BIS Journal №1(40)/2021

25 февраля, 2021

Внутренний нарушитель против внешнего

«В очереди на импортозамещение банки будут последними».

Что касается банковской ИТ-инфраструктуры, то до тех пор, пока продукция отечественных производителей не станет полностью конкурентоспособной с импортной и по характеристикам, и по ценам, мы ничего не сможем сделать. Потому что менеджеры, принимающие решения в банках, умеют считать деньги. И если есть возможность сэкономить, они сэкономят, то есть купят импортную технику, оставив в стороне все призывы к импортозамещению.

Вопросы информационной безопасности, конечно, имеют значение. Другое дело, что модели угроз, с которыми работает банковский сектор, отличаются от тех, которые есть в информационных системах других ведомств. На первом месте у них сохранность персональных данных. Даже вводится в действие Единая биометрическая система (ЕБС), которая позволяет идентифицировать клиента не только по паролям, логинам и SMS, но дополнительно по биометрическим данным. Важно, что в части персональных данных больше проблем доставляют не внешние нарушители, а внутренние. А в банковских структурах с развитой филиальной сетью внутренний нарушитель — это вообще одна большая головная боль. Крупные утечки данных, которые происходили в крупных банках, происходили как раз через филиалы и через конкретных людей – самое слабое звено в любой системе.

Сегодня внутренний нарушитель – самое страшное в банковской системе, но импортозамещение эту проблему не решает, потому что оно нацелено в основном на внешнего нарушителя: кибервойны, кибератаки и т. д. Конечно, банковская система подвержена им тоже, но в приоритетном списке угроз они стоят, скорее всего, на третьем месте – после рисков утечек персональных данных и угроз ДБО.

Таким образом, на первом месте — проблемы, связанные с клиентами, на втором – с деньгами, и только на третьем – с внутренней ИТ-инфраструктурой. При этом ситуация с отечественным софтом там выглядит более-менее неплохо. С «железом» ситуация иная — Центральный банк этими вопросами не очень занимался, потому что реальной угрозы там вообще не видел. По сути, только сейчас заговорили об этих угрозах – тех, которые реализуются через компьютерное «железо», и таких «дыр» довольно много.

Поэтому логика банковских ассоциаций, которые просили перенести сроки импортозамещения для банков на 2027–2028 год, понятна. Но с точки зрения государства это вредная практика. По одной причине: не создав внутреннего спроса на импортозамещающие продукты, невозможно достичь нужного результата – получения импортозамещающей продукции, которая будет конкурентоспособной по цене и техническим характеристикам.

Как государству продвигать идею импортозамещения в банковском секторе? С одной стороны, раз все отрасли принуждают к импортозамещению, то почему эту должны обойти вниманием? С другой, если банки сами не ощущают острой необходимости в импортозамещении, то их сопротивление принуждению будет сильнее, чем в других отраслях. Тут и безопасники, которые нередко конфликтуют с айтишниками, займут солидарную позицию: нам нужно потратить деньги на самую актуальную задачу защиты клиентских данных, при чём тут российский процессор?

Поэтому я считаю, что сегодня банковский сектор – это не первоочередной кандидат на успешное импортозамещение. Конечно, банки должны быть в списке импортозамещаемых, но усилия, которые на них придётся затратить, будут гораздо больше, чем в других секторах экономики. В итоге они всё равно впишутся в тему – в тот момент, когда другие отрасли станут переходить на отечественную продукцию, сама эта продукция станет гораздо лучше, технологичнее, дешевле и т. д. К этому моменту и «дыры» в электронной компонентной базе будут закрываться, в операционных системах, то есть весь стек технологий станет более безопасным.

Другое дело, что всё равно это длительный процесс. Помимо ЦОДов и офисного оборудования, есть ещё и банкоматы. А импортозаместить банкоматы – это гораздо более сложная задача, чем создать отечественный ПК. Поэтому отечественные производители не будут усиленно стремиться в этот сегмент, и понадобится довольно длительный период разработки, чтобы там появился национальный лидер.

Кроме того, у многих банков — разветвлённая филиальная сеть. Даже для банка средней руки с сотней филиалов это уже крайне сложная задача — взять и начать менять во всех филиалах аппаратное обеспечение. Это очень дорогостояще удовольствие и непростой проект, потому что придётся переучивать целые организации, которые занимаются эксплуатацией инфраструктуры.

Впрочем, банки будут вынуждены играть по правилам, которые устанавливаются для КИИ. Вот только сопротивляться этому процессу они будут дольше всех. Будут ещё и ещё раз просить откладывать сроки. Скорее всего, в очередь импортозамещения банки встанут, но будут в ней последними.

