The best up_2015 by National Banking Journal

Р. ВАСИЛЕНКО:

АЛЬТЕРНАТИВА ИПОТЕКЕ UPGRADE: лучшие материалы за 2015 год

Интеллектуальный кубок «САМЫЙ ИНТЕЛЛЕКТУАЛЬНЫЙ БАНК» Ведущий – член Элитарного клуба, обладатель Хрустальной Совы, лауреат премии Международной Ассоциации Клуба

«Что? Где? Когда?» Ровшан Аскеров На одной площадке одновременно играет несколько команд, они соревнуются друг с другом ом За каждый правильный ответ команда получает по 1 баллу

Главный приз Хрустальный кубок Проходит ежеквартально Зарегистрироваться и получить более подробную информацию можно по адресу: vishnikina@nbj.ru, (495) 221-88-15, (964) 598-85-31 Анастасия Вишникина

THE BEST UPGRADE 2015

ХОТИМ СКАЗАТЬ

На рубеже 2014 и 2015 года редакция Национального Банковского Журнала выпустила 13-й номер журнала, который собрал под своей обложкой лучшие статьи и интервью, увидевшие свет в 2014 году. Признаемся честно, решение о подготовке и публикации внеочередного номера далось нам тогда нелегко. Но оно оказалось более чем оправданным. На протяжении всего 2015 года журнал распространялся на всех профильных мероприятиях и каждый раз находил заинтересованных читателей, которые благодаря ему вспоминали, чем жил банковский рынок всего лишь год назад. Перечитывая перед выпуском номера все материалы, даже нам (уже читавшим и писавшим их) было интересно восстановить их в памяти. И некоторые тексты, пусть мы и читали их повторно, опять приковали к себе наше внимание, как это бывает в детстве, когда снова и снова перечитываешь любимую книгу, хотя отлично знаешь и сюжет, и концовку. Мы решили сделать сборник лучших материалов регулярным и благодаря этому Вы, уважаемые читатели, подписчики и партнеры NBJ, держите сейчас в руках The Best 2015. Объясняя свое решение год назад, мы во вступительной колонке к журналу отмечали, что 2014 год вобрал в себя столько событий и перемен, что хватило бы на 10, а то и на 15 лет. То же самое, даже с большим основанием, можно сказать и про 2015 год. Многое из того, что казалось нам привычным и неизменным, ушло в небытие, сформировались принципиально новые тенденции и в российской экономике, и в геополитике. Что там говорить, существенно изменилась не только Россия, не только наше восприятие окружающего мира, но и сам мир! И на протяжении всего 2015 года это находило отражение в материалах, опубликованных в двенадцати номерах NBJ за год. Как и в прошлый раз, мы вывели под отдельную обложку раздел Upgrade, сделав его практически самостоятельным изданием. Почему? Ответ очевиден. Одна из самых животрепещущих тем прошедшего года – это оптимизация расходов банков, а лучший способ обеспечить эту оптимизацию – применение высоких технологий, эффективная автоматизация бизнес-процессов, сокращение временных затрат и ФОТ и т.д. Добиться всего этого, работая по старинке, невозможно, и, как справедливо отмечали на протяжении прошлого года многие эксперты, банки только тогда добиваются успеха, когда ставят себе на службу высокие технологии. Ну и конечно же, на пике спроса были решения в области информационной безопасности, поскольку давно известно, что в кризис и нестабильное время увеличивается количество атак на информационные системы банков, а слабая защита – путь к потерям, как финансовым, так и репутационным, и не всегда можно с уверенностью сказать, какие из них для банков более критичны. Мы уверены, уважаемые читатели, подписчики и партнеры NBJ, что 13-й выпуск нашего журнала за 2015 год будет для вас, как для и для нас, не только интересным, но и полезным, что в 2016 году вы нет-нет да и перечитаете лучшие интервью и статьи, опубликованные NBJ в 2015 году.

Елена ЕЛИСЕЕНКОВА, генеральный директор NBJ Анастасия СКОГОРЕВА, главный редактор NBJ

upgrade the best publications 2015

НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К И Й Ж У Р Н А Л

Хотим сказать .................................................................. 2

АПРЕЛЬ

ЯНВАРЬ

Business Continuity Management. Непрерывность бизнеса – обязательное условие нормальной работы любой банковской организации ..................................................14

ИТ в банках под прицелом санкций. Нужно снижать риски, чтобы не допустить остановки бизнеса ................................ 6

Ставка на скорость и удобство. Все больше участников рынка переходят на единую систему фронт-офиса ....................................... 15

МАЙ Р. ВАСИЛЕНКО (Best Way): «Простота участия, минимум препятствий и полная свобода выбора – это ключевые особенности, привлекающие пайщиков в кооператив» ..................... 8

ФЕВРАЛЬ

Комплексная защита самая надежная. Количество хакерских атак на технические средства финансово-кредитных организаций увеличилось ................................................. 16

ИЮНЬ Средства криптозащиты и создание доверенной среды при ДБО. Информационная безопасность всегда требует комплексного подхода .....................................................11

ДБО из дополнительного канала обслуживания становится основным .......................................................18

МАРТ

Контроль качества услуг аутсорсинга – краеугольный камень для многих банков ........................... 12 4

upgrade the best publications 2015

Драйвер развития банка. ИТ-стратегия отвечает на вопрос, как решать бизнес-задачи ................................. 19 НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К И Й Ж У Р Н А Л

СОДЕРЖАНИЕ

THE BEST UPGRADE 2015

ИЮЛЬ

НОЯБРЬ

Н. ТЕРЕНТЬЕВА (Прио-Внешторгбанк): «Решение задачи по наведению мостика между программным обеспечением банка и ПО любого сервиса СМЭВ достаточно простое» .............. 20

А. ЕВТУШЕНКО (Банк Хоум Кредит): «Автоматизация в нынешних условиях – это то, за счет чего банк реально может укрепить свои позиции на рынке» ............................ 34

АВГУСТ Цифровые технологии меняют банковскую реальность ........ 22

В. ОКУЛЕССКИЙ (Банк Москвы): «Мы понимаем, что для борьбы с хакерскими атаками, как и для обеспечения информационной защиты финансово-кредитной организации и ее клиентов, необходим комплексный подход» ............................... 24

ДЕКАБРЬ

В. МЕДВЕДЕВ (компания Доктор Веб): «Без преувеличения можно сказать, что шифровальщики они же энкодеры или вымогатели) стали одним из главных явлений 2015 года» ........................... 36

СЕНТЯБРЬ

А. ЕГОРКИН (Газпромбанк): «Любая информационная безопасность строится на предположении, что вокруг враги, и любая система телекоммуникаций – недоверенная»...................... 28

ОКТЯБРЬ Банкам приходится совершенствовать и оттачивать механизмы противодействия мошенникам и злоумышленникам в сфере информационной безопасности ................................................................. 32 Н А Ц И О НАЛЬНЫ Й БАНКОВСК ИЙ ЖУРНА Л

Лучшие ИТ-партнеры для банков ..................................... 40 upgrade the best publications 2015

THE BEST UPGRADE 2015

№ 1 (129) JANUARY 2015

ИТ в банках под прицелом санкций Нужно снижать риски, чтобы не допустить остановки бизнеса текст

Оксана Дяченко

Санкции повлияли на все сферы нашей жизни, в том числе и на ИTиндустрию. И хотя ни один из вступивших в силу пакетов санкций против России пока не коснулся напрямую отечественной ИT-отрасли, общее напряжение и тревога в банковской отрасли все же ощущаются. Именно санкции породили тему импортозамещения в отечественных ИТ, повсеместного применения мультивендорного подхода, а также переориентации на российских и азиатских поставщиков, альтернативных западным. ПРЕДПОЛАГАЕМЫЕ САНКЦИИ И РЕАЛЬНЫЕ РИСКИ В СМИ активно обсуждался сценарий, что же будет с банковской ИТ-индустрией, если западные компании – крупные ИТ-вендоры введут санкции и прекратят поставлять свои решения на наш рынок. Звучали самые разные оценки и прогнозы. Одни эксперты весьма сдержанны в своих оценках. Они считают, что глобальных проблем не возникнет, поскольку во многих финансовокредитных организациях применяется мультивендорный подход – изменится только акцент в сторону азиатских производителей. Конечно, головной боли у банков станет больше, поскольку нужно будет пересматривать стратегию развития и обеспечения надежности аппаратно-системной платформы и прикладных приложений западных поставщиков. Также это повлечет за собой серьезные инвестиции в смену решения. Другие эксперты озвучивали негативные, даже катастрофичные прогнозы, суть которых сводится к тому, что без технической поддержки со стороны западного вендора банк рискует просто остановить операционную деятель6

upgrade the best publications 2015

ность. Вендор может как прекратить поставки оборудования и ПО, так и просто не продлить договор поддержки. Причем последний вариант, когда договор поддержки не будет продлен, в случае с аппаратными средствами фильтрации трафика может быть приравнен к остановке оборудования. Эксперты говорят, что ситуация зависит от того, какой вид санкций будет применен. Если это будут мягкие санкции, когда компаниям нужно получать экспортные лицензии, способные удлинить срок поставки ИТ-решений и процесс согласования документов, то ситуация будет сложная, но не смертельная. А если санкции будут носить тотальный, запретительный характер, в результате чего будут прекращены обновления и поддержка, то это приведет к полной остановке работы системы, а значит, и всего банка, что даст основания говорить о катастрофических последствиях. Все это пока рассуждения. Конечно, геополитическую обстановку в мире не назовешь спокойной или хотя бы внушающей оптимизм. Однако до настоящего времени никто из западных партнеров не пошел на введение ни мягких, ни долговременных запретительных санкций по отношению к своим российским партнерам. Остается надеяться, что этого не произойдет вообще. Правда, одной надежды мало. Банковский бизнес должен учитывать возросшие риски и быть готовым к любому развитию событий. Начальник отдела банковских технологий департамента автоматизации БАНКа ИТБ Наталия Москвичева считает, что в рамках сложившейся политической ситуации в мире вопрос о присоединении вендоров к санкциям Евросоюза весьма актуален и нельзя исключать развитие любых событий. Если говорить о возможных последствиях, с которыми могут столкнуться

российские банки при введении санкций, то, по мнению Наталии Москвичевой, среди них нужно в первую очередь выделить отсутствие технической поддержки, обновлений программного обеспечения со стороны вендоров, значительные финансовые инвестиции при смене платформенных решений. Совокупность этих последствий может отрицательно сказаться на развитии бизнеса, вплоть до его остановки. Однако эксперт уверена: есть альтернативные варианты. Во-первых, переориентация на российских производителей, которые, предполагая возможные проблемы, разрабатывают аналоги зарубежных технологий. Во-вторых, применение мультивендорного подхода, развитие сотрудничества с азиатскими компаниями. УЯЗВИМЫЕ МЕСТА Российский банковский рынок ИТ неоднородный. Такая его составляющая, как «железо», может быть заменена без особого труда, хоть это и займет какое-то время, говорят специалисты. Существует немало азиатских (китайских, южнокорейских) производителей, которые способны предоставить качественный эквивалент западным образцам. Не нужно сбрасывать со счетов и российских производителей серверов, которые тоже могут предложить достойные решения. По мнению банковских экспертов, самая уязвимая часть банковских ИТ – это аппаратное обеспечение. Речь идет о серверах hi-end, системах хранения, системах специализированного телекоммуникационного оборудования и о целом ряде систем безопасности. Зону риска также представляет собой программное обеспечение, поскольку отечественные банки зависимы от западного ПО, начиная от операционных систем и заканчивая бизнесприложениями. НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К И Й Ж У Р Н А Л

№ 1 (129) JANUARY 2015

«Если верхнеуровневое ПО можно достаточно легко заменить на разработки отечественных вендоров, то с системным ПО все обстоит сложнее. На сегодняшний день ничего российского и в то же время качественного на рынке нет: серверы и базы данных имеют процессоры американского производства», – такую точку зрения высказал начальник департамента информационных технологий Росэнергобанка Леонид Белышков на круглом столе «ИТ в финансовом секторе: какие ИТ-задачи стоят перед банками в новых экономических условиях». Эксперт рассказал, к какому решению в этой связи пришли в Росэнергобанке. «Мы отключаем автоматическое обновление всего и вся. Предположим, против нашего банка ночью вводят санкции, и проходит автоматическое обновление баз данных, Windows и т.д., которое вносит какие-то закладки, препятствующие нам в дальнейшем работать. Обновления нет – и возможные риски таким образом минимизируются», – поясняет Леонид Белышков. Правда, такой сценарий тоже несет риски, считают другие эксперты: даже если обновления будут отключены в настоящий момент, это не означает, что ПО застраховано на 100%. Именно поэтому банки вынуждены проводить серьезную проверку имеющихся информационных активов и размышлять, на что их можно заменить, чтобы избежать риска активизации уже поставленных закладок. Рынок программного обеспечения представляет собой достаточно сложную структуру. Чтобы изменить его, нужна упорная, напряженная работа на протяжении нескольких лет. При негативном развитии событий есть большая вероятность возникновения подпольного рынка софта. Поскольку не будет возможности приобретать ПО законным путем, банки будут использовать нелицензионное ПО, а значит, попросту станут пиратами. НЕТ ХУДА БЕЗ ДОБРА Но, как говорится, нет худа без добра. Необходимость импортозамещения заставит банки внимательно приглядеться к российским компаниям – произН А Ц И О НАЛЬНЫ Й БАНКОВСК ИЙ ЖУРНА Л

THE BEST UPGRADE 2015

водителям программного обеспечения. Возможно, это даст толчок для появления отечественного софта. Конечно, здравая оценка ситуации свидетельствует о том, что, например, переход с решения, предлагаемого Microsoft во всех странах, в ближайшее время практически невозможен. Но если говорить не о массовом сегменте ПО, а о специализированных системах для банковского бизнеса, то здесь открываются новые возможности. Некоторые эксперты считают, что в долгосрочной перспективе такая ситуация должна стимулировать рост российского рынка АБС. Если вдобавок к этому будут приняты соответствующие меры со стороны российских властей (например, решение об обязательном переходе всех банков в течение нескольких лет на российские АБС, работающие на отечественной ОС и СУБД), то произойдет перераспределение рынка и появится большое количество новых проектов. Специалисты прогнозируют дополнительный спрос на отечественные разработки и заказ дополнительных решений, которые будут компенсировать возможный уход западных сервисов. Импортозамещение должно коснуться прежде всего системного ПО (90% иностранного производства) и систем фронт-офиса (30–40% западного производства), под которые будут адаптироваться решения АБС. ВСЕ ДОРОГИ ВЕДУТ В КИТАЙ Многие эксперты уверены, что в случае ограничения или полного прекращения поставок техники со стороны крупных западных вендоров, возникшую пустоту могут заполнить компании из азиатских стран, в первую очередь из КНР. В этом случае возможен переход на китайские серверы, телеком-оборудование и т.д. Следует отметить, что Китай серьезно занимается проблемой импортозамещения в сфере ИТ и информационной безопасности. Так, китайские власти поставили перед собой цель – избавиться от ОС Windows к 2020 году. В западных СМИ этот процесс получил термин «de-Windowsifying». Операционная система, которая заменит про-

дукты семейства Windows в Поднебесной, носит название NeoKylin и базируется на ОС Ubuntu. Ожидается, что устранение Windows в Китае будет идти со скоростью 15% ПК в год. В целом «de-Windowsifying» будет проводиться в рамках стратегии по замене западных ИT-продуктов на отечественные. В 2014 году в Китае была образована ассоциация China Information Terminal Operating System Alliance, целью которой стала координация процесса снижения зависимости КНР от западных технологий и инфраструктуры. Наряду с этим в 2014 году появились сообщения, что Китай работает над созданием серверов, на 100% собранных из компонентов, произведенных в КНР. Причинами подобной деятельности стали опасения по поводу информационной безопасности и стремление пресечь попытки кибершпионажа со стороны других стран. Ожидается, что серверы, лишенные иностранных компонентов, будут применяться в военных учреждениях КНР, а также в финансовых организациях и энергетическом секторе страны. Такая позиция Китая вызывает уважение. В этом свете весьма актуальны рекомендации Центробанка РФ, который советует кредитным организациям переходить на отечественные разработки систем безопасности из-за возможных отзывов лицензий на банковские программные продукты со стороны иностранных производителей. Это следует из подписанного председателем ЦБ Эльвирой Набиуллиной распоряжения № Р-556, которым вводятся в действие рекомендации по обеспечению информационной безопасности организаций банковской системы. Обеспечить защиту банки должны были уже с 1 сентября 2014 года, когда эти рекомендации вступили в силу. Данный акт является частью комплекса документов в области стандартизации и соответствует закону «О техническом регулировании». Он носит рекомендательный характер, за невыполнение рекомендаций ответственности в настоящее время не предусмотрено. Но эксперты соглашаются с тем, что содержащиеся в данном документе советы более чем рациональны и востребованы в нынешней непростой ситуации. upgrade the best publications 2015

THE BEST UPGRADE 2015

Альтернатива ипотеке: новый способ решить вечный вопрос Р. ВАСИЛЕНКО: «Простота участия, минимум препятствий и полная свобода выбора – это ключевые особенности, привлекающие пайщиков в кооператив» беседовала

