗАЛАН: У банков технически нет средств обеспечить безопасное исполнение операций на вашем компьютере. Становясь клиентом банка, вы не перестаете быть человеком или организацией, отвечающей за свои действия. Банк никогда не сможет полностью принять на себя риск любого ущерба, который клиент своими действиями может причинить себе или банку. Поэтому принято разграничивать права и обязанности сторон.

C. ТИХОМИРОВ: Я думаю, что вопросы разграничения прав и обязанностей лучше всего разбирать в юридической среде. И там же интереснее анализировать вопросы, связанные с законодательством. А нам все же следует обсудить иные темы, например устаревание технологий в сфере того же ДБО. Соответственно, было бы интересно послушать выступления коллег о том, как они планируют модернизировать предлагаемые банкам решения.

Д. КОРОТКОВ: Я позволю себе не согласиться с коллегой: законодательство надо обсуждать. Технологии старые в том числе и потому, что они не востребованы законодательно. И проблема именно в этом. Когда ситуация регулируется достаточно жестко со стороны государства или когда она достаточно жестко разбирается судами - чего у нас в массовой практике не наблюдается, - тогда банки вынуждены инвестировать в технологии, и тогда начинают развиваться сами технологии. В зарубежных странах существуют лобби, которые «продвигают» принятие законов, обеспечивающих развитие тех или иных технологий.

А. ЖАБИНСКИЙ: Мне кажется, что основная проблема не в том, что происходит сейчас с клиентами и банками, и не в том, как они относятся друг к другу. Основная проблема - развиваются сейчас технологии или нет. Мое мнение - да, развиваются, другой вопрос, как банки их используют. Не секрет, что банки, активно внедряющие новые информационные системы, определяющие в качестве приоритета защиту информационных каналов, минимизируют потери. А организации, которые «вкладываются» минимально, несут большие потери. Это общеизвестный факт.

Расскажу историю из собственного опыта. До прихода в «ФОРС - Банковские Системы» я работал ИТ-директо-ром одного из банков. Из-за неэффективности используемой информационной системы банк нес серьезные потери. Но после того как руководство банка приняло решение о внедрении дополнительных средств защиты - тех же e-token - потери свелись практически к нулю.

Поэтому давайте рассуждать здраво: вопрос качества обслуживания клиентов ДБО - это, в первую очередь, вопрос того, насколько банк отдает себе отчет в нужности ИТ. Если он готов нести затраты, которые однозначно окупятся в дальнейшем, если ИТ-директор в состоянии просчитать эти затраты и предложить оптимальные решения, тогда вопросы, связанные с рисками, начинают утрачивать свою актуальность.

А. ЗАТУЛОВСКИЙ: Безусловно, развитие информационных технологий в банке всегда зависит от двух факторов: от того, насколько профессионально руководство ИТ-блока, и от бюджета. Есть еще интересный факт, относящийся исключительно к той области, которую мы сегодня так долго обсуждаем, - к ДБО.

В прошлом году наш банк принял решение повысить безопасность системы ДБО, и, соответственно, мы заказали переход на «токены». Был запущен проект по переводу всех клиентов с «дисков» на «токены». Так вот, этот переход занял ровно год, хотя наш банк не является самым крупным по количеству клиентов. Почему? Не потому что мы не могли сделать быстрее, а потому что приходилось «пинать» клиентов, чтобы они банально забрали «токены», установили на своих компьютерах и сменили «ключи». Практически все клиенты пытались так или иначе от этого «ускользнуть». Скажите, пожалуйста, кто же заботится тогда о деньгах - банк или клиенты, чьи деньги лежат на счетах и находятся под риском быть украденными?

КОМПАНИЯ «СВЯЗЬ ГАРАНТ»: ОТ ИНТЕГРАЦИИ ДО ОБСЛУЖИВАНИЯ
Компания «Связь Гарант» является авторизованным партнером Avaya и предоставляет услуги по интеграции и обслуживанию всего спектра оборудования Avaya - от небольших станций филиальной сети до центральных телефонных станций с контакт-центрами, интегрированными с CRM-системой. Компания имеет надежную высококвалифицированную команду специалистов. Обладая необходимыми знаниями и компетенциями, сотрудники компании используют комплексный подход для решения многих бизнес-задач, возникающих перед заказчиком в ИТ-сфере. «Связь Гарант» постоянно проводит мониторинг рынка и осуществляет анализ новых технических решений и обновлений программного обеспечения, которые позволят сократить издержки и повысить эффективность бизнес-процессов. Зная о потребностях клиентов, компания своевременно предлагает возможности по усовершенствованию функционала и улучшению качества обслуживания абонентов. Кроме того, прежде чем приступить к внедрению новинки «Связь Гарант» оценивает целесообразность ее использования в каждом конкретном случае. Для выполнения подобной подготовительной работы специалисты должны обладать высоким уровнем компетенции, знанием современных технологий, быть в курсе существующих тенденций на рынке. Технические специалисты в банковской сфере, погруженные в ежедневные обязанности, не обладают подобными возможностями. Поэтому часто приходится слышать о том, что то или иное программное обеспечение оказалось неэффективным. Возможно, проблема заключается не в решении, а в принципах обслуживания и дальнейшей интеграции с изменяющейся инфраструктурой. Именно поэтому компания «Связь Гарант» сопровождает своих клиентов и после установки оборудования.

