Аналитика и комментарии

03 марта 2018

Не только регулировать, но и помогать развиваться

Сегодня хотелось бы обсудить, каким образом информационная безопасность становится не просто отдельным элементом, а уже неотъемлемой частью цифровой трансформации. Мое выступление называется «Информационная безопасность и цифровая трансформация», потому что при тех изменениях, которые мы с вами видим на рынке технологий, при тех новых проектах и создании экосистем потребителей, инвесторов, клиентов, в первую очередь, волнует то, насколько безопасными будут эти технологии.

Приведу несколько свежих цифр из финансовой сферы. Так, в 2-3 раза увеличилось число инцидентов ИБ. По системам мониторинга и по отчетам мы видим, что мошенники развиваются вместе с технологиями, иногда даже быстрее, они придумывают такие способы фрода, которые раньше и не приходили нам в голову. 93 миллиарда долларов – это мировые расходы коммерческих организаций (банков и не только) на обеспечение информационной безопасности. При этом все отрасли стали понимать, что нужно много вкладывать в эту область.

58 кредитных организаций уже начали инвестировать в технологии для снижения киберрисков. Действительно, финансовая отрасль является драйвером развития финансовых технологий. Компании, создающие новые экосистемы и платформы, относятся либо к финансовым организациям, либо к телекому, либо это предприятия, занимающиеся электронной коммерцией. Часто компании объединяются в так называемые партнерства или экосистемы, когда они могут в режиме одного окна предоставлять разные услуги. И финансовые организации, понимая, что они отвечают за клиента, генерируют отдельные программы создания киберустойчивых инструментов для защиты данных своих клиентов. При этом 40% организаций (имеются в виду предприятия различных сфер экономики и хозяйства) не имеют пока стратегии информационной безопасности.

В банковской сфере эта цифра немного другая: у 70–75% кредитных организаций есть детально проработанная стратегия ИБ, порядка 30% ее имеют, но при этом хотят детализировать. Что же касается небанковских организаций, то здесь уровень проработки стратегий по информационной безопасности пока достаточно низкий и оставляет желать лучшего. 48% российских организаций понимают, что нужно увеличивать расходы на ИБ и уже начали это делать. 60% финансовых организаций к 2020 году будут инвестировать в инструменты защиты информации больше средств, чем сегодня предполагают.

Нас удивил следующий момент: два года назад приоритетные направления деятельности банков были расставлены в другом порядке, и на первом месте стояло развитие цифровых технологий, кибербезопасность занимала четвертое место. По итогам оценки и опроса в 2017 году банки поставили кибербезопасность и защиту данных на первое место. Поэтому мы со своей стороны, как регулятор, должны понимать, как мы будем способствовать выстраиванию системы киберзащиты на национальном уровне и каким образом нам построить взаимоотношения с участниками финрынка – и с банками, и с некредитными финансовыми организациями, чтобы иметь систему не только мониторинга, но и быстрого реагирования на возникающие угрозы. Было принято решение о выделении информационной безопасности в отдельный департамент. Это в том числе связано и с пониманием того, где мы находимся сейчас и как мы должны развиваться в этой области. Вторая причина заключается в том, что мы сами, как Банк России, внедряя новые решения и создавая у себя новые ИТ-платформы, должны отстраивать элементы кибербезопасности уже на стадии проектирования.

Цифровая трансформация занимает в списке приоритетных направлений деятельности только второе место. Я думаю, что уклон в защиту данных будет преобладать не только в этом году, но и в ближайшие 5-7 лет, пока мы не выстроим понятную и абсолютно прозрачную систему, которая гарантирует нам максимальную защиту потребителя, клиента и наших национальных интересов (конечно, не на 100%, это нереально).

Еще один интересный тренд, который появился в 2017 году, – это то, что развитие кадров и поиск талантов вышли на третье место. Два года назад данное направление занимало только седьмую позицию, не так много компаний и банков понимали, что нам действительно нужно искать людей, развивать их, вкладываться в их обучение.

Что происходит в мире в интересующей нас сфере? Наверное, самая значимая деятельность в плане регулирования ИБ сейчас имеет место в Европейском союзе. Вы помните, что была принята платежная директива No 2, которая разрешает в Евросоюзе не только банкам, но и любым компаниям получать информацию о счете и остатке по счетам клиента в случае, если он дает такое согласие. Эта директива долго действовала как теоретический документ, она не содержала в себе элементов информационной защиты. То есть было непонятно, как при такой свободе и при разрешении пользоваться данными клиента защищаются его персональные данные. Поэтому с 25 мая 2018 года вступает в силу другой документ, который как раз прописывает основные правила по защите персональных данных. Основная суть этого документа сводится к тому, что клиента нужно очень корректно и правильно информировать о том, как его данные будут использованы, и получить его осознанное согласие на такое использование в явной форме. Эту работу с клиентом должна провести каждая организация.

Кроме того, есть серьезные требования по защите информации на всех уровнях: как на уровне банков, так и на уровне организаций, которые предоставляют продукты и услуги. Вводится новая отчетность, которая уведомляет надзорные органы в области защиты персональных данных. Но самое интересное в этом то, что хотели как лучше, а получилось как всегда. При разработке и оформлении этого регулирования часть положений по ИБ вошла в противоречие с платежной директивой, и теперь в Евросоюзе не вполне понимают, как и куда дальше двигаться: либо часть положений из платежной директивы надо убирать и сильно корректировать, либо необходимо упрощать требования в части нового закона по ИБ, потому что фактически какието вещи, ранее предусмотренные к разрешению, он запретил. Я думаю, в 2018 году будет интересно понаблюдать, к каким выводам придут наши зарубежные коллеги.

Мое мнение: абсолютно точно они будут корректировать и первый, и второй законы, потому что их надо синхронизировать между собой. Есть и вторая причина – кредитные организации и те, кто владеет большими данными о клиенте, не готовы делиться информацией со стартапами и технологическими компаниями, которые могут составить им конкуренцию. Поэтому в этом документе по ИБ появилось много пунктов, которые ограничивают возможности обслуживания клиентов малыми и средними компаниями. Это интересный вопрос, мы внимательно мониторим данную ситуацию, и я думаю, что в следующем году уже поймем, какие есть варианты решений по таким проблемам.

Почему нам это важно? Потому что мы двигаемся в область развития финтеха и действительно желаем многие вещи не просто регулировать, но и содействовать их развитию, созданию правильных механизмов защиты. Соответственно, нужно уже на стадии законодательных документов, организационных и технологических мероприятий достаточно детально согласовывать, что мы планируем делать по этим направлениям. В моем понимании это даже не два направления, а два элемента успешной реализации цифровых финансов или цифровой экономики. Я имею в виду развитие информационных технологий и информационной безопасности, которая должна быть их неотъемлемой частью.

Банк России, как мегарегулятор, еще в 2015 году принял для себя очень серьезное решение. Мы пришли к выводу, что отим не просто надзирать и регулировать финансовую сферу, а желаем в части совершенствования продуктов и услуг, развития конкуренции содействовать рынку там, где действительно можем принести ему пользу. А именно, изучая новые платформы и технологии, не запрещать что-то изначально, а сначала разобраться, сделать совместные с участниками рынка выводы. И дальше прописывать, если это нужно в нормативном регулировании, те или иные новые задачи и тренды, которые принесут пользу и клиентам, и участникам финансового рынка.

Мы создали стратегию, которая называется «Основные направления деятельности Банка России в сфере финансовых технологий», определив для себя семь основных направлений.

1. Правое регулирование. По факту мы с вами живем уже в цифровом мире, но есть масса понятий и определений, которые у нас отсутствуют на уровне закона. Законодательно у нас пока нет таких понятий, как смартконтрактер, распределенные реестры, валидация, майнинг и т.д. Для того чтобы иметь возможность проводить эти операции и запускать их в промышленную эксплуатацию, как минимум на нормативном уровне нужно понять, что это значит и как эти термины и определения могут использоваться в защите наших клиентов и инвесторов. Первый шаг мы сейчас делаем совместно с Минфином и Минэкономразвития. Он направлен на то, что мы, систематизируя новые понятия, даем им определения. Закон называется «О цифровых активах», он только проходит обсуждение, по нему есть несколько разногласий, но по основным понятиям и определениям мы пришли к общему пониманию. Я думаю, что в первом квартале он выйдет на общественное обсуждение. Однако, помимо этого законопроекта, есть масса других нормативных актов, причем не только Банка России, но и других министерств и ведомств.

Сейчас существует очень много блокировок, несостыковок, вплоть до того, что уже понятно, что при каких-то операциях можно пользоваться только электронными документами, но при этом все равно есть требования получать всю информацию на бумажных носителях, ставить печати и т.д. Это становится каменным веком, который мешает и нашей стране, и нам с вами. 

2. Развитие цифровых технологий на финансовом рынке. Мы в 2016 году создали Ассоциацию «Финтех» вместе с участниками рынка, поскольку понимаем, что в существующей парадигме развития отдельных участников, которые что-то пытаются решить и что-то выиграть для себя, уже быть не может. То есть регуляторы и участники финрынка в части цифры должны больше сотрудничать и содействовать друг другу, нежели устанавливать какие-то правила и дальше думать, как их исправлять, если они не работают. Поэтому на площадке по финансовым технологиям мы вначале обсуждаем основные технологии, проекты, платформы, вырабатываем какие-то общие концептуальные подходы, которые устраивают и регулятора, и рынок. Далее мы определяем мероприятия, которые совместно хотели бы реализовать. Недавно мы договорились о следующем. Есть документ по цифровой экономике, утвержденный президентом. Так вот: в рамках цифровой экономики все, что касается цифровых технологий в финансовой сфере, мы будем обсуждать на площадке Ассоциации «Финтех», потому что в нее входят участники, которые действительно обладают профессиональными навыками оценки предложений и способствуют выработке конкретных планов по их реализации.

3. Переход на электронное взаимодействие между Банком России и органами государственной власти, участниками финрынка. При огромном количестве имеющейся информации мы продолжаем нагружать финансовую сферу запросами в бумажном виде. В данном направлении необходимы кардинальные изменения. Мы предполагаем, что за три года полностью переведем свое общение с участниками финрынка на электронный документооборот. Личные кабинеты были технологически запущены в конце прошлого года. В этом году вышли нормативные документы, разрешающие банкам передавать информацию в электронном виде. Но основная идея заключается не только в передаче информации и отчетов, а в том, что, единожды получив данные от банка, не нужно запрашивать их снова. Эту информацию можно использовать в своей деятельности путем применения инструментов управления большими данными и машинного обучения для того, чтобы самим делать отчеты необходимые справки, не перекладывая это на участников рынка.

4. Создание регулятивной «песочницы». Мы изучили опыт нескольких стран, и он очень разный. Например, регулятор Сингапура пошел по пути создания «песочницы» именно для проведения тестовых испытаний с пониманием того, как потом это можно реализовывать на практике. Были протестированы некие проекты на очень ограниченном числе участников реального сектора экономики. Банк Англии применяет две формы. Во-первых, это форма тестирования как таковая. Во-вторых, если в результате тестирования не удается понять, насколько технология удачна и какое влияние она оказывает на рынок, разрешаются эксперименты в реальном секторе при определенных очень жестких условиях. В Швейцарии регулятивная «песочница» работает исключительно на реальном секторе, технология тестируется вживую, после чего принимается решение о ее полномасштабном внедрении.

Мы решили двигаться двумя этапами. На первом этапе, создавая «песочницу» , которая заработает во втором квартале, мы хотим пока установить правила, условия и критерии отбора для проектов, чтобы все-таки тестировать их без влияния на реальных потребителей. Почему? Потому что и нам, и участникам рынка, и многим министерствам и ведомствам необходимо понять, как механизм будет работать, и отпилотировать его. При этом нужно оценить со стороны Центрального банка и других министерств и ведомств те изменения, которые необходимо внести в нормативные документы, если это потребуется. Поэтому первый этап – это тестовая регулятивная площадка, которая будет организована на базе Банка России в Москве.

Я думаю, что ко второму этапу реально мы подойдем в следующем году. Если первый этап пройдет успешно и мы отработаем все механизмы, то произойдет запуск проектов в реальном секторе, но в крайне ограниченном периметре. Однако для этого нужно внести изменения в законы (причем в большое их число). Поэтому как раз все, что мы будем делать в этом году параллельно с запуском первого этапа по тестированию, – это готовить предложения по изменению нормативной базы для запуска второго этапа.

5. Взаимодействие в рамках Евразийского экономического союза (ЕАЭС). Пока, к сожалению, нам не удалось на уровне ЕАЭС создать каких-то прогрессивных единых решений, что связано со многими причинами – и объективными, и субъективными. При этом одна из причин заключается в том, что, имея старые системы и платформы, очень сложно интегрироваться с существующим ИТ-ландшафтом, который есть на уровне регулятора или Минэкономразвития. К чему приходят все страны, входящие в ЕАЭС? Когда мы говорим о каких-то решениях, которыми можно пользоваться в рамках данного сообщества, то, конечно, нужно смотреть, какие новые технологии к этому применимы. Приведу пример. Если мы договоримся, что создаем единое платежное пространство и систему передачи сообщений на уровне ЕАЭС, абсолютно точно нужно смотреть на технологии распределенных реестров и другие новые онлайн-процессинговые технологии, которые можно для этого использовать. Мы в этом направлении с регуляторами ЕАЭС выработали определенный план действий. В 2018 году мы планируем договориться, по каким направлениям нужно создавать новые платформы и какие технологии для этого применять. И в 2019 году прийти уже к какой-то дорожной карте по созданию решений в обозримом будущем.

6. Шестое направление – это обеспечение безопасности и киберустойчивости. Как я уже сказала, безопасность и они пронизывают все направления деятельности, в том числе правовое, потому что там нам тоже нужно определить многие вещи, посмотреть на них по-новому. Поэтому мы специально выделили данное направление в отдельное и планируем сосредоточить на нем огромные усилия. Область нашего постоянного внимания – это мониторинг и развитие своей собственной зоны безопасности, а также выработка совместных с участниками рынка решений.

7. Развитие кадров в сфере финансовых технологий. Мы решили, что ждать чуда бесполезно, поэтому участвуем в нескольких образовательных программах вузов, которые будут выращивать специалистов на стыке технологий безопасности и бизнеса. Есть несколько университетов, которые хотят открыть эти программы. В данном направлении все нужно делать самим, потому что никто к нам за руку хорошие кадры не приведет. Чем быстрее мы будем в них вкладываться, тем быстрее получим отдачу.

Поделиться:
 

Возврат к списку