Софья Мороз

На российском жилищном рынке сложилась уникальная в своем роде тенденция. Рост спроса на недвижимость сочетается с падением темпов строительства, а увеличение объемов ипотечного кредитования – с повышением цены за квадратный метр. Это говорит о том, что, даже несмотря на текущую финансовую ситуацию, квартирный вопрос по-прежнему крайне актуален для наших сограждан. О том, какие есть средства для его решения и чем может помочь нашим согражданам в данном вопросе компания Best Way, рассказал в интервью NBJ Роман ВАСИЛЕНКО. NBJ: Роман, какую бы оценку Вы дали ситуации, сложившейся по итогам 2015 года на жилищном рынке нашей страны? Эксперты озвучивают самые разные выводы и прогнозы: кто-то говорит, что дефицит длинных денег заморозил этот рынок, кто-то, напротив, достаточно оптимистичен. Какова Ваша точка зрения? Р. ВАСИЛЕНКО: Давайте скажем честно: обычно любые попытки улучшить ситуацию с жильем начинаются с внимательного изучения банковских предложений и программ государственной поддержки. Однако не всем подходят те условия, которые могут предоставить крупные структуры и организации, занимающиеся ипотечным кредитованием. Как часто бывает, в подобной ситуации всегда появляются энтузиасты, способные иначе организовать людей для достижения желанной цели. 8

upgrade the best publications 2015

НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К И Й Ж У Р Н А Л

THE BEST UPGRADE 2015

Крыша над головой и ощущение собственного дома – ключевые потребности человека, которые в нашем климате сравнимы по значимости даже со средствами к существованию. Недаром ведь Абрахам Маслоу считал, что на фундаменте базовых потребностей стоят все остальные человеческие качества и ценности. Собственное жилье – это отличный стимул для дальнейшего развития человека, его мотивация к тому, чтобы творить и созидать. Люди, базовые потребности которых полностью удовлетворены, вряд ли захотят кардинально менять свою жизнь и среду обитания. Более того, в современных условиях именно наличие собственного жилья часто становится для семейных пар дополнительным фактором уверенности, позволяющим задуматься о продолжении рода или о воспитании более чем одного ребенка. NBJ: Это бесспорно. Но хорошо известно, что россиян испортил не столько квартирный вопрос, сколько невозможность его решить за счет собственных накоплений. Р. ВАСИЛЕНКО: Вы правы. Развитие ипотечного кредитования представляется многим выходом из сложившейся на рынке жилья ситуации. И действительно, большинство россиян видят в ипотеке свой единственный шанс, что подтверждается конкретными цифрами: только за первый квартал 2015 года банки выдали ипотечных кредитов на сумму в 460 млрд рублей. Однако, несмотря на то, что для многих ипотека действительно является едва ли не единственным способом решить жилищную проблему, нужно все же тщательно взвешивать свои силы и возможности перед принятием столь ответственного решения. Не следует забывать, что ипотека – это весьма долгосрочное обязательство, требующее гарантированной финансовой стабильности Вашей семьи в течение ближайших 20 лет (таков средний срок кредитования в нашей стране). Если вы уверены в своих силах в долгосрочной перспекН А Ц И О НАЛЬНЫ Й БАНКОВСК ИЙ ЖУРНА Л

тиве, то ипотека может стать отличным способом обеспечить свою семью пусть и не роскошным домом у моря, но отлично подходящей для городской жизни квартирой. NBJ: Вот как раз наличие или отсутствие такой уверенности – очень тонкий вопрос, не имеющий однозначного ответа. Бывает так, что ты сегодня уверен в наличии у тебя стабильного источника дохода, а завтра этот самый источник «пересыхает» под воздействием кризисных явлений в экономике. Поскольку Россия уже не раз проходила через горнило всевозможных кризисов, мы такую ситуацию наблюдали неоднократно. Р. ВАСИЛЕНКО: Совершенно верно. Именно в силу этого людям творческих профессий, специалистам с невысокой официальной зарплатой или работникам, чей доход зависит от текущей ситуации в их профессиональной отрасли, как правило, сложнее решиться на ипотеку. Им приходится искать альтернативные варианты. NBJ: И в чем они заключаются? Р. ВАСИЛЕНКО: До недавних пор в качестве альтернативы ипотечному кредитованию можно было рассматривать также достаточно долгосрочные варианты: накопление средств или получение наследства. Хотя можно еще вспомнить существовавшие в советское время кооперативы, часто помогавшие молодым семьям свить свое гнездышко на собственных квадратных метрах. Казалось бы, в наше время от кооперативов остались только ностальгические воспоминания старшего поколения. Но так ли это? С появлением на рынке недвижимости проекта Best Way все больше молодых и активных россиян видят выход именно в современном воплощении идей кооперации. Об этом красноречиво говорят цифры, ведь на данный момент в обновленной версии жилищного кооператива состоит более 5000 членов. И это неудивительно: только за первый год приобретены несколько десятков квар-

тир. На финальной стадии оформления, предшествующей заселению в квартиру, находятся сотни пайщиков. Такое динамичное развитие стимулирует Best Way расширять инфраструктуру, становясь в каком-то смысле жилищным кооперативом федерального значения. На данный момент его представительства открыты более чем в 50 субъектах РФ, всего по стране работает более 10 тысяч консультантов Best Way. Секрет популярности нового типа жилищного кооператива прост: он действительно делает жилье доступным. NBJ: Участие в кооперативе обычно подразумевает и всегда подразумевало внесение некоего вступительного взноса. Является ли он посильным для потенциальных пайщиков Best Way или возникает та самая ситуация, когда много званных, да мало избранных? Р. ВАСИЛЕНКО: В финансовом плане кооператив имеет очень низкий входной порог. Минимальный паевой взнос – всего лишь 10 тыс. рублей. В целом показатели Best Way выглядят впечатляюще, в особенности на фоне показателей темпов роста классической ипотеки. Между внесением первого взноса и заселением пайщика в собственную квартиру проходит от трех месяцев до полугода. Процент по выделенным кооперативом средствам составляет от 2% до 6%. Также свой счет можно пополнять, работая на благо кооператива в рамках его структуры. Механизмы для этого прописаны и предусмотрены, было бы желание ими воспользоваться. Согласно опросу пайщиков, именно возможность начать путь к собственной недвижимости фактически с любой суммы является одной из самых привлекательных черт Best Way. Еще одна особенность кооператива – минимум требований к необходимым для вступления документам. Как правило, для того чтобы стать пайщиком жилищного кооператива нового поколения Best Way, достаточно лишь предоставить документ, удостоверяющий личность, – паспорт. Этим данная кооперативная форма upgrade the best publications 2015

THE BEST UPGRADE 2015

крыша над головой и ощущение собственного дома – ключевые потребности человека, которые в нашем климате сравнимы по значимости даже со средствами к существованию. Недаром ведь считается, что на фундаменте базовых потребностей стоят все остальные человеческие качества и ценности существенно отличается от, например, ипотечного кредитования с его строгими требованиями к сбору необходимых документов. Изнутри система также прозрачна, эргономична и удобна в пользовании. У каждого пайщика есть свой личный кабинет на сайте, из которого можно наблюдать состояние счета кооператива, продвижение очереди на получение квартиры и свою позицию в ней. NBJ: Какие еще преимущества Best Way Вы можете назвать, сравнивая его с участием в классических программах ипотечного кредитования? Р. ВАСИЛЕНКО: Еще одно из существенных преимуществ, помимо перечисленных мной выше, заключается в следующем: в выборе будущего жилья пайщик Best Way не ограничен ничем, кроме суммы стартового взноса и собственной фантазии. Кооператив не занимается строительством. Он просто обеспечивает людей средствами для приобретения именно той недвижимости, которую они хотят купить. Квартиры в новых комплексах, на вторичном рынке, земельные участки для постройки частного дома – нет никаких преград или ограничений. Простота участия, минимум препятствий и полная свобода выбора – это 10

upgrade the best publications 2015

ключевые особенности, привлекающие пайщиков в кооператив. Но это далеко не все возможности, открывающиеся вместе с Best Way. NBJ: Какие есть еще? Р. ВАСИЛЕНКО: ЖК Best Way является одним из первопроходцев в пока еще новой для нашей страны сфере социальной ответственности. Его деятельность направлена на решение достаточно болезненной проблемы нашего общества – проблемы приобретения собственного жилья. Не секрет, что ключевым побудительным мотивом для смены места проживания или даже эмиграции из России для многих является реальная возможность покупки собственного жилья без обременительных переплат по ипотеке. Именно нежелание терять перспективных, конкурентных на международном рынке специалистов заставляло и заставляет многих неравнодушных бизнесменов и патриотов России задумываться над тем, как можно сделать собственное жилье доступным для всех граждан нашей страны. Один из вариантов решения проблемы как раз предлагаем мы, создатели Best Way. Найти правильный путь к успеху ЖК нам позволил достаточно нестандартный ход: исключить такое

понятие, как доход, из числа привычных показателей успешности. Участники кооператива не получают прибыль, они приобретают нечто более ценное – жилье, открывающее перспективы для полноценной жизни, для создания семьи, для занятий творчеством, любимой работой и т.д. А значит, мы фактически помогаем людям обрести твердую почву под ногами и уверенность в своем будущем. NBJ: То есть речь идет не только и не столько о деньгах… Р. ВАСИЛЕНКО: Вот именно – не только и не столько. Best Way – это не деньги, это перспективы. Такова наша философия и таковы принципы построения кооператива. Именно возможность, а не награда, жилье, а не деньги, позволяют пайщикам обрести веру в себя и стимул для изменения своей жизни в лучшую сторону. Участники кооператива – мотивированные люди, которые понимают важность своей роли в общем деле. Такие люди должны процветать в России. И Best Way дает им такую возможность. Не зря считается, что наличие у человека своей квартиры часто является дополнительным аргументом против эмиграции. Недвижимость – это корни, которые дополнительно привязывают человека к родной земле. Да и в целом, доступное жилье – это фактор, который может существенно улучшить качество жизни человека и постепенно изменить в лучшую сторону и социальную среду вокруг него. Жилищный кооператив Best Way – это воплощение передовых мировых идей самоорганизации людей на практическом материале российской жилищной сферы. Трудно представить реализацию такого масштабного и значимого проекта без огромного опыта и понимания отечественных реалий. И если функционирование кооператива могут обеспечить сами пайщики, то создание концепции и применение ее на практике возможно только с участием действительно опытных и грамотных профессионалов. НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К И Й Ж У Р Н А Л

№ 2 (130) FEBRUARY 2015

THE BEST UPGRADE 2015

Средства криптозащиты и создание доверенной среды при ДБО Информационная безопасность всегда требует комплексного подхода текст

Оксана Дяченко статочно успешно используют уже на протяжении нескольких лет. К ним, например, относятся средства криптозащиты и создание доверенной среды при взаимодействии кредитной организации с клиентами в системах ДБО. Средства криптографической защиты обеспечивают конфиденциальность информации, ее целостность, контроль доступа (информация должна быть открыта только для того, кому она предназначена), аутентификацию (возможность однозначно идентифицировать отправителя), неотрекаемость (невозможность отказаться от совершенного действия).

В настоящее время банки активно развивают дистанционное обслуживание, при этом они стремятся повышать защищенность систем ДБО. Поскольку методы, которые используются при атаках на системы дистанционного банковского обслуживания, различаются, то и способы защиты варьируются. Для обеспечения конфиденциальности, аутентификации, контроля доступа, целостности и идентификации работы в ДБО повсеместно используются средства криптографической защиты. Сегодня каждый уважающий себя банк предоставляет услуги дистанционного обслуживания. Однако возможность осуществлять операции с денежными средствами удаленным способом привлекает внимание злоумышленников. В такой ситуации, чтобы избежать репутационных и финансовых рисков, возникающих при внедрении и использовании технологий ДБО, банки вынуждены применять и предлагать клиентам современные средства безопасности. Среди способов защиты от мошенников есть и такие, которые банки доН А Ц И О НАЛЬНЫ Й БАНКОВСК ИЙ ЖУРНА Л

РАЗЛИЧНЫЕ УГРОЗЫ Количество и разнообразие атак на системы ДБО с каждым годом увеличивается. В последнее время внимание специалистов по информационной безопасности сконцентрировано на проблеме несанкционированных платежей, которые создаются мошенниками посредством украденных ключей электронной подписи, удаленного управления компьютером с ключом ЭП либо подмены реквизитов платежного поручения на ПК клиента в момент подписи. Хищение ключей электронной подписи и закрытых ключей ЭП клиентов систем ДБО с их же компьютеров – одна из основных угроз дистанционного обслуживания. При этом адекватный метод противодействия различного рода атакам на системы ДБО придуман: перенос функции контроля основных параметров документа из операционной системы в замкнутую среду на внешнем устройстве. ЗАЩИТА КЛИЕНТА СОВЕРШЕНСТВУЕТСЯ Статистика гласит, что 70% атак на клиентскую часть ДБО происходит при хранении ключей на незащищенных носителях. В связи с этим многие банки

переходят или уже перешли на технологии двухфакторной аутентификации с хранением ключевой информации в неизвлекаемом виде на eToken или на смарт-карте. Специалисты говорят, что, несмотря на многие проблемы, защита клиентской стороны постепенно повышается. Это обеспечивается с помощью устройств защищенного хранения ключей ЭП, защищенной выработки электронной подписи, доверенных устройств отображения по подписи платежного поручения, доверенных каналов подтверждения платежа и посредством использования доверенной среды для работы с клиент-банком. По мере того как совершенствуется защита клиента, повышается вероятность того, что мошенники начнут искать уязвимые серверы и приложения и использовать эти тонкие места для атак на системы дистанционного банковского обслуживания, отмечают эксперты. Руководитель отдела информационной безопасности банка «ДельтаКредит» Алексей Лола уверен, что обеспечить безопасность работы клиента в системах ДБО нельзя исключительно техническими средствами – требуется комплексный подход. Использование современных средств криптографической защиты повышает уровень защищенности систем ДБО, но только при условии правильной эксплуатации со стороны клиента. В банке «ДельтаКредит» специфичная система ДБО – инфобанкинг. Эксперт рассказал, что на данном этапе не требуется применение специальных средств защиты. «Стандартные средства защиты обеспечивают баланс между удобством использования и защищенностью», – убежден эксперт. Стоит отметить, что с его мнением согласны многие банкиры. upgrade the best publications 2015

THE BEST UPGRADE 2015

№ 3 (131) MARCH 2015

Аутсорсинг в кризис: за и против Контроль качества услуг аутсорсинга – краеугольный камень для многих банков текст

Оксана Дяченко

В условиях экономического спада, когда снижаются доходы финансово-кредитных организаций, банкиры вынуждены разрабатывать и воплощать в жизнь меры по сокращению издержек, оптимизации бизнес-процессов и информационных технологий. Все эти действия должны не только помочь банкам устоять в кризис, но и обеспечить определенные конкурентные преимущества. Одним из инструментов, который применяется во всем мире для снижения затрат и повышения эффективности организации, является ИТ-аутсорсинг. РЫНОК АУТСОРСИНГА: ЗАМРЕТ ИЛИ БУДЕТ РАСТИ? ИТ-аутсорсинг – это один из наиболее крупных и быстрорастущих сегментов мирового рынка ИT-услуг. В России спрос на ИT-аутсорсинг пока не столь велик. Банковский ИТ-аутсорсинг находится в самом начале своего развития, считают эксперты, и по мере достижения зрелости данного сегмента рынка у него есть хороший потенциал для роста. По мнению начальника департамента автоматизации БАНКа ИТБ 12

upgrade the best publications 2015

Егора Шишова, доля ИТ-аутсорсинга в общем объеме ИT-услуг составляет около 30%. Эксперт считает, что спрос на ИТ-аутсорсинг со стороны банков растет: «Это происходит в связи с увеличением спектра банковских услуг и динамикой изменения рынка». Директор департамента информационных технологий банка «Международный финансовый клуб» Владимир Бескровный соглашается с утверждением, что спрос и предложение ИТ-аутсорсинга в банковской сфере увеличиваются. «Последний год ИТ-аутсорсинг является одной из самых обсуждаемых тем на различных конференциях и встречах. Все банки в той или иной степени уже используют ИТ-аутсорсинг. Просто не все из них осознают, насколько он привычен», – констатирует специалист. СДЕРЖИВАЮЩИЕ ФАКТОРЫ Следует отметить, что одним из факторов, сдерживающих развитие аутсорсинга в России, является недостаточная проработанность нормативной базы, утверждают эксперты. «Важной причиной скованности ИТ-аутсорсинга стала законодательная

база, – говорит начальник управления организации проектов банка «ИНТЕРКОММЕРЦ» Юрий Соловкин. – Финансовые учреждения обязаны обеспечивать выполнение требований законодательства и регуляторов к защите информации – заботиться о том, чтобы представители сторонней организации не имели доступа к информации, которая является коммерческой, банковской тайной либо персональными данными клиентов. Банк ответственен за принятие необходимых мер по обеспечению конфиденциальности и сохранности такой информации. Эти требования в большинстве случаев являются для банков сдерживающим фактором при выборе ИТ-процессов для аутсорсинга». То есть можно говорить о двух основных факторах сдерживания – регулятивных требованиях ЦБ РФ и законе о защите персональных данных. Директор департамента информационных технологий РОСГОССТРАХ БАНКа Андрей Бондарев называет несколько причин того, что ИТ-аутсорсинг всегда пользовался ограниченным интересом в банковской среде. Во-первых, это известные сложности, связанные с законодательными актами, ограничивающими доступ к персональным данным и банковской тайне. Во-вторых, отсутствие в банках квалифицированных менеджеров, способных управлять внешним подрядчиком на долгосрочной основе. Также эксперт говорит о высокой стоимости и зачастую недостаточном качестве оказываемых услуг по данной схеме. «В России сегодня единицы компаний, способных реализовать полномасштабные аутсорсинговые проекты с положительным финансовым эффектом», – делает вывод Андрей Бондарев. Кроме того, развитие аутсорсинга в банках сдерживает чрезвычайно высокая зависимость операционной деятельности финансово-кредитной организаНА Ц ИО НА Л Ь НЫ Й Б А НК О В С К И Й Ж У Р Н А Л

№ 3 (131) MARCH 2015

ции от функционирования ИТ-системы. Даже незначительные незапланированные перерывы в работе, например сбой систем операционного дня, процессинга, могут стать причиной серьезного репутационного и финансового ущерба, подчеркивает эксперт РОСГОССТРАХ БАНКа. Таким образом, важность в данной связи приобретает вопрос непрерывности функционирования ИТсистем в кредитных организациях. «Все это в условиях развивающегося кризиса не сделает ИТ-аутсорсинг привлекательней, скорее, наоборот, – говорит эксперт. – Могу с уверенностью констатировать, что в средних и мелких банках объемы контрактов будут сокращаться». Cтоимость услуг – это важный фактор при решении вопроса о переходе на аутсорсинг. И хотя некоторые эксперты говорят о том, что тенденция к снижению стоимости на некоторые виды услуг аутсорсинга есть (например, на рынке появились достаточно привлекательные предложения на первую линию ИТ-поддержки), высокая стоимость работ еще долго будет являться препятствием к сотрудничеству банков и компаний. По мнению Андрея Столярова (ДельтаКредит), одной из причин недостаточного развития аутсорсинговых схем в нашей стране является несоизмеримость рисков для аутсорсера и банка, а также малая ответственность первого перед последним. «Часто договоры составляются таким образом, что в случае наступления какой-либо проблемы по вине аутсорсера банк может только вычесть долю из абонентской платы. Во многих случаях данная плата несоизмерима с потерями бизнеса, а соизмеримость оплаты может настолько повысить стоимость аутсорсинга, что сделает его бессмысленным для банка», – констатирует специалист. Еще одна проблема, с точки зрения эксперта, это недостаток ИТ-процессов в банках. «Замыкание на ключевых людях, отсутствие стратегии развития ИТ и взаимодействия с бизнес-подразделениями не позволяют выделить часть процессов под аутсорсинг. Возможна и противоположная ситуация, когда слишком критичный процесс выносят на аутсорсинг, делая банк зависимым от внешней компании, а ИТ-системы, становясь черныН А Ц И О НАЛЬНЫ Й БАНКОВСК ИЙ ЖУРНА Л

