Аналитика и комментарии

11 декабря 2017

информационные технологии в финансовом секторе

В числе активных участников круглого стола были: главный разработчик интернет-банка «ЧатБанк» ПАО «Совкомбанк» Андрей Бухтияров; главный советник АО «РНТ» Андрей Курило; генеральный директор компании SafeTech Денис Калемберг; руководитель коммерческого офиса компании Intersoft Lab Максим Астахов; советник председателя правления ООО Банк «СКИБ» Егор Газетин; вице-президент ООО КБ «Международный расчетный банк» Валерий Голев; Sr. Director, Enterprise Sales and Industry, Microsoft Central and Eastern Europe Крис Форест; заместитель начальника управления ИТ Алеф-Банка Валерий Бородин; заместитель руководителя службы финансового мониторинга клиентских операций ВТБ 24 Алексей Тимошкин; руководитель направления противодействия мошенничеству Центра информационной безопасности компании «Инфосистемы Джет» Алексей Сизов; инженер предпродажной поддержки АО «Лаборатория Касперского» Кирилл Кулаков; директор по продажам компании DataSpace Partners Константин Королев; региональный директор Центра Финансовых Технологий (ЦФТ) Иван Окулов; начальник управления информационной безопасности Интерпрогрессбанка Алексей Свириденко; преподаватель Академии информа­ционных систем (АИС) Евгений Царев и др. 

Организатор: Национальный Банковский Журнал (NBJ) при содействии Ассоциации российских банков. 
Модератор: заместитель генерального директора Академии информационных систем (АИС) Игорь ЕЛИСЕЕВ.

Официальный партнер круглого стола: 
компания «Российские наукоемкие технологии». 

NBJ: Впервые в практике проведения NBJ круглых столов на тему информационных технологий в рамках одного мероприятия объединены сотрудники служб ИТ и ИБ. Это вполне логично, если учесть, что одна из актуальнейших задач, которая стоит перед финансово-кредитными организациями сейчас, заключается в том, чтобы из традиционных банков стать цифровыми. А цифровой банк – это, с одной стороны, постоянное обновление, внедрение инноваций, разработка и вывод на рынок новых продуктов фактически в режиме нон-стоп. С другой стороны, это обеспечение клиентам возможности получать банковские услуги в любом месте пребывания в любое время и в любой удобной для них форме. Также это максимально возможный уровень надежности, поскольку речь идет о безопасности дистанционных платежей и денежных переводов, а также о защите персональных данных клиентов. В этом контексте безопасники и айтишники должны работать вместе. Но в то же время между ними сохраняются исторические противоречия, различия в менталитете и, соответственно, в подходах к одним и тем же событиям. Не знаю, кто это сказал, но сказано было исчерпывающе точно. Для сотрудника ИТ устранение сбоя в функционировании информационной системы – возвращение к нормальной работе, а для сотрудника ИБ то же самое является попыткой уничтожить доказательства. Естественно, это порождает разногласия между службами. Второй камень преткновения заключается в том, что ИТ рассматриваются как элемент прогресса, а ИБ – как сила, тормозящая прогресс, и к тому же как статья достаточно серьезных расходов. Однако мы видим, что постепенно это отношение меняется в соответствии с требованиями времени, и мы предлагаем вам обсудить, как можно быстрее продвигаться по этому пути.  В рамках нашего круглого стола мы предлагаем рассмотреть и другую тему: о том, как должна меняться модель взаимодействия между ИТ-службами в банках и поставщиками решений и услуг в сфере ИТ. Очевидно, что жизнь вносит в действующие модели свои коррективы.

Темами, которые также нельзя упустить из виду, являются финтех и криптовалюты. Мы видим, что курс биткоина в последнее время растет как на дрожжах. Естественно, возникает вопрос, стоит ли банкам уже всерьез заниматься этими новыми финансовыми инструментами или нет. То же самое можно сказать и о технологии блокчейн, отношение к которой в нашем финансовом и технологическом сообществе очень сильно различается. Кто-то считает, что блокчейн вечен и неуязвим, кто-то, напротив, отмечает, что и эта технология, какой бы совершенной она ни казалась, имеет естественные ограничения. Мы предлагаем участникам нашего мероприятия обменяться мнениями и на эту тему. На этом я завершаю свое вступительное слово и перехожу к тому вопросу, который значится первым в темплане нашего мероприятия. Какие технологические вызовы существуют сейчас для банковских организаций, как вы планируете на них отвечать, что измените в своих ИТ-процессах?

А. БУХТИЯРОВ (Совкомбанк): Я постараюсь ответить на заданный вопрос, приведя в качестве примера конкретный кейс. Полтора года назад мы начали трансформацию, которая должна была увести нас от традиционной модели бизнеса к передовой, в которой значительную роль играет цифровизация. На этом пути мы столкнулись с рядом проблем. Некоторые из них могут показаться вам простыми, но на деле они были достаточно сложны в решении. 

Первая заключалась в быстром росте как объемов бизнеса, так и количества филиалов.  Точки продаж надо было обеспечить непрерывно работающей, безопасной телекоммуникацией, при этом приходилось учитывать и разность часовых поясов, и то, что работать приходилось в нескольких автоматизированных банковских сис­темах (АБС). Соответственно, нам было необходимо найти решение, на базе которого можно было бы работать с несколькими АБС. Мы рассматривали предложения различных поставщиков, но, к сожалению, не нашли подходящего для нас продукта, и нужное решение нам пришлось фактически искать самим. Это тот момент, который я вполне мог бы назвать технологическим вызовом. 

Второй вызов, или вторая проблема, – экономика процесса. Мы убедились, что если покупать поштучные лицензионные решения для дистанционного банковского обслуживания (ДБО), то это чревато очень большими расходами для банка. Количество наших клиентов составляет на сегодняшний день почти 4 млн человек. Это обстоятельство тоже было учтено при принятии решения о переходе на дистанционные каналы собственной разработки. 

NBJ: Вы сказали, что перед вашим банком стояла задача перехода от традиционного, классического банка к цифровому. А каковы результаты этого процесса на данный момент?

А. БУХТИЯРОВ (Совкомбанк): Благодаря автоматизации многих бизнес-процессов и успешному развитию ДБО мы фиксируем, что за каждый шаг в десять дней количество наших клиентов 
в онлайн-банке «ЧатБанк» от ПАО «Совкомбанк» увеличивается на 50 тыс. человек. Я думаю, это неплохой показатель. При этом мы исходим из того, что надо очень внимательно мониторить клиентскую базу, особенно когда речь идет о пользователях интернет-банков. Есть организации, которые считают клиентов, исходя из принципа «проникновения», то есть если человек зашел в интернет-банк, это значит, что он уже твой клиент. Мы придерживаемся другой точки зрения. Одного «проникновения» мало. Надо, чтобы человек реально использовал интернет-банк, оплачивая с его помощью ЖКХ, погашая штрафы, налоги и т.д. Если возникает ситуация, при которой человек пользуется вашим интернет-банком, но при этом, например, не оплачивает с его помощью счет за электричество, то это означает упущенную для вас как для банка возможность. Значит, он совершает эту операцию в другом месте, поэтому вам нужно улучшить коммуникацию с клиентом, объяснить ему, что выгоднее совершать платежи в вашем клиент-банке. 

В. БОРОДИН (Алеф-Банк): Вопрос о на­личии или отсутствии технологических тормозов является непростым, потому что нам сразу же приходится сталкиваться с дилеммой: люди, оборудование или программное обеспечение – какой из этих трех компонентов играет роль тормоза? Конечно, мне могут возразить, что есть еще и законодательство, но это, на мой взгляд, скорее не тормоз, а направляющий пинок, указывающий, в какую сторону банку следует идти. Человеческий фактор я тоже предлагаю не рассматривать, потому что он является постоянным и с ним, по сути, ничего всерьез сделать нельзя.

Итак, перейдем к оборудованию. Хотим строить безопасные филиалы? Значит, надо ставить оборудование, не подверженное атакам, например тонкие клиенты. Когда данные находятся в защищенном хранилище, атаковать компьютеры сотрудников бессмысленно. То есть по этой линии как раз можно выстроить эффективную оборону. А вот с программным обеспечением возникает много вопросов: что нужно банку для развития, что могут предоставить ему ИТ? Вот как раз от ответов на них и зависит то…

NBJ: Насколько банк готов к технологическим вызовам?

В. БОРОДИН (Алеф-Банк): Я предложил бы отказаться от самой этой формулировки. Ведь что такое вызов? Это когда происходит нечто для вас неожиданное и никак от вас не зависящее. Это форс-мажорная ситуация. А если вы планируете процессы заранее, то о чем может идти речь? То, что некоторые эксперты называют вызовами, уместнее считать ошибками в планировании, ведь они просто не предусмотрели риска возникновения тех или иных событий. 

Д. КАЛЕМБЕРГ (SafeTech): Часто, когда говорят о технологических вызовах для банков, упоминают, например, что цифровизация бизнеса непременно должна повлечь за собой сокращение физической филиальной сети банков. Я, напротив, не вижу здесь противоречий. Физические офисы и дистанционные каналы обслуживания вполне способны развиваться, не вытесняя друг друга. Никакой дилеммы, необходимости выбирать в этом вопросе одно из двух на самом деле нет.

С другой стороны, действительно есть то, что мешает развитию бизнеса, и это как раз требования ИБ. Чтобы подтвердить этот тезис, приведу простой пример. Как мы подтверждаем электронные операции в случае их проведения? По сути, так же, как и десять лет назад, вводя пароль и логин и получая СМС-пароль. Естественно, у бизнеса по данному пункту формируется негатив и с точки зрения неизбежных расходов на отправление подобных СМС, и с точки зрения уровня удобства и безопасности сервисов. Общаясь с бизнесом, мы видим потребность в том, чтобы 
технологии подтверждения транзакций не отставали от самих финансовых сервисов. Ведь за последние десять лет наш рынок прошел огромный путь с точки зрения цифровизации отрасли, а вот что касается безопасности ДБО, здесь не так уж много изменилось.

NBJ: Я хотел бы задать тот же вопрос о технологических вызовах одному из участников нашего круглого стола, Андрею Курило. Думаю, его не надо дополнительно представлять и рекомендовать: на протяжении многих лет мы знали его в качестве представителя регулятора, а теперь он представляет компанию-разработчика. 

А. КУРИЛО (РНТ): Честно признаться, я затрудняюсь ответить на вопрос о технологических вызовах, которые влияют на развитие информационных технологий. Если речь идет о масштабировании банка, о консолидации его ресурсов, о централизации АБС, то, естественно, при решении этих задач применяются ИТ. И так же естественно, что при этих процессах возникает масса рисков. 
Что же касается вопроса, который поднял наш коллега из компании SafeTech, о способах подтверждения клиентом операций, совершаемых с помощью дистанционных каналов обслуживания, то это действительно актуальная тема. Но тут надо понимать, что банкиры – люди практичные. Если они видят, что старая технология работает, что она не идеальна, но риски, которые она несет с собой, являются регулируемыми, то у них не возникает желания ее менять. В то же время лично я думаю, что время подумать о новых инструментах подтверждения операций все же настало. 

М. АСТАХОВ (Intersoft Lab): Я бы хотел обратить внимание на еще один важный технологический вызов. Диджитализация бизнеса неизбежно ведет к росту объемов данных. И это, в свою очередь, влечет за собой рост интереса к ИТ-инструментам, которые позволяют эти данные аккумулировать, хранить и анализировать – к хранилищам данных, BI-системам и др. Однако прежде чем анализировать данные, их нужно привести в пригодный для анализа вид. Например, аналитики компании IDC считают, что через три года лишь треть данных можно будет считать полезной, т.е. пригодной для анализа. В результате возрастает статус задач обеспечения качества корпоративных данных и их интеллектуальной обработки, позволяющей получить из сырых данных самые разные производные, полезные для анализа показатели. И, как мне кажется, преимущество будет у тех поставщиков аналитических решений, которые владеют технологиями и инструментами сбора «сырых» данных из различных источников, обеспечения их качества и обогащения, а также бизнес-аналитики, чтобы предоставить бизнесу действительно ценную и значимую информацию. Например, у тех, которые могут выделить сегменты в клиентской базе и рассчитать эффективность каждого из них, спрогнозировать рентабельность новых продуктов и каналов продаж и т.д. 

Е. ГАЗЕТИН (Банк «СКИБ»): Со своей стороны, продолжая тему технологических вызовов, я хотел бы рассказать о кейсе нашего банка. Одним из ключевых направлений нашего бизнеса является предоставление банковских гарантий. Все знают, что этот продукт востребованный, но при этом практика показывает, что количество гарантий, которые можно выдать в день, ограничивается двумя-тремя. Клиентов это не устраивает, поскольку во многих случаях им нужно положительное решение по их заявке здесь и сейчас. С учетом этого мы еще в 2013 году начали искать ИТ-решение, которое дало бы нашему банку возможность ускорить процесс рассмотрения заявки. По сути, речь шла о создании агрегатора, который собирал бы все заявки в одном месте и подавал бы их на рассмотрение.

NBJ: И какие результаты это дало?

Е. ГАЗЕТИН (Банк «СКИБ»): Весьма впечатляющие. На сегодняшний день совместно с Совкомбанком, дочерней структурой которого мы являемся, мы выдали свыше 288 тыс. банковских гарантий на сумму, превышающую 135 млрд рублей. Этот прорыв произошел благодаря внедрению информационных технологий. Мы стали использовать систему скоринга, систему подписания документов с помощью электронной цифровой подписи (ЭЦП), систему электронного документооборота. Все это позволило нам создать замкнутый цикл формирования кредитного досье и полностью исключить необходимость обращения клиента в офис. Система работает по всей стране, независимо от того, где находится в данный момент компания, претендующая на гарантию для участия в госзаказе. И сама заявка, если она на сумму, не превышающую один миллион рублей, выдается в течение несколько секунд. 

NBJ: Но многие банки жалуются на то, что подобное решение достаточно трудоемко во внедрении.

Е. ГАЗЕТИН (Банк «СКИБ»): А это как раз тот выбор, который стоит перед всеми нами, что предпочесть – работать по старинке или потратить время, силы и деньги для того, чтобы автоматизировать бизнес-процесс и сделать его более эффективным. В конце концов, какой из этих путей является правильным, показывает практика, а в соответствии с ней из сферы банковских гарантий уходят как раз те игроки, которые отказываются от использования новых ИТ-решений. Просто потому что они начинают проигрывать своим более технологически развитым коллегам по времени рассмотрения заявок и принятия решений по ним. 

Завершая свое выступление, я хотел бы сказать еще одно. Когда мы говорим о технологических вызовах, стоящих перед банками, то очень уместно звучит высказывание одного из известных экспертов. Людям не нужны банки, людям нужны сервисы. И первые, кто сможет предоставлять необходимые сервисы, будут снимать сливки. Те же, кто будет отставать в этом вопросе от своих более удачливых коллег, вынуждены будут уходить из этой сферы. 

В. ГОЛЕВ (Международный расчетный банк): Меня заинтересовал в вашем рассказе один момент. Вы говорите, что ваш банк выдает за несколько секунд гарантию, если речь идет о сумме не более одного миллиона рублей. Это прекрасно, но ведь существуют нормативные требования ЦБ РФ о техническом анализе заемщика. Как можно выполнять эти требования в полном объеме и в то же время не растягивать во времени процесс принятия решений по гарантии? Я вижу только один выход: сразу формировать под такие кредитные продукты большие резервы, но тогда экономика уйдет в ноль, банк не будет зарабатывать. В чем же тогда секрет успеха?

NBJ: Коллеги, мне кажется, это уже более технический вопрос. Конечно, он тоже интересный, но в рамках круглого стола я все же предложил бы вернуться к более масштабным темам. Например, поговорить о том, какие ИТ-решения сейчас наиболее востребованы, какие из них помогают реально увеличивать объемы продаж и снижать издержки при осуществлении бизнес-процессов. И, поскольку наше заседание началось с рассказа об одном кейсе, давайте и дальше двигаться в том же духе. Расскажите, пожалуйста, у кого в банке какой проект в сфере ИТ был реализован, какие он дал результаты, чем он был инициирован?

