BIS Journal №2(41)/2021

22 мая, 2021

iFin 2021. Выходим за рамки ДБО?

На форуме iFin 2021 «Электронные финансовые услуги и технологии» была совершена провокация. В пылу дискуссии один из самых креативных лидеров отечественного системного финтеха заявил, что бизнесмену от банка требуется всего две услуги: быстро провести платёж и быстро оформить кредит. И совсем не нужно назойливого навязывания безразмерного меню опций.

Сам автор этой реплики отнюдь не является консерватором или ретроградом, он даже открыто приветствовал грядущее «убийство» карточных сервисов… в угоду СБП-подобных технологий.

Но мысль-то прозвучала!

 

УСТАЛОСТЬ ОБЩЕСТВА РОЖДАЕТ ПРОРОЧЕСТВА

Важный вывод, который нельзя не сделать при подведении итогов iFin 2021: в обществе накопилась усталость от изобилия сервисов, рождённых причудливыми фантазиями архитекторов «суперприложений» и «маркетплейсов». Фантазиями, так и не подкреплёнными острой нуждой клиентов, зато обильно питаемыми поставщиками услуг в рамках этих самых «суперприложений» и участниками цепочек услуг на сторонних «маркетплейсах».

В то же время всей этой невнятной – искусственной – эклектикой надстраивают фундамент «классических» представлений о банках – институтах доверенного сохранения денег. Надстраивают с упорством, достойным лучшего применения. Например, хотя бы для совершенствования технологий ИБ в финансово-кредитной сфере.

В этой ситуации ободряет, что всё смелее звучит пророчество о перенасыщении банков «сходными реализациями сходных технологий сходных услуг». На iFin 2021 о таком развитии событий говорил, в частности, представитель Сбера Сергей Иванов в ходе доклада «Тренды потребления банковских продуктов для юридических лиц в цифровых каналах».

 

ИЗВИНИТЕ, ФИНТЕХ ПЛОХО ГОВОРИТ… ПО-РУССКИ

Об определённом кризисе жанра и в финтехе в целом, и в терминологии финтеха свидетельствовало развитие событий на финальном круглом столе «Выходим за рамки ДБО. Тренды развития цифровых каналов и технологий».

Круглый стол этот не вылился в каскад эффектных словесных дуэлей о «трендах развития». Эксперты даже не смогли убедительно «выйти за рамки ДБО»! Не смогли, потому что представления об этих рамках разнятся, как оказалось, и в головах экспертов на сцене, и в головах гостей в зале. Что указывает, в частности, на необходимость перехода от общения и изложения идей на «птичьем языке» финтеха к нормальной русской речи с чётко артикулированными запятыми и однозначно трактуемыми терминами. Ведь банковские сервисы строятся для людей? Или во имя развития индустрии финтеха?

 

ЗДРАВСТВУЙ, «КРОКОЗЯБРА»!

Большой опасностью в нынешней кризисной ситуации становится утрата контроля за безопасностью: транзакционного фундамента, транзакций безналичных платежей, транзакций документов с электронными подписями разного назначения.

И в самом деле, несколько последних лет было потрачено на то, чтобы отучить людей от спонтанного импульсивного принятия решений, развить внимательность при изучении реквизитов платёжек на интернет-страницах и реквизитов самих этих интернет-страниц (во имя безопасности), а к чему мы приходим?!

К оформлению кредита или осуществлению дорогостоящей покупки на основе технологии быстрого сканирования не поддающейся анализу «крокозябры» QR-кода, причём с помощью смартфона, который никак не назовёшь доверенным устройством!

 

НА МЕЛИ

В дополнение к этому обрастают «дырами» новые микросервисные разработки и стыки сложных кооперативных связей в рамках «суперприложений» и «маркетплейсов»! Об этом рассказал директор департамента систем безопасности BSS в ходе своего выступления «Новые комбинированные виды атак на банковские приложения. DDoS как ввод в заблуждение». Он же анонсировал намерение своей компании собрать банковских «безопасников» для обсуждения назревших вопросов, связанных в том числе и с переходом цифровых клиентских платформ банков на так называемые инхаусные технологии разработки.

