Несмотря на кризис, ОТП Банк остается в числе самых надежных кредитных организаций России: 23-м из 100 согласно рейтингу журнала Forbes. NBJ уже доводилось общаться с одним из топ-менеджеров банка — директором дивизиона операционного управления Максимом Пустовым. На вопросы журнала, посвященные ИБ финорганизации в период больших перемен, ответил директор управления информационной безопасности ОТП Банка Сергей Чернокозинский.

NBJ: Сергей, изменился ли уровень затрат на информационную безопасность ОТП Банка в нынешнем году?

С. Чернокозинский: Да, затраты, безусловно, возросли, поскольку некоторые необходимые нам решения безопасности — зарубежные, продаются они за иностранную валюту. Кроме того, мы поддерживаем уже использующиеся банком продукты.

NBJ: Существует ли вероятность того, что необходимые вам зарубежные решения будут заменены на российские в ближайшем будущем?

С. Чернокозинский: В целом импортозамещение — это цель, к которой Россия как государство должна стремиться, чтобы быть достаточно независимой от иностранных поставщиков и способной обеспечить свои потребности, а в перспективе и потребности других государств, то есть фактически экспортировать российские информационные технологии за рубеж. Другой вопрос, что в короткие сроки трудно будет достигнуть этого, и придется использовать иностранные аналоги. Отечественные решения не смогут составить им достойную конкуренцию, поэтому импортозамещение пока видится как отдаленная перспектива.

NBJ: Ваши коллеги жалуются на участившиеся кражи банковских продуктов. Как противостоять киберпреступности?

С. Чернокозинский: Хорошим решением было бы построение единой официальной площадки, на которой банки смогли бы обмениваться информацией и противостоять данной проблеме совместными усилиями.

NBJ: Хватает ли усилий государства по обеспечению информационной безопасности в финансовых институтах? ОТП Банк поддерживает рекомендации регулятора «Безопасность банковских приложений на всех этапах жизненного цикла»?

С. Чернокозинский: Да, мы поддерживаем данные рекомендации. Считаем, что государством уделяется достаточно внимания информационной безопасности в банковской сфере: постоянно разрабатываются и обновляются документы, проводятся круглые столы и мероприятия с участием регуляторов, высылаются разъяснения.

NBJ: Как вы оцениваете закон о хранении персональных данных россиян на серверах РФ?

С. Чернокозинский: Нам кажется, что требование хранения персональных данных граждан РФ на российских серверах не всегда выполнимо на практике. Ряду организаций волей-неволей придется или нарушать законодательные нормы, или придумывать какие-то лазейки.

NBJ: Вендоры не прочь использовать банки в качестве тестовых площадок для своих решений. В свою очередь, многие кредитные организации не готовы рисковать, выступая в качестве таких площадок. Как разрубить этот гордиев узел?

С. Чернокозинский: В настоящих реалиях банк в той или иной степени всегда будет тестовой площадкой для решений вендоров. Вендор может создать сверхсовременную тестовую площадку, но ничто не заменит проверку продукта в настоящих «боевых» условиях, ведь только в реальной обстановке проявляются все нюансы, ошибки, недоработки. Сказанное не означает, что вендор не должен проводить тщательное тестирование продукта. Как раз наоборот. Но одновременно с этим при внедрении нового решения банк и вендор должны быть готовы максимально оперативно отреагировать на возникающие проблемы.

NBJ: Возможен ли перевод банков на виртуальную среду в настоящее время? Как Вы в целом оцениваете данную идею?

С. Чернокозинский: Скорее мы ее поддерживаем. Это позволяет добиваться большей гибкости в настройке, лучшей управляемости и скорости развертываний как ИТ-решений, так и ИБ-решений. Другой вопрос, что пока рынок ИТ-безопасности не совсем готов к массовой миграции на виртуальную среду, даже ввиду отсутствия готовых решений по защите тех или иных областей виртуальных сред.

NBJ: Можно ли доверить информационную безопасность банка компании-аутсорсеру?

С. Чернокозинский: По большому счету да. Если взглянуть на отделы, управления, дирекции информационной безопасности в банках, то это, по сути, отдельные подразделения, призванные решать задачи обеспечения безопасности кредитной организации и финансируемые за счет средств банка. Если взять такое подразделение и вывести его за штат банка, то это не сильно поменяет существо вопроса, но в подобной ситуации уже можно говорить о наличии аутсорсинга. Поэтому аутсорсинг информационной безопасности — это просто несколько иная концепция выполнения тех же задач безопасности, финансируемая из того же источника, что и традиционное подразделение. У каждой из этих концепций есть свои плюсы и минусы, но однозначно говорить, что аутсорсингу информационной безопасности в банке не место, на наш взгляд, неправильно.

NBJ: Какие задачи в области обеспечения ИБ стоят перед вашим банком в 2015 году?

С. Чернокозинский: Главная задача одна — обеспечить необходимый уровень информационной безопасности в условиях жесткой экономии бюджета и одновременно участившихся случаях атак на банки со стороны киберпреступников.