Сегодня важными факторами сохранения лидерских позиций банка становятся гибкость и скорость реакции ИT-инфраструктуры на запросы бизнеса. Облака позволяют банкам использовать технические инновации, быстро запускать новые продукты и масштабировать существующие сервисы.
По данным исследования Data Bridge, среднегодовой рост мирового рынка облачных технологий в финансовом секторе с 2021 по 2028 годы составит 25%. И это неудивительно: 9 из 10 финансовых организаций в мире уже используют облака или планируют начать первые проекты в них в ближайшие полгода, говорит отчёт CSA.
По данным исследования IDC, банковский сектор в России является самым ёмким по потреблению облачных сервисов на горизонте до 2025 года. Однако не все банки готовы к переезду, а некоторые игроки рынка всё ещё настороженно относятся к облачным технологиям. Основные причины — требования информационной безопасности на фоне действующего законодательства и, как следствие, не до конца сформировавшиеся практика и критерии выбора безопасного облака.
ЗАЧЕМ БАНКАМ ОБЛАКА?
Прежде всего облака позволяют банкам улучшать показатель time-to-market. Кстати, самый распространённый сценарий применения облака в банках — перенос тестовых сред и сред разработки. При реализации этого сценария в облако не передаются персональные и другие чувствительные данные, поэтому финансовым организациям достаточно следовать внутренним регламентам по защите информации.
Перенос в облако фронтальных систем и веб-сайтов — ещё один популярный сценарий. Он позволяет динамически масштабировать инфраструктуру с учётом меняющейся пользовательской нагрузки. Банк не переплачивает за простаивающие мощности и при этом обеспечивает необходимую доступность клиентского сервиса.
Облака также помогают банкам при переходе от монолита к микросервисам, что позволяет запускать на облачных мощностях отдельные продукты. Например, банк «Санкт-Петербург» не только создал в облаке среды разработки и тестовые среды, но и разместил сайт и приложение системы офферинга. В итоге показатель time-to-market вырос в 5 раз, экономия на инфраструктуре отдельных проектов составила 30%, а инвестиции в неё распределились на 3 года.
В целом облачные технологии в банковской отрасли позволяют:
РЕГУЛЯТОРНЫЕ ТРЕБОВАНИЯ И СУЩЕСТВУЮЩИЕ БАРЬЕРЫ
При реализации любых облачных сценариев в банках необходимо согласовывать проекты со службой информационной безопасности. Даже если это разработка MVP нового продукта на тестовых данных или вынос тестовых сред в облака, всё равно необходимо учитывать требования ЦБ к обеспечению информационной безопасности.
При переносе в облака систем, обрабатывающих персональные данные, требуется обеспечить соблюдение 152-ФЗ и соответствующих внутренних положений банка. Но наиболее сложный вопрос — передача банковской тайны поставщикам облачных услуг. Думаем, что в дальнейшем могут появиться уточнения в законодательстве и стандартизированные требования к обеспечению безопасности для облачных провайдеров, что позволит сократить существующие «серые зоны». В настоящее время на площадке Ассоциации Финтех готовятся предложения по этим вопросам.
Помимо регуляторных требований, сдерживать переход в облака могут и некоторые внутренние факторы:
При этом существует множество сценариев и задач, которые банки могут решать в облаке уже сейчас. Для этого необходимо учитывать требования к информационной безопасности финансовых организаций. К таковым можно отнести СТО Банка России «Обеспечение информационной безопасности организаций банковской системы РФ», СТО Банка России «УПРАВЛЕНИЕ РИСКОМ НАРУШЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРИ АУТСОРСИНГЕ» и ГОСТ 57580.
Банку остаётся оценить риски использования облаков как один из элементов операционного риска и сформулировать свои требования к безопасному облачному провайдеру.
КАК ВЫБРАТЬ БЕЗОПАСНОЕ ОБЛАКО?
При выборе облачных провайдеров следует обращать внимание на их соответствие существующей и, по возможности, перспективной нормативной базе.
В первую очередь провайдер должен пройти оценку уровня соответствия по ГОСТ 57580. Необходимо учитывать, что Положение Банка России от 17 апреля 2019 г. № 683-П требует, чтобы кредитные организации обеспечивали уровень соответствия ГОСТ 57580 не ниже третьего, а с 1 января 2023 года — не ниже четвёртого уровня. Поэтому отдавать предпочтение стоит облачным провайдерам с четвёртым уровнем соответствия ГОСТ 57580 и обращать внимание на степень соответствия требованиям пятого уровня.
Безусловно, на критерии безопасности при выборе облака сильно влияют специфика задач и состав обрабатываемых данных. Но в большинстве случаев следует обращать внимание на следующие моменты:
ПРАКТИЧЕСКИЕ ВОПРОСЫ БЕЗОПАСНОСТИ
Помимо соответствия законодательным требованиям и сертификатам деятельности облачного провайдера, на практике необходимо, чтобы у финансовой организации была разработана политика информационной безопасности. В банках должны существовать чёткие регламенты, в которых прописано, что может храниться в облаке и какие возможности существуют у сотрудников (служба ИБ, администраторы, архитекторы, финансисты, аналитики).
При моделировании угроз для систем и данных, размещённых в облаке, необходимо учитывать важную особенность: более размытый сетевой периметр, чем в инфраструктуре собственного ЦОДа. О размытости корпоративного периметра рассуждают уже не первый год. С приходом мобильности и удалённой работы стена файрволов на границах корпоративной сети уже не столь эффективно помогает защищаться от различных угроз, поэтому и стал набирать популярность подход Defense in Depth. Он организован таким образом, что одной угрозе противостоит набор средств защиты на разных уровнях. В условиях использования облачных сервисов размытость периметра увеличивается. Поэтому очень важно понимать и уметь применять на практике различные инструменты защиты данных, обрабатываемых в том или ином сервисе облака.
Для того чтобы снизить риски при управлении доступом к данным в банках, необходимо соблюдать простые правила.
Если обобщать, то важно не забыть «растянуть» существующие процессы обеспечения безопасности и соответствующие технические меры на облачные ресурсы и процессы. Кроме того, существует ряд технических решений и практик, обеспечивающих дополнительную защиту ваших систем.
Польза применения облачных технологий для банков очевидна, поэтому всё больше финансовых организаций будет переезжать в облака по мере развития законодательной и нормативной базы. Выстраивание внутренних процессов банка по безопасному применению облаков требует времени и может приводить к организационным изменениям и созданию облачных центров компетенции. Для крупных и средних банков полный цикл безопасного внедрения системы банка в облаке может занимать от 6 месяцев и более. Важно при этом рассматривать облако не как замещение инфраструктуры в контуре банка, а как органичное продолжение существующего ИT-ландшафта. Использование облаков позволит банкам быстрее адаптировать бизнес к новым вызовам. Поэтому те банки, которые раньше остальных начнут движение в облака, получат преимущество перед более консервативными игроками финансового сектора.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных