BIS Journal №2(29)/2018

11 мая, 2018

Думать на стадии проектирования

Банк России принимает активное участие в реализации программы «Цифровая экономика Российской Федерации». В своем выступлении на Х Уральском форуме первый заместитель председателя Банка России Ольга Скоробогатова рассказывает о новых подходах и основных направлениях деятельности Банка России в сфере финансовых технологий и информационной безопасности.

 Публикуем стенограмму выступления в сокращенном виде.

ТРЕНДЫ И ВЫЗОВЫ В СФЕРЕ ИБ

Заметные изменения, которые мы наблюдаем на рынке технологий, влекут за собой возникновение массы новых проектов и экосистем. При этом вопрос «насколько эти технологии безопасны?» волнует инвесторов и потребителей в первую очередь.

Рисунок 1.

Рисунок 2.

Вопрос действительно не праздный. В 2017 г. число инцидентов ИБ в финансовой сфере увеличилось по сравнению с предыдущим годом в 2,3 раза (два года назад в 1,6 раза). Системы мониторинга показывают, что мошенники не просто развиваются вместе с технологиями, но делают это даже быстрее, придумывая все новые и новые способы фрода.

Мировые расходы на обеспечение ИБ коммерческих организаций в 2018 г. составят $93 млрд. (на 8% больше, чем в 2017 г.). Это общая цифра, охватывающая банковский и небанковский сектор экономики.

Финансовая отрасль является драйвером финансовых технологий, поэтому 58% кредитных организаций уже начали инвестирование в технологии для снижения киберрисков. Процесс этот неоднородный, кроме банков в создании новых безопасных платформ заинтересованы в первую очередь телеком и электронная коммерция. Представители этих трех отраслей все чаще объединяются в т.н. партнёрства или экосистемы.

Финансовые организации по всему миру, понимая свою ответственность перед клиентами, разрабатывают отдельные программы создания инструментов киберустойчивости. В то же время в России 40% таких организаций не имеют своих стратегий ИБ. Стоит оговориться, эта цифра не касается банков. В банковской сфере 70-75% кредитных организаций имеют детально проработанную стратегию ИБ, а 30% кредитных организаций предлагают детализировать существующую стратегию кибербезопасности.

В целом уровень проработки стратегий ИБ в российских организациях небанковской сферы находится на достаточно низком уровне. 48% компаний понимают, что нужно увеличивать расходы на ИБ и уже начали это делать, а 60% планируют вкладываться в инструменты защиты только к 2020 г.

ПРИОРИТЕТЫ 2018 ГОДА

Два года назад приоритетным направлением деятельности банков по нашим опросам было развитие цифровых технологий. Кибербезопасность стояла на четвертом месте. В 2018 г. банки поставили кибербезопасность и защиту данных на первое место (рис. 1, стр. 2 презентации). Соответственно и сами банки, и Центральный банк как регулятор должны понимать, как будет выстраиваться система киберзащиты на национальном уровне.

Но сфера мегарегулятора - это не только банки, но и некредитные финансовые организации, которые также должны иметь свои системы быстрого реагирования на возникающие угрозы. Актуализация и укрупнение задачи заставило Банк России принять решение о выделении направления информационной безопасности в отдельный департамент. Это связано как с прямым запросом рынка, так и с пониманием, как и в каком направлении нужно развиваться в данной области. Кроме того, внедряя новые решения и создавая новые платформы, Банк России планирует встраивать элементы киберзащиты уже на стадии проектирования.

Второе место в списке приоритетов 2018 г. занимает цифровая трансформация. Но мы уверены, что в ближайшие 5-7 лет будет преобладать уклон в сторону ИБ, пока не выстроится абсолютно понятная, прозрачная система, гарантирующая максимальную защиту как потребителя, так и национальных интересов.

На третье место среди приоритетов неожиданно вышел сравнительно новый тренд – развитие кадров и поиск талантов. В 2016 г. он занимал только седьмую позицию. До последнего времени не так много компаний и банков понимало, что нужно не только искать людей, но и вкладываться в их развитие и обучение.

В МИРЕ

Что происходит в мире в сфере ИБ?

В Европейском Союзе уже давно была принята платежная директива № 2, которая разрешает банкам и любым компаниям получать информацию о счетах и остатках по счетам в случае, если клиент согласен. Эта директива действовала как теоретический документ и не содержала элементов информационной защиты

25 мая 2018 г. вступает в силу другой документ - General Data Protection Regulation, в котором подробно прописаны основные правила по защите персональных данных (рис. 2 (стр 4 презентации). Правила сводятся к тому, что клиентов нужно правильно информировать о том, как их данные будут использованы, и получать их осознанное согласие на использование персональных данных в явной форме. В документе есть требования по защите информации как для кредитных организаций, так и для компаний широкого профиля. Вводится новая отчетность, которая уведомляет надзорные органы в области защиты персональных данных.

Но самое интересное, что произошло при выпуске этого документа: часть положений по ИБ вошла в противоречие с платежной директивой. И теперь ЕС не понимает, как ему поступить: убрать часть положений из платежной директивы и серьезно корректировать оставшиеся или упростить требования в части нового закона. С профессиональной точки зрения нам очень важно и интересно, как решат эту проблему коллеги из ЕС. Как мне кажется, им придется корректировать и первый, и второй законы, т.к. их надо синхронизировать, в противном случае система вряд ли заработает.

Еще одна причина противоречий: кредитные организации и те, кто владеет большими данными о клиенте, не готовы делиться со стартапами или технологическими компаниями, которые могут составить им конкуренцию. Поэтому в General Data Protection Regulation есть пункты, ограничивающие возможность обслуживания клиентов маленькими и средними компаниями. Я думаю, что уже в следующем году мы увидим варианты решения этих проблем.

Почему нам это важно? Потому что мы движемся в область финтеха и желаем не просто ее регулировать, но и содействовать ее развитию, включая создание правильных механизмов защиты. Соответственно нужно уже на стадии законодательных документов, организационных и технологических мероприятий детально согласовывать планы по этим направлениям.

Более того, в нашем понимании информационные технологии и информационная безопасность должны рассматриваться не как разные направления, а как неразрывные элементы, фундамент для единой цифровой экономики.

ВНУТРЕННЯЯ СТРАТЕГИЯ БАНКА РОССИИ

Два года назад Банк России как мегарегулятор принял для себя важное решение: не просто надзирать и регулировать финансовую сферу, а содействовать отрасли в развитии конкуренции, появлении новых продуктов, услуг и т.д. То есть не запрещать новые платформы и технологии, а изучать их и, если это целесообразно, отражать новые задачи и тренды в нормативных документах, что должно приносить пользу и клиентам, и самому финансовому рынку.

В развитие такого подхода мы разработали внутреннюю стратегию «Основные направления развития финансовых технологий на период 2018-2020 годов», в которой определили семь направлений:

Правовое регулирование. Фактически мы уже живем в цифровом мире и активно пользуемся понятиями и определениями, которых тем не менее все еще не существует на уровне законодательной базы: смарт-контракты, распределенные реестры, валидация, майнинг и т.д. Чтобы использовать и осуществлять в реальной практике все то, что стоит за этими словами, нужно, как минимум на нормативном уровне, сформулировать что это такое и понять, как эти термины и определения могут использоваться в защите инвесторов и клиентов. Первый шаг – систематизировать новые понятия и дать им определения – мы делаем совместно с Минфином и Минэкономразвития. Закон называется «О цифровых активах». Сейчас он проходит обсуждение, есть разногласия, но в части основных понятий и определений стороны пришли к общему пониманию.

Развитие цифровых технологий на финансовом рынке. В 2016 г. Центробанк и участники рынка создали Ассоциацию «Финтех», поскольку в существующей парадигме развития невозможно двигаться вперед, не сотрудничая и не содействуя друг другу. На этой площадке мы обсуждаем перспективные технологии, проекты, платформы, вырабатываем подходы, устраивающие и регулятора, и рынок, планируем совместные мероприятия. Недавно мы договорились, что в рамках осуществления программы «Цифровая экономика РФ» все вопросы цифровых технологий в финансовой сфере будут обсуждаться на площадке Ассоциации «Финтех», т.к. в нее входят именно те участники, которые способны профессионально оценить предложения и оказать помощь в выработке планов по их реализации.

Переход на электронное взаимодействие между Банком России, органами государственной власти, участниками финансового рынка и их клиентами. Если говорить о Банке России и участниках рынка, то ситуация с электронным взаимодействием на данный момент выглядит нерадостно. При огромном количестве данных, которые мы получаем как регулятор, мы продолжаем нагружать финансовую сферу запросами в бумажном виде. И тут у нас необъятное поле для деятельности. Предполагается, что за три года мы полностью переведём общение с участниками финрынка на электронный документооборот. В 2017 г. мы запустили личные кабинеты. В этом году вышли нормативные документы, разрешающие банкам передавать информацию в электронном виде. Но главная наша цель заключается в том, что, получив информацию от банка, дальше работать с ней только через инструментарий управления большими данными и машинного обучения. Чтобы самим делать отчеты, необходимые справки, не перекладывая это на участников рынка.

Создание регулятивной площадки Банка России. Мы изучили международный опыт регуляторов разных стран - Сингапура, Англии, Швейцарии и др. - и решили двигаться в два этапа. На первом этапе создаем песочницу, она начинает свою работу во втором квартале 2018 г. Проекты в ней будут испытываться в тестовом режиме, без влияния на реальных потребителей. Почему? И Банку России, и участником рынка, и многими министерствам и ведомствам надо понять, как этот механизм будет работать, отладить его, внести изменения в нормативные документы. В 2019 г. начнется второй этап – запуск проектов в реальном секторе, но сначала в ограниченном периметре.

Взаимодействие в рамках ЕАЭС. Эта тема обсуждается на всех конференциях и семинарах, но, к сожалению, на уровне ЕАЭС нам до сих пор не удалось создать какие-то общие прогрессивные решения. Причин, объективных и субъективных, много.  Одна из них, например, - наши старые системы и платформы, которым сложно интегрироваться с европейским IT-ландшафтом. Но взаимодействовать необходимо. В этом направлении Банк России совместно с регуляторами ЕАЭС выработал план действий. В 2018 г. мы должны договориться по каким направлениям создавать новые платформы и какие технологии для этого применять. В 2019 г. планируем прописать дорожную карту по созданию общих решений.

Обеспечение безопасности и устойчивости. ИБ и киберустойчивость пронизывают все направления деятельности: и технологии, и инфраструктуру, и правовое... Тут на многое нужно взглянуть по-новому, поэтому мы специально выделили ИБ в отдельное направление. Зона постоянного внимания - это мониторинг и развитие своей собственной системы безопасности, как для внутренних целей, так и при взаимодействии с участниками рынка.

Развитие кадров в сфере финансовых технологий. Чуда ждать бесполезно. Никто не приведет за руку готовые талантливые кадры. Поэтому мы экспериментируем с образовательными программами на разных уровнях: университеты, вузы и даже школы. Например, мы договорились со Школой талантов «Сириус» о создании площадок, на которых талантливые дети будут не только учиться, но и вполне серьезно тестировать инновационные технологии, конечно, пока в ограниченном периметре.

О ПЛАТФОРМАХ

Как регулятор мы понимаем, что на уровне государства возможна синергия по многим направлениям, и создание инфраструктуры национального масштаба интересно всем участникам рынка.

Например, финансовый маркетплейс и платформа регистрации финансовых сделок - это те две платформы, которые мы сейчас обсуждаем. Они направлены на создание службы одного окна, когда клиент не ищет по разным банкам нужную услугу или сервис, а заходит на один портал, как в гипермаркет, и выбирает из множества продуктов разных производителей именно те, что ему подходят.

Финансовый маркетплейс поможет выбирать услуги и сервисы, а платформа для регистрации финансовых сделок – это личный кабинет, где хранится информация клиента о сделках как прошедших, так и текущих. Люди часто не помнят, сколько карт у них открыто, какие счета… И такая услуга-подсказка - в одном месте получить всю информацию о себе - будет крайне полезна.

Платформа быстрых платежей.  Мы заметно опаздываем в этой области, потому что мировой опыт показывают, насколько быстро такие инфраструктуры становятся востребованными как на уровне клиентов, так и на уровне банков. Мы предлагаем свое решение, то есть возможность для любого клиента, вне зависимости от того, в каком банке у него счет, переводить деньги по телефону или е-мейлу. Банки же, предлагая эту услугу через свои порталы и по своим тарифам, будут подключены к общей инфраструктуре. Банковская карта тут - один из инструментов, но точно не единственный.

Национальная система платежных карт. Одна из наших задач -  развитие новых инновационных услуг и возможность предоставления клиентам широкого спектра нефинансовых сервисов через программу лояльности, которую мы запускаем в этом году. По этой программе клиенты смогут получать кэшбеки в реальном выражении, а не в баллах. И за два года, с подключением всех участников, как торговых партнеров, так и банков, мы планируем вывести эту систему на качественно новый уровень.

Система передачи финансовых сообщений. Идея в том, чтобы уже на уровне ЕАЭС создать платформу по передаче сообщений между странами. Мы изучаем разные технологии, в том числе рассматриваем и свою, которую разработали на площадке АФТ. Это мастерчейн, переработанная версия, где за основу взят etherium. Но при этом нам удалось решить несколько задач, которые в etherium не решены. Например, повышение производительности и встраивание в систему российской криптографии. Получилась хорошая отечественная разработка, которая может быть использована для многих проектов.

Единая система идентификации и аутентификации (биометрическая платформа). Мы разработали законопроект, и он подписан президентом. Теперь нужно решить две сложные задачи: детально прописать нормативы работы этой платформы и создать приложение, которое можно закачать на смартфон, чтобы через него входить на сайт банка и проводить удаленную идентификацию. При этом интерфейс нужно совместить со всеми элементами безопасности и в то же время сделать дружелюбным для клиента. Вся программа должна заработать в июле 2018 г.

Сквозной идентификатор клиента. В этом вопросе издавна борются две идеи. Первая: создать уникальный идентификатор, к которому будут привязаны все остальные идентификаторы физического лица. Но после анализа множества проблем, с которыми пришлось бы столкнуться, рабочей сегодня является вторая идея. У каждого гражданина уже ест идентификатор: СНИЛС, паспорт, другие документы. Можно связать их внутренним технологическим идентификатором. Человек не будет его видеть, даже не будет его знать, но на уровне системы, вне зависимости от того, с каким документом он пришел в нужную ему организацию, весь профиль клиента становится доступным оператору. Сейчас эта идея детально обсуждается с Минэкономразвития и Минкомсвязи. Этот инструмент может стать одним из элементов единой биометрической платформы.  

Платформа для облачных сервисов. Пока это только задача. Тут мы имеем дело с тремя идеями, пришедшими к нам с рынка. Первая: создать юридическое лицо, которое будет заниматься развитием ИБ, выпускать готовые продукты, и потребители, в основном, малые и средние банки, станут их покупать. Вторая: вложиться в инфраструктуру со встроенными элементами ИБ. Третья идея - это полный аутсорсинг, включая IT-разработку, когда участник финрынка является только постановщиком задач.

Пока рынок обсуждает первый и второй варианты: или аутсорсинг продуктов ИБ, или аутсорсинг инфраструктуры со встроенными элементами ИБ. Возможна и комбинация, но пока еще ни одна компания не вышла с предложением взяться за такой проект. И сомнения тут понятны: такой проект потребует больших вложений, глубокого понимания работы рынка, а главное – гибкости при любом изменении в нормативных документах.

Платформа на основе технологии распределенных реестров. О Мастерчейне, как российской разработке, я уже упоминала. Сейчас эта технология запущена в трех проектах: электронные закладные, электронные аккредитивы и гарантии. Подписан закон, который определяет, что электронные закладные могут работать с июля 2018 г. Поскольку юридические нормы уже есть, в июле мы хотим попробовать в нескольких банках аккредитивы и гарантии, а в 2019 г. распространить их на весь реальный сектор.

РАЗВИТИЕ ИБ В КОНТЕКСТЕ ЦИФРОВОЙ ЭКОНОМИКИ

Из пяти направлений программы «Цифровая экономика РФ» три являются наиболее важными для Банка России: нормативное регулирование, информационная безопасность и информационная инфраструктура.

Стоит отметить, что именно в этой точке впервые в нашей стране сделана попытка кросссекторально посмотреть сферы, которые важны для многих отраслей. Например, в части новых технологий у Банка России есть серьезные пересечения с Минкомсвязи. Нам нужно многое обсудить, и мы начали этот непростой процесс. В начале пути, не скрою, было очень сложно, все пытались продвинуть исключительно свои специализированные идеи. Сейчас мы вышли на уровень, когда представители разных министерств и бизнеса стали смотреть на вещи шире, можно сказать, научились договариваться.

Нормативное регулирование сегодня – наиболее продвинутое направление. Тут есть утвержденный план, документы и сроки. Информационная инфраструктура и ИБ находятся в стадии обсуждения и выработки планов. Задачи большие, начиная от выработки подходов к большим данным по стране в целом до определения стандартов по информзащите в части персональных данных.

Представляю основные мероприятия Банка России по направлению «Информационная безопасность»:

Развитие нормативного регулирования в области информационной безопасности ЕАЭС;
Определение перечня необходимых стандартов обработки массивов больших данных;
Совершенствование законодательства в области персональных данных с учетом требований к ИБ;
Мониторинг и предотвращение рисков применения перспективных технологий идентификации;

И этот список далеко не полный. Например, важная задача - стимулирование рынка к созданию российской продукции в области ИБ. И в этой области у нас хорошие заделы, на этом поле мы вполне можем конкурировать с другими странами.

Самое главное, чтобы российская продукция действительно выходила конкурентоспособной и с ценой, приемлемой для рынка.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

02.12.2022
«Банк России выступает за запрет допуска криптовалют в регулируемую финансовую систему»
02.12.2022
В реестре российского ПО зарегистрирован новый программный продукт DosGate, защищающий ИТ-инфраструктуру компаний от DDoS-атак
02.12.2022
Корпоративные данные «Билайн» оказались в открытом доступе
02.12.2022
«… более устойчива и не подвержена внешним конъюнктурам с точки зрения обслуживания»
02.12.2022
«Из-за опасения попасть под санкции». Киргизия продолжает отказываться от «Мира»
01.12.2022
ЕЦБ: Биткоин нужно воспринимать как ничто
01.12.2022
Шифровальщик CryWiper атаковал системы российских госорганов
01.12.2022
Сервис LastPass снова попал под хак-атаку. Пароли клиентов целы
01.12.2022
«Это наиболее чувствительные данные для человека»
01.12.2022
Скамеры стали чаще звонить россиянам

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных