Алексей Войлуков о цифровизации банковской сферы, монополии и киберграмотности

Алексей Войлуков о цифровизации банковской сферы, монополии и киберграмотности

11-14 сентября 2019 года в Сочи Ассоциация банков России (АБР) в очередной раз проведёт XVII Международный банковский форум «Банки России — XXI век». Главными спикера мероприятия станут председатель Банка России Эльвира Набиуллина, первый заместитель председателя Банка России Сергей Швецов, заместители председателя Банка России Василий Поздышев, Ольга Полякова, Руслан Вестеровский, заместитель министра финансов Алексей Моисеев, руководитель Службы анализа рисков Банка России Александр Дымов, заместитель руководителя Федеральной Антимонопольной службы Андрей Кашеваров и другие. BIS Journal, как один из главных медиапартнёров мероприятия, решил выяснить, насколько весома тема информационной безопасности в деловой программе форума. На вопросы отвечает вице-президент АБР Алексей Войлуков. 

Как вопросы безопасности коррелируют с основной темой форума?

Тема Форума – «Взаимодействие финансового и реального секторов в условиях цифровизации экономики: Россия и международная практика». В условиях цифровизации экономики и развития финансовых технологий вопросы безопасности приобретают повышенное значение. Развитие платформенных решений, удалённой идентификации, дистанционных каналов обслуживания – всё это повышает доступность финансовых услуг, положительно влияет на конкуренцию, увеличивает удовлетворённость клиентов. Вместе с тем, это создаёт больше возможностей для проведения потенциальных атак и мошеннических действий.

Понимая безусловную значимость и необходимость технологического развития экономики, Ассоциация считает, что следует активней прорабатывать вопросы обеспечения безопасности, находить решения во взаимодействии со всеми заинтересованными участниками рынка и государственными органами. Именно такую задачу ставит перед собой Ассоциация, в том числе и в рамках Форума в Сочи.

В АБР активно работает Комитет по информационной безопасности. Безусловно он готовит к форуму конкретный набор вопросов. Можете их озвучить?

Комитет по информационной безопасности прорабатывает широкий спектр нормативных правовых и технологических вопросов, касающихся проблематики обеспечения безопасности в банковском секторе. Такая работа ведётся как в рамках очных заседаний, так и заочно, путём проведения опросов и формирования позиции Ассоциации по самым актуальным темам кибербезопасности.

В круглом столе «Киберугрозы и обеспечение информационной безопасности: проблемы и решения», который состоится в рамках Форума, будут принимать участие члены Комитета, в том числе с докладами.

Сейчас темы для обсуждения выглядят следующим образом:

• Масштабы киберпреступности в разрезе отраслей и сфер экономики;
• Обеспечение безопасности и устойчивости при применении финансовых технологий;
• Развитие и применение новых технологий криптографии и защиты персональных данных;
• Биометрическая идентификация и практические вопросы её проведения;
• Перспективы разделения издержек на обеспечение информационной безопасности и защиту персональных данных;
• Расходы на информационную безопасность и аудит в парадигме пропорционального регулирования;
• Страхование кибер-рисков;
• Проблема дефицита кадров и повышение требований к профессиональной подготовке специалистов по кибербезопасности;
• Задачи по развитию законодательной базы и нормативно-правового обеспечения информационной безопасности;
• Международное сотрудничество в сфере кибербезопасности.

Банковский сектор переживает непростой период – высокие риски, стагнация конкуренции, волатильность на рынке и т.д. Как на этом фоне идёт цифровизация банковской сферы? Не секрет, что для малых банков она превратилась в проблему.

Хочется начать ответ с фразы: «И тем не менее…». Десять лет назад никто не мог представить, насколько большой путь наша банковская система сможет пройти по качеству сервиса и по ориентации на инновации международного уровня. В первую очередь речь идёт об эффективном и быстром внедрении самых разных технологий направленных на увеличение доли рынка и завоеванию новых рыночных ниш, одновременно удерживая риски под контролем. Современные технологии – главное из тех огромных изменений, которые произошли в нашей банковской системе, это основа успеха и сегодняшнего, и завтрашнего дня в банковской сфере.

Совершённый Сбербанком технологический прорыв позволил ему стать лидером рынка безналичных расчётов для физических лиц. Другие игроки банковского рынка также активно развивают банковские технологии (хотя в последнее время это слово «не модно», так как отдельные банки продвигают использование термина «экосистема»), но в силу своих масштабов, специализации, бизнес-модели концентрируются только на одном или нескольких направлениях. И как отражение такой ситуации на рынке присуждение национальным экспертным сообществом высоких оценок по отдельным продуктам Альфа-Банку, Банку Тинькофф, Юникредит, Совкомбанку.

Внедрение современных технологий в любой сфере трудоёмкий и затратный процесс. Требует наличия соответствующих компетенций. И в этом смысле финансовому сектору повезло поскольку активным «игроком» является сам регулятор – Банк России. Как один из создателей Ассоциации ФинТех он активно вовлечён в разработку и внедрение новых технологических решений в целях обеспечения развития финансового рынка РФ и создание условий для цифровизации экономики РФ.

Озаботившись ускоренным внедрением современных технологий для себя, он не забывает и о развитии таких технологий для рынка в целом. Такие реализованные проекты, как Национальная система платёжных карт (НСПК), Система передачи финансовых сообщений Банка России (СПФС), Система быстрых платежей позволят всем заинтересованным участникам рынка в том числе и небольшим «приобщиться» к самым передовым технологиям, существенно сократив собственные расходы на внедрение передовых финансовых технологий.

В силу этого представляется обоснованным повышенное внимание регуляторов в лице Банка России и Федеральной антимонопольной службы (ФАС), к учёту особенностей развития конкурентной среды в условиях перехода к цифровым технологиям.  Одна из наиболее важных задач в защите конкуренции на рынке банковских услуг состоит в том, чтобы не допустить монополизации киберфинансового пространства, реализовать на практике систему мер по обеспечению недискриминационного доступа кредитных организаций к информации и открытым интерфейсам.      

Монополизация и дискриминация в банковском секторе также становится насущной проблемой. В перспективе технологические сервисы, скорее всего, будут запускаться на платформах крупных игроков. Как не допустить монополизации киберфинансового пространства?

Этот вопрос должен быть в сфере повышенного внимания Банка России и Федеральной антимонопольной службы. Им следует учитывать все особенности развития конкурентной среды в условиях перехода к цифровым технологиям, в том числе не допустить монополизации киберфинансового пространства, реализовать на практике систему мер по обеспечению недискриминационного доступа кредитных организаций к информации и открытым интерфейсам.

Сейчас наблюдаются активная работа Банка России, как мегарегулятора, по формированию цифровой инфраструктуры финансового рынка. Это в том числе система быстрых платежей, маркетплейс, цифровой профиль, система биометрической идентификации и т.д. Речь идёт, таким образом, о создании «общественного блага», обеспечивающего свободу выбора потребителям и равные возможности по продвижению своих продуктов поставщиками финансовых услуг. Это не исключает создания крупными банками собственных технологических платформ и цифровой инфраструктуры.

Наличие общенациональной цифровой инфраструктуры наряду с частными решениями будет, с одной стороны, содействовать развитию справедливой конкуренции по ценовым и неценовым характеристикам, а с другой – поставит заслоны перед монополизацией киберфинансового пространства. Как показывает мировой опыт, корпоративные интересы и меры по защите конкуренции приходят к консенсусу, если не злоупотреблять как администрированием, так и использованием «некопируемых» привилегий.

Некоторые провозглашают панацеей от всех бед технологию RegTech. Какую позицию тут занимает Ассоциация? Будет ли об этом разговор на форуме?

По-моему, этот этап уже прошёл, я бы даже сказал, что у большинства представителей банковского сообщества он и не начинался. Применение технологий RegTech и SupTech в различных странах пока еще проходят экспериментальную проверку или находится на самом начальном этапе внедрения. Такой подход на первых этапах цифровизации банковской деятельности вполне оправдан. Поспешные действия регуляторов могут оказать двоякого рода негативный эффект: затормозить развитие перспективных технологий банковского обслуживания и подтолкнуть к созданию альтернативных способов проведения банковских операций вне периметра полномочий надзорных органов. Именно по этой причине регуляторы многих стран, включая Россию, пошли по пути создания регулятивных площадок, получивших название «регулятивные песочницы». В связи с этим для органов банковского регулирования и надзора значительный интерес представляет обратная связь профессионального сообщества.

Ассоциация «Россия» организовала обсуждение консультативный доклад «Вопросы и направления развития регуляторных и надзорных технологий (RegTech и SupTech) на финансовом рынке в России» путём проведения опроса заинтересованных кредитных организаций и обсуждения на совместных заседаниях профильных Комитетов.

В Докладе Банк России привёл международные примеры применения технологий RegTech и SupTech и такое стремление алгоритмизировать процессы взаимодействия регулятора и кредитных организаций может только приветствоваться банковским сообществом. Важно сосредоточиться на проектах, которые дадут ощутимый результат от их реализации в короткие сроки.