THE BEST UPGRADE 2015

ми ящиками, повышают хаос в организации», – подчеркивает Андрей Столяров (ДельтаКредит). Руководитель группы системного администрирования банка «ДельтаКредит» Андрей Столяров уверен, что спрос со стороны банков на аутсорсинговые услуги увеличивается, так как растет объем потребностей в монотонных и неквалифицированных задачах. ЧТО ОТДАТЬ НА АУТСОРСИНГ? Главной особенностью и одновременно сложностью передачи банковских ИТ на аутсорсинг является тот факт, что подразделения безопасности финансово-кредитных организаций практически всегда занимают очень жесткую позицию относительно передачи какой-либо информации или средств обработки данных третьим лицам. Это нежелание проявляется даже в тех случаях, когда речь идет о компаниях, на протяжении многих лет играющих роль поставщиков ИТ-услуг. Поэтому передача ИТ-процессов должна осуществляться с соблюдением требований по защите информации, при наличии механизмов контроля качества их выполнения и возможности повлиять на процессы, которые реализуются. В целях минимизации рисков заключаются специальные соглашения о неразглашении конфиденциальной информации (Non-Disclosure Agreement, NDA), в которых описываются все требования банка к обеспечению субподрядчиком необходимых мер по защите информации и определяется уровень его ответственности за их несоблюдение, рассказывает Юрий Соловкин (ИНТЕРКОММЕРЦ). В ходе формирования требований должны учитываться возможный ущерб, причиненный вследствие утечки информации, и упущенная выгода, подчеркивает эксперт. На аутсорсинг часто отдают разработку ПО, телекоммуникационные, информационные, облачные услуги, поддержку рабочих мест и оборудования в офисах, колл-центры, услуги дата-центров, услуги управления ИТ-инфраструктурой, инфраструктурными и прикладными сервисами. Все больше банков передают сопровождение АБС целиком или основной части автоматизированной банковской системы на комплексный ИТ-аутсорсинг,

отмечает Владимир Бескровный (Международный финансовый клуб). Отдавать на аутсорсинг решение стратегических и тактических задач нельзя, поскольку в этом случае банковская организация может стать заложником аутсорсера, считает Андрей Столяров (ДельтаКредит). Кроме того, все риски аутсорсера (потеря ключевого сотрудника, рост человеческого фактора, снижение ответственности) автоматически становятся рисками финансово-кредитной организации. Этот тезис справедлив и по отношению к аутсорсингу разработки программного обеспечения. По мнению Андрея Столярова, на аутсорсинг отдается первая линия службы технической поддержки пользователей, аутсорсеры привлекаются также на какие-то разовые работы. УСПЕШНЫЙ АУТСОРСИНГ Для того чтобы ИТ-аутсорсинг в банковской сфере стал распространенным явлением, необходимы определенные предпосылки. По мнению Егора Шишова (БАНК ИТБ), основной предпосылкой стало планирование нагрузки на ИT-сектор в зависимости от задач бизнеса. Владимир Бескровный (Международный финансовый клуб) уверен, что в этом вопросе невозможно достичь успеха без осознанной поддержки идеи на уровне топ-менеджмента банка с учетом просчитанной финансовой модели аутсорсинга, а также без наличия SLA, готовности его разрабатывать и внедрять. Подрядчик по ИТ-аутсорсингу должен не только являться дилером или реселлером, но и иметь подготовленную команду из сертифицированных специалистов по направлению оказываемых услуг. Сотрудники этой команды должны обладать достаточным опытом и квалификацией, добавляет Юрий Соловкин. Необходимо иметь в виду, что системы, которые используют банки в своей работе, постепенно усложняются, появляются новые технологии: облачные сервисы, Big Data, SOA-системы. Чем сложнее будут системы, тем больше вероятность, что они будут передаваться на аутсорсинг. Причина проста – специалистов подобного уровня на рынке не так много, поэтому экономически будет более оправданно передать эти функции сторонним компаниям. upgrade the best publications 2015

THE BEST UPGRADE 2015

№ 4 (132) APRIL 2015

Business Continuity Management Непрерывность бизнеса – обязательное условие нормальной работы любой банковской организации текст

Оксана Дяченко

Руководство каждого банка должно знать, как действовать в ситуации возникновения риска прерывания деятельности, как минимизировать его воздействие, как найти разумный баланс между инвестициями в превентивные меры и возможными потерями. Для решения данных вопросов предназначена технология управления непрерывностью бизнеса – Business Сontinuity Мanagement, BCM. КОГДА НАСТУПАЕТ ФОРС-МАЖОР… При возникновении кризисных ситуаций банки должны быть способны восстановить свои операции как можно скорее. Здесь им на помощь приходят процедуры обеспечения непрерывности и восстановления деятельности. Обязательное наличие у игрока этих процедур – не только требование регулятора, но и сильное конкурентное преимущество. Управлением непрерывностью бизнеса несколько лет назад всерьез заинтересовались и в России. Следует отметить, что на территории нашей страны непрерывность бизнеса банков чаще всего подвергается испытаниям лишь в связи с техногенными катастрофами. Яркими примерами могут служить масштабные отключения электричества из-за ледяного дождя в декабре 2010 года в Подмосковье и в августе 2010 года в СанктПетербурге. Причем авария на одной из петербургских подстанций повлекла за собой цепную реакцию: отключились светофоры, остановился весь городской транспорт, движение метро и т.д. Понятно, что через какой-то промежуток времени, достаточно краткосрочный, перестали работать банкоматы и отделения финансово-кредитных организаций. Данная ситуация послужила наглядным примером того, что существует реальная угроза непрерывности бизнеса банков по причине возрастания нагрузки и изношенности электросетей. 14

upgrade the best publications 2015

РЕКОМЕНДАЦИИ И СТАНДАРТЫ Международная организация Business Continuity Institute (BCI) на протяжении двух десятилетий занимается обобщением мирового опыта BCM, выработкой рекомендаций и развитием профессиональных компетенций в этой области. BCM определяется как базовая структура для выявления потенциальных угроз компании и выстраивания организационных мер и средств с целью защиты интересов собственников и акционеров, ее репутации, бренда и основных направлений деятельности. Причем под угрозами понимаются не только аварийные ситуации, которые возникли в результате сбоя работы оборудования, ошибок в ключевых бизнес-приложениях или из-за природных катаклизмов. В качестве угроз рассматриваются также болезнь или увольнение ключевых сотрудников, серьезные нарушения логистической цепочки или угрозы информационной безопасности. В настоящее время основные стандарты в области ИТ и ИБ, включая CobiT, ITIL, ISO-27001, содержат разделы, связанные с обеспечением непрерывности бизнеса: первые два стандарта предназначены для ИТ, третий – для ИБ. Наряду с этими стандартами действует ряд регулятивных норм, например Базель (I, II, III) в финансовой сфере. Стандарты и регламенты обязывают организации гарантировать определенный уровень защиты данных и непрерывности бизнес-процессов. Эксперты, приводя пример такого регулирования для российского бизнеса, говорят о положении Банка России, о необходимости для финансово-кредитных организаций иметь планы действий на случай непредвиденных ситуаций. ЗАВИСИМОСТЬ БИЗНЕСА ОТ КРИТИЧНЫХ ПРИЛОЖЕНИЙ Интересно отметить, что усиление зависимости бизнеса от информационных технологий и усложнение корпоратив-

ных ИТ-инфраструктур – это основные факторы, которые определяют роль технологических составляющих в BCM. Среди респондентов исследования IBM и журнала The Economist значительное число (40%) признают обеспечение непрерывности бизнеса прежде всего задачей ИТ. Большинство опрошенных уверены, что руководители и сотрудники ИТ-департаментов являются ключевыми участниками реализации стратегии и планов BCM. При этом нельзя всю ответственность за процессы управления непрерывностью деятельности возлагать исключительно на узкую группу специалистов. В действительности данный процесс охватывает все стороны работы организации и тесно связан со всеми видами управления банком. Нужно подчеркнуть, что инициатором и движущей силой процесса BCM должен быть топменеджмент организации, как, впрочем, и других важнейших ИТ-процессов в банке. Сервисный подход к управлению ИТ дает банку возможность в упрощенной форме выявить зависимость деятельности бизнеса от ИТ-сервисов и конкретных элементов ИТ-инфраструктуры. В каждой организации определяется степень критичности тех или иных приложений для бизнеса. Существуют приложения, от которых напрямую зависят финансовые показатели банка, например банковские системы, поэтому они относятся к категории высококритичных. В зависимости от уровня критичности параметры восстановления приложений могут быть зафиксированы и могут контролироваться с помощью соглашений об уровне обслуживания для тех ИТ-сервисов, в реализации которых задействованы данные приложения. Эксперты говорят, что количество приложений, которые организации относят к разряду критичных, постепенно увеличивается. НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К И Й Ж У Р Н А Л

№ 4 (132) APRIL 2015

THE BEST UPGRADE 2015

Ставка на скорость и удобство Все больше участников рынка переходят на единую систему фронт-офиса, поскольку ее использование позволяет не только повысить лояльность клиентов, но и увеличить объемы продаж банковских продуктов текст

Альбина Булатова

Финансово-кредитные организации продолжают уделять пристальное внимание фронт-офисным системам, понимая, что от каждой сэкономленной клиентом минуты при посещении банка зависит не только его лояльность, но и объемы продаж банковских продуктов. Таким образом, на применении прогрессивных ИТ-технологий в деле организации фронт-офисных систем лучше не экономить, уверены банкиры. ПРЕИМУЩЕСТВА ЕДИНОГО ОКНА Понятие «фронт-офис» для многих банков подразумевает сегодня зону контакта с клиентом, то есть непосредственно фронт-линию, веб-сайт, а также банкоматы как удаленные каналы. При этом фронт-линия в этой цепочке стоит обособленно, поскольку здесь осуществляются консультирование и продажа услуг. «Для нас фронт-офис – единое поле контакта с клиентом. Но если подходить к этому вопросу специализированно – это работники, которые находятся в отделении и обслуживают клиентов во время их физического присутствия в банке», – поясняет вице-президент Банка Москвы Мигель Маркарянц. Сегодня банкам уже невыгодно разделять универсальную и другие фронтлинии, когда функции продаж и обслуживания выполняются разными сотрудниками. В Банке Москвы фронт-офис универсальный и работает по такому принципу уже около трех лет. Это значит, что сотрудник выполняет функцию продавца, операциониста, контролера и в ряде случаев даже кассира, то есть обслуживает клиента в рамках функции единого окна (включая денежные операции). Как отмечает менеджер по проектам управления банковских технологий Банка Интеза Леонид Корогодин, тенденцией последних лет стало движение бизнеса в сторону фронт-офисного обслуживания, переориентация бизнесН А Ц И О НАЛЬНЫ Й БАНКОВСК ИЙ ЖУРНА Л

модели от кредитования к кассе. «Информационные системы Банка Интеза в достаточной степени гибкие, что позволяет нам быстро приспосабливаться к новым решениям и изменениям. В ближайшие несколько лет мы планируем разработку умных решений, позволяющих предотвратить инцидент или программный сбой на этапе его первичного зарождения», – рассказывает эксперт. В Промсвязьбанке также сообщили об изменениях фронт-офисного решения. «По сути, мы строим новую единую систему фронт-офиса, которая включает в себя управление задачами и процессами, платформу омниканальности, сервисы рекомендаций, – говорит старший вице-президент – руководитель блока развития Промсвязьбанка Андрей Леушев. – За последний год мы внедрили платформу омниканальности iBanking. Также мы внедрили систему «Единое окно», интегрированную с данной платформой и текущими решениями CRM и BPM. Кроме того, мы провели реинжиниринг процессов фронт-офиса и вывели в опытно-промышленную эксплуатацию систему рекомендательных сервисов. В результате мы уже сейчас наблюдаем улучшение конверсии продаж», – констатирует специалист. КАЖДАЯ МИНУТА НА СЧЕТУ Эксперты наблюдают на рынке изменение подхода к автоматизации относительно фронт-офиса. Сказывается, как подчеркивают эксперты, моральная усталость от многомиллионных и многолетних проектов по внедрению различных систем, которые в большинстве своем не дают даже половины планового результата. «Постепенно рынок приходит к выводу, что нет волшебного решения, которое ты внедряешь, и оно за тебя успешно решает все задачи. Да и текущая экономическая ситуация не может способствовать дальнейшей реализации

подобных проектов, – поясняет Андрей Леушев (Промсвязьбанк). – В итоге уже заметно, как меняется подход к автоматизации у многих банков: становится не модно запускать огромные проекты, все (и мы здесь не исключение) стараются минимизировать риски путем перехода к инкрементальной модели автоматизации с небольшой длительностью итераций». Современный фронт-офис – это сложный бизнес-процесс, который состоит из нескольких групп операций, что объясняет наличие у большинства банков абсолютно разных систем, в зависимости от их ИТ-архитектуры. Вовлеченность бизнес-заказчика и его открытость новым решениям становятся ключевыми факторами, влияющими на конечный успех проекта. Однако общие тенденции и сложности в отношении модернизации с учетом технологических вызовов все же прослеживаются. Андрей Леушев выделяет общие проблемы модернизации фронт-офиса, характерные для внедрения как единого окна, так и платформы многоканальности. «К сожалению, у большинства наших партнеров переход на новую модель управления проектами и внедрение передовых технологий вызывают опасения. Как следствие, они не всегда готовы предложить нам инновационное решение, отвечающее новым стандартам управления и сегодняшним реалиям, – поясняет эксперт. – Также среди главных сложностей модернизации системы недостаточная вовлеченность представителей бизнес-заказчика, стереотипность бизнес-мышления и консервативный взгляд на целевую модель». Тем не менее, как полагают эксперты, данные трудности носят, скорее всего, временный характер. Компанииразработчики постоянно совершенствуют свои предложения, да и банки вряд ли смогут долго находиться в состоянии кризиса доверия. upgrade the best publications 2015

THE BEST UPGRADE 2015

№ 5 (133) MAY 2015

Комплексная защита самая надежная Количество хакерских атак на технические средства финансово-кредитных организаций увеличилось текст

Оксана Дяченко

В арсенале у современных преступников имеется огромное количество различных методов и способов хищения средств у банков и их клиентов. Беспокойство вызывает рост масштабов несанкционированных операций по банковским картам. Наряду с этим достаточно серьезно стоит проблема защиты банкоматов от действий злоумышленников. СТАТИСТИКА МОШЕННИЧЕСТВА Масштаб мошенничества с банковскими картами в России в прошлом году превысил 3,5 млрд рублей, при этом половину убытков удалось предотвратить. Такую статистику привел заместитель директора департамента национальной платежной системы Банка России Тимур Батырев, выступая на международной конференции «Банковские карты: практика и трансформация», которая прошла в Москве в 2015 году. «Изменились профили рисков, изменились модели угроз, которые присутствуют на этом рынке», – сообщил эксперт Цетробанка. В структуре мошеннических операций с банковскими картами, по словам Тимура Батырева, операции с использованием мобильных устройств и Интернета стали превалировать по сравнению с объемом операций с использованием банкоматов и платежных терминалов. «Мы по этому поводу выпустили соответствующие рекомендации», – сказал заместитель директора департамента национальной платежной системы ЦБ РФ. На фоне увеличения масштабов 16

upgrade the best publications 2015

мошенничества с банковскими картами глава департамента управления рисками Visa в России Олег Скородумов, выступая на той же международной конференции, сообщил о снижении уровня мошенничества по картам Visa. Представитель Visa в России рассказал о том, что уровень онлайн-мошенничества в российском сегменте Интернета по картам Visa, выпущенным в России, за последние четыре года снизился в четыре раза и продолжает снижаться. По словам эксперта, повышению надежности онлайн-транзакций по картам способствовало внедрение технологии Veriﬁed by Visa, позволяющей банку-эмитенту осуществлять дополнительную проверку держателя карты в момент проведения платежных операций. На сегодняшний день свыше 85% объема всех российских онлайнтранзакций по картам Visa, приходится на карты, защищенные с помощью этой технологии. Visa продолжает развивать решения и технологии, помогающие бороться с мошенническими действиями и защищать держателей карт, причем не только в виртуальном пространстве, подчеркнул Олег Скородумов (Visa в России). Так, Visa содействует внедрению в России современных платежных инструментов, в частности речь идет о популяризации чиповых карт. Благодаря совместным усилиям участников индустрии и регулятора доля транзакций с использованием чиповой технологии уже превысила 75% от всех внутрироссийских операций по картам Visa. В то же время среднемировой показатель доли чиповых карт, по данным EMVCo (организация, разрабатывающая стандарты карточных платежей), составляет около 30%. ЛОВИСЬ РЫБКА... В списке опасных угроз для банков и их клиентов уже который год числится фишинг – вид мошенничества, направленный на кражу данных поль-

зователя, включая данные его банковской карты. Используя методы социальной инженерии, преступники пытаются выяснить необходимую информацию, обзванивая клиентов банков, высылая СМС-сообщения или сообщения на адреса электронной почты. Все чаще встречаются случаи, когда мошенники создают фальшивые страницы финансово-кредитных организаций: проходя по ссылке, оставленной мошенниками, клиент может ничего не заподозрить и оставить на странице свои данные. Фишинговые web-сайты создаются с целью кражи логинов и паролей клиентов банков. Мошенники рассчитывают на то, что пользователь попадет на поддельный web-сайт через поисковую систему либо попадет на сайт, получив якобы от банка письмо, содержащее фишинговую ссылку. И хотя логина и пароля недостаточно для кражи денег со счета клиента банка, фишинговая атака может быть только начальным этапом операции злоумышленников, которые, добравшись до учетных данных пользователей интернет-банка, будут пытаться заполучить и их телефонные номера. Не так давно, банк «АК БАРС» оповестил своих клиентов о том, что в сети появился web-сайт, главная страница которого является точной копией сайта банка. Поддельный web-сайт являлся фишинговым, он был создан мошенниками для кражи логинов и паролей пользователей интернет-банка «АК БАРС». КОВАРНЫЕ ВИРУСЫ Вирусы, ориентированные на заражение банкоматов, известны в России уже несколько лет. Пожалуй, впервые широкому обсуждению подвергся обнаруженный в 2009 году Trojan.Skimer, воровавший данные карт с банкоматов. Было бы наивно полагать, что злоумышленники с тех пор оставили банкоматы в покое. Наоборот, кардеры и вирусописатели поддерживают тесные НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К И Й Ж У Р Н А Л

№ 5 (133) MAY 2015

деловые связи, поскольку первые покупают у вторых более усовершенствованные вредоносные программы. В конце 2013 года появились сообщения о том, что выявлен новый тип банковского вируса Trojan.Skimer.18, ориентированный в первую очередь на банкоматы, которые производятся одной из крупнейших мировых компаний в этой области. По данным специалистов из компании Dr.Web, данный тип вредоносного ПО был способен получать и передавать своему владельцу абсолютно всю информацию о банковских картах, которые обслуживает инфицированный банкомат. На тот момент существовало уже немало бэкдоров (от английского backdoor – черный вход, задняя дверь) аналогичных Trojan.Skimer.18, однако данная версия предназначалась именно для наиболее распространенных в России банкоматов. Эксперты описывали, что сам троян был создан в виде динамической библиотеки, которая после установки ожидает авторизации пользователя. Как только кто-то вставляет карточку, вирус сохраняет практически все важные данные о ней, такие как сервисный код, дата окончания действия срока и т.д. Кроме того, троян был способен скопировать PIN-код, это при том что несколько лет назад большинство банкоматов стали оснащать системами шифрования вводимого кода с регулярно обновляющимся ключом. Для того чтобы обойти эту защиту Trojan. Skimer.18 использовал ПО самого банкомата для расшифровки кода, после чего сохранял его. Как и в случаях с другими троянами, предназначенными для банкоматов, управление новым вирусом осуществлялось с помощью мастер-карты. Злоумышленник мог получить все сохраненные записи, удалить библиотеку трояна, обновить его версию и совершить другие необходимые ему действия. В 2015 году СМИ активно обсуждали другой серьезный компьютерный вредоносный код – Tyupkin, который атаковал банкоматы российских банков и вызвал серьезную обеспокоенность представителей органов внутренних дел. В МВД России отметили, что Tyupkin стал инновационным трендом в отечественном криминалитете. Известно о нескольких десятках ограблений банкоматов по Н А Ц И О НАЛЬНЫ Й БАНКОВСК ИЙ ЖУРНА Л

THE BEST UPGRADE 2015

одной и той же схеме, которую представители МВД описывают следующим образом. Одна группа преступников открывает сервисный блок банкомата и вводит программу, которая заражает компьютер вирусом Tyupkin. В зависимости от модели банкомата злоумышленники загружают вирус с компакт-диска или флешки в систему BIOS, закрывают банкомат и уходят. Кстати, добраться до системного блока несложно – достаточно открыть верхнюю крышку банкомата. С момента заражения вирусом, злоумышленники получают возможность управлять банкоматом. После того как банкоматное устройство наполнится деньгами другая группа воров активирует с клавиатуры самого банкомата доступ к сервисному меню и дает команду на выдачу всех купюр. Если обычно банкомат выдает до 40 купюр за один раз, то у зараженного устройства никаких ограничений не будет. Атакам обычно подвергаются широко распространенные банкоматы, работающие под управлением Microsoft Windows XP. Эксперты рассказывают, что вирус Tyupkin имеет несколько модификаций. Некоторые версии также занимаются скиммингом – считывают данные с магнитных полос пластиковых карт и запоминают PIN-коды, другие позволяют уничтожать следы Tyupkin и стирают видеозаписи. В отличие от случаев скимминга, когда потерпевшими становятся клиенты банков, в случае с вирусом Tyupkin пострадавшими выступают сами финансово-кредитные организации. РИСКИ ДБО И БАНКОВСКАЯ ПРАКТИКА Защита банкоматов и операций с пластиковыми картами – это важная часть общих защитных мер, которые необходимы при дистанционном банковском обслуживании. Как снизить риски ДБО? Этой проблемой постоянно озадачены банки. «Волшебной таблетки здесь не существует, необходим комплексный подход, – считает Артем Гонта (РОСГОССТРАХ БАНК). – Однако акцент нужно сделать на работе с людьми, на повышении уровня их знаний об актуальных угрозах информационной безопасности,

методах их реализации и способах противодействия им». РОСГОССТРАХ БАНК использует самый широкий спектр современных технических средств защиты, сотрудничает с ведущими российскими и зарубежными поставщиками решений и услуг в области безопасности, отмечает Артем Гонта. Егор Шишов (БАНК ИТБ), говоря о мерах по снижению рисков работы в ДБО, подчеркнул необходимость комплексного подхода к безопасности устройств, ПО, важность обучения администраторов и клиентов мерам безопасности. В БАНКе ИТБ уделяется серьезное внимание безопасности устройств ДБО, банкоматов и платежных терминалов, отмечает Егор Шишов. «Своевременно выполняются рекомендации поставщиков ПО, происходит обновление ПО, производится установка систем мониторинга и устройств, минимизирующих возможность мошенничества, осуществляется обучение персонала и клиентов банка». Для того чтобы меры по снижению рисков ДБО были действенными, они должны быть комплексными, они должны позволять на основе специальных алгоритмов вычислять мошеннические действия, блокировать или пресекать их, делая атаки невозможными, прокомментировали в департаменте электронного бизнеса Промсвязьбанка. При этом нельзя забывать о важности взаимодействия с клиентами в целях повышения их финансовой грамотности в плане обеспечения безопасности операций в Интернете, считают эксперты. В Промсязьбанке в целях обеспечения безопасности интернет-банкинга применяется два комплекса мер, направленных на предотвращение атак мошенников как на клиентскую сторону, так и на банковское ПО. Во-первых, это современная анти-фрод-система, которая существенным образом повышает безопасность счетов клиентов. Во-вторых, это постоянное обучение клиентов, что дает возможность последним самостоятельно пресекать мошеннические действия без участия банка. Для защиты банкоматов от мошеннических действий в Промсвязьбанке используют непосредственно физическую защиту самих устройств и программное обеспечение, которое исключает заражение вирусом программного обеспечения банкомата. upgrade the best publications 2015

THE BEST UPGRADE 2015

№ 6 (134) JUNE 2015

Стремление к качественному росту ДБО из дополнительного канала обслуживания становится основным текст

Оксана Дяченко

Российский рынок систем дистанционного банковского обслуживания, как для юридических, так и для физических лиц, демонстрирует уверенные темпы роста. Причем можно говорить не только об увеличении численного количества каналов ДБО, но и о качественном росте данного вида услуг. Эта тенденция особенно примечательна в условиях, когда банки по многим другим направлениям вынуждены сокращать свои расходы. КРИЗИС ДБО НЕ ПОМЕХА Согласно статистике, которую приводят эксперты, в России на сегодняшний день порядка 80 млн интернет-пользователей. Причем почти половина из них – около 40 млн человек – за последний год использовали интернет для того, чтобы совершить какую-либо покупку. Примерно 25 млн человек в течение последних двенадцати месяцев совершили онлайн-платежи. «Интернет становится повседневным и обыденным, люди оплачивают покупки и услуги в интернете: это все более и более удобно, экономит и силы, и время», – отмечает директор департамента розничного бизнеса РОСГОССТРАХ БАНКа Андрей Борискин. По словам Андрея Борискина, мобильный и онлайн-банкинг занял твер18

upgrade the best publications 2015

дое место в тройке наиболее популярных способов оплаты услуг и товаров в сети наравне с электронными деньгами. Цифровые технологии развиваются семимильными шагами, и сейчас мы наблюдаем, как ДБО из дополнительного канала обслуживания становится основным. Все больше клиентов банков признают плюсы дистанционного обслуживания: это экономия времени, энергии, сил и т.д., а банки, в свою очередь, в стремлении сокращать расходы активно работают над расширением функционала своих систем ДБО. Их цель – дать своим клиентам максимум возможностей в каналах ДБО. Поэтому в ближайшее время мы будем наблюдать бум развития дистанционного обслуживания, считает эксперт. НАВИГАЦИЯ ДОЛЖНА БЫТЬ УДОБНОЙ Среди наиболее частых проблем, с которыми могут столкнуться пользователи систем ДБО и над которыми банкам нужно работать – неудобство навигации, отсутствие или неудобное расположение подсказок об ошибках и неправильное построение ввода данных, считает Андрей Борискин (РОСГОССТРАХ БАНК). «Навигация не всегда бывает идеальной, – рассказывает эксперт. – Могут быть непонятные и нелогичные структуры разделов, «дерево» навигации может быть или узким, или чрезмерно большим. При обнаружении подобных проблем банк может использовать функцию карточной сортировки, которая позволяет пользователю классифицировать группировку наиболее часто используемых опций самостоятельно». И далее, используя накопления статистики (куда и по какому маршруту меню ходят пользователи), можно предложить клиенту удобный подход в построении меню. Банк заинтересован в том, чтобы минимизировать ошибки, которые пользователь совершает по невнимательности

в секторе ввода данных. Финансово-кредитная организация должна стремиться избавить клиента от неудобных элементов управления, группировки длинных цепочек счетов должны быть разбиты на цифровые ряды в 4-5 знаков. Также важно в сообщении об ошибках не использовать специальную банковскую терминологию, отмечает директор департамента розничного бизнеса РОСГОССТРАХ БАНКа Андрей Борискин. БАНКОВСКАЯ ПРАКТИКА Банки постоянно стремятся совершенствовать ДБО, предлагая новые услуги и сервисы. Так, РОСГОССТРАХ БАНК запустил бесплатное приложение «Мобильный банк» для смартфонов и планшетов на платформах iOS и Android. Приложение позволяет осуществлять практически полный спектр банковских операций: оплачивать услуги, осуществлять переводы между своими счетами и картами, совершать переводы на карты клиентов РОСГОССТРАХ БАНКа, формировать выписки по счетам, просматривать графики платежей по кредитам, управлять картами и вкладами, покупать и продавать валюту, работать с обезличенными металлическими счетами. В то же время в РОСГОССТРАХ БАНКе была введена в действие новая услуга для юридических лиц и индивидуальных предпринимателей – онлайнрезервирование расчетного счета. Новая услуга пользуется большой популярностью и позволяет подать заявку на резервирование номера расчетного счета с реквизитами банка без предъявления документов и посещения офиса банка, достаточно зайти на сайт финансовокредитной организации. Зарезервированный номер счета клиент сможет передавать контрагентам и указывать в документах, например, в договорах с контрагентами, для участия в тендере и т.д. Счет резервируется на 30 календарных дней. НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К И Й Ж У Р Н А Л

№ 6 (134) JUNE 2015

THE BEST UPGRADE 2015

Драйвер развития банка ИТ-стратегия отвечает на вопрос, как решать бизнес-задачи. От ее продуманности зависит, насколько успешной окажется кредитная организация текст

Оксана Дяченко

На банковском рынке складывается ситуация, когда ресурсов становится меньше, а требования к качеству работы ИТ-департамента возрастают. Безусловно, это требует оптимизации расходов и существенного повышения эффективности работы банковских ИТ-служб. Немаловажным фактором здесь становится выработка правильной и своевременной ИТ-стратегии, которая отражала бы реальные потребности банка. БИЗНЕС ЧЕРЕЗ ТЕХНОЛОГИИ Существует прямая связь между стратегией банка и ИТ-стратегией. Последняя базируется на структуре и главных задачах бизнес-стратегии, и ИТ-проекты отражают основные направления бизнес-стратегии финансово-кредитной организации. ИТ-стратегия является ответом на вопрос, как решать бизнес-задачи и достигать целей бизнеса с помощью технологий. С учетом этого, она не может идти вразрез со стратегией бизнеса. Руководитель группы системного администрирования банка «ДельтаКредит» Андрей Столяров считает, что Н А Ц И О НАЛЬНЫ Й БАНКОВСК ИЙ ЖУРНА Л

в большинстве своем ИТ-стратегия отражает бизнес-задачи. «Технологичность является только следствием и средством достижения целей, – подчеркивает эксперт. – Как ни странно, при разработке стратегии бизнес оказал немалое влияние непосредственно на технологичность». Директор департамента информационных технологий банка «Международный финансовый клуб» Владимир Бескровный солидарен со своими коллегами в том, что стратегия, безусловно, отражает в первую очередь цели бизнеса. «Сугубо технологические задачи являются преломлением бизнес-задач и рисков». ЛОКОМОТИВНАЯ РОЛЬ ИТ В идеале ИТ-службы банков стремятся к тому, чтобы информационные технологии стали движущей силой того или иного направления бизнеса на длительный срок, но никак не тормозом или источником рисков для финансово-кредитной организации. В финансово-кредитных организациях информационные технологии традиционно оказывают ключевое влияние на бизнес, поэтому ситуации, когда ИТ становятся катализатором или тормозом бизнес-процессов встречаются довольно часто, уверен Андрей Столяров (ДельтаКредит). Среди причин, тормозящих развитие бизнеса по вине ИТ, эксперт банка «ДельтаКредит», называет следующие. Во-первых, низкий уровень технологичности ИТ.

Во-вторых, малый уровень зрелости бизнеса. «Если бизнес банка считает ИТ поглотителем времени и бюджета, то прохладные отношения между ними не дадут выработать полезные решения», – предупреждает специалист. Третий фактор, способный осложнить жизнь, – низкий уровень зрелости ИТ и неквалифицированный персонал. Владимир Бескровный (Международный финансовый клуб) уверен, что информационные технологии не только могут, но и становятся драйвером развития бизнеса. ИТ ДОЛЖНЫ БЫТЬ ПОДВИЖНЫМИ Логично предположить, что в процессе планирования ИТ-стратегии может возникать некая неопределенность, например, в какие сроки будет выполнен тот или иной проект. Здесь важно выдерживать четкую координацию между бизнесом и ИТ, не разрывая взаимообусловленные процессы. По мнению Владимира Бескровного (Международный финансовый клуб), существуют различные способы преодоления неопределенности в процессе планирования ИТ-стратегии. К таким способам можно отнести использование agile-методик ведения проектов и разработок в области ИТ. Гибкая методология разработки (англ. agile software development) – это концептуальный подход, в рамках которого выполняется разработка программного обеспечения. Существует несколько подобных методик. Каждый банк разрабатывает ИТстратегию исходя из собственных целей и поставленных задач. В текущей экономической реальности одни финансово-кредитные организации продолжают воплощать в жизнь действующую стратегию, другие меняют ее или корректируют. upgrade the best publications 2015

THE BEST UPGRADE 2015

№ 7 (135) JULY 2015

Миссия выполнима Н. ТЕРЕНТЬЕВА: «Решение задачи по наведению мостика между программным обеспечением банка и ПО любого сервиса СМЭВ достаточно простое» беседовала

Анна Кислицына

NBJ: Наталья Григорьевна, насколько эффективно происходит обмен данными у Прио-Внешторгбанка через систему межведомственного электронного взаимодействия? Н. ТЕРЕНТЬЕВА: В настоящий момент проблем нет. Мы ожидаем внедрения нового формата обмена данными 1.16.0 с ГИС ГМП. NBJ: Необходимость предоставлять государственным органам сведения о платежах, которые совершают граждане, привела к тому, что банки начали активно подключаться к системе. Как быстро это подключение происходило у ПриоВнешторгбанка? Какие проблемы при этом возникали?

Статья 21.3 Федерального закона № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг» обязала кредитные организации направлять информацию о платежах в систему межведомственного электронного взаимодействия. Заместитель председателя правления рязанского Прио-Внешторгбанка Наталья ТЕРЕНТЬЕВА поделилась информацией о том, как складывается электронное взаимодействие финансовой организации с органами государственной власти. 20

upgrade the best publications 2015

Н. ТЕРЕНТЬЕВА: Для исполнения требований о подключении финансовых организаций к ГИС ГМП нашим банком рассматривались предложения по программным продуктам, существующим тогда на рынке. На том этапе их качество и функционал не совсем удовлетворяли нашим потребностям, по этой причине была начата разработка собственного решения. Проблемы, с которыми мы столкнулись, — отсутствие четкой схемы взаимодействия и внятных правил для участников при подключении, длительный период обработки заявок с вопросами и обозначенными проблемами, из-за чего, собственно, процесс внедрения в нашем банке занял более полугода.

NBJ: Как Вы оцениваете идею запроса сведений о кредитоспособности физических лиц у Пенсионного фонда России, предложенную Минкомсвязью? Н. ТЕРЕНТЬЕВА: Предоставление банкам возможности получать аккредитацию удостоверяющего центра для регистрации физических лиц на портале госуслуг – очень хорошая идея. Кредитные организации смогут в режиме реального времени предлагать клиентам (потенциальным заемщикам) сервис по получению сведений о пенсионных накоплениях. Данная информация будет поступать в банк, который сможет оценивать кредитоспособность физлица. Надеюсь, услуга позволит финансовым организациям улучшить качество кредитного портфеля, а заемщикам – сократить время на подготовку пакета документов для получения кредита. NBJ: Некоторые эксперты ставят под сомнение жизнеспособность сервиса Единой системы идентификации и аутентификации. Вы разделяете их мнение? Н. ТЕРЕНТЬЕВА: Использование банками данного сервиса на сегодня несколько ограничено законодательством, но все же, думаю, он будет востребован при оказании отдельных видов услуг. NBJ: Какие проблемы могут возникнуть у банков при новом порядке ведения ГИС ГМП? НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К И Й Ж У Р Н А Л

№ 7 (135) JULY 2015

Н. ТЕРЕНТЬЕВА: Если речь идет о новом формате обмена 1.16.0 с ГИС ГМП, то, возможно, увеличится время ожидания кредитными организациями ответа ГИС ГМП из-за повторного запроса о статусе отправленной информации. Наш банк прошел тестирование по использованию нового формата и получил подтверждение об успешном его прохождении. NBJ: Какие сервисы СМЭВ, на Ваш взгляд, нуждаются в доработке? Н. ТЕРЕНТЬЕВА: Самая большая проблема на сегодня связана с сервисом Федеральной службы судебных приставов по обработке постановлений об обращении взысканий, арестах и пр. От разработчиков и поставщиков программного обеспечения для ФССП требуется размещение и поддержание на официальном сайте службы актуальной информации по документации, которая регламентирует обработку постановлений, полученных банками по каналу СМЭВ. Кроме того, разработчики должны поддерживать версионность изменений и указывать сроки подготовки своих сервисов. ФССП необходимо провести анализ соглашения о порядке электронного документооборота между службой и кредитными организациями в части соблюдения процедуры списания денежных средств в предусмотренной законом очередности, внести соответствующие изменения в документы для доработки программного обеспечения. ГИС ГМП на сегодня не обеспечивает универсального идентификатора, это неудобно для физических лиц – клиентов кредитной организации, кроме того, из-за его отсутствия возникает необходимость искать начисления по разным идентификаторам. ФНС вообще не предоставляет информацию о налоговых начислениях в ГИС ГМП до их перехода в разряд задолженности, из-за чего накапливаются пени. Это как минимум неправильно. Выходит, что почтовая рассылка уведомлений о налоговых начислениях физлицам простыми письмами возН А Ц И О НАЛЬНЫ Й БАНКОВСК ИЙ ЖУРНА Л

THE BEST UPGRADE 2015

можна, а в ГИС ГМП – нет. При этом в первом случае требования законодательства якобы соблюдаются. NBJ: Какая информация, предоставляемая СМЭВ, и от каких ведомств востребована Прио-Внешторгбанком в первую очередь? Н. ТЕРЕНТЬЕВА: От ФНС – по налоговым начислениям для удобства налогоплательщиков – физических лиц. Информация от ФССП необходима для автоматизации и, как следствие, для снижения издержек по выполнению банками требований законодательства, не связанных с коммерческой деятельностью. ФМС, ГИБДД, Росреестр и другие ведомства предоставляют информацию о суммах и реквизитах государственных пошлин (по запросу к системе со стороны пользователей банковскими интерфейсами), тем более что на сегодня данная информация актуальна на официальных сайтах каждого ведомства. NBJ: На круглом столе NBJ Вы говорили о том, что Прио-Внешторгбанк обменивается информацией с территориальным управлением ФМС России. Расскажите, пожалуйста, как Вам удалось наладить подобное взаимодействие? Н. ТЕРЕНТЬЕВА: В базе данных ФМС довольно много ошибок о недействительности паспортов, сайт службы предоставляет сервис, через который можно сообщить ведомству об ошибке. Нам нужно было договориться с ФМС о том, что все уведомления будут приходить с одного электронного адреса нашего банка. NBJ: Готов ли Прио-Внешторгбанк к тому, что со временем у граждан появятся так называемые электронные паспорта? Н. ТЕРЕНТЬЕВА: Мы готовы к любым новым технологичным решениям, которые помогут предоставлять клиентам качественные услуги в минимально короткие сроки.

NBJ: Как Вы думаете, какие решения, в том числе и ИТ, могли бы дать банкам необходимую устойчивость в настоящее время? Н. ТЕРЕНТЬЕВА: Наверное, финансовую устойчивость банку может дать только взвешенная политика размещения ресурсов, а вот новые возможности не только кредитным организациям, но и системе безналичных расчетов в целом может предоставить национальная система платежных карт и возможность банков быть ее участниками. Это позволит в разы снизить комиссии, которые уплачиваются торгово-сервисными предприятиями за безналичные расчеты (эквайринг). Например, в настоящее время инкассация торговосервисных предприятий (ТСП) стоит десятые доли процента, а расчеты по эквайрингу – на порядок больше. NBJ: По словам экспертов, все большую популярность приобретают ИТ-услуги и сервисы – эпоха коробочных продуктов, по их мнению, остается позади. Вы готовы подтвердить существование данного тренда? Н. ТЕРЕНТЬЕВА: Да, такая тенденция существует. Банкам необходимо совершенствовать свои продукты и разрабатывать нестандартные решения с учетом высокой конкуренции на рынке банковских услуг и возрастающих потребностей клиентов. NBJ: Приведите, пожалуйста, пример ИТ-проекта Прио-Внешторгбанка, который окупился в сжатые сроки. Н. ТЕРЕНТЬЕВА: У нас много ИТ-решений, которые быстро окупились: например, подключение к ГИС ГМП, обмен данными с ФНС, реализация документооборота в части запросов ФССП. В принципе, само решение задачи по наведению мостика между программным обеспечением банка и ПО любого сервиса СМЭВ достаточно простое. Главное, что необходимо от разработчиков этих сервисов, – четко сформулированные требования к форматам обмена данными. upgrade the best publications 2015

THE BEST UPGRADE 2015

№ 8 (136) AUGUST 2015

Цифровые технологии меняют банковскую реальность Общение банка и клиента в несколько касаний пальцев текст

Оксана Дяченко

ные отделения, которые спроектированы совершенно иначе, чем традиционные офисы. В таких отделениях присутствует большое количество различных устройств самообслуживания – от классических банкоматов до многофункциональных мультитачтерминалов. Отделение делится на несколько зон. С одной стороны, это уютные зоны работы с консультантами, оборудованные мультитачсто-лами, большими мониторами, средствами бесконтактной аутентификации и электронной подписи. С другой стороны, это зоны самообслуживания для более долгих операций, зоны самостоятельного изучения продуктов и услуг, оснащенные интерактивными панелями. ТЕХНОЛОГИИ ИНТЕРНЕТ-БАНКА

Говоря о банке будущего, мы нередко представляем некую виртуальную организацию, которая способна постоянно быть рядом с клиентом и удовлетворять все возникающие у него потребности в финансовых услугах, причем оперативно и результативно. Банк будущего невозможен без высоких технологий. Мы уже сейчас видим, что информационные технологии очень сильно влияют на все аспекты банковской жизни. Некоторые эксперты заявляют о том, что банки превращаются в ИТкомпании с банковской лицензией. В нашей стране, как и по всему миру, технологии становятся решающим фактором для привлечения клиентов. Уже сейчас посредством любого технического устройства – компьютера, планше22

upgrade the best publications 2015

та, мобильного телефона и т.д. есть возможность удовлетворять все возникающие потребности клиентов банков быстро, эффективно и в круглосуточном режиме. Неслучайно любое описание банка будущего не обходится без таких понятий, как интернет-банк и мобильный банкинг. Конечно, банки вряд ли откажутся от филиалов и отделений, но свои сети они будут либо сокращать, либо поддерживать в нынешнем состоянии, не увеличивая количество точек продаж. Оставшиеся офисы, вероятно, будут еще более ориентированы на самообслуживание, на удобные и быстрые процессы совершения операций, возможно, в них будут продаваться наиболее сложные банковские продукты. Интересно, что в Европе и США начали открываться эксперименталь-

Информационные технологии будут играть главную роль в банке будущего. Например, технологии интернет-банка уже изменили банковскую реальность и стали мощным фактором не только привлечения, но и удержания клиентов. Технологически образованные и ценящие свое время клиенты больше не хотят обращаться в банковские отделения за стандартными операциями и предпочитают совершать все самостоятельно через интернет-банк в удобное для них время и фактически в любом месте. Конечно, следует сделать оговорку, что данная тенденция характерна для крупных городов нашей страны. В системе интернет-банкинга очень хорошо развиты платежные функции, включая мгновенные платежи. По прогнозам банковских экспертов, прирост НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К И Й Ж У Р Н А Л

№ 8 (136) AUGUST 2015

активной аудитории в интернет-банке составит около 40-50% в год. «Интернет становится повседневным и обыденным, люди оплачивают покупки и услуги в интернете: это все более и более удобно, экономит и силы, и время», – отмечает директор департамента розничного бизнеса РОСГОССТРАХ БАНКа Андрей Борискин. В настоящее время посредством интернет-сервисов оплачивается уже большая доля коммунальных платежей, платежей за телефон, интернет, телевидение и т.д. Цифровые технологии развиваются стремительными темпами, и сейчас мы наблюдаем, как ДБО из дополнительного канала обслуживания становится основным. Все больше клиентов банков признают положительные стороны дистанционного обслуживания: это экономит время, энергию, силы и т.д. А банки, стремясь сократить расходы, активно работают над расширением функционала своих систем ДБО. По мнению экспертов, в будущем продолжится качественный и количественный рост интернет-банкинга. Качественный рост будет заключаться в том, что все больше банков будут внедрять новые сервисы и дорабатывать существующие системы, чтобы предложить клиентам полноценный, удобный и безопасный способ управления своим счетом через интернет. Говоря о качестве электронного банкинга, нельзя забывать и о тарифах. Некоторые банки полностью перешли на бесплатное обслуживание. Бесплатное подключение, бесплатные денежные переводы – все это существенно повышает лояльность клиента и стимулирует его пользоваться банковскими сервисами. Количественный рост будет выражаться в увеличении числа клиентов, которые активнее станут пользоваться подобными сервисами. Можно представить, что интернетбанк будущего – это некий единый сайт для управления, планирования и сохранения всех семейных финансов, включая оплату всевозможных услуг. Интернет-банкинг должен не просто давать возможность проводить операции, а стать помощником в управлении финансами клиента. Н А Ц И О НАЛЬНЫ Й БАНКОВСК ИЙ ЖУРНА Л

THE BEST UPGRADE 2015

МОБИЛЬНЫЙ БАНКИНГ По мнению ряда экспертов, очень быстрыми темпами будет развиваться мобильный банкинг, в рамках которого более тесным станет сотрудничество банков с телекоммуникационными компаниями. Все крупные банки, ориентированные на активное развитие розницы, предлагают своим клиентам воспользоваться преимуществами мобильного банкинга. При этом мобильный банк сегодня рассматривается не только как сервисная составляющая продукта, с помощью которой можно посмотреть остатки на счете или заплатить за какието услуги, но и как мобильное отделение банка «в кармане». Конечно, число предоставляемых банковских услуг через мобильные приложения находится на достаточном уровне только у лидеров данного сегмента рынка. В той или иной степени в них есть весь основной функционал для клиента по управлению счетами, картами, подключению дополнительных сервисов, подаче заявок на кредит и т.д. Учитывая правильное позиционирование, должную степень безопасности, грамотный дизайн, привлекательность использования таких приложений должна только возрастать. И банки действительно стараются совершенствовать свои мобильные приложения. Например, с 1 июня 2015 года клиентам Альфа-Банка доступна новая версия мобильного банка «Альфа-Мобайл». Для комфорта пользователей был изменен дизайн приложения и введены новые современные функции. В частности, появилась возможность входа в мобильный банк по отпечатку пальца – это более удобный и безопас-ный способ авторизации клиента в системе. Чтобы выполнить платеж по шаблону, теперь достаточно одного «смахивания». Еще одна новинка – в разделе «карты», где теперь каждая карта отличается по дизайну, чтобы их было легче находить в списке. «Новый дизайн нашего мобильного банка отвечает духу времени и пожеланиям пользователей, которые присылают нам свои отзывы. Это важ-

ный шаг в череде улучшений в «Альфа-Мобайле», но уже сейчас мы работаем над новыми изменениями. Потому что динамичный образ жизни наших клиентов требует отличного мобильного банковского сервиса», – говорит начальник управления развития мобильных сервисов Альфа-Банка Андрей Алексахин. Растет число пользователей мобильных устройств с доступом в интернет. Уже сейчас мы наблюдаем увеличение интернет активности с мобильных устройств. Посмотреть свою страничку в Facebook, написать заметку в Twitter можно уже без помощи компьютера. Специалисты считают, что мобильный банкинг будущего станет легким и доступным, он позволит выполнять любые операции в один-два клика, обеспечит полный контроль над счетами и платежными картами. В нем будут использоваться все последние достижения технической мысли для решения насущных задач клиентов финансово-кредитных организаций. БУДУЩЕЕ ЗА ЭЛЕКТРОННЫМ БАНКИНГОМ Эксперты единодушны в своем мнении: развитие ДБО – крайне перспективное направление, именно оно будет определять облик банка будущего. Технологии в сфере дистанционных услуг развиваются очень быстро, и общий рынок финансовых услуг движется именно в сторону online. Происходит это благодаря очевидным преимуществам ДБО. Во-первых, сокращаются расходы на открытие и обслуживание отделений и офисов. Во-вторых, появляется возможность охватить клиентов не только в точках присутствия финансово-кредитной организации, но и по всей стране. В-третьих, возникает такое преимущество, как недорогая и качественная круглосуточная поддержка клиентов семь дней в неделю в любой точке мира. Наконец, удаленное обслуживание гораздо эффективнее по сравнению с традиционным в офисе банка, так как ни один банк не в состоя-нии вместить в своих офисах десятки тысяч клиентов. upgrade the best publications 2015

THE BEST UPGRADE 2015

№ 8 (136) AUGUST 2015

«Золотая середина» в вопросе обеспечения ИБ В. ОКУЛЕССКИЙ: «Мы понимаем, что для борьбы с хакерскими атаками, как и для обеспечения информационной защиты финансово-кредитной организации и ее клиентов, необходим комплексный подход»

беседовал

Иван Скогорев

Информационная безопасность российских банков – особо актуальный вопрос именно сейчас, когда, с одной стороны, финансово-кредитным организациям приходится сокращать свои расходы (и, соответственно, финансирование многих проектов), а с другой – атаки злоумышленников становятся все более целенаправленными и изощренными. О том, как Банк Москвы находит для себя «золотую середину» в деле обеспечения защиты своих информационных систем и своих клиентов, рассказал в интервью NBJ начальник управления информационной безопасности ОАО «Банк Москвы» Василий ОКУЛЕССКИЙ. NBJ: Василий Андреевич, как Вы оцениваете ситуацию с информационной безопасностью в банковских организациях? Как бы Вы определили основные тенденции и факторы, влияющие на ее состояние? В. ОКУЛЕССКИЙ: На самом деле ситуация очень серьезная, поскольку, как ни крути, а кризис резко снизил объемы финансирования любых проектов. Поэтому реагировать на новые угрозы приходится в рамках тех ресурсов, которыми мы располагаем. Проблема совсем не простая, и решать ее приходится на каждом рабочем месте по-своему. Вторая особенность состоит в том, что резко изменился характер угроз, причем в двух направлениях. Первое из них – 24

upgrade the best publications 2015

НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К И Й Ж У Р Н А Л

№ 8 (136) AUGUST 2015

изменился вектор атак. Хакеры и злоумышленники переключились с клиентов банков на сами финансово-кредитные организации. Произошло своего рода развитие по спирали. Мы вернулись в 2008–2009 годы, когда тоже на рынке была кризисная ситуация, и наблюдалось такое же переключение с клиентов на банки. В то же время есть и различие: из-за возросшей защищенности банков стоимость атаки возросла, но и возрос практический «выход» атаки в случае ее успеха. Что касается клиентов, то их стали не то чтобы меньше атаковать, но атаки, направленные против них, реже стали удаваться, поскольку клиенты стали более грамотными. Плюс к тому банки предлагают пользователям своих услуг более совершенные, более профессиональные средства защиты. То есть господствующую на рынке тенденцию можно сформулировать следующим образом: общий уровень реализованного мошенничества снизился, а общее число атак возросло. Еще одно направление, которое сильно стало проявляться в последнее время, – внутреннее мошенничество, например, в рамках организации кредитного процесса, фиксируются попытки сотрудников банков в случае увольнения уносить с собой чувствительную информацию для банков: клиентские базы, если речь идет о сотрудниках фронт-офисов, внутреннюю нормативную информацию, если речь идет о сотрудниках миддл-офиса, менеджеры старшего звена – планы стратегического развития и т.д. NBJ: Разве это не является нарушением условий трудовых договоров и корпоративной этики? В. ОКУЛЕССКИЙ: Конечно, является. Естественно, подобные попытки надо выявлять, их надо пресекать, с ними надо бороться. Но тут есть нюанс. Одно дело, когда мы защищаемся от вещей, которые нам понятны и которым можно противодействовать с помощью технических средств. И совсем другое дело, когда речь идет о внутренних мошенничествах, которые зачастую предпоН А Ц И О НАЛЬНЫ Й БАНКОВСК ИЙ ЖУРНА Л

THE BEST UPGRADE 2015

лагают сговор между сотрудниками. Тут необходимо постоянно отслеживать ситуацию, выявлять, если не прямые улики, то косвенные признаки, по которым можно было бы судить, что имел место тот или иной инцидент. Если характеризовать картину в целом в информационной безопасности, то ситуация, конечно, стала более серьезной. NBJ: Но не все же попытки внутреннего мошенничества, наверное, удается предотвращать. Что делать, если информация все же вышла за пределы банка – она становится безвозвратно утерянной? В. ОКУЛЕССКИЙ: Безвозвратно, конечно, нет, поскольку речь идет о копировании информации. Другое дело, что ее хранение можно организовать таким образом, что вынос части информации не будет представлять собой ценности для злоумышленника. Это, безусловно, вопрос, находящийся на стыке и безопасности, и организации бизнес-процессов, и ИТ-процессов. NBJ: Странно, конечно, что в банках, где вопросам проверки персонала, контроля за его деятельностью, традиционно уделяют повышенное внимание, такое все же возможно. В. ОКУЛЕССКИЙ: Ничего не поделаешь. Воруют всегда, воруют везде, бояться этого – все равно, что бояться плохой погоды. От дождя надо иметь зонтик, от попыток внутреннего мошенничества и воровства информации – систему безопасности, которая построена на осознании того факта, что воровство неизбежно. Нужно использовать дискретную систему хранения и организации доступа к информации, различные способы контроля каналов утечек, в том числе внешних каналов и т.д. И тогда вполне достижимой целью будет снижение уровня подобного риска. NBJ: В рамках различных конференций и круглых столов, посвященных теме обеспечения информационной безопасности в банках, почти всегда обсуждается вопрос, каким образом противостояние

России и Запада повлияло на ситуацию в сфере банковской ИБ. Как бы Вы на него ответили? В. ОКУЛЕССКИЙ: Естественно, геополитическое противостояние оказало и продолжает оказывать влияние на деятельность банков. Особенно это заметно в тех направлениях, где использовались программные продукты крупных вендоров, в первую очередь американских. Когда были введены санкции, у некоторых банков начались проблемы с продлением лицензий, с организацией технической поддержки, с закупкой новых решений. И стало ясно, что от таких решений надо отказываться в пользу разработок тех производителей, которые не придерживаются режима санкций. NBJ: То есть в пользу отечественных разработок в сфере ИБ или, например, в пользу аналогичных продуктов, производимых компаниями из стран БРИКС и ШОС? В. ОКУЛЕССКИЙ: Скажем так, у нас на рынке достаточно наших российских компаний, которые разрабатывают и предлагают банкам очень даже неплохие продукты в сфере информационных технологий. С другой стороны, у наших разработчиков есть серьезный системный недостаток, который можно сформулировать одним словом – масштаби-руемость. Они могут хорошо работать на 100-200 станциях, но опыта работы на 1000-100 000 станций у многих из них просто нет. Поэтому, когда мы берем российские решения, даже очень хорошо «заточенные», то перед нами сразу же возникает проблема их тестируемости на масштабах. Это очень серьезная проблема. По функциональности, по «заточенности» под наш менталитет и под наше законодательство, конечно, российские решения намного опережают западные аналоги. А вот по такому критерию, как устойчивость работы на больших объемах, нам есть куда стремиться. Но, с другой стороны, тут всегда надо учитывать и плюсы. Перехоupgrade the best publications 2015

THE BEST UPGRADE 2015

дя на решения наших вендоров, мы, во-первых, поддерживаем отечественных производителей. Во-вторых, общение с «нашими» всегда оказывается более продуктивным – я могу связаться с разработчиками в течение 20 минут, и через пару часов они будут сидеть у нас в банке и делать то, о чем я их попрошу. С «западниками» все намного сложнее: я, скорее всего, получу максимум «вторую линию поддержки», и ждать мне ее придется три-четыре часа, да еще и не факт, что она будет на русском языке и в том объеме, в котором мне необходимо. NBJ: Многие решения, независимо от того, произведены ли они нашими разработчиками или зарубежными, являются коробочными, стандартными. Возможно, все же предпочтительнее такая альтернатива, как самостоятельное создание банками решений, в том числе и в сфере информационной безопасности? В. ОКУЛЕССКИЙ: Понимаете, даже самый коробочный продукт после его установки в банке через какое-то время становится уникальным, поскольку он, что называется, дорабатывается в процессе эксплуатации. А раз он уникален, то уровень его защищенности существенно более высок, чем уровень защищенности коробочного продукта. Конечно, при одном условии – правильной кастомизации решения. NBJ: Если вернуться к хакерам, то часто можно прочитать, что они очень активно действуют в странах Юго-Восточной Азии. Насколько справедливо это наблюдение? В. ОКУЛЕССКИЙ: Знаете, Индия и Китай активно используют опыт российских хакеров и скорее копируют что-то у нас, а не мы у них. То есть не мы у них учимся, а они у нас. Для того, чтобы убедиться в этом, достаточно посмотреть статистику хакерских атак. Очень многие из них действительно идут со стороны Индии и со стороны Китая, но там используются в большинстве случаев наши модифицированные методы. NBJ: А что касается атак со стороны США и стран ЕС? 26

upgrade the best publications 2015

№ 8 (136) AUGUST 2015

В. ОКУЛЕССКИЙ: Мы регулярно проводим анализ атак и по географическому критерию. В основном все же речь идет о хакерах, работающих преимущественно с ip-адресов территорий Китая, Эстонии, Украины и США, в меньшей степени – Турции. При этом каждая из атак имеет собственную структуру. NBJ: Какие методы в основном используют хакеры и злоумышленники с технической точки зрения? Как они чаще всего пытаются взломать банковские системы, и появились ли новые разновидности атак? В. ОКУЛЕССКИЙ: Методы всегда очень разные, сильно зависят от направления и цели атаки. Для атак на банки очень распространенный вариант – рассылка по электронной почте зараженных писем. Бывают дни, когда до десятков тысяч писем, содержащих зараженный контент, падает в фильтрационные системы. Конечно, это создает определенную напряженность и поддерживает нас в постоянном тонусе, но, с другой стороны, тут есть и позитивный момент. Это позволяет нашему управлению мотивировать свой бюджет. Сейчас появилось новое направление – атака с помощью мобильного устройства. Если я начинаю запрашивать с мобильника какой-то веб-ресурс, то он «откликается», а если я направляю этот запрос с миллиона телефонных аппаратов, то речь уже следует вести о DDoS-атаке. Заражаются мобильники, смартфоны, планшеты, в основном «андроиды», значительно меньше – телефоны, работающие на системе Windows. Как социальное явление подобные атаки появились осенью 2014 года. Технически, конечно, они были разработаны немного раньше. Кроме того, появились DDoS-атаки, которые даже не задействуют крупные бот-сети, а используют некоторые технические особенности обработки серверами запросов на доступ к информации, хранящейся на сервере. NBJ: Какие банковские системы, по Вашему опыту, наиболее часто становятся целью атак?

В. ОКУЛЕССКИЙ: С точки зрения производителя системы естественно, что злоумышленников интересуют прежде всего системы, имеющие наибольшее распространение. Это логично – чем больше система, тем более она типизирована, соответственно, тем доступнее ее изучить, и на основе ее изучения построить атаку. И второй момент – чем больше сеть, тем больше в ней участников, и тем больше денег, следовательно, можно украсть, проникнув в нее. Если даже с каждого участника взять, что называется, по копеечке, и, если речь идет о крупной сети, то вы можете легко подсчитать, какой объем средств может быть похищен злоумышленником в случае успеха атаки. NBJ: А маленькая сеть? В. ОКУЛЕССКИЙ: А с маленькими все гораздо сложнее. Атаки на них быстрее выявляются именно в силу того, что участников в ней немного. С точки зрения назначения системы, основной «реципиент» хакерских атак – системы дистанционного доступа (интернет-банк, банкоматы). И, как я уже говорил, появился новый вид атак – на сами банки. Конечно, они более привлекательны для злоумышленников. Тут в одно касание, атаковав корсчет банка, можно сорвать куш в десятки и сотни миллионов долларов. Мошенники совершенствуются: они изменяют средства атаки, методы атаки, распределение обязанностей внутри участников своих групп. Уже нет гениальных хакеров-одиночек, которые делают все своими руками. Речь идет о преступных организациях, имеющих свои закрытые сети для обмена информацией, знакомства друг с другом, обсуждения готовящихся атак и т.д. Это тем более серьезная и тревожная тенденция, потому что складывается очень непростая ситуация. По отдельности участники такой группы вроде бы ничего противозаконного не совершают. А на «выходе» мы сталкиваемся с преступлением – со списанием средств, с их обналичиванием и с распределением украденных средств среди участников такой группы. НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К И Й Ж У Р Н А Л

№ 8 (136) AUGUST 2015

NBJ: Их трудно вычислить? В. ОКУЛЕССКИЙ: С этим как раз проблем нет. Вычислить относительно несложно – сложно доказать, что они совершили преступление. Если верить Илье Сачкову, директору Group-IB, то он чуть ли не всех мошенников, действующих на нашей территории, знает в лицо. Но вот собрать против каждого из них доказательную базу – это, мягко говоря, непросто. Приведу простой пример: я с помощью компьютера или мобильного устройства захожу в интерфейс какогото клиента. Это же совершенно не означает, что я зашел на его компьютер и начал с него что-то делать. Тут надо доказать, что у меня наличествовал злой умысел, что я получил неправомерный доступ, модифицировал его программы. Пока все это не доказано. NBJ: Говорят, что многие хакерские атаки на первых этапах очень трудно заметить даже опытным специалистам. Так ли это? В. ОКУЛЕССКИЙ: Знаете, правильно построенная хакерская атака как раз и работает так, что ее практически невозможно заметить. Ведь цель ее в том, чтобы злоумышленник мог проникнуть в систему и как можно дольше остаться незамеченным. Та же компания «Лаборатория Касперского» свидетельствует в своем отчете, что ее специалистам удалось выявить специальные сети, работавшие до этого в некоторых крупных компаниях на протяжении нескольких лет. NBJ: Но в любом случае речь всегда идет о финансовом ущербе для атакуемой компании? В. ОКУЛЕССКИЙ: Необязательно. Все зависит от того, какую цель ставит перед собой организатор атаки. Он может стремиться к тому, чтобы похитить деньги, а может – к тому, чтобы нанести организации репутационные или юридические потери. Но тут следует сразу отдавать себе отчет, что в любом случае определенный ущерб вы, как компания, подвергшаяся атаке, понесете – вам придется отвлеН А Ц И О НАЛЬНЫ Й БАНКОВСК ИЙ ЖУРНА Л

THE BEST UPGRADE 2015

каться на выявление атаки, на ее пресечение и на ликвидацию ее последствий. То есть вы будете вынуждены потратить на решение этой проблемы и деньги, и силы, и время ваших сотрудников. NBJ: Финансовый вопрос всегда актуален для банков, поэтому, даже несмотря на кризис, они, наверное, уделяют большое внимание укреплению своей информационной безопасности. Не могли бы Вы в связи с этим рассказать, какова динамика затрат банка на ИБ? В. ОКУЛЕССКИЙ: Честно говоря, я не хотел бы вдаваться в подробности, отвечая на этот вопрос. Ограничусь, пожалуй, только замечанием, что общая динамика расходов нарушена. Но не в силу геополитического фактора, то есть санкций, а в силу тех интеграционных процессов, которые идут сейчас в группе ВТБ. NBJ: Вы принимали участие в круглом столе, проведенном нашим журналом в марте 2015 года, и говорили о том, что банк не может и не должен выступать тестовой площадкой, на которой отечественные вендоры могли бы «обкатывать» свои новые решения, прежде чем предлагать их широкому кругу потенциальных покупателей. Почему Вы придерживаетесь этой точки зрения, и где, в таком случае, по Вашему мнению, необходимо тестировать подобные решения? В. ОКУЛЕССКИЙ: Понимаете, в чем дело: я могу, проведя собственный анализ рынка и решений и воспользовавшись опытом коллег, провести тестирование того или иного продукта с целью выяснения, насколько он ложится на инфраструктуру нашего банка или вписывается в наш ИТ-ландшафт. В этом ничего оригинального нет – эту задачу мы решаем перед каждым новым внедрением, но мы не рассматриваем подобные действия как тестирование. Речь идет о проработке решения, которое мы планируем внедрять. Надо четко понимать, что банк зарабатывает деньги, он не является исследовательским институтом, и поэтому не должен проводить тестирования для того, чтобы сравнить один продукт

с другим. Пусть каждый занимается своим делом. NBJ: Но разработчики обычно апеллируют к тому, что если бы банки предоставляли свои площадки для тестирования, то это позволило бы укрепить сотрудничество между финансово-кредитными организациями и вендорами. Да и качество продуктов бы улучшилось. В. ОКУЛЕССКИЙ: Кто же оспаривает тот факт, что сотрудничать надо? Более того, надо использовать компетенции интеграторов, работающих с разными вендорами, это обычно дает положительные результаты. Но давайте не путать понятия. Речь в данном случае все равно не идет о тестировании двух-трех десятков решений банком на своей территории. NBJ: Какова Ваша позиция по поводу аутсорсинга в сфере ИБ? Если Банк Москвы использует этот инструмент, то какие задачи в сфере информационной безопасности он передает на аутсорсинг? В. ОКУЛЕССКИЙ: Если говорить о проблеме аутсорсинга в целом, то я не очень поддерживаю его в сфере информационной безопасности. Хотя, должен сказать, что есть положительные примеры – банк «Открытие» отдал свою безопасность на аутсорсинг в свое специализированное подразделение. Также вполне многообещающим представляется опыт в этом вопросе банка РНКБ. NBJ: Но речь чаще всего идет не о полном аутсорсинге ИБ, а о так называемом смешанном варианте, когда внешним подрядчикам передаются для выполнения какие-то функции и задачи. В. ОКУЛЕССКИЙ: Да, такой вариант есть. Здесь очень важно четко прописать распределение обязанностей и ответственности. Иными словами, необходимо хорошо проработанное SLA (соглашение об уровне предоставления услуг. – Прим. ред.). Если это условие соблюдено – что ж, тогда действительно можно какие-то задачи передавать на аутсорсинг. Но руководство процессом и принятие решений все равно должны оставаться на стороне банка. upgrade the best publications 2015

THE BEST UPGRADE 2015

№ 9 (137) SEPTEMBER 2015

Вечный поединок между защитой и нападением А. ЕГОРКИН: «Любая информационная безопасность строится на предположении, что вокруг враги, и любая система телекоммуникаций – недоверенная» беседовала

Анна Кислицына

Газпромбанк, входящий в тройку крупнейших банков страны, неоднократно отражал крупные атаки хакеров. Начальник департамента защиты информации банка Александр ЕГОРКИН рассказал какие технологии можно считать импортозамещающими и стоит ли покупать сервис на аутсорсинге. А также поделился информацией о том, почему инсайдеры делают систему защиты уязвимой и зачем стоит проводить этический хакинг. NBJ: Александр Викторович, подтолкнули ли санкции разработчиков к созданию 28

upgrade the best publications 2015

новых технологий в сфере информационной безопасности? А. ЕГОРКИН: На самом деле, в технологиях информационной безопасности, как и в информационных технологиях, каждую минуту появляется что-то новое. Но ни о какой новой взрывной технологии мне не известно. Это непрерывный процесс соревнования атаки и защиты, который идет по нарастающей, при этом защита всегда отстает. Сначала появляются новые уязвимости, новые атаки, а затем средство противодействия или средство минимизации

угроз. Невозможно обезопаситься от всех видов атак. Всегда есть какие-то угрозы, которые надо принять за допустимые с небольшим уровнем риска. Изменения коснулись источников угроз. Больше стало политизированных кибертеррористов (всевозможные Cyber Caliphate, Anonymous и др.), которые валят и ломают все, до чего могут дотянуться; активизировались всевозможные разоблачители, собирающие конфиденциальную информацию с целью кого-то опорочить, вывести на чистую воду и т.д. Меняется характер экономических преступлений в области высоких технологий. Что касается санкций, то конкретно против нас в плане программного и технического обеспечения они не вводились. Другое дело, что российские производители сейчас позиционируют какие-то свои продукты и разработки в качестве импортозамещающих, альтернативных популярным продуктам из правого верхнего угла квадранта Gartner. А что считать импортозамещающими технологиями – большой вопрос. Почти любой программный продукт сводится к тому, что есть алгоритм и обращение к стандартным подпрограммам. Нет совершенно никакой разницы в том, кто написал эти обращения – российский, американский или индийский программист. Поэтому купленная как у нашего, так и у иностранного производителя программа будет написана примерно одинаково и содержать одни и те же закладки и уязвимости. Быстро перейти на новые операционные системы и СУБД невозможно. С необходимым функционалом их просто нет. НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К И Й Ж У Р Н А Л

№ 9 (137) SEPTEMBER 2015

NBJ: Действительно ли уходит эра «классической» информационной безопасности: управления рисками, комплаенса?

THE BEST UPGRADE 2015

А. ЕГОРКИН: Не знаю, что отнести к классической информационной безопасности, но уходит эра бумажного документооборота, практически все бизнес-процессы оцифрованы. Сейчас все сложнее разграничивать права доступа, все сложнее журналировать действия пользователей, обычные функции становятся универсальными. Подавляющая часть крупных инцидентов информационной безопасности происходит с оцифрованными данными. Все больше сотрудников банка хотят получить доступ к информации и документам не с рабочего места, а с мобильного офиса. При этом риски нарушения целостности и конфиденциальности информации, несомненно, увеличиваются.

точно много документов, относящихся к области защиты информации. Это и федеральные законы, и нормативная документация различных государственных структур: стандарты, положения, письма, указания, инструкции и т.д. Далеко не всегда они согласованы между собой и не всегда просто выполнимы. Банк делает все, чтобы точно соответствовать требованиям федеральных законов и требованиям своего регулятора – Банка России. Как следствие, могут возникать комплаенс-риски (несоответствия требованиям других государственных надзорных органов). За невыполнение некоторых требований нарушителям грозит штраф или даже приостановка деятельности на некоторый срок. Не каждый хакер и не вдруг сможет приостановить деятельность юридического лица хоть на какойнибудь срок. Не стоит недооценивать комплаенс-риски, поэтому их минимизация – далеко не последняя наша забота.

NBJ: Ну, то, что хочет сотрудник, необязательно должно выполняться…

NBJ: Система электронного документооборота эффективна?

А. ЕГОРКИН: Но ведь речь идет не о его капризе, а об эффективности работы, и его в частности, и банка в целом. Представим себе следующую достаточно простую и распространенную ситуацию: сотрудник финансово-кредитной организации должен поехать к крупному клиенту и там иметь возможность выдать клиенту все необходимые документы и получить от него соответствующие поручения, подписи на договорах, заявлениях и т.д. Естественно, для этого сотрудник должен получить доступ к автоматизированным банковским системам. Вся обрабатываемая и передаваемая по техническим каналам связи информация относится к конфиденциальной. Сами видите – развитие бизнеса исключает старые способы построения системы защиты, когда пришел в окошко, получил там секретную тетрадь, поработал, сделал необходимые записи и при уходе сдал. Такого уже нет, и бизнес-процессы по защите информации строятся на другом уровне с использованием новых технологий. В вопросе прозвучало слово «комплаенс». Сознаюсь: тревожное слово. На государственном уровне принято доста-

А. ЕГОРКИН: Если имеется в виду система электронного документооборота внутри банка, где документы регистрируются, пишутся резолюции, фиксируется исполнение документов, то она существует, и, конечно, эффективнее чисто бумажного документооборота. Но и она сейчас будет заменяться на другую, более эффективную и защищенную. Электронный документооборот с клиентом, например, в рамках системы «банк-клиент» – это совсем другая система с другим уровнем защиты. Потому что одно дело, когда документы циркулируют внутри банка по корпоративной сетке, и совсем другое – когда они циркулируют с выходом в интернет в неконтролируемые технические каналы. Тогда, естественно, обязательно более жесткое шифрование, электронная подпись. Таких электронных систем документооборота в банке десятки. Часть – наши, которые сгенерировал банк, часть – к которым банк присоединился на правах участника (системы налоговой инспекции, торговых площадок, бирж, международные платежные системы и т.д.). Без таких систем все процессы остановились бы.

Н А Ц И О НАЛЬНЫ Й БАНКОВСК ИЙ ЖУРНА Л

NBJ: Ваш коллега, Михаил Левашов из банка ФК «Открытие», очень положительно отзывался о таком инструменте, как аутсорсинг в сфере информационной безопасности. Он говорит, что это совершено безопасно и достаточно эффективно, и горячо рекомендует ИБ на аутсорсинге своим коллегам. Согласны ли Вы с этой точкой зрения? А. ЕГОРКИН: Аутсорсинг в сфере ИБ больше подходит для небольших предприятий. Здесь строить свою полноценную, эффективную систему затратно с точки зрения трудовых ресурсов и не всем по силам. Можно подсоединиться к ситуационному центру той или иной внешней компании, передавать в него свою информацию, а сотрудники центра будут информировать о событиях в вашей сети с признаками инцидентов. При этом должно быть абсолютное доверие, как со стороны банка к аутсорсеру, так и внутри самого аутсорсера и банка – к своим сотрудникам. Если в «Открытии» такое доверие есть, то можно только порадоваться за коллег. NBJ: Газпромбанк очень избирателен в том, какие функции и кому из внешних подрядчиков отдавать на выполнение? Какова примерно доля проектов, которые банк отдает на аутсорсинг в общем портфеле проектов? А. ЕГОРКИН: Банк имеет целый пул доверенных партнеров, участвующих в проектах по информационной безопасности. Это ведущие российские компании – производители программного обеспечения и системные интеграторы. В соответствии с требованиями внутренних нормативных документов привлечение внешних исполнителей осуществляется на конкурсной основе. Банк строит свою систему информационной безопасности в соответствии со стандартами Банка России, а также лучшими международными стандартами и практиками. Обычно завершение проектов предполагает передачу функций эксплуатации систем защиты информации (после соответствующих приемо-сдаточных испытаний) сотрудникам банка, а техподдержку – разраupgrade the best publications 2015

THE BEST UPGRADE 2015

ботчикам или системным интеграторам. Пока, в силу своей специфики, исключение составила только система защиты от DDoS, которая и эксплуатируется, и поддерживается внешней компанией. ОСНОВНАЯ ПРОБЛЕМА В СИСТЕМЕ ЗАЩИТЫ СЕГОДНЯ – ЭТО ЧЕЛОВЕЧЕСКИЙ ФАКТОР NBJ: На конференции, организованной компанией «Инфосистемы Джет», было сказано, что эпоха защиты периметра уже миновала и сейчас безопасность рассматривается как составная информационных технологий. Вы согласны с этим утверждением? А. ЕГОРКИН: Защита периметра всегда будет очень важной задачей. Речь идет о человеческом факторе. Его можно условно разделить на две составляющие: внутренняя (инсайдеры) и внешняя (аутсайдеры). Внешняя угроза как была, так и останется, ее нельзя сбрасывать со счетов. Если посмотреть на статистику, 10 тыс. попыток несанкционированных подключений в день – это норма. Бывают и всплески до 100 тыс. в день, 1 млн в день. Это явное свидетельство того, что идет какая-то атака. Поэтому нельзя сказать, что эпоха защиты периметра прошла. При этом растет риск, связанный с инсайдерами. Сейчас любой телефон по функционалу (объему памяти, быстродействию) превосходит автоматизированное рабочее место пятилетней давности. Сотрудники приносят с собой на работу различные технические средства, поэтому растет риск несанкционированного копирования информации такими устройствами. Здесь действия сотрудников надо разделить на две части, с моей точки зрения: умышленные, направленные на то, чтобы нанести вред предприятию или руководителю, и неумышленные, когда сотрудник желает дополнительно поработать в свое свободное время и копирует себе все документы, на внешний носитель, который впоследствии подключает к интернету, чтобы скачать музыку. При этом его домашний компьютер плохо 30

upgrade the best publications 2015

№ 9 (137) SEPTEMBER 2015

защищен, антивирус не обновляется, сетевой экран вообще отсутствует. Ни о какой конфиденциальности в домашних условиях говорить не приходится. Затем устройство снова подключается к рабочей станции, куда переходит вирус. Таким образом, вся конфиденциальная банковская информация оказывается под угрозой. Это неумышленное действие, но его ущерб может быть гораздо большим, чем тот ущерб, который возникает от действий самого опытного хакера. Что касается формулировки вопроса, то я согласен с тем, что любая информационная технология должна строиться в защищенном виде. Защитить внешними средствами плохо построенную систему невозможно. NBJ: Как Вы боретесь с умышленными и неумышленными действиями? А. ЕГОРКИН: Есть система противодействия этому – DLP (Data Leakage Protection). Мы мониторим активность на внешних портах, на периферийных устройствах, почтовые отправления. Есть система мониторинга событий в сети банка, система управления учетными записями, система выявления уязвимостей локальной сети и т.д. Наверное, все лучшее, что есть сегодня на рынке противодействий информационным угрозам, внедрено в банке, причем мы стараемся делать это опережающими темпами. Но абсолютно защищенных систем нет, это необходимо признать. Любая система уязвима, просто нужно уметь минимизировать риски. NBJ: Какие для Вас являются самыми нежелательными и опасными? А. ЕГОРКИН: Примитивные попытки сканирования или несанкционированного подключения не страшны. Наиболее опасны так называемые таргетированные атаки, рассчитанные на конкретную жертву. Сейчас почти все они связаны с социальной инженерией. Вот один из примеров такой атаки: жулик открывает юридическое лицо и становится клиентом банка. Он получает систему удаленного доступа

«банк-клиент». Ему назначают менеджера, симпатичную девушку. Он поздравляет ее с 8 марта, с днем рождения, затем в очередной раз шлет ей открытку, которую антиспам блокирует. Жулик ей звонит, спрашивает, посмотрела ли она открытку. Получив отрицательный ответ, он говорит, что открытка очень красивая, с анимацией, с салютом и распускающимся цветком. Сотрудница вызывает специалиста, чтобы найти открытку, она действительно красивая. Но в ней есть маленький исполняемый код – «червяк». Он позволяет собрать все данные по ее компьютеру, все ее связи и открыть back door для мошенников. NBJ: Неприятно, конечно, но пока звучит не так уж страшно, поскольку речь идет о рядовом менеджере, а не о высокопоставленном сотруднике банка, имеющем доступ к критически важной информации. А. ЕГОРКИН: Вам это кажется нестрашным потому, что я еще рассказал только половину этой истории. С логином и паролем менеджера далеко не войдешь, поэтому «червяк» заставляет ее компьютер зависнуть. Она вызывает специалиста из help desk, который входит в систему под своим логином и паролем. Таким образом «червяк» получает логин и пароль администратора и даже пользуется его правами для исследования сети. В итоге банк может потерпеть большие убытки, а злоумышленников, скорее всего, не найдут. В этой ситуации атака является таргетированной: злоумышленники знают, какой банк-клиент, какой антивирус, какая система антиспама. Именно под эти продукты они пишут свои исполняемые коды. Они скачивают всю телефонную книгу банка, звонят сотрудникам от имени ИТ-отдела, просят произвести конкретные действия. Это все рассчитано на доверчивость человека. Когда тебе звонят и, представляясь сотрудниками help desk, называют тебя по имени и просят сменить пароль, ты это делаешь. Сейчас чисто технически, без человека, взломать корректно настроенную систему невозможно. Система защиты НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К И Й Ж У Р Н А Л

№ 9 (137) SEPTEMBER 2015

периметра не допустит проникновения без участия инсайдера или вот такого невольного помощника злоумышленников. Поэтому надо готовить и обучать сотрудников. В СИСТЕМЕ БЕЗОПАСНОСТИ ЕСТЬ ТРИ ОСНОВНЫХ ЗАДАЧИ, И ИХ НЕВОЗМОЖНО СЧИТАТЬ ЗАВЕРШЕННЫМИ NBJ: Планируется ли потратить ресурсы, полученные банком в рамках докапитализации, на поддержание блока ИБ Газпромбанка? Если да, то каким образом и в каком объеме? А. ЕГОРКИН: Мне это неизвестно. Финансирование на мои проекты выделяется в соответствии с внутрибанковскими процедурами. Я пишу каждый раз обоснование, под какие цели мне нужно финансирование, как оно будет распределено, готовлю паспорта проектов и т.д. Естественно, любая система защиты затратная. Трудно сказать, окупается она или нет. Это скорее из области расчета рисков, вероятности их реализации и связанных с этим потерь. Мы какимито средствами стараемся минимизировать эти риски, при этом что-то тратим, но из каких бюджетов – не мой вопрос. NBJ: Какие проекты уже завершены, а какие открылись или планируются Вашим подразделением сейчас? А. ЕГОРКИН: Любой завершенный проект требует технической поддержки и развития, поэтому окончательно завершенных нет. Например, есть ситуационный центр, который я считаю одним из эффективнейших среди аналогичных центров. К нам приезжали сотрудники из Центрального банка, Газпрома, из других банков, перенимать наш опыт в создании и эксплуатации ситуационного центра. Могу без преувеличения констатировать: это одна из очень интересных и передовых систем. У нас сложный ИТ-ландшафт. Как hard, так и soft имеет свойство выходить из строя, сотрудникам свойственно ошибаться, забывать важнейшие вещи, нарушать требования нормативных документов и т.д. Пока не существовал такой ситуационный центр, Н А Ц И О НАЛЬНЫ Й БАНКОВСК ИЙ ЖУРНА Л

THE BEST UPGRADE 2015

было тяжело понять, из-за чего «упал» тот или иной банковский бизнес-процесс, построить связи между событиями, организовать разбор и управление инцидентами, быстро локализовать негативные последствия и т.д. Сейчас мы получаем информацию о различных процессах, а также событиях в локальной сети. За всем этим следит круглосуточная смена, которая мониторит события и принимает решение, являются ли события инцидентами, кого о них информировать, какие действия предпринимать, как пресечь негативную активность, минимизировать новые угрозы и т.д. При необходимости создается группа разбора инцидентов ИБ (ГРИИБ). Повторюсь: я считаю, что это один из эффективных проектов, но нельзя сказать, что он завершился. Одно дело – собрать информацию о работоспособности конкретных автоматизированных систем, и совсем другое – спрогнозировать, как технический сбой повлияет на конкретные бизнес-процессы банка. Например, сообщение о том, что «упал» какой-то сервер для бизнес-руководителей в банке, ничего не значит. А если мы скажем, что на этом сервере висела половина допофисов города Москвы и теперь там не выдают кредиты и не принимают депозиты, – это важно. Такая система позволяет обеспечить непрерывность банковского бизнеса. Положить бизнес-процессы на ИТландшафт и спрогнозировать, к каким именно последствиям приведет тот или иной технический сбой – это вопрос. Последний аудит банка выявил 68 критичных бизнес-процессов. Сейчас мы визуализировали четыре из них, так что планов громадье. NBJ: Насколько Вам как руководителю тяжело со всем этим справляться и с какими проблемами Вы чаще всего сталкиваетесь? А. ЕГОРКИН: Мне нравится эта работа, я вижу ее востребованность, понимание и поддержку со стороны высших руководителей банка. Участок действительно напряженный, война в виртуальном мире не прекращается ни на минуту, и в

ней есть жертвы и разрушения. Пока никаких серьезных провалов у нас не было, хотя инцидентов много и не всегда удается выйти без потерь. Я считаю, что в Газпромбанке одна из самых сильных и профессиональных команд защиты информации в банковской сфере. Даже когда была атака анонимусов, примерно год назад, и инициаторы этой атаки обвалили сайты многих кредитных организаций, мы устояли. У нас сработала система защиты от DDoSатак. Мы регулярно проводим этический хакинг – сами себя взламываем. Иногда это надо по требованиям страховых агентств, иногда это надо, чтобы пройти проверку на соответствие требованиям стандартов информационной безопасности (в частности, PCI DSS), иногда – при открытии новых внешних банковских сервисов. NBJ: Вы сами себя взламываете или просите кого-то? А. ЕГОРКИН: Обычно просим. У нас проходит периодический аудит на соответствие требованиям № 152-ФЗ о персональных данных, требованиям по защите платежных систем по нормативам Банка России. В принципе, наша система защиты соответствует всем этим нормам. NBJ: Какие бизнес-задачи стоят перед Вами? А. ЕГОРКИН: Перед департаментом защиты информации в любой финансово-кредитной организации стоят всего три задачи. Первая из них – обеспечение целостности: чтобы ничего не рухнуло, не исчезло и не видоизменилось. Вторая – обеспечение доступности, чтобы и сотрудники, и клиенты банка могли получить доступ к сервисам и приложениям. И третья задача – обеспечение конфиденциальности, чтобы та информация, которая должна быть защищена, не попала к тем, у кого нет прав доступа к ней. Эти задачи неизменны еще со времен Дзержинского. Департамент защиты информации Газпромбанка делает все возможное для выявления, предупреждения и пресечения инцидентов информационной безопасности. upgrade the best publications 2015

THE BEST UPGRADE 2015

№ 10 (138) OCTOBER 2015

Бесконечная борьба добра со злом Банкам приходится постоянно совершенствовать и оттачивать механизмы противодействия мошенникам и злоумышленникам в сфере информационной безопасности текст

Екатерина Чернышева

Тема идентификации клиентов всегда была актуальна, и на сегодняшний день она остается наиболее важной для банковского сектора. Особое внимание финансово-кредитные учреждения уделяют безопасности идентификации при осуществлении банковских операций как частными пользователями, так и корпоративными клиентами. Основополагающими факторами для банков являются конфиденциальность и целостность идентификации. KNOW YOUR CLIENT Проблема безопасности идентификации клиента при совершении банковских операций не остается без внимания центрального финансового регулятора. Об этом свидетельствуют поправки к закону № 115-ФЗ (так называемый антиотмывочный закон), согласно которому организации, совершающие операции с денежными средствами, в первую очередь обязаны провести идентификацию клиента. По закону финансовым учреждениям необходимо установить ряд сведений о клиенте: его ФИО, дату рождения, реквизиты паспорта, адрес прописки. Для корпоративных клиентов список дан32

upgrade the best publications 2015

ных отличается: им необходимо в рамках идентификации предоставить наименование компании, место регистрации, адрес местонахождения компании и пр. Стоит особо отметить, что проводить идентификацию клиентов должны все организации, осуществляющие финансовые операции: банки, МФО, страховые и лизинговые компании, ломбарды, потребительские кооперативы, букмекерские конторы и т.д. При этом законодательство разрешает банкам не проводить идентификацию клиента, если он совершает операции, сумма которых не превышает 15 тыс. рублей. Однако эксперты, опрошенные NBJ, считают, что идентификация должна проводиться сотрудниками банка всегда, вне зависимости от суммы операции. Это является дополнительной защитой как для финансового учреждения, так и для его клиента. Как сообщают средства массовой информации, Центральный банк разрабатывает новые поправки в положение ЦБ 262-П «Об идентификации кредитными организациями клиентов и выгодоприобретателей в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма». Связаны эти поправки с ужесточением требований к корпоративному бизнесу. Сейчас организации – соискательнице заемных средств (иными словами, потенциальному заемщику) достаточно предоставить в банк документы о месте своей регистрации и информацию о фактическом адресе нахождения компании. По мнению экспертов Банка России, работающих над соответствующими поправками, данных сведений недостаточно. В новой редакции документа указано, что представителям банков необходимо

будет совершать визит к потенциальному заемщику, чтобы они могли на месте убеждаться в достоверности предоставляемой им информации. Это не прихоть, говорят эксперты. Реализация подобного подхода позволит финансово-кредитным учреждениям определять уровень кредитного риска клиента, что, соответственно, будет влиять впоследствии и на размер необходимых резервов по выдаваемым ссудам. То есть фактически речь идет о реализации известного принципа – знай своего клиента. Причем знай его не только по «бумажкам», которые он предоставляет тебе, но и, как говорится, в реальной жизни – вплоть до того, где находится офис его компании, как он выглядит и т.д. БИОМЕТРИЯ СТАНЕТ ПОПУЛЯРНЕЙ При осуществлении денежных операций существует много известных способов идентификации. К ним относятся пароль, технология OTP (одноразовые пароли), MobileID, смарт-карта или токен. Они все, по мнению экспертов, могут быть подвержены рискам, но в то же время их использование приносит неплохие плоды. Приведем конкретный пример. Для наиболее эффективной безопасности корпоративных клиентов (так как в случае успешно реализованного плана атак мошенник может завладеть крупной суммой) был разработан такой способ идентификации, как смарт-карта или токен. Это можно было считать удачной разработкой, так как на протяжении порядка семи лет на клиентов, использующих данный способ, не совершались злоумышленные нападения. Однако все в жизни меняется, и мошенники нашли пути, которые позволяют им совершать махинации с денежными операциями и НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К И Й Ж У Р Н А Л

№ 10 (138) OCTOBER 2015

при такой защите. Удаленное проникновение злоумышленников в компьютер клиента помогает им изменять ход операций, проделанный уполномоченным лицом компании. К примеру, завладев компьютером, мошеннику удается изменить расчетный счет и сумму перечисления денежных средств. Одним из наиболее эффективных способов защиты клиентов является биометрия. Она уже применяется многими финансово-кредитными организациями и обеспечивает клиентам высокий уровень безопасности идентификации. Но в применении данного способа защиты существует один-единственный минус, являющийся препятствием для его развития на данном этапе, – дороговизна. Эксперты считают, что с удешевлением компонентов биометрия будет широко распространена и начнет применяться фактически всеми учреждениями. Однако с широкомасштабным приходом биометрии появятся новые способы мошеннических атак: специалисты уверены в том, что там, где есть защита, обязательно будут совершаться нападения. НЕВНИМАТЕЛЬНОСТЬ – СЕРЬЕЗНАЯ ПРОБЛЕМА Эксперты, опрошенные NBJ, уверены: происки злоумышленников были бы куда менее успешными, если бы агрессорам не помогал человеческий фактор. Можно придумать и внедрить множество механизмов защиты, но бывает так, что все усилия сводит на нет простая ошибка, вызванная либо невнимательностью клиента, либо недостатком у него знаний. Специалист управления информационной безопасности Газпромбанка, согласившийся прокомментировать ситуацию на условиях анонимности, считает тему безопасности идентификации пользователя актуальной в первую очередь из-за ошибок клиентов. «На мой взгляд, очень много проблем возникает как раз из-за недостаточного внимания к рекомендациям и требованиям банков в сфере информационной безопасности», – поясняет эксперт. Для РОСГОССТРАХ БАНКа тема идентификации пользователей при совершенствовании банковских операций всегда была актуальна. «При работе Н А Ц И О НАЛЬНЫ Й БАНКОВСК ИЙ ЖУРНА Л

THE BEST UPGRADE 2015

с системами дистанционного банковского обслуживания основное внимание в контексте информационной безопасности уделяется конфиденциальности, целостности и безотказности идентификационной информации», – утверждает директор департамента информационной и экономической защиты бизнеса РОСГОССТРАХ БАНКа Артем Гонта. Игроки рынка уверены в том, что мошенническим атакам одинаково подвержены как юридические, так и физические лица. В Газпромбанке существует специальная система мониторинга для вычисления подобного рода нападений. «У нас факты атак выявляются как автоматизированными системами обеспечения информационной безопасности (в большинстве случаев), так и по обращениям клиентов. Подвержены рискам любые клиенты дистанционных банковских сервисов, поскольку за каждым нарушением стоит конкретный человек: либо клиент – физическое лицо, либо представитель (работник) клиента – юридического лица», – считает эксперт Газпромбанка. С увеличением количества мошеннических атак банкам приходится постоянно разрабатывать новые методы для защиты клиентов. А если учитывать, что система идентификации применяется ежедневно, то в этих условиях финансово-кредитные учреждения вынуждены устранять пробелы в управлении этой системы буквально на ходу. Способов у банков для этого достаточно. «Наши специалисты внимательно рассматривают каждый случай, имеющий признаки инцидента в сфере ИБ. Мы занимаемся совершенствованием внутренних нормативных документов, а также программно-технических средств в сочетании с постоянной разъяснительной работой, которую мы проводим с клиентами», – рассказал эксперт Газпромбанка. В РОСГОССТРАХ БАНКе постоянно обновляется линейка технологий. «В банке внедряются наиболее современные средства идентификации, совершенствуется нормативная и методическая документация, определяющая правила безопасной работы с системами дистанционного банковского обслуживания», – поясняет Артем Гонта (РОСГОССТРАХ БАНК).