РУТОКЕН ЭЦП ДЛЯ СИСТЕМ ДБО
При создании системы дистанционного банковского обслуживания (ДБО) одной из важнейших задач является вопрос безопасности. Для усиления защиты ключей электронной цифровой подписи от компрометации банки один за другим принимают решение о хранении ЭЦП на защищенном ключевом носителе.
Компания «Актив», ведущий российский разработчик в сфере защиты информации, предлагает банкам свой продукт для решения вопроса безопасности - устройство Рутокен ЭЦП, средство криптографической защиты информации с аппаратной реализацией российских и международных криптографических алгоритмов электронной цифровой подписи и шифрования. USB-токен осуществляет механизм ЭЦП так, чтобы закрытый (секретный) ключ подписи никогда не покидал пределы USB-токена. Таким образом, исключается возможность компрометации ключа и увеличивается общая безопасность информационной системы. Рутокен ЭЦП поддерживается основными российскими разработчиками сертифицированных средств криптографической защиты информации (СКЗИ) - Крипто-Про, Сигнал-КОМ, Инфотекс, ЛИССИ, Агава и др.
Деятельность компании «Актив» обеспечена полным комплектом необходимых лицензий от государственных органов, регулирующих российский рынок информационной безопасности. Устройство Рутокен ЭЦП имеет сертификат соответствия ФСБ РФ №СФ/124-1674.
Идентификаторы Рутокен используются в системах дистанционного обслуживания большого числа кредитно-финансовых организаций, среди которых банк «Союз», Нордеа Банк, Про-мышленно-торговый банк, Ханты-Мансийский банк, Система интернет-трейдинга «Альфа-Директ», Банк24.ру, ING Bank, Финансовая корпорация «Открытие» и т.д. Компания «Актив» также предлагает комбинированные аппаратные решения, объединяющие в едином корпусе два разных по назначению устройства: USB-токен Рутокен ЭЦП и обычный Flash-диск. Модель Рутокен ЭЦП Flash обеспечивает чистую информационную среду, свободную от вирусов и закладок. Память Flash можно использовать для дистрибутивов ПО, важных данных, автоматического запуска приложений при подключении, загрузки «чистой» операционной системы (ОС MS Windows, Linux) и т.д.
Рутокен ЭЦП может быть выполнен в заказном виде -в фирменном цвете и с логотипом банка. Индивидуальное исполнение USB-токенов работает на имидж банка, позволяя сделать ключевой носитель легко узнаваемым в рамках конкретного проекта.

В. КОНЯВСКИЙ: Хочу выразить вам сочувствие в связи с таким долгим переходом на «токены», а со своей стороны сказать - по моему глубокому убеждению, переход на «токены» или на другие аналогичные средства защиты никак не повышает защищенность системы ДБО. Нужны совсем другие средства.

А. ЖАБИНСКИЙ: Здесь уже возражу я: безопасность возрастает на порядки, хотя «токены» и другие инструменты, конечно, не обеспечивают 100-процентной защиты. А теперь я хотел бы обратиться к банкирам с вопросом, как они сами видят дальнейшее развитие технологий в банках. Очевидно, что многие уже начинают «уходить» на аутсорсинг, очевидно, что многие западные банки и некоторые организации у нас в России идут по пути создания внешних data-центров. Рассматривают ли для себя такую возможность наши банки? Понятно, что в случае перехода на аутсорсинг будут выдвинуты дополнительные требования к обеспечению безопасности, к стандартам, к технологиям, которые будут применяться. Тем не менее, наверное, для всех очевидно, что в настоящее время процессы аутсорсинга нарастают, нарастают и проблемы интеграции различных решений.

Д. СОКОЛОВ: Я хотел бы сделать замечание по теме безопасности. Клиенты все разные, и им нужна разная степень защищенности. Я знаю банки, которые предлагают клиентам делать выбор самим: хотите - используйте «токены», хотите - интеграционные системы, хотите - ЭЦП. Клиенты, к сожалению, не всегда идут на эти решения, для них, пока деньги не украли, все хорошо. А банк не может заставить их использовать те или иные средства защиты.

