"Инциденты должны быть сформулированы на языке бизнес-процессов, обеспечение безопасности должно быть доказательным, а выдвигаемые требования к ИБ — обоснованным", - заявил исполнительный вице-президент Ассоциации российских банков Валерий Шипилов.
Происходящие в настоящее время процессы, безусловно, связаны с применением новых цифровых технологий, с появлением цифровых приборов, погружающих миллионы людей в виртуальную реальность, с появлением большого количества пользователей, заинтересованных в получении дистанционных сервисов. При этом возрастают требования клиентов не только к количеству и разнообразию финансовых услуг, но и к качеству, что подвигает банки к трансформации привычных для них и ранее вполне успешно работавших бизнес-моделей и информационной инфраструктуры.
Приведу простой пример: уходят в прошлое одновендорные системы. Сейчас передовые банки технологически разделены на фронт-офисы и бэк-офисы. Клиентоцентричный фронт-офис должен быть гибким и безопасным, он должен осуществлять внедрение новых услуг без остановки действующих сервисов. Также он должен позволять подключение к нему новых клиентов банков. Требования же к бэк-офису лежат в другой области: он должен быть стабильным и безопасным, и при этом адаптироваться под все требования фронт-офиса.
Сейчас большинство банков ориентированы на финансовые документы, но всё больше приходит понимание, что в недалёком будущем базой для функционирования банков будет не документоцентричность, а датацентричность, которая позволит, в том числе выявлять и прогнозировать потребности клиентов, гарантировать правильное осуществление операционных цепочек, что приведёт к снижению себестоимости каждой отдельной операции и операционной деятельности банков в целом.
Создание современной цифровой платформы не под силу каждому банку, поэтому очевидно, что должна произойти концентрация банковской системы с тем, чтобы такого рода масштабные проекты реализовывались силами нескольких крупных игроков рынка. При этом принципиально важно, чтобы участники таких проектов сохраняли свою юридическую независимость, а созданные ими экосистемы были открыты для всех желающих. Ведь конечная и главная цель — в том, чтобы клиент получал не только все необходимые ему финансовые услуги от банков, но и всю необходимую ему информацию по финансовым сделкам и операциям.
И здесь я хочу перейти к проблемам информационной безопасности и акцентировать ваше внимание на то, что традиционный подход к обеспечению ИБ опирается на достаточно грубый подход к определению критических сфер и требований по ИБ. Между тем, в условиях динамичной цифровой информации такой подход является заведомо неэффективным, следование ему будет означать, что мы всегда будем «отстающими». Инциденты должны быть сформулированы на языке бизнес-процессов, обеспечение безопасности должно быть доказательным, а выдвигаемые требования к ИБ — обоснованными. Иными словами, подход к разработке «безопасной услуги» должен быть системным.