Аутсорсинг ИТ в банковском секторе: барьеры и возможности
Основные тенденции и правовые основы обсудили участники круглого стола «Аутсорсинг ИТ в банковском секторе: барьеры и возможности», прошедшего в рамках XX Международного банковского Форума.
Модератор сессии Наталья Касперская, президент ГК InfoWatch, Председатель Правления АРПП «Отечественный софт», предложила участникам круглого стола обсудить вопросы правового регулирования аутсорсинга, практические подходы к оказанию услуг ИТ-аутсорсинга банкам и организацию кибербезопасности в «облаках», а также поделиться примерами успешного опыта использования ИТ-аутсорсинга в финансовых организациях.
Регулятор занимается вопросами аутсорсинга уже пять лет
Открывший дискуссию Вадим Уваров, директор Департамента информационной безопасности Банка России, рассказал об основных положениях законопроекта об аутсорсинге информационных технологий и облачных сервисов. Он отметил, что Банк России занимается вопросами аутсорсинга в течение 5-6 лет. В 2018 г. был утвержден Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы РФ «Управление риском. Нарушения информационной безопасности при аутсорсинге». В 2022 г. регулятор провел большой опрос 900 организаций, на основе которого был подготовлен публичный доклад. Его выводы легли в основу законопроекта об аутсорсинге информационных технологий и облачных сервисов, который в настоящее время обсуждается в сообществе и государственных ведомствах.
Законы отстают от событий на рынке
Руслан Цой, руководитель направления ООО «Облачные технологии», считает, что отставание в законодательстве исторически сложившийся факт. Рынок аутсорсинга оценит законодательные инициативы после принятия закона и подзаконных актов. При этом спикер привел примеры международного опыта, в частности, Китая, где за последние 10 лет были приняты законы и требования, которые повлекли изменения на рынке услуг облачных провайдеров и позволили оценить размеры потребления услуг и регулировать стоимость сервисов.
Прозрачность, защищённость и выгода
О защите информации при передаче ее третьим лицам и конфиденциальности данных рассказал Александр Долбнев, директор по работе с финансовым сектором Yandex Cloud. Любой облачный провайдер руководствуется теми же базовыми принципами информационной безопасности, что и другие финансовые компания. По его мнению, вопросы ИБ должны быть заложены в архитектуру приложений на стадии проектирования и разработки. Разработчики могут включать платформы собственной разработки в Реестр отечественного ПО, что повышает доверие к системе. Докладчик отметил, что необходимо выстраивание комплексной многоуровневой защиты, которая будет учитывать конфиденциальность, целостность и доступность информации. И выстраивать этот комплекс мер на всех уровнях так, чтобы злоумышленникам было невыгодно проникать в инфраструктуру облачных провайдеров.
Что касается специфики облачных сервисов и передачу информации третьим лицам, клиенты, в т. ч. банки, переходят в плоскость оценивания рисков. Они должны оценить риски использования облачных сервисов и аутсорсинга и сопоставить их с выгодой, которую несут облака.
Также важен принцип открытости и прозрачности, полагает Александр Долбнев. Клиент должен правильно оценить риски и должен понимать, как осуществляется безопасность внутри облачного провайдера, какие методы ИБ применяются. Также об уровне зрелости сервиса говорит участие в разработке стандартов по обеспечению ИБ облака для клиентов и других облачных провайдеров. Есть и специфические меры, которые говорят о провайдере: 2-3 собственных ЦОД, равноудаленных для доступности, использование ГОСТовых защищенных каналов связи, средств криптозащиты информации на аппаратной составляющая.
Аутсорисинг — инструмент выживальщиков
По мнению Андрея Дмитриева управляющего директора-руководителя дирекции трансформации клиентов CIB ПАО Сбербанк, внешний аутсорсинг актуален для мелких и средних банков, когда речь идет о выживании, ускорении технологического развития и маржинальности этого развития. Для крупнейших банков тема ИТ-аутсорсинга ограничена, вопросы решаются методами внутреннего аутсорсинга.
Важным аспектом работы с поставщиками услуг, по мнению спикера, является правовая основа и сертификация услуг поставщиков. Этот вопрос, по мнению участников круглого стола, должны рассматривать регуляторы.
Штатный сотрудник — дорогое удовольствие
Артур Зубанов, главный технический директор АБС IAS Digital, высказал мнение, что аутсорсинг может стать одним из решений при импортозамещении и поиске новых технологий. Он может помочь банкам в поиске узкоквалифицированных специалистов под решение новых задач. Это особенно важно для небольших и средних банков.
Говоря о кадровом голоде, Александр фон Розен, технический директор НКО «Мобильная карта», отметил нехватку высококвалифицированных специалистов в отрасли. Аутсорсинг может стать компромиссом в вопросах ИТ.
Зубанов поддержал коллегу, отметив, что банкам сложно обеспечивать себя кадрами и они давно пользуются услугами сторонних консультантов, например, привлекая сотрудников из компаний вендоров. Специалисты высокого класса проживают в Москве и городах-миллионниках. Их приглашение в штат – дорогое удовольствие для небольших финансовых организаций. Спикер полагает, что гибридный аутсорсинг с привлечением к работе в случае ЧП специалистов из центров компетенций может стать выходом из сложившейся ситуации.
Среди экономических аргументов за переход на аутсорсинг назывались сокращение фонда оплаты труда и повышение качества процесса, а также фактическая независимость небольших финансовых организаций от ИТ-специалистов, которые стягивают все ИТ-процессы на себя. Переход на ИТ аутсорсинг – вынужденная мера, которая позволяет сохранить стабильность процессов, соблюдение SLA, профессиональных процессов, дает возможность загрузить специалиста по максимуму. За счет этого аутсорсинговые компании продают услуги дешевле, чем наём специалиста банком, полагают участники круглого стола.
Мировой опыт
Елизавета Лаутс, руководитель НОЦ «Центр правовых исследований в сфере банковской деятельности» и Анна Белицкая, профессор кафедры предпринимательского права, представляющие Юридический факультет МГУ им. М. В. Ломоносова, поделились итогами исследования на тему правового статуса аутсорсинга в западных странах. Они отметили, что 20 стран приняли нормативные акты и законы по ИТ-аутсорсингу на финансовых рынках и уделяют им большое внимание. Применяются две модели: множественность аутсорсинга и универсальность. Финансовые компании передают на аутсорс определенные услуги, которые определяются уровневыми соглашениями. Сущностные функции банковской деятельности не передаются на сторону полностью или передаются со значительными ограничениями. Это определено законодателями и регуляторами. Проводится согласование с регуляторами и типовых форм договоров, при этому в Австралии происходит согласование конкретных договоров банка и аутсорсинговой компании. Договоры прописывают все аспекты взаимодействия сторон, включая сроки, ответственность, привлечение и согласование субподрядчиков, компенсационные требования. При этом всю публичную ответственность банка перед клиентом несут финансовые организации.
Значительная роль иностранного законодательства отводится страхованию киберрисков и минимизации правовых рисков. Эти правовые аспекты взаимодействия сторон, корпоративные инструменты и публичные требования стоит перенять и применять в отечественной практике, полагают эксперты.
Вопрос страхования киберрисков рассматривается в России и мире уже много лет, однако наталкивается на противоречие оценки ущерба сторонами процесса. Это несовпадение взглядов пока не нашло решения, отметила Наталья Касперская, завершая дискуссию.
BIS Journal — главный медиапартнёр XX Международного банковского Форума.
.png)