BIS-КОММЕНТАРИЙ: Требуется консорциум

BIS-КОММЕНТАРИЙ: Требуется консорциум

С проблематикой, поднятой автором в статье "Путь регулятора… в облаках", происходят совершенно необыкновенные вещи. Уже много лет подряд различные авторы стараются раскрыть эту тему в печатных изданиях и в выступлениях на конференциях и семинарах. Различные коммерческие фирмы включая крупные корпорации предлагают решения по облачной обработке и хранению данных банкам и банковским ассоциациям. Но вопрос пока не продвигается с места и не находит своего разрешения. Поэтому, то что вопрос был поднят и обсуждался на столь представительной сессии Уральского Форума есть очень хороший знак. От души хочется пожелать успехов в решении этой задачи.

Проработка показывает, что переход на облачные технологии действительно потенциально позволит существенно повысить эффективность регуляторных и надзорных технологий, снизить издержки малых и средних банков на обеспечение информационной безопасности и поддержку IT, в целом поднимет эффективность работы клиентов сервиса и повысит уровень безопасности. Об этом уже много и убедительно сказано.

Следует отметить, что проблема носит многоплановый системный характер. Выделяются две стороны вопроса. С одной      стороны, существует заинтересованность регулятора в создании универсальной платформы для реализации регуляторных и надзорных технологий, а с другой стороны, заинтересованность финансовых организаций в снижении своих издержек и получении современных сервисов и услуг, позволяющих улучшить конкурентоспособность и снизить издержки на непрофильную деятельность, под которой в общем случае следует понимать содержание информационной инфраструктуры и обслуживающей ее системы безопасности. Очевидно, что обе эти задачи связаны, представляют собой две неразрывные стороны одного целого и не могут быть эффективно решены по отдельности. Но к сожалению, мы не видим даже первых практических шагов в этом направлении. Вернее, видим то, что кредитные организации с удовольствием арендуют серверные мощности в различных ЦОД, но далее аренды серверов дело заходит редко. Есть правда тенденция развертывания небольших частных «облаков» в интересах одного собственника или владельца. Пока в направлении создания крупных облачных сервисов продвинулись только крупнейшие банки страны и прежде всего, Банк России со своим «частным облаком Банка России ЧОБР». При этом создаваемое ЧОБР не является публичным и насколько мы знаем, ЦБ РФ предоставлять облачные сервисы кому-либо не предполагает. О развертывании облачных технологий на ЦОДах, созданных Сбербанком, известно меньше, но и там, похоже, аналогичная картина.

Таким образом, банковское сообщество в условиях отсутствия ясной линии действий, включая «сигналы» регулятора, предпочитает пока оставаться в понятных для него рамках поведения, которые не выходят пока за рамки аренды мощностей. Или, вдруг, отдельные банки решаются на вынос некоторой функциональности в зарубежные облака, не имеющие никаких гарантий доверия. И то и другое плохо.

Напрашивается вывод, что есть некоторые убедительные причины, приводящие к торможению процесса. На мой взгляд, к ним следует отнести несколько разноплановых, но взаимно связанных факторов.

Отсутствие доверия к облачным сервисам (ключевой вопрос), понимаемого как наличие у предлагаемого сервиса:

а. Таких свойств безопасности, которые позволяют собственнику ресурса получить уверенность в том, что данные, обрабатываемые с использованием данного сервиса защищены от киберугроз и, прежде всего, от несанкционированного доступа со стороны:

других кредитных организаций;
атак внешних и внутренних нарушителей;
персонала ЦОД;
регулятора (ов).

b. Прозрачности деятельности и подотчетности оператора сервисов (облака), по обеспечению эксплуатации систем и оборудования ЦОД, а также обеспечению требований информационно безопасности, позволяющей убедится в том, что деятельность по обеспечению защиты информации и эксплуатации осуществляется в соответствии с установленными требованиями и регламентами.

c. Гарантий компенсации возможных убытков при реализации кибератак или нарушении непрерывности предоставления услуг.

Очевидно, что доверие к сервисам должно быть обеспечено на бизнес-уровне (по аналогии – на последнем, седьмом уровне модели взаимодействия открытых систем (OSI). Такой уровень доверия не обеспечивается автоматически требованиями технического характера по защите информации в облачных средах, разработанными для использования на более низких уровнях модели и не гарантируется наличием соответствующих сертификатов и аттестатов, хотя они в обязательном порядке должны быть.

Отсутствие стандартных услуг, сервисов и моделей обработки и хранения данных в облачных сервисах в виртуальном пространстве.

Отсутствие принципов и регламентов осуществления регуляторных и надзорных действий, включая аудит информационной безопасности, что диктует необходимость создания Банком России отечественной платформы для регуляторных и надзорных технологий для работы в централизованных защищенных облачных средах.

Отсутствие необходимого уровня гарантии непрерывности предоставления услуг.

Отсутствие внятных предложений по стоимости предоставляемых сервисов с учетом того, что облачные сервисы должны быть дешевле локальных кастомизированных решений.

Высокая и до конца не оцененная стоимость решения для потенциального оператора данного сервиса, не ясные финансовые параметры проекта, что не позволяет подготовить ясный бизнес-план и обосновать затраты на создание системы и оценить потенциальную прибыль.

Все это приводит к выводу, что данная тема представляет собой крупный системный проект. Размерность этого проекта такова, что его реализация требует создания консорциума заинтересованных организаций из числа кредитных и некредитных финансовых организаций, поставщиков облачных услуг и сервисов, собственников ЦОД, провайдеров телекоммуникационных услуг, возможно инвесторов. При этом, немаловажным фактором является равноудаленность консорциума как от каждого из участников, так и от государственных регуляторов[1]. При этом, в обязательном порядке вопрос требует нормативного регулирования со стороны государственных регуляторов, прежде всего, со стороны Банка России. Более того, если такого регулирования не будет, вопрос так и продолжит оставаться в нынешнем положении. Подобный опыт создания крупных независимых систем для предоставления финансовых услуг и сервисов есть (например, опыт создания НСПК). Но в отличие от НСПК, ожидаемым участием Банка России в данном процессе представляется выполнение роли регулятора и потребителя специфических сервисов, что предполагает:

нормативное регулирование вопроса, включая разработку необходимых стандартов (как бизнес-уровня, так и технических);
создание платформы для реализации регуляторных и надзорных технологий, разрабатываемых Регулятором в интересах повышения качества осуществляемой им деятельности и предназначенной для работы в создаваемой специализированной защищенной облачной среде, предоставляющей услуги кредитным и некредитным финансовым организациям.

Представляется, что инициатором процесса в рамках приведенных параметров может выступить ассоциация банков России, в полной мере владеющая нюансами вопроса.

[1] По типу организационной структуры и юридической формы системы SWIFT.