Российским финансово-кредитным организациям сейчас приходится непросто, и дело тут не только в увеличении регуляторной нагрузки, и не только в том, что им приходится работать в условиях рекордно низкой маржинальности бизнеса. Помимо всего этого, банкам приходится привыкать жить в эпоху бурного развития финансовых технологий. 

О том, какие риски могут подстерегать их на пути внедрения новых передовых ИТ-решений, о том, как должен оптимально проводиться аудит ИБ-систем, и о многом другом рассказала в интервью NBJ директор по продажам компании ARinteg Татьяна БАРЕЛЬ.  

NBJ: Татьяна, финансовые технологии в последние несколько лет бурно развиваются и все активнее проникают в банковскую деятельность. Ваша компания, безусловно, тесно контактирует с представителями финансово-кредитных организаций, поэтому первый вопрос вам как эксперту. Какие новые задачи, по вашему мнению, это развитие и проникновение финтеха ставит перед банковскими ИТ-службами?

Т. БАРЕЛЬ: Действительно, мы очень плотно общаемся с банками, поэтому с уверенностью констатируем то, что за последние годы очень сильно поменялся, в первую очередь, взгляд руководителей банковских организаций на роль ИТ-служб и ИТ-подразделений. Связано это, прежде всего, как ни странно может показаться, с географическим фактором. Наша страна является одной из самых крупных в мире, при этом большие территории у нас все еще остаются «за рамками» распространения финансовых услуг. В этих условиях быстрыми темпами начинает развиваться все, что связано с дистанционным обслуживанием физических и юридических лиц . Банки, что вполне естественно, заинтересованы в увеличении своих клиентских баз, поэтому они стараются «достать» клиентов повсюду, даже в самых удаленных уголках нашей страны. 

NBJ: Плюс к этому, наверняка, свою роль играет и такой фактор, как повышение качества самих услуг и банковских продуктов.

Т. БАРЕЛЬ: Конечно. На рынке сейчас выигрывает тот, кто способен максимально быстро запускать продукты, востребованные конечными потребителями. И чем дальше, тем больше мы наблюдаем следующую тенденцию: клиенты готовы менять обслуживающую организацию, если они не получают качественных сервисов – то есть, если у них есть претензии к быстроте и удобству обслуживания. 

NBJ: Раньше все-таки главную роль играла цена услуги и продукта, не так ли?

Т. БАРЕЛЬ: Да, но теперь банковские «продуктовые» и сервисные линейки синхронизировались, индивидуальных предложений стало меньше, да и сами банки стали больше ориентироваться в своей деятельности на клиентов — физических лиц, а не на крупные компании или VIP-клиентуру. В этом контексте развиваются технологии, которые, с одной стороны, позволяют бан­кам максимально «приблизиться» к клиентам, а с другой стороны — позволяют клиентам получать качественные услуги за максимально короткое время. 

NBJ: Термин «диджитализация» за последние два-три года перестал быть новым для рынка, и сейчас все чаще можно услышать следующее экспертное мнение: банки нуждаются не в CIO (Chief Information Director), а в CDO (Chief Digital Director). Согласны ли вы с этой точкой зрения?

Т. БАРЕЛЬ: Мне кажется, что CDO необходим достаточно крупным финансово-кредитным организациям, которые имеют как финансовые, так и организационные возможности активно разрабатывать и внедрять новые технологии. Что касается малых и средних банков, то в них по-прежнему работают CIO. Понятно, что цифровая трансформация банковского бизнеса в целом будет продолжаться, и рано или поздно все банки придут к необходимости иметь в своем штате CDO. Но пока время для этого еще не наступило. В том числе, и потому, что кризис до конца не преодолен, и малые и средние банки продолжают испытывать на себе его последствия, выражающиеся в том числе в ограниченности финансовых ресурсов у них.

Другой вопрос в том, как изменилась роль CIO даже в тех банках, которые остаются верными «классике». Мы видим, что все реже такие специалисты воспринимаются исключительно как «смотрящие» за серверами или «железом», то есть как люди, которые должны просто поддерживать банковские системы в работоспособном состоянии. В современных условиях от CIO требуется нечто большее: первую задачу, о которой я сказала, с него никто не снимает, но он также должен понимать потребности бизнеса, его интересы, и предлагать решения, которые максимально отвечают этим потребностям и интересам.

NBJ: Если мы говорим о банках, то какие ИТ-решения, по вашим наблюдениям, пользуются у них сейчас наибольшей популярностью?