А. БУХТИЯРОВ (Совкомбанк): Сколько банков, столько и проектов, а также столько же мотивирующих факторов для их реализации. Если говорить о Совкомбанке и о той модернизации, о которой я уже рассказал, то у нас таким мотиватором был маркетинг. Он определил, какими должны быть продукты и как они должны предлагаться клиентам. Другим драйвером было дистанционное банковское обслуживание (ДБО), точнее, стремление его улучшить, переломить тенденцию, при которой клиенты начинали было пользоваться им, а потом переставали заходить в интернет-банк и совершать операции с его помощью. По итогам внедрения новой системы ДБО мы увидели рост объема продаж и лояльности клиентов. 

Одним из преимуществ является то, что информация по счетам открывается на одном экране «кустом». Это очень удобно, например, для малого и среднего бизнеса, ведь у компаний может быть несколько счетов, и, естественно, руководителю удобно видеть их все сразу и контролировать в формате «единого окна» движение средств по ним. Второе преимущество – «живой чат». Это очень располагает к нашему ДБО клиентов, поскольку мы все живем во времена господства соцсетей, и возможность такого общения клиентов с менеджерами воспринимается очень позитивно. Третий момент, который хотелось бы отметить, – программа лояльности, которая также реализуется через ДБО. 

К. ФОРЕСТ (Microsoft): Мне кажется, что фокус нашей дискуссии направлен прежде всего на фронтальные каналы, на привлечение клиентов и лояльность. Это правильно, но я хотел бы поделиться своим опытом. В Европе тоже уделяют внимание этим вопросам, но фундамент повышения лояльности пользователей был заложен еще пять лет назад, и его ключевым элементом была работа с данными. Именно способность быстро аккумулировать данные, структурировать и анализировать их, а также быстро «доставлять» их во фронтальные каналы, где принимаются решения, – один из самых важных аспектов деятельности финансово-кредитных организаций.

Здесь мельком был упомянут человеческий фактор, между тем он тоже весьма важен. Зачастую инновации тормозятся, а некоторые передовые ИТ-решения не внедряются, потому что люди боятся, что в результате этих внедрений они окажутся ненужными. Мы же чаще всего видим другое. Люди остаются на своих местах, но их роль меняется. Они перестают быть специалистами, обслуживающими инфраструктуру, и превращаются в консультантов и партнеров для бизнеса. В то же время скорость всех процессов резко возрастает, что очевидным образом соответствует интересам любой компании. Надо понимать, что все меняется для всех подразделений – и для ИТ-служб, и для бизнеса. Приходится поддерживать нужный темп, поскольку нарастает угроза 
со стороны финтех-компаний. 

NBJ: Я хотел бы обратиться с вопросом о происходящих изменениях в сфере ИТ к представителю банка, который входит в топ-3 по величине активов. Происходит ли процесс трансформации ВТБ 24 из классической банковской организации в цифровую?

А. ТИМОШКИН (ВТБ 24): Банки всегда будут следовать за клиентами. Если брать крупные финансово-кредитные организации, обслуживающие миллионы физических лиц, то среди  клиентов значительную долю составляют люди, которые по-прежнему привыкли взаимодействовать с банком, приходя в его отделения. Это во многом архаичный способ коммуникации, но мы не можем поменять сознание людей, нам приходится соответствовать их пожеланиям и привычкам. Следует обратить внимание и на другой момент. Россия является неравномерно развитой страной с точки зрения цифровизации, есть населенные пункты, где телекоммуникационная связь еще недостаточно эффективна. Наша задача, и в частности Почта-Банка, входящего в группу ВТБ, выполнить социальную функцию и обеспечить доступ к банковским услугам на таких территориях.  Мы это учитываем, поэтому сохраняем классические  способы обслуживания клиентов, хотя, конечно, в то же время будем совершенствовать и цифровые каналы. Но тут вновь возникает целый ряд вопросов, и не последним из них с точки зрения актуальности является идентификация клиентов и аутентификация совершаемых ими операций.

А. КУРИЛО (РНТ): Это действительно очень важная тема. Если говорить о первой ее составляющей, то надо признать, что вопрос идентификации делится на два пункта – идентификацию устройства, которое клиент использует для входа в систему самообслуживания, и идентификацию лица, которое держит это устройство в руках в момент обращения. Иными словами, можем ли мы быть уверенными в том, что в банк действительно обращается человек, связанный с ним договором об обслуживании? Или, возможно, его устройством завладел другой человек, или злоумышленник каким-то образом получил ключи доступа? Эти вопросы надо решать, в том числе и в правовой сфере. 