Борьба между защитниками (специалистами банков) и злоумышленниками будет продолжаться всегда – по этому поводу никто иллюзий не питает. Сотрудники финансово-кредитных учреждений постоянно занимаются разработкой и внедрением новых технологий для защиты своих клиентов. Тем временем мошенники разрабатывают механизмы для того, чтобы затащить жертву в ловушку и завладеть его денежными средствами или, как это зачастую бывает, критически важной для клиента информацией (обычно такое наблюдается, когда речь идет о клиенте – юридическом лице). Для того чтобы денежные средства оставались в сохранности, в первую очередь необходимо соблюдать осторожность при проведении даже самых простейших и привычных операций и не забывать выполнять требования банков по безопасности. Клиенты иногда приходят к выводу, что им приходится выполнять слишком много рутинных действий, когда они управляют своими счетами в дистанционном режиме. Отсюда проистекает их невнимательность и небрежность. В конечном счете это может обернуться для них весьма печальными последствиями, предупреждают банкиры. upgrade the best publications 2015

THE BEST UPGRADE 2015

№ 11 (139) NOVEMBER 2015

Хоум Кредит Банк: удержание лидерских позиций с помощью ИТ А. ЕВТУШЕНКО: «Автоматизация в нынешних условиях – это то, за счет чего банк реально может укрепить свои позиции на рынке» беседовал

Иван Скогорев

и технологии CRM, а также используют технологии Big Data. Корпоративные кредитные организации во многом следуют за розничными с точки зрения автоматизации, делая сейчас большой упор на автоматизацию самых тяжелых и важных бизнес-процессов. NBJ: Расскажите, пожалуйста, подробнее о перечисленных Вами основных трендах на рынке банковской автоматизации.

Насколько важную роль играют информационные технологии и наличие у банка продуманной и эффективной ИТ-инфраструктуры в условиях кризиса? Какие тренды являются основными с точки зрения автоматизации идущих в банках бизнес-процессов? Повышается ли на фоне стремления финансово-кредитных организаций к экономии средств популярность такого инструмента, как ИТ-аутсорсинг? На эти и другие вопросы ответил в интервью NBJ директор по информационным технологиям Банка Хоум Кредит Алексей ЕВТУШЕНКО. NBJ: Алексей, каковы, с Вашей точки зрения, основные тенденции на рынке банковских информационных технологий? А. ЕВТУШЕНКО: Розничные финансовокредитные организации интенсивно развивают дистанционные каналы обслуживания, внедряют мобильные технологии 34

upgrade the best publications 2015

А. ЕВТУШЕНКО: Безусловно, использование планшетов и телефонов с каждым годом набирает обороты. Банки видят, что клиенты все больше уходят в интернет, все больше операций осуществляется с помощью мобильных телефонов и планшетов. Многие из них уже не хотят ходить лишний раз в банк, поскольку понимают, что для того, чтобы провести платежи или увидеть остаток средств на своем счету, им необязательно выходить из дома. Естественно, что банки не могут оставаться в стороне от этого. Они реализовывают свои технологии таким образом, чтобы клиенты имели возможность совершать операции со счетами в дистанционном режиме. Я думаю, на сегодняшний день у всех розничных банков, работающих на российском рынке, есть мобильные приложения. При этом в эти приложения постоянно добавляются новые фишки, которые банки могут позиционировать как свое конкурентное преимущество. С точки зрения CRM, для банков очень важно не только привлечь клиента, но и удержать его, выстроить с ним долгосрочную историю отношений. Для того чтобы клиент был лоялен и не убе-

жал к конкуренту, банк должен понимать, что надо клиенту, какими услугами он пользуется, что ему нравится, а что нет. Для повышения эффективности взаимодействия между клиентом и банком есть целый класс CRM-систем, которые позволяют более эффективно управлять всеми этими коммуникациями, собирать аналитику, подсказывать сотрудникам банка, что клиентам нужно предлагать, а что не стоит. Теперь что касается технологий Big Data. Нельзя сказать, что это новая технология, различные инструменты работы с большими объемами неструктурированных данных появились на рынке еще несколько лет назад, но банки стали проявлять повышенный интерес к этой области сравнительно недавно. По сути, Big Data – это набор технологий, позволяющий обрабатывать огромные массивы данных в интернете и в результате находить новых клиентов, предлагать им правильные продукты и собирать обратную связь от клиентов. NBJ: Сейчас, как хорошо известно, банкам приходится непросто с точки зрения ликвидности, капитала и т.д. Наверное, это делает еще более актуальной задачу автоматизации бизнес-процессов. Какие направления бизнеса, по Вашим оценкам, наиболее нуждаются в автоматизации? А. ЕВТУШЕНКО: Если мы говорим о розничном банкинге, то он в принципе не может существовать без автоматизации своих бизнес-процессов. Возьмем в качестве примера, подтверждающего это правило, Хоум Кредит Банк. У нас 4,5 млн активных клиентов, которые НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К И Й Ж У Р Н А Л

№ 11 (139) NOVEMBER 2015

THE BEST UPGRADE 2015

приобретают те или иные продукты или совершают какие-либо операции. Без ИТ-систем просто было бы невозможно обслужить такое количество клиентов качественно и быстро.

суперкомпьютеров, надо финансировать новые разработки в научно-исследовательских институтах. То есть потребуются колоссальные инвестиции и, конечно же, время.

NBJ: А если заглянуть немного вперед, то какие технологии могут оказаться на пике спроса через несколько лет?

NBJ: Кризис, очевидно, вносит свои коррективы в работу банков, в том числе, наверное, и в финансирование ИТ-департаментов и различных проектов в сфере ИТ. Насколько существенно изменились затраты на информационные технологии в Хоум Кредит Банке?

А. ЕВТУШЕНКО: На мой взгляд потенциал «старых» технологий до конца еще не исчерпан. Безусловно, через несколько лет появятся новые технологии, которые позволят банкам удешевить стоимость поддержки ИТ-систем и ускорить процессы разработки новых продуктов. Я думаю, эти технологии будут тесно переплетены с мобильными устройствами и многочисленными интернет-сайтами и интернет-сервисами. NBJ: Сейчас, очень много говорится о том, что риски использования западных ИТ-решений резко возросли. Как по-вашему, есть ли у нас шансы и возможности решить эту задачу в обозримом будущем? А. ЕВТУШЕНКО: В России очень высок уровень программистов, они заслуженно считаются одними из лучших в мире. Но задачу импортозамещения в сфере ИТ можно решить только при условии серьезной и системной поддержки ИТ-отрасли со стороны государства. Только при такой поддержке за следующие пять-десять лет Россия сможет сильно продвинуться в данном направлении. NBJ: А есть ли необходимость нам выстраивать что-то с нуля? Есть государства, входящие в БРИКС, ШОС и другие интеграционные геополитические объединения. Возможно, имеет смысл развивать сотрудничество с ними в рамках ИТ? А. ЕВТУШЕНКО: Вы знаете, импортозамещение подразумевает под собой не географическую переориентацию с одного поставщика на другого. К решению этого вопроса надо подходить системно. Надо перестроить систему преподавания в институтах, простимулировать строительство заводов по производству Н А Ц И О НАЛЬНЫ Й БАНКОВСК ИЙ ЖУРНА Л

А. ЕВТУШЕНКО: Если говорить о затратах, то оптимизация затрат на ИТ примерно сопоставима с оптимизацией затрат на развитие всех иных направлений. Если же говорить о внимании к работе нашего департамента со стороны руководства и собственников кредитной организации, то оно всегда было высоким и таковым остается и сейчас. Это естественно, поскольку речь идет о розничном банке, а здесь, как я уже ранее говорил, ИТ – совершенно незаменимая и обязательная составляющая. Естественно, что кризис сказывается, но ведь недаром говорят, что кризис – это, по сути, процесс оздоровления. Слабые компании отмирают, сильные укрепляют свои позиции и наращивают свои конкурентные преимущества. Естественно, что есть и краткосрочные негативные моменты: например, нам приходится сокращать людей, в результате чего нагрузка на оставшихся сотрудников увеличивается.

NBJ: Какие задачи в области обеспечения ИТ предстоит решить Вашему банку? А. ЕВТУШЕНКО: У нас внедряется порядка двадцати крупных проектов. Перечислю только часть из них. Проект по автоматизации процессов обработки всех обращений клиентов. Данное решение существенно ускорит процесс обработки всех заявлений клиентов и тем самым позволит Банку улучшить клиентский сервис. Проект по внедрению единой системы маршрутизации всех клиентских платежных поручений. Система позволит в онлайне эффективно маршрутизировать все клиентские платежи, принимаемые Банком через любые каналы, такие как платежные терминалы, банкоматы, интернет-банк

и мобильный банк. Внедрено несколько мобильных приложений для сотрудников Банка. Данные приложения позволяют сотрудникам выполнять свои обязанности с мобильного телефона. Особенно это актуально для тех сотрудников, которые постоянно перемещаются в сторону наших клиентов и партнеров Банка. Мы разрабатываем новое мобильное приложение для наших клиентов – «кредитный кабинет». Клиент, заходя в это приложение, сможет сразу увидеть всю информацию о своем кредите – о сроках проведения платежей, об остатке суммы кредита и т.д. При этом он может сделать это даже в том случае, если у него нет под рукой телефона. Ему достаточно для получения желаемой информации зайти на наш сайт, забить номер своего телефона и дату рождения – и он получит все сведения, которые его интересуют. Реализуется ряд инфраструктурных проектов, направленных на повышение надежности (PCI DSS, 3D-Secure, development code review, автоматизация тестирования, внедрение систем мониторинга). NBJ: А что касается планов на 2016 год – каковы они и каковы хотя бы главные проекты, которые банк планирует реализовать? А. ЕВТУШЕНКО: У Хоум Кредит Банка есть бизнес-стратегия развития на период до 2020 года. И есть утвержденная ИТ-стратегия, направленная на реализацию бизнес-стратегии. Основным направлением в ИТ на 2016 год мы видим развитие дистанционных каналов обслуживания и продаж. В основном за счет использования различных мобильных платформ. Наверное, я пока воздержусь от того, чтобы раскрывать детали этих проектов. Мы работаем в конкурентной среде, где каждый банк стремится отстоять и использовать свои конкурентные преимущества, в том числе и в сфере ИТ. Это вполне закономерно, поскольку, как я уже говорил, автоматизация бизнес-процессов, особенно если речь идет о розничных банках, это действительно очень важный момент. И это то, за счет чего банк реально может укрепить свои позиции на рынке, повысить лояльность к себе клиентов и нарастить объемы реализации своих продуктов и услуг. upgrade the best publications 2015

THE BEST UPGRADE 2015

№ 12 (140) DECEMBER 2015

Символ года и безопасности Без преувеличения можно сказать, что шифровальщики (они же энкодеры или вымогатели) стали одним из главных явлений 2015 года текст

Вячеслав Медведев, ведущий аналитик отдела развития ООО «Доктор Веб»

Эпидемия энкодеров показала неготовность компаний и частных пользователей к защите от современных угроз. Практически каждую неделю в новостях появляются описания очередного представителя этих популярнейших среди злоумышленников вредоносных программ. Список названий, которые стали известны как читателям новостей, так и пострадавшим, очень велик: Cryptowall, Chimera, CoinVault, Bitcryptor, Cryptolocker. Он далеко не полон (кстати, компания «Доктор Веб» для всех шифровальщиков использует наименование Trojan. Encoder. Например, под названием Cryptowall различают четыре варианта Trojan.Encoder — 741, 453, 398, 293). 36

upgrade the best publications 2015

КОГДА НЕ СПАСАЕТ «ГРУДЬ В КРЕСТАХ» Оборотной стороной таких публикаций стало подтверждение (для читателей новостей, естественно) старого мифа о якобы немногочисленности вредоносных программ. Конечно, ведь антивирусные вендоры должны уведомлять пользователей обо всех новых угрозах! На самом деле это далеко не так. Если, например, зайти на информационный ресурс нашей компании о вредоносных программах, попавших в вирусные базы, то можно увидеть, что в базы добавляется информация о нескольких десятках шифровальщиков. Ежедневно — и это не считая огромного количества других типов вредоносных программ, остаю-

щихся в тени звезд новостей. Эти программы, как и шифровальщики, до добавления в базу не распознаются системой защиты (точнее, конечно, не распознаются компонентами антивируса, работающими на основе знаний из вирусной базы, о поведенческом анализаторе разговор особый). Почему же шифровальщики стали такой глобальной угрозой? Ведь вопрос создания антивирусной системы защиты для подавляющего большинства компаний давно закрыт и не является насущным – на большинстве мероприятий обсуждаются совсем иные проблемы. Проблема защиты от вирусов не становится больше центром внимания и для руководства компаний, и для системных администраторов. Вопрос немного философский, поэтому поговорим о том, почему вредоносные программы вообще стали в последнее время головной болью для многих — несмотря на то, что системы защиты строятся на основе годами проверенных принципов. Современные злоумышленники, создавая вредоносные программы, не хотят оставить свое имя в истории. Они хотят заработать. Логично, что рассчитывать на то, что в атакуемой системе не установлен антивирус, было бы как минимум наивно. Поэтому для того, чтобы начать работать, вредоносная программа должна пройти через сито защиты. И это вполне реально, к сожалению. Дело в том, что в подавляющем большинстве случаев антивирусная система защиты состоит из одного только антивируса, а пользователи работают с правами администраторов, используют (практически все) один и тот же НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К И Й Ж У Р Н А Л

№ 12 (140) DECEMBER 2015

набор программ и не любят перезагружаться для установки обновлений. Причем антивирус обычно устанавливается с настройками по умолчанию (без настройки белого списка разрешенных к использованию программ, без использования проактивной защиты и т.д.). Соответственно, злоумышленникам достаточно установить антивирусы по умолчанию и тестировать на них свои разработки. Вредоносное ПО, которое пройдет через их тесты, пройдет и через защиту компаний, как нож сквозь масло. Системы защиты, рассчитанные на противодействие хакерам, единственной целью которых являлась слава, не могут противостоять криминальным группировкам, имеющим в своем распоряжении все возможности черного рынка и поставившим грабеж на промышленную основу. ЕСТЬ ЛИ ВЫХОД? Сложившаяся ситуация мгновенно обесценила все системы тестирования антивирусов (кроме систем самозащиты и лечения активных заражений — но это особый и редко встречающийся вид тестирования). Даже если «грудь в крестах», что толку, если победитель тестирования гарантированно пропустит специально разработанный вирус? Но этого никто не заметил. Выбор антивирусов (что в большинстве случаев равноценно созданию антивирусной системы защиты) все так же происходит на основе результатов популярных тестов. Нужны инициативы по разработке рекомендаций по усовершенствованию систем защиты, основательная переработка курсов для системных администраторов и специалистов по безопасности – но вместо этого широко распространились призывы к соглашательству – от статьи с названием «Мы решили платить» до призывов платить из уст представителя ФБР США Джозефа Бонаволонта: «Честно говоря, мы часто советуем обратившимся просто заплатить выкуп за расшифровку. Опыт показывает, что специалистам ФБР приходится тратить огромные усилия в попытках расшифровать заблокированные файлы без всякой гарантии успеха». И инфорН А Ц И О НАЛЬНЫ Й БАНКОВСК ИЙ ЖУРНА Л

THE BEST UPGRADE 2015

мацию о необходимости платить с удовольствием распространяют СМИ. Кому это выгодно? И почему информация о контрнаступлениях антивирусных вендоров куда менее известна? Злоумышленники стараются сделать необнаруживаемое ПО. Можно ли усложнить им жизнь? Да, если антивирус развивает технологии антивирусного ядра. Создать программу, которая не будет обнаруживаться антивирусом, сложно. Куда проще зашифровать уже имеющегося троянца или обработать его упаковщиком так, чтобы получился файл с никому не известным форматом. Технология Dr.Web Fly-Code позволяет антивирусу находить вредоносные файлы даже в этом случае. Пользователи других продуктов остаются без защиты до загрузки обновления, содержащего информацию о новом троянце (точнее, об упакованном файле) – а это, по статистике, в среднем два часа без защиты. Fly-Code фактически является водоразделом между антивирусами, для которых создавать вредоносные программы выгодно, и продуктами, обойти которые сложно. А что делать, если вредоносная программа может обойти антивирус (напоминаем – установленный с настройками по умолчанию)? Необходимо переходить от антивируса к антивирусной системе защиты. Работать только под ограниченными правами (да, и это тоже антивирусная защита), ограничить и жестко контролировать список установленных и пытающихся запуститься программ, ограничить права доступа к Интернету и ресурсам локальной сети. В обязательном порядке использовать резервное копирование. И этот список рекомендаций можно продолжать – в зависимости от списка актуальных угроз. ВАЖНОСТЬ СИСТЕМНОГО ПОДХОДА Все эти меры по отдельности защиты не дают. Например, многие рассматривают резервное копирование в качестве идеального решения от потери данных. Немало в сети Интернет и ресурсов, описывающих настройку теневого копирования именно для противодействия

шифровальщикам. Но создатели вредоносных программ определенно тоже читают такие рекомендации – и, например, Trojan.Encoder.1064 (он же AlphaCrypt) первым делом удаляет теневые копии. Шифровать данные по сети, копировать их на сменные носители – тоже не панацея, поскольку большинство шифровальщиков обрабатывают все доступные ресурсы. А учитывая, что далеко не все шифровальщики требуют выкуп в день заражения и могут работать месяцами – очень велик шанс, что все резервные копии содержат троянца и не содержат незашифрованных файлов. Современный антивирус не равен файловому антивирусу девяностых годов. Проверка входящего и