Т. БАРЕЛЬ: Те, которые позволяют им осуществлять экспансию на рынке за счет быстрого вывода продуктов. Но как раз здесь возникает достаточно серьезная проблема. Зачастую решения, которые внедряются, либо не устраняют риски в сфере ИБ, либо даже увеличивают их. Это касается, например, приложений для мобильных устройств и интернет-банкинга.Известно, что россияне с каждым годом все активнее пользуются ими для совершения транзакций и любых других банковских операций. Между тем, далеко не все такие решения полностью доработаны, как с точки зрения ИТ, так и с точки зрения ИБ. 

NBJ: Это действительно серьезная проблема, которую эксперты все чаще озвучивают в рамках своих выступлений на различных площадках, в рамках своих интервью и статей.

Т. БАРЕЛЬ: Это только подтверждает ее актуальность. И раз уж мы заговорили о востребованных банками ИТ-продуктах и услугах, то к их числу, безусловно, относится такой сервис, как анализ кода приложения. Этот анализ позволяет оценить ту работу, которая проводится не только сотрудниками банка, но и организациями-подрядчиками. 

Второй момент, который я хотела  бы подчеркнуть и который также свидетельствует о том, насколько сейчас неразрывно связаны ИТ и ИБ. Многие банки из числа тех, с которыми мы постоянно общаемся, задумываются о создании собственных центров информационной безопасности. Это — достаточно затратное мероприятие, его реализация по плечу пока только крупным банкам, но для нас важно другое. Такие центры не смогут эффективно работать там, где ИТ будет «отрываться» от ИБ и наоборот. Жизнь продемонстрировала всем нам, что эти два подразделения в банках должны быть связаны и действовать сообща. В противном случае банк либо будет проигрывать конкурентам с точки зрения своей технологической составляющей, либо постоянно сталкиваться с инцидентами в сфере информационной безопасности.

Возвращаясь к вопросу о востребованных банками решениях и услугах в сфере ИБ, я считаю необходимым отметить следующее: финансово-кредитные организации проявляют все больший интерес к решениям, позволяющим нетрадиционно обрабатывать информацию, аккумулированную в CRM-системах. Причина этого проста: новые технологии позволяют анализировать не только события, происходящие в различных структурах банка, но и события в бизнес-процессах. При правильных настройках банки получают возможность видеть ситуацию в целом и, соответственно, гораздо лучше ориентироваться в своей клиентской, продуктовой и внутренней политике. 

NBJ: Вы справедливо отметили, что финансово-кредитные организации сейчас стремятся соответствовать олимпийскому лозунгу – быть «быстрее, выше, сильнее» своих конкурентов. Возможно ли при таком раскладе совместить их вполне логичное стремление как можно быстрее выводить на рынок новые продукты и услуги с выполнением требований информационной безопасности?  

Т. БАРЕЛЬ: Это действительно становится очень непростой задачей. Как я уже сказала, на рынке фиксировались ситуации, когда внедрение новых мобильных приложений приводило к возрастанию рисков с точки зрения ИБ для банка, да и для других участников финансового рынка. Мы же понимаем, что точно с такими же проблемами сталкиваются в последнее время и микрофинансовые организации, и страховые компании, и негосударственные пенсионные фонды. В общем, все компании, которые, с одной стороны, постоянно работают с деньгами своих клиентов, а с другой стороны, с их персональными данными. Рынок для всех один, соответственно, риски для всех одни и те же. 

NBJ: И хакеры для всех одни. Во всяком случае, наверняка, те методы, которые они используют для хищения либо денежных средств, либо персональных данных клиентов, схожи. 

Т. БАРЕЛЬ: Это так. Поэтому печально, что банки далеко не всегда готовы обмениваться информацией об инцидентах в сфере ИБ. Такое поведение часто обуславливается простым нежеланием «выносить сор из избы».

NBJ: Сейчас, как мне кажется, большую роль играют внешние подрядчики – компании, специализирующиеся на разработке решений в сфере ИБ, проводящие, например, аудит ИБ-систем.

Т. БАРЕЛЬ: Аудит ИБ-систем – действительно очень полезный для банков сервис, но, к сожалению, далеко не всегда участники рынка адекватно воспринимают предложение провести его. Срабатывает стереотип: раз внешний аудит – значит, выставление оценок внутренней команде, возможно, негативных, причем таких, которые неизбежно дойдут до высшего руководства банка. Но цель аудита совсем в другом: проанализировать ту работу, которая уже была проделана с точки зрения обеспечения информационной безопасности банка, и выработать рекомендации по дальнейшим шагам и мерам, которые желательно было бы предпринять. Речь не идет о том, что мы приходим в банки в качестве критиков . Мы стремимся к тому, чтобы помочь нашим партнерам выработать план дальнейшей работы, который будет отвечать и потребностям банка в сфере ИБ и ИТ, и его финансовым возможностям. 