Возникает логичный вопрос: можно ли ускорить этот процесс за счёт некоторых типовых протестированных решений, которым банки могут доверять в ходе модернизации ИТ-инфраструктуры? С одной стороны, вроде бы, с точки зрения ИТ, там используются типовые решения. С другой — ИТ-инфраструктура разных банков развивалась хаотично. Предложить переход на современную платформу? Тут тоже всё не так просто.

У них уже есть набор серверного «железа» в ЦОДах, серверного ПО и прикладного ПО на клиентах. У них есть определённые протоколы, по которым они работают. Значит, они сразу потребуют каких-то виртуальных десктопов типа Citrix в стиле «сделайте нам такой же». Пойдут специфические запросы на доработку ПО. И переместить всю инфраструктуру с VDI на новое решение на базе новых производителей — это точно непростая задача. Ведь даже когда банк меняет внутреннюю базу данных, скажем, с SQL переходит на PostgreSQL, он к этому готовится года полтора-два, потому что это крайне сложная и ответственная задача. А тут задача сложнее на порядок — перевести все клиентские рабочие места на отечественный софт, на десктопах ведь очень часто используются проприетарные протоколы. Особенно этим любит заниматься тот же Citrix, знатный любитель что-нибудь такое проприетарное учудить. Попробуй обеспечить поддержку такого протокола! Не зря ведь мы говорим, по сути, про классическую задачу импортозависимости: если подсел на «иглу» того или иного крупного вендора, сойти с неё крайне трудно.

Поэтому есть большие сомнения в том, что на практике удастся реализовать типовое протестированное решение – вряд ли оно будет сразу применимо для всех. Оно не сможет стать типовым, скорее всего, в силу того, что ИТ-инфраструктура развивалась в разных банках по-разному. Скажем, в ЕБС худо-бедно есть типовой подход, потому что есть требования, которые предъявляют регуляторы ИБ, есть определённая регуляторная база. А в части импортозамещения, по сути, регуляторики нет. Есть квоты и требование продукции из реестров. Но этот набор никак не тянет на механизм регулирования. Кто может сказать, есть ли вообще в этих реестрах то, что надо банкам для импортозамещения?

Возьмите недавний скандал по поводу СХД на базе отечественного процессора. Регулятор в лице Минпромторга требует, чтобы сегодня под требования импортозамещения попадали только такие. Но таких производителей — раз-два и обчёлся. Разве это выбор? А другие российские производители, которые уже присутствовали в реестре, больше не отечественные?

Конечно, как представитель отечественного разработчика и производителя, я не на стороне банков в их истории с торможением импортозамещения. Уже сегодня есть целый ряд отечественных решений по безопасности, которые комплексно закрывают бреши информационной инфраструктуры на уровне аппаратуры, на уровне охраняемых данных и на уровне контроля и разграничения допустимых действий внутренних пользователей. Такие решения позволяют обеспечить надёжное прикрытие от кибератак и внутренних нарушителей. Однако пока они не на слуху, и поэтому ими пользуются в основном специализированные организации. Но, честно говоря, я понимаю сопротивление финансовых организаций процессу «обрусения». Видя те большие трудности, с которыми сегодня сопряжён переход банков на новую продукцию, и понимая лоббистские возможности банкиров, думаю, сроки перехода на отечественные ИТ-решения будут сдвигаться всё дальше и дальше. Тем более что банки, даже самые крупные, не являются госструктурами, и потому влияние государства в этом секторе будет не самым сильным. И даже принадлежность к объектам КИИ вряд ли изменит ситуацию.

В конце концов импортозамещение всё-таки состоится. Но только когда импортозамещающая продукция будет близка к состоянию зрелости и зрелость обретёт весь рынок отечественных ИТ-решений, подходящих для импортозамещения. К этому времени появятся успешные кейсы в разных банках, которые можно изучать и примерять к собственной инфраструктуре. А если к этому времени будут решены задачи защиты клиентских данных и систем ДБО, тогда точно во весь рост встанет вопрос защиты от угроз самой ИТ-инфраструктуры от кибератак. Приоритет этого риска повысится, на эти задачи будут выделены деньги. И тогда ЦБ введёт какое-нибудь жёсткое регулирование: переходите на отечественные ИТ или лишитесь лицензии.

А до того мы будем слышать «убедительные» рассказы о невозможности миграции. Если, конечно, государство не скорректирует своё отношение к регулированию процессов импортозамещения в финансовой сфере.

 

Другие материалы на главную тему выпуска BIS Journal №40 – «Импортозамещение в банках: 2021-2024»:

Импортозамещение в банках: между «да» и «нет»

Административное наказание против уголовного

5% против 95%

Эволюция против революции

Срединный путь против выстрела в ногу

Смотрите также