Под этим углом зрения Ассоциация посчитала целесообразным рекомендовать Банку России:

1. В сжатые сроки завершить работу по созданию реестра залогов и закладных для регулятора и участников финансового рынка. Это позволит обеспечить прозрачность учёта сделок по оформлению залогов и выдаче закладных, ускорить принятие кредитными организациями решений о проведении соответствующих сделок (скоринга), осуществлять Банку России контроль за указанными сделками без обращений в кредитные организации.
2. Увязать переход к расчёту нормативов, указанного в качестве одной из областей применения технологий RegTech с внесением изменений в нормативные акты Банка России, которые позволят создать алгоритм для заполнения форм и сделают такой расчёт «прозрачным», что  снизит регуляторные риски для кредитных организаций. В качестве альтернативного варианта заслуживает внимания развитие программного обеспечения в сторону технологий на базе Open-API.
3. Обсудить разработку буферной базы первичных данных, необходимых для осуществления Банком России функций надзора, наполнение которой будет осуществляться кредитными организациями по единым принципам и стандартам. В указанной базе для Банка России в режиме онлайн будет доступна информация, на основании которой он сможет формировать необходимую отчётность. В Докладе Банка России упоминается похожая система, реализованная в Австрии, где семь крупнейших банковских групп учредили консорциум AuRep, в рамках которого была создана единая модель данных и общая информационная система для формирования как управленческой, так и регуляторной отчётности.
4. Активизировать работу по цифровизации регуляторных требований (машиночитаемое регулирование). Реализация этой инициативы представляется крайне важной, поскольку позволит повысить прозрачность регулирования, минимизировать риски различной интерпретации положений нормативных актов Банка России. Кроме того, данный шаг является необходимым условием успешного внедрения по сути любой инициативы SupTech.

Конечно же, на форуме обсудим и эту тему. В рамках круглого стола «Цифровой банкинг, регулирование и надзор: от классического банкинга до финансовых экосистем» мы планируем обсудить и вопросы реализации проектов в сфере RegTech. Надеемся, что данное обсуждение будет интересным.

Много говорится о социальной инженерии и киберграмотности. Разработаны ли рабочие обучающие программы и эффективные методологические рекомендации, как банкам работать в этом направлении с клиентами, а также и со своими сотрудниками?

В кредитных организациях есть своего рода памятки для клиентов с элементарным набором правил «кибергигиены». Банки проводят обучения своих сотрудников с участием подразделения кибербезопасности в целях повышения общего уровня киберграмотности. На рынке есть несколько компаний, которые проводят профессиональные тренинги и семинары по теме безопасности. К сожалению, все эти усилия пока недостаточны для 100% победы над социальной инженерией и фишингом. По ту сторону фронта действуют не менее профессиональные специалисты в области информационных технологий, психологии и социологии, которые ежедневно оттачивают своё мастерство и реализуют на практике новые сценарии мошенничества. Для повышения эффективности борьбы и роста киберграмотности необходима консолидация усилий государства и частного бизнеса, всеобъемлющая коллаборация. Только объединение усилий всех заинтересованных организаций (Банка России, Министерства просвещения, Министерства внутренних дел, участников финансового рынка, консалтинговых и обучающих компаний) позволит добиться значительных успехов в борьбе с социальной инженерией.

Что делается для того, чтобы информационная безопасность вошла в сознание всех граждан России от банкира до пенсионера как общественное благо?

Общественное благо – это благо, которое потребляется коллективно всеми гражданами независимо от того, платят они за него или нет. Можно провести параллель между информационной и физической безопасностью. У нас есть правоохранительная система, спецслужбы, пограничная охрана, армия и флот. Мы пользуемся результатами их труда, их службы каждый день: имеем защиту собственности, своей жизни и здоровья, «мирное небо над головой». Частные компании могут выпускать разное оружие, боевую технику или униформу, но никому в голову не придёт создавать конкурирующие с нынешними военно-воздушные силы или частную полицию. Это дорого, неэффективно и будет только осложнять работу, направленную на достижение общих глобальных целей. Такая же концепция должна прийти в сферу информационной безопасности: конкурентная борьба должна сохраняться только в области создания инструментов, программного обеспечения, информационных ресурсов, которым необходимо развиваться в условиях рынка. А крупные технологически развитые игроки, имеющие продвинутые системы информационной безопасности, не должны использовать результаты их работы как конкурентное преимущество. Наоборот, необходимо делиться полученной с их помощью информацией с государством и со всеми заинтересованными игроками, которые в силу меньших ресурсов и возможностей не могут обладать аналогичными системами безопасности. Фундаментальная инфраструктура и подходы должны быть общими, а государству, бизнесу и обществу следует активизировать взаимовыгодное сотрудничество, совместно решать проблемы безопасности, эффективно и оперативно пресекать любые противоправные действия киберпреступников.

Беседовала Анна Воробьева