NBJ: Между тем, хорошо известно, что у внутренних сотрудников взгляд часто «замыливается»…

Т. БАРЕЛЬ: Да. Поэтому как раз наша цель в том, чтобы посмотреть на архитектуру ИТ и ИБ свежим взглядом. Тем более, что в наше время аудит – это уже не только добрая воля банковских организаций, но и практически требования со стороны мегарегулятора рынка в лице Центрального банка Российской Федерации. При этом если раньше банкам позволялось производить самооценку, то теперь речь идет как раз о необходимости привлечения внешних подрядчиков. 

NBJ: С чем связано то, что самооценка уходит в прошлое?

Т. БАРЕЛЬ: Это происходит по совокупности причин, но одна из главных заключается как раз в том, о чем мы говорили в начале нашей беседы. Очень быстро развиваются технологии, и их использование порождает все новые риски, возрастает ответственность банков и перед клиентами, и перед регуляторами. Привлечение внешних аудиторов дает уверенность в соблюдении всех норм и требований.

NBJ: С какой периодичностью, по вашему мнению, следует проводить аудит ИТ и ИБ-систем?

Т. БАРЕЛЬ: Полагаю, что если с банком не происходит чего-то экстраординарного — то есть он не становится жертвой масштабной хакерской атаки или у него не меняется команда в управлении ИБ, или он не входит в процесс M&A, то одного раза в год вполне достаточно. 

NBJ: Аутсорсинг в ИТ уже стал более или менее распространенной практикой, а как обстоит дело с ИБ? Готовы ли финансово-кредитные организации передавать часть своих функций в сфере информационной безопасности на «обработку» внешним подрядчикам?

Т. БАРЕЛЬ: Информационная безопасность – то направление, в котором аутсорсинг в силу очевидных причин не является особо популярным. Но сейчас существует такой тренд: банки готовы сотрудничать с внешними подрядчиками, когда речь идет о создании Security Operation Centre (SOC). В то же время решения, которые необходимы для создания такого центра, являются достаточно дорогими даже с точки зрения крупных игроков банковского рынка, не говоря уж о малых и средних банках. Мы, со своей стороны, стараемся работать над снижением их стоимости для наших партнеров, но пока, честно признаюсь, это не очень удается. Возможно, что мы создадим такой центр у себя в компании и будем предлагать банкам пользоваться этим сервисом. 

NBJ: Помимо тех сервисов, о которых вы уже рассказали, какие еще услуги и решения, предлагаемые компанией ARinteg, востребованы банками? 

Т. БАРЕЛЬ: Кроме аудита, мы предлагаем нашим партнерам решения, находящиеся на грани ИТ и ИБ: защита WEB-приложений, аудит-менеджмент и  контроль за привилегированными пользователями, в том числе контроль за внешними подрядчиками, переход на технологии VDI. Написание  правил  корреляции событий не только для  ИТ и ИБ-структур, но и для  банковских систем в целом.

NBJ: Вы сказали об аудит-менеджменте – это что-то более сложное и системное, чем простой аудит ИБ-систем?

Т. БАРЕЛЬ: Нет. Я имела в виду использование программных средств как комплексных решений для аудита ИТ-инфраструктуры, управление доступом к данным и приложениям. Использование таких систем позволяет заметить развитие целевых атак на этапе их подготовки. То есть система «ловит» злоумышленников тогда, когда они только-только преодолели периметр защиты и пытаются, например, менять пароли и получить привилегии... В этот момент они еще не наносят ни системам, ни банку в целом ощутимого вреда. Но очевидно, что если оставить их активность не обнаруженной, то последствия могут быть достаточно серьезными. 

NBJ: Заключительный вопрос нашей беседы я бы хотела сформулировать так. Как известно, жить надо сегодняшним днем, но плох тот бизнес, который не смотрит в завтрашний день. Наверное, особенно это замечание справедливо, когда речь идет о компании, разрабатывающей решения в сфере ИТ и ИБ. О том, что востребовано банками, с этой точки зрения, вы подробно рассказали. А что, по вашему мнению, будет востребовано ими в кратко- и среднесрочной перспективе?

Т. БАРЕЛЬ: Перечисленные мной сервисы и решения не могут и не должны рассматриваться как «продукты одного дня». Так или иначе, а они будут нужны банкам и в дальнейшем. Сложно назвать единый тренд для такой сложной сферы, как финансы, в которую входят не только банки. Наша экспертиза позволяет подбирать индивидуальные решения для каждой конкретной задачи.