А. СИЗОВ (Инфосистемы Джет): По опыту нашего взаимодействия с банками, очень важно не только решить вопрос идентификации клиентов, но и нау­читься четко определять момент, когда клиент уходит из банка и перестает пользоваться его сервисами. Совсем недавно наша компания проводила форум RAIF 2017, полностью посвященный применению технологий машинного обучения и искусственного интеллекта в самых различных областях. Банк УРАЛСИБ, партнер нашего форума, предложил экспертам в области Data Science решить задачу выявления потенциального ухода клиентов в первые дни. В итоге это было сделано  с помощью технологий машинного обучения. Созданный алгоритм с точностью 80% предсказывал уход клиента за месяц до самого события. В итоге были даны рекомендации по новым продуктам и условиям для удержания клиентов из «зоны риска».

NBJ: Предупрежден – значит вооружен?

А. СИЗОВ (Инфосистемы Джет): Вот именно. Для банков в таких случаях главным является время, в течение которого ситуацию можно исправить, пока она не стала необратимой. Наверное, все согласятся со мной в том, что конкуренция в банковской области в первую очередь происходит именно за клиентов, за то, как удержать тех, кого ты уже обслуживаешь, и за то, как привлечь новых. 

NBJ: Еще один вопрос, который в последние три года является практически обязательным в ходе обсуждений темы «ИТ в финансовой сфере». Это проблема импортозамещения. Я прошу коллег поделиться своими взглядами на то, как здесь обстоят дела.

Е. ГАЗЕТИН (Банк «СКИБ»): Честно говоря, не так, как хотелось бы. Мы, к сожалению, не обладаем отечественным программным обеспечением. Я уверен, что не будет преувеличением сказать, что все наши банки без исключения зависят от ПО двух иностранных производителей, имена которых всем хорошо известны. Пока вроде бы опасений по этому поводу нет, но в любой момент в этих компаниях могут нажать на кнопку, и наши банки окажутся совершенно беспомощными. Есть директива президента о переходе на открытое ПО, реализовать ее – это серьезный вызов для отечественных компаний-вендоров. 

NBJ: Еще одним традиционным воп­росом в рамках подобных дискуссий являются облачные решения, насколько они используются, каковы новые требования со стороны банков к сервис-провайдерам облачных технологий, насколько можно использовать в данном контексте аутсорсинг, как это соотносится с выполнением регуляторных требований и стандартов в ИБ? Повторюсь, это традиционные вопросы, но суть в том, что они со временем не утрачивают своей актуальности. Кто готов поделиться своим опытом и мнением по данной теме?

В. БОРОДИН (Алеф-Банк): Проблема в том, что не так уж много услуг можно отдать облачному провайдеру. Если говорить о нашем банке, то мы отдали ему проверку внешнего интернета. Что это дает? То, что большинство известных и неизвестных атак на внешний интернет принимает на себя облачный провайдер, а вы как банк получаете в результате уже более или менее очищенный канал. Есть у нас и опыт аутсорсинга инфраструктуры. Мы отдали на обработку внешнему подрядчику печать документов. После этого нас не волнует, кончилась ли бумага в принтерах, вышли ли сами принтеры из строя, поскольку устранение этих проблем полностью лежит на стороне провайдера услуги.

NBJ: А есть ли кейсы более существенного ИТ-аутсорсинга, например, в контексте использования ИТ-решений или «железа» внешнего провайдера?

К. ФОРЕСТ (Microsoft): Очевидно, что должно пройти еще немало времени для того, чтобы банки стали доверять имеющиеся у них данные облачным провайдерам. В этом смысле похожий путь прошли когда-то и сами банки. Понадобились долгие годы и даже века для того, чтобы люди поверили, что им можно доверять деньги.

Е. ГАЗЕТИН (Банк «СКИБ»): У нас в банке на текущий момент свои только компьютеры, стоящие на рабочих местах. Что же касается всего остального, то мы либо арендуем ПО, либо используем облачные сервисы. У нас нет серверов, на которых расположены наши гигабайты данных, все базы у нас хранятся на ресурсах, предоставляемых провайдером. Еще один сервис, который нас интересует и за которым, по нашему мнению, будущее, – это облачная ЭЦП.

Д. КАЛЕМБЕРГ (SafeTech): Я согласен, что за этим действительно будущее, и у нас уже есть опыт предоставления такого сервиса нашим партнерам. Единственное, я хотел бы отметить, что сейчас появилось много компаний, которые утверждают, что предоставляют сертифицированные решения класса «облачная электронная подпись». Но проведенное нами исследование показывает, что в большинстве случаев это очень сильное преувеличение. Методы доступа к ключам подписи, которые используют эти компании, не соответствуют требованиям регулятора.  Поэтому в данном вопросе можно порекомендовать банкам проявлять осмотрительность.

NBJ: Следующий вопрос в нашем темплане неразрывно связан с теми, которые мы здесь уже обсудили. Как обстоят у нас дела с сервисами в сфере безопасности? И насколько их использование позволяет банкам снижать свои риски, экономить на расходах на ИБ?

Д. КАЛЕМБЕРГ (SafeTech): Мне кажется, здесь нет одного ответа для всех, поскольку речь идет о чистой экономике. Банк считает затраты, которые он понесет, реализовав этот сервис внутри или осуществив путем передачи части своего функционала внешнему провайдеру. Понятно, что в данном случае все зависит от масштабов бизнеса и целого ряда других факторов.

NBJ: Я попытался набросать, готовясь к круглому столу, общую картину ситуации с защитой ДБО. Выяснилось, что это очень многоаспектная проблема, о которой я прошу рассказать представителей тех компаний, которые как раз разрабатывают соответствующие решения.

К. КУЛАКОВ (Лаборатория Касперского): Сразу скажу, что «серебряной пули» в данном случае нет. На основании исследований, проведенных нашей компанией, мы пришли к выводу, что безопасность ДБО базируется на четырех технологиях: пассивная биометрика и поведенческий анализ, глобальная репутация устройств, используемых клиентами, и обнаружение вредоносного программного обеспечения. По статистике ЦБ РФ за 2016 год, расклад такой. В 47% случаев несанкционированные операции стали возможными из-за нарушения конфиденциальности, в 34% случаях имело место вредоносное ПО. К сожалению, банки все еще недостаточно знают о своих клиентах, и именно это зачастую становится источником проблем.

NBJ: Нам удалось обсудить дос­таточно широкий круг вопросов. Понятно, что за рамками дискуссии осталось то, что сейчас интересует очень многих экспертов, – в частности, технология блокчейн. Но эта тема настолько важна, что ей, наверное, следует посвятить отдельное заседание круглого стола, а пока в качестве подведения итога я могу только резюмировать, что по мере цифровизации банков «связка» между ИТ и ИБ действительно становится все более тесной, и в этом мы наглядно убедились в ходе нашего мероприятия.    

 

Кирилл Кулаков, 
инженер предпродажной поддержки АО «Лаборатория Касперского»

Клиенты банков все чаще предпочитают совершать операции через системы дистанционного банковского обслуживания. Именно поэтому многие финансово-кредитные организации активно запускают мобильные приложения, разрабатывают онлайн-сервисы либо совершенствуют уже имеющиеся системы. Однако вместе с клиентской базой растет и количество злоумышленников, которые стремятся проникнуть в системы ДБО.

Для похищения денег через интернет-банки и сайты финансовых услуг киберпреступники применяют разнообразные схемы. К основным угрозам относятся следующие: захват банковского счета – кража учетных данных пользователя и последующий перевод финансовых средств с этого счета. А также вмешательство в транзакции – изменение параметров транзакции или создание новой транзакции от имени пользователя.

Как правило, банковская ИT-инфраструктура хорошо защищена, поэтому киберпреступники стремятся захватить управление клиентской стороной систем ДБО. Нередко клиенты банков ведут себя легкомысленно, когда дело касается безопасности их компьютеров и мобильных устройств. При этом ошибки клиентов зачастую оказываются проблемой банка – не столько потому, что он вынужден в соответствии с законом компенсировать клиентам убытки, сколько потому, что пользователи винят в случившемся обслуживающую их организацию. Соответственно, лояльность между банками и клиентами в этом случае подвергается серьезному испытанию. 

Поделиться:
 

Возврат к списку