В. БЫКОВ: Каков стандартный взгляд на проблему? Пока клиент на улице, он сам отвечает за свой кошелек - как только он заходит в банк, где есть служба безопасности, ответственность перекладывается на банк. Есть электронные каналы, есть возможность проводить транзакции через контакт-центры, назвав по телефону пароль. Есть компромисс, когда клиент осуществляет платежи через удаленные каналы. Есть возможность нанять публичный аккаунт-менедж-мент для приема платежей ЖКХ. Короче, есть разные способы, и клиенту предоставляется возможность выбора.

Гарегин СИНАНЯН, начальник службы документальной электросвязи ОАО «Центральный телеграф»
Телеграфная связь все еще актуальна для банков. ОАО «Центральный телеграф», являясь оператором доступа в Интернет, услуг телефонной связи, передачи данных и цифрового вещания, продолжает оставаться единственным оператором услуг телеграфной связи в Москве.
Большая часть банков в России все еще продолжает пользоваться услугами телеграфной связи - как сети «Телекс», так и телеграфной сети общего пользования (услуга «Телеграмма»).
В посткризисный период существенно возрос интерес банков к услуге «Телеграмма». В основном речь идет о подразделениях банков, отвечающих за работу с проблемными кредитами физических лиц. Фактически телеграмма в настоящее время является единственным юридически значимым документом для досудебной работы с просроченными кредитами. Основные свойства услуги, которые востребованы банками: скорость, гарантия доставки, отсутствие потерь (сообщения хранятся в течение 8 месяцев на всех станциях коммутации сообщений), жесткое соблюдение контрольных сроков прохождения и доставки телеграмм, невозможность отказа от факта получения сообщения, обязательная обратная связь в случае недоставки сообщения с указанием причины недоставки.
В отличие от заказного почтового письма в случае с телеграммой адресат не может не только отказаться от факта получения сообщения, но и от его содержания. В посткризисный период в «Центральном телеграфе» был реализован новый способ подачи телеграмм, который сразу стал востребован в первую очередь именно банками - подача телеграмм по электронной почте с применением средств криптографической защиты (ЭЦП и шифрование сообщений). При этом «Центральный телеграф» использует возможности собственного удостоверяющего центра. Данный способ позволяет банку направлять один текст телеграммы и список адресатов.
Если какая-то проблема с адресом выявляется еще в «Центральном телеграфе», то банк получает соответствующую информацию, после корректировки адресат включается в последующий список для отправки. При этом для банков упрощается логистика, создается возможность встраивания интерфейса с «Центральным телеграфом» в системы корпоративного документооборота, а также возможность контролировать списки адресов, осуществлять централизованную отправку сообщений с головного офиса, собирая всю информацию от региональных филиалов.

В начале нашего обсуждения поднимался вопрос о том, что такое хорошая система ДБО. По моему убеждению, лучшая система ДБО - это система, позволяющая производить максимальное число транзакций и обслуживать максимальное число клиентов. Какой банк обеспечит максимальное число транзакций через удаленные каналы, тот докажет, что его система ДБО - лучшая. Все просто, никакого глобального ноу-хау здесь нет.

Т. АИТОВ: Хочу сделать несколько замечаний по темам, поднятым в рамках нашего обсуждения. Прежде всего - об аутсорсинге. Аутсорсинг, безусловно, глобальная тенденция в ИТ. Все ключевые поставщики «коробочных» решений переводят своих клиентов на аутсорсинг.

Что касается банков, то здесь аутсорсинг идет не так быстро и активно, как в других сферах. Причины очевидны: сложности с обеспечением безопасности и риски, что клиенты «отпадут», потому что они не будут доверять «аутсорсерам». Это сдерживающий фактор, очень весомый в ситуации, когда стратегии многих банков «построены» на одном и том же выводе: в ближайшие два-три года новых клиентов в нашей стране появляться не будет, придется «делить» тех, что есть сейчас.

Теперь скажу немного о том, что касается usability (возможности использования) ДБО. Проблема, действительно, существует, но я не считаю, что она возникает потому, что невозможно разобраться в интернет-банкинге. Разобраться можно, для этого не надо быть доктором технических наук. Проблема в том, что системы в банках разные, и если клиент имеет карты нескольких банков, он, соответственно, должен разбираться с разными системами. Единого стандартного решения не существует, да и сами банки неохотно идут на стандартизацию операций, интерфейсов и т.д.

В заключение выскажу свое мнение по вопросу о том, кто виноват, когда происходят хищения средств, - банк или клиент. В любом договоре есть фраза «банк обязуется выполнять указания клиента». Клиента, а не третьего лица, то есть злоумышленника. На эту фразу указал еще в 90-ых годах Арбитражный суд. Таким образом, он возложил ответственность за подобные прецеденты полностью на банки и успокоил многочисленных жалобщиков. Сейчас вышел закон «О национальной платежной системе», который полностью перекладывает бремя доказывания вины на банк. Но даже без этого закона, если клиенту удается доказать, что не он отдал распоряжение, значит, виноват банк.

АУТСОРСИНГ - ИСКЛЮЧЕНИЕ ИЗ ПРАВИЛ ИЛИ НОРМА ЖИЗНИ?

А. ЗАТУЛОВСКИЙ: Мне кажется, что коллега из компании «ФОРС - Банковские Системы» поставил очень интересный вопрос: как банки видят свое будущее в плане передачи части функций или проектов на аутсорсинг. Мое мнение таково: сейчас отчасти есть некоторый «перегрев» самого понимания «аутсорсинг». Это естественно: так бывает каждый раз, когда появляется «модная тема» - много криков, завышенных ожиданий, обсуждений и т.д. Потом все это утихает и встает вопрос о жизнеспособности новой технологии. И что тогда мы видим?

Первое - это финансовый результат использования данной технологии, например облачных вычислений. Второе
- вопросы, связанные с безопасностью ее
использования. Один из экспертов Gartner, выступавший на недавно прошедшей конференции, сказал просто: ребята, облачные вычисления будут доступны не раньше 2014 года. Потому что законодательные нормы, которые регулируют отношения между заказчиками и поставщиками таких решений, будут доступны не раньше этого момента. Пока же в договорах впрямую пишется: банк принимает на себя ответственность, разработчики - нет. Получается, что внешний администратор может украсть информацию, и ничего ему за это не будет. Скажите, кто из банков на это «купится»?
Второй момент - безусловно, если вопросы безопасности будут решены, банки начнут «взвешивать» и решать: надо ли им держать собственную ИТ-систему, или выгоднее использовать ее в том или ином виде аутсорсинга. Если бизнес-кейс будет положительным, то желающие передать систему на аутсорсинг найдутся. Но пока я не вижу подобных примеров. Все предложения, которые озвучиваются, в плане затрат в несколько раз превышают собственные затраты банков на поддержку ИТ- системы. В таких условиях, конечно, будут банки, которые начнут передавать те или иные проекты на аутсорсинг. Но массовым это явление не станет.

В плане обслуживания клиентов, мне кажется, был бы интересным сервис, который могли бы предложить лидеры рынка. Смысл заключается в том, что компания обслуживает всех своих клиентов из банковского сектора у себя, и при этом клиент может работать со счетами всех этих банков из одного «окна». Вот это было бы для банков привлекательным предложением. Потому что держать на своем балансе серверы, службу поддержки и т.д. и т.п. не совсем правильно для банков.

Валерий ЧАУСОВ, управляющий партнер компании Intersoft Lab
Помимо аутсорсинга ИТ-задач российские банки все чаще прибегают к аутстаффингу или лизингу персонала высокой квалификации. В первую очередь для выполнения сложных проектов, к которым относится, в частности, построение хранилищ данных и систем управления эффективностью бизнеса (Business Performance Management, BPM).
Внедрение любого ВРМ-приложения, например для автоматизации управления доходностью, начинается с диагностики и совершенствования методологий управленческого учета, функционально-стоимостного анализа и трансфертного управления ресурсами. Важная составляющая данной задачи - анализ пригодности управленческих методик для их последующей автоматизации на ВРМ-платформе. Это требует от исполнителей глубоких знаний на стыке методологий финансового управления и информационных технологий.
Ресурсов соответствующей квалификации в штате финансовых департаментов банков зачастую недостает. Вместе с тем потребность в этих специалистах заранее ограничена рамками проекта.
В таких случаях компания Intersoft Lab предоставляет банкам своих специалистов-методологов, владеющих ИТ-инструментарием ВРМ, на условиях аутстаффинга или лизинга. Это дает банкам возможность оперативно подготовить свои управленческие методологии к автоматизации, что является необходимым условием реализации ВРМ-проекта.

А. ФОМИЧЕВ: Мы уже давно сделали рынку такое предложение: у нас есть решение Faktura.ru, позволяющее клиенту работать из одного «окна» со счетами в нескольких банках.
И. ФЕДОРУШКИН: Все вопросы, касающиеся аутсорсинга, аутстаффинга, облачных технологий, управляемых услуг и т.д. подразумевают, по сути, одно и то же. Речь идет о передаче некоего доверия со стороны компании на сторону провайдера, оказывающего те или иные из перечисленных услуг. Огульно отдать провайдеру все «подчистую» проблематично и психологически, и с точки зрения здравого смысла.

Если посмотреть на западный опыт, то можно убедиться, что многие банки там передают на аутсорсинг определенные функции или проекты, и весьма успешно. Те же самые банки, присутствующие в России, почему-то говорят: здесь этого не будет! Возникает закономерный вопрос: почему у себя на родине они это делают, а в нашей стране наотрез отказываются? Ответ прост: за рубежом банки могут подписать с провайдерами SLA (Service Level Agreement - соглашение об уровне услуг), причем этот SLA должен быть подтвержден внутренними процессами, процедурами и стандартами, которых придерживается провайдер. В России таких компаний, по мнению большинства банков, просто нет. Хотя я вижу на сегодняшний день тенденцию к правильной структуризации российских компаний, занимающихся ИТ-аутсорсингом: они проходят аудит у известных западных организаций, получают соответствующие сертификаты. Таким образом, рынок аутсорсинга ИТ-услуг становится в России более цивилизованным, и это, безусловно, положительная тенденция.

В. КОНЯВСКИЙ: А как вы собираетесь защищать свое «облако»?

И. ФЕДОРУШКИН: Защита «облака», которое на сегодняшний день есть у компании «РТКомм.РУ», идет на сетевом стандартном уровне. В явном виде «облако» представляет из себя некий супермаркет, в котором можно купить различные «продукты» в виде приложений. Безопасность использования этих приложений лежит на «стыке» между провайдером и пользователем.

Александр СТЕПАНОВ, директор Департамента маркетинга ОАО «РТКомм.РУ»
Относительно новыми формами ИТ-аутсорсинга для банков является перенос баз данных в центры обработки данных (ЦОД), находящиеся под управлением специализированных компаний, и использование программного обеспечения по модели аренды (SaaS). Оба этих направления являются компонентами основного тренда современных инфокоммуникаций - облачных вычислений. Многие финансовые организации пока не готовы выкладывать свои данные на чужой сервер, опасаясь утечки информации и сомневаясь в надлежащем уровне сохранности и конфиденциальности данных. Хотя в реальности система безопасности профессионального ЦОД намного мощнее, нежели система, которую может реализовать некрупный банк. Кроме того, ЦОД с высокой степенью отказоустойчивости (Tier-3 и выше) обеспечивает гораздо большую живучесть инженерных и серверных систем и, как следствие, непрерывность бизнеса своих клиентов.
Российский рынок облачных вычислений находится на начальной стадии развития, однако растущий интерес к облачным вычислениям со стороны потенциальных потребителей свидетельствует о серьезном потенциале этого направления. Очевидно, что на данном этапе стоит задача формирования рынка и подготовки профессионалов. Особое внимание стоит уделить вопросу осведомленности клиентов об облачных сервисах. С ростом уровня осведомленности будет расти и понимание важности «облаков» для обеспечения непрерывности бизнеса финансовых институтов.

Ю. ПАНЧЕНКО: Отвечу на вопросы о стоимости внутренних работ и аутсорсинга, а также на замечание, что в России нет компаний, способных выполнять SLA. У нас есть совсем «свежий» бизнес-кейс с известным банком. Мы договорились, что берем на аутсорсинг инфраструктуру системы «кредитного конвейера» с конкретным SLA, однозначно определяющим время недоступности. Когда мы начали принимать ее в эксплуатацию, выявили семь «узких мест». Семь точек единичного отказа, которые остались незамеченными для ИТ-специалистов банка. И мы сказали: мы готовы обеспечивать функциональность всей системы, за исключением этих семи «узких мест». При постепенной эксплуатации системы из 7 точек осталась одна «точка уязвимости», и мы понимаем, как будем и ее «закрывать».

А по поводу затрат скажу: когда заказчик считает их, он не всегда учитывает косвенные затраты. Например, банк сталкивается с ситуацией, когда ему «позарез» нужен специалист по Oracle. Ищет на рынке, не может найти, даже за хорошую зарплату, инженера, который подходил бы по всем критериям. Что в результате? Банк пришел к нам, чтобы потреблять эту услугу. Поиск специалиста, отбор кандидатов - все это требует времени. Вы считаете такого рода затраты?

А. ЗАТУЛОВСКИЙ: Честно признаюсь, по нашему опыту, затраты на аутсорсинг мы оцениваем с коэффициентом 2 по сравнению с затратами на поддержку внутренних процессов. И я четко могу сказать: нам невыгоден аутсорсинг, мы идем на него только потому, что понимаем, что это позволяет нам «закрывать» локальные проблемы. Финансовой выгоды здесь нет, налицо повышенные затраты, но я, как уже говорил, решаю за счет дополнительных расходов отдельные свои проблемы.

Почему есть мнение, что аутсорсинг может быть финансово выгодным? Я читал западные исследования, доказывающие этот постулат. Вот только в этих исследованиях приводились совершенно нереальные зарплаты банковских сотрудников - нереальные для России. Кроме того, есть еще один факт: крайне редко можно взять в рамках аутсорсинга человека, который не был бы уже загружен полностью - на 120%. Случаи, когда он бывает загружен на 60%, являются исключениями, которые только подтверждают правило.

Какую ответственность компания-аутсорсер берет на себя в случаях, когда обязательства не выполняются?

Ю. ПАНЧЕНКО: Финансовую. В каждом договоре прописывается финансовая ответственность. Но, конечно, не в размере бизнеса компании.

А ЗАТУЛОВСКИЙ: Мне хотелось бы задать еще один вопрос, поскольку тема аутсорсинга действительно меня интересует, но я не могу прийти к определенному мнению. Как у вас в договоре прописана такая ситуация: компания-аутсорсер оказывает услуги с 9 до 18 часов, а проблема возникла после 18 часов. Со «своим» человеком все понятно: он будет сидеть сутками, пока не ликвидирует проблему. Как это решается у вас в случае заключения договора об аутсорсинге с крупным банком?

Ю. ПАНЧЕНКО: С крупными банками обычно мы заключаем договоры «24x7». Если же говорить о ситуации, когда необходимо оказание услуг сверх договора, то обычная практика - по первому «кейсу» услуга может оказываться по решению ответственного менеджера. Одновременно с этим идет изучение, насколько возможно повторение подобной ситуации. Если выясняется, что речь идет не о единичном форс-мажоре, а о перманентно возникающей проблеме, - что ж, давайте тогда посмотрим на договор и расширим сроки обслуживания до 12 часов или вообще круглосуточно. Как вариант, в договоре определяются условия предоставления услуги сверх договора.

П. БАЕВ: Я думаю, многие знают, что компания, которую я представляю, давно занимается аутсорсингом. Может, вы будете удивлены, но я хочу в этом споре встать на сторону банков и сказать, что аутсорсинг - не всегда круто и здорово. Аутсорсинг нужен там, где он нужен, и в первую очередь, аутсорсинговый оператор должен внимательно слушать заказчика, изучать его бизнес-процессы, вникать в них. Не входить, открывая дверь ногой, со словами: мы 30 лет на рынке, мы все знаем, сейчас вам «косты» порежем, и все будет здорово. И здесь мне хотелось бы спросить банки, насколько влияют тендеры на выбор аутсорсинговых операторов?

А. ЗАТУЛОВСКИЙ: Отвечу на вопрос по поводу тендеров. На мой взгляд, тендеры -это и хорошо, и плохо. Обычно в крупных банках «пишутся» положения, в соответствии с которыми заказы на суммы больше определенного размера должны распределяться только на тендерной основе. Это делается, по-видимому, с целью предотвратить «откаты», но это же и снижает эффективность тендеров. Так что есть плюсы и минусы. К тому же тендеры делятся на две части: для приобретения чего-то и для определения цены.

Тендер для выбора чего-то проводится для галочки и является абсолютно неэффективным. Тендер для определения цены - напротив, очень эффективен с точки зрения понижения цены.

Павел БАЕВ, руководитель направления по работе с ключевыми заказчиками Xerox Россия
Как провайдер услуг аутсорсинга, в частности, услуг по управлению офисной инфраструктурой, мы выделяем ряд моментов, на которые важно обратить особое внимание при внедрении модели аутсорсинга. Прежде всего, это решение должно основываться на четком понимании целей, стоящих перед компанией, а также на глубинном анализе бизнес-процессов и выявлении «слабых мест», которые может оптимизировать провайдер услуг. В этом как раз и заключается подход Xerox к данному вопросу. Так, применяя собственные наработки в этой области, мы проводим детальный анализ печатной инфраструктуры компании-заказчика и на основе полученных данных разрабатываем и согласуем долгосрочную стратегию ее развития. При этом берутся в расчет задачи пользователей, особенности организационной структуры и корпоративной культуры заказчика, ведь передача важной бизнес-функции на аутсорсинг - это своего рода вторжение в установленный в компании порядок вещей. Далее самым тщательным образом прорабатывается SLA-соглашение: этот документ позволяет минимизировать возможности конфликтных ситуаций и фиксирует такие важные составляющие проекта, как переходный период, отчетность, взаимодействие с заказчиком и др. На этом же этапе оговаривается и фиксируется уровень планируемых показателей эффективности, в том числе ожидаемые финансовые выгоды. Как показывает наш опыт, следование такой логике в процессе передачи печатной инфраструктуры или ее частей на управление внешнему провайдеру позволяет достичь максимальной эффективности и реальной оптимизации.

НОВЫЕ СПУТНИКИ КРЕДИТНЫХ ИСТОРИЙ

Главный тренд рынка кредитных историй - переход его участников от простых услуг к комплексным аналитическим моделям и системам автоматизации. Зачем это нужно и какова здесь выгода для банков, рассказывает генеральный директор БКИ «Эквифакс Кредит Сервисиз» Олег ЛАГУТКИН.

НБЖ: Для чего нужны сложные аналитические продукты БКИ банкам? Разве не достаточно кредитного отчета?

О. ЛАГУТКИН: Нет, не достаточно. Сегодня, в условиях роста конкуренции, банки должны предложить клиентам что-то еще, кроме выгодных условий кредитования, например, сжатые сроки принятия решения. А это требует либо увеличения штата, либо внедрения автоматизированных систем обработки кредитных заявок. Но первый путь чрезмерно затратный, поэтому на самом деле путь один.