Эти технологии могут иметь свои особенности в разных банках, но должны соответствовать единым требованием регуляторов. Об этих единых требованиях напомнили гостям форума доклады «Экспертная оценка систем ДБО в соответствии с новыми требованиями» (НПО «Эшелон»), «Как не сесть на мель, или Грамотное управление ресурсами при оценке соответствия новым требованиям ЦБ» («Интерком»).

Компания Digital Security на iFin 2021 представила тревожный доклад об уязвимостях систем эквайринга, который наряду с уже набившей оскомину темой уязвимости банкоматов рисует неприглядную картину состояния кибербезопасности «классического» платёжного сервиса. Ведь упомянутые в докладе под анонимными брендами «Альфа», «Браво» и «Чарли» терминалы занимают около 90% отечественного рынка.

 

ЗА ГОД ВМЕСТО ПЯТИ

Более чем не идеальны и собственные ДБО банков.

Ещё на конференции MOBILE FORENSICS DAY 2019 среди пяти анонимизированных попавших «под раздачу» банков из топ-10 лишь один получил 3,5, а два – так и вообще «единицу» (по пятибалльной системе). Хотя ошибок можно было избежать, если бы разработчики ознакомились с рекомендациями некоторых международных стандартов.

Но этого не было сделано, а 2020 год не оставил времени на штудирование «теорий»: за год пришлось реализовывать планы технологического переоснащения ДБО, которые ранее планировались на пятилетку! Об этом ускорении было рассказано на круглом столе «Новые вызовы для электронного банкинга в 2021 году».

Уязвимости ускоренной разработки обостряются тем, что за последние годы сложился устойчивый тренд на формирование в банках собственных команд-разработчиков. В контексте безопасности новых разработок этот тренд сопровождается «разбавлением» компетентности вновь формируемых команд, ибо повышения качества образования не наблюдается, а идеологией кадровой политики становится«звёзд не набирать!». Лидеры же банковских проектов меняют места работы как перчатки – об этом можно было судить по самопрезентациям некоторых докладчиков iFin 2021. Да и на других мероприятиях,что греха таить, усматривается то же обстоятельство.

А могут ли квалифицированно оценивать инновации с позиций требований ИБ те из них, для кого выглядит вполне допустимым штатное внедрение биометрической идентификации на базе «зоопарка» смартфонов с неконтролируемыми характеристиками оптических объективов и микрофонов и трактов обработки поступающей через них информации?!

 

ПОДРАЖАЯ ХОДЖЕ НАСРЕДДИНУ

Ещё один вопрос, поднятый на круглом столе «Новые вызовы для электронного банкинга в 2021 году»,касался процессов импортозамещения в банковских ИТ-системах и приведения информационных систем финансовых организаций в соответствие с требованиями 187-ФЗ и других нормативных документов БР в сфере ИБ.

Судя по обсуждению (замедленная речь, расплывчатость формулировок, банальность и шаблонность аргументов в пользу «против»), эксперты предпочитают занимать в вопросах импортозамещения позицию Ходжи Насреддина в его опытах по обучению языкам ханского ишака.

Впрочем, засунуть головы в песок в полной мере участникам круглого стола не дал Андрей Бурдинский, официальный и духовный лидер iFin. Он напомнил, что 2024–2025 годы только кажутся далёкой перспективой, и призвал лидеров рынка к эффективным действиям для реализации регуляторной «маршрутной карты» по импортозамещению.

В заключение нельзя не отметить, что народу на iFin 2021 собралось много, гости форума добросовестно, как на работу, два дня являлись в здание на Площади Европы, 2. Утренние и вечерние мероприятия собирали одинаково полные залы. Всё указывало на то, что общество устало от неумеренного дистанцирования.

Смотрите также