НБЖ: Какова конкретная польза от таких решений?

О. ЛАГУТКИН: Современные программные комплексы позволяют автоматизировать весь процесс выдачи кредита вне зависимости от его сложности и количества стадий. С их помощью можно не только прослеживать путь каждой кредитной заявки, но и проводить оперативный мониторинг работы системы и многое другое.

Принцип таких систем исключает влияние субъективного мнения сотрудника в процессе принятия решения по кредиту. В результате банк получает кредитный портфель с более низким уровнем риска при равной доходности, а также прозрачные бизнес-процессы, легко поддающиеся контролю.

НБЖ: Каким образом системы организованы?

О. ЛАГУТКИН: Для наглядности объясню на примере программного комплекса SmartDecision, разработанного компанией Equifax. Это своеобразная базовая платформа для построения различных процессов принятия решений. Для эффективности ее работы важны не столько программные обновления, сколько совершенствование банком этих процессов. Последнее и оказывает огромное влияние на результат, а обновления платформы несут лишь дополнительную функциональность. Это позволяет оперативно настраивать ее силами сотрудников бизнес-подразделений без привлечения IT-специалистов. SmartDecision имеет модульный принцип, это позволяет экономить за счет покупки частей комплекса или интегрирования их со сходными по функционалу элементами. Например, модуль Case Management отвечает за управление стадиями и экранными формами, модуль Decision Engine - за управление стратегиями принятия решений, а модуль Data Engine предназначен для сбора и анализа данных, наложение фильтров, мэппинг и интеграцию с внешними системами.

НБЖ: Не хотелось бы завершать тему аутсорсинга, поскольку она определенно актуальна - в противном случае эта тема не вызвала бы такой оживленной дискуссии среди участников нашего «круглого стола». Тем не менее до конца мероприятия нужно обсудить еще «блок вопросов», поэтому предлагаю сказать «последнее слово» по аутсорсингу.

В. ЧАУСОВ: Хотелось бы рассказать в завершение темы о забавных ситуациях, с которыми мы сталкивались в аутсорсинге или даже аутстаффинге. Проект «стоял», потому что банк долгое время не мог найти человека нужной квалификации для его «запуска». Обращение к внешней компании за услугами аутстаффинга позволило сдвинуть дело с «мертвой точки». На мой взгляд, мой рассказ также можно рассматривать как довод в поддержку аутсорсинга.

Д. K0P0TK0B: Мы обсуждали здесь достаточно подробно вопрос, выгоден или невыгоден аутсорсинг. На мой взгляд, когда очевидно, что аутсорсинг невыгоден - это еще полбеды. Наши клиенты - а это преимущественно мелкие и средние банки -вообще не могут понять, выгоден он или нет. Проблема в структуризации, в том, чтобы понять, что внутри банка является сервисом, что можно отдать на аутсорсинг. Если речь идет об оборудовании, это одно, если о программном обеспечении или серверах - это совсем другое. И второй момент - мы все здесь говорили о «костах», о возможности их сокращения с помощью аутсорсинга, но никто ни разу не поднял такую тему, как прибыль. Сколько, например, может заработать банк, минимизировав число не отвечен-ных звонков в колл-центр? Сколько при этом он может потерять денег? Сколько банк потеряет на том, что будет сам «напрягаться», реализуя тот или иной проект, вместо того чтобы передать его внедрение на аутсорсинг? Таким образом, вопрос следует формулировать так: есть ли в банке специалисты, умеющие считать упущенную прибыль и доносить свое мнение до руководства банков?

П. БАЕВ: На мой взгляд, очевидно одно: этим должны заниматься не ИТ-директора. Для этого есть CFO (chief financial officers - прим. ред.).

М. ЗАЛАН: Если вы - ИТ-директор, но вас не интересует упущенная выгода, то, пожалуй, вы до CIO (chief information officer - прим. ред.) не дотягиваете.

А. ШЕХИН: ИТ-директор все равно все подсчитывает, и все равно у него есть представление, что экономически выгоднее банку. Поэтому мне кажется, что спор наш отражает различие наших интересов: мы «продвигаем» свои услуги для банков, а ИТ-директора защищают свои бюджеты перед руководством банков. И если здесь находится взаимовыгодный интерес, то проект реализуется.

НБЖ: Перейдем все-таки к более частному, но в то же время актуальному вопросу - связь и телекоммуникации в банковском секторе. Какова ситуация в этом сегменте, какие услуги предлагают разработчики банкам, и какие «продукты» наиболее востребованы в этой сфере?

М. ВЕРЕЗУБОВ: Мы замечаем, как операторы, что банки начинают бороться за
клиентов: некоторые финансово-кредитные структуры обращаются к нам с просьбой об организации удаленного доступа через Wi-Fi. Это подвигает и нас к развитию: раньше мы не оказывали таких услуг специально для компаний финансового сектора, теперь делаем это. Следующий момент - как оператор, мы уходим сейчас в плоскость интегратора, потому что налицо большая проблема с обеспечением безопасности данных путем криптографии, шифрования и т.д. Честно говоря, это не наш бизнес, но мы готовы им заниматься именно для банков, готовы защищать свои каналы. Это требование времени, а с учетом принятия ФЗ-152 и требование современного российского законодательства.

Марат АБАСАЛИЕВ, генеральный директор ООО «ПэйОнлайн Систем»
Решения в области процессинга могут быть ориентированы как на представителей рынка электронной коммерции, заинтересованных в построении эффективного и безопасного процесса оплаты своих товаров и услуг, так и на крупные финансовые институты. Компания PayOnline предлагает новый для рынка продукт, разработанный для крупных финансовых институтов, в частности банков.
Для банков интернет-эквайринг не является профильным направлением деятельности и редко бывает интересным с точки зрения финансовых показателей. Однако часто возникают случаи, когда крупный клиент заинтересован в интернет-эк-вайринге. В таком случае совершенствовать технологическое решение нерентабельно, а риск потерять крупного корпоративного клиента из-за недостаточно гибкого подхода к работе высок. PayOnline готова предложить финансовым институтам продукт, который решит этот вопрос.
Мы разработали инновационный продукт, позволяющий с минимальными финансовыми и временными затратами поднять гибкость и безопасность сервиса на новый уровень. Систему можно развернуть поверх существующего программного решения, что позволит:
1)  значительно снизить риски возникновения мошеннических операций, используя процессинг стонко настраиваемыми параметрами безопасности, подходящими для любого типа бизнеса;
2)   кастомизировать решения под конкретного клиента: использовать технологию I-Frame для «прозрачного» внедрения платежной формы на сайт клиента c возможностью изменения ее дизайна.
Продукт может быть интегрирован в такие широко распространенные решения для организации интернет-эквайринга, как Way4 (OpenWay), TranzWare, TietoEnator. Решение может быть развернуто как на серверах заказчиков, так и на нашем оборудовании. Вне зависимости от места установки системы заказчик сохраняет полный контроль над ее настройками.

СОВРЕМЕННЫЕ СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ И СОХРАННОСТИ ИНФОРМАЦИИ
Дмитрий УШАКОВ, руководитель отдела технических решений Stonesoft.

Средства защиты информации (СЗИ) появились на рынке достаточно давно, но только, пожалуй, в последнее время с выходом закона 152-ФЗ стали справедливы слова классика о том, «как много в этом слове для сердца русского слилось». Посмотрим на рынок средств обеспечения безопасности в целом, сконцентрировавшись на наиболее часто используемом их виде, а именно средствах сетевой защиты. Их все объединяет одно: они работают с информацией в процессе ее передачи по сети. Именно по этой причине они зачастую считаются более «выгодными» с точки зрения вложения средств, нежели СЗИ, применяемые на стороне конкретных узлов. Выделим наиболее часто упоминаемые и востребованные функциональные возможности:
•  «на лету» расшифровывать SSL-потоки;
•  детектировать и бороться с техниками обхода (evasions);
•  идентифицировать пользователей;
•  определять приложения;
•  управлять жизненным циклом политик ИБ и СЗИ. Расшифровывание потока SSL «на лету» позволяет заглянуть внутрь зашифрованного web-трафика с целью своевременного детектирования и пресечения несанкционированной активности. Если же в организации стоят системы, не способные детектировать техники обхода, то образуется «скрытый канал доставки». Причем защита от классических вариантов техник недостаточна. В прошлом году были открыты так называемые «динамические техники обхода» (АЕТ), позволяющие обеспечить возможность проникновения злоумышленника в те сегменты, на границе которых стоят прошедшие тестирование средства. Как показывает практика, даже наличие сертификатов об успешном прохождении тестов недостаточно, поскольку на поверку оказывается, что верифицируются только самые простые техники обхода, а АЕТ легко проходят через системы, не оставляя следов. После детектирования контент нужно классифицировать. Для этого в современных средствах применяется автоматическое обнаружение работающих приложений. Для отчетности и аудита в сетевых СЗИ применяются методы сопоставления IP-адресов с учетными данными пользователей. Наконец, все большее внимание уделяется не только собственно установке СЗИ, но и их сопровождению, поддержанию в актуальном состоянии, оптимизации политики безопасности и слежению за ее корректной реализацией. Отчасти это связано с фактами успешной реализации атак, а также естественным желанием держать ПО/правила инспекции и др. компоненты в актуальном состоянии (особенно это актуально с учетом упомянутых АЕТ). С другой стороны, многие компании начинают/продолжают вводить процессы управления ИБ, которые требуют включения упомянутых компонентов в состав комплексной СЗИ.

Поделиться:
 

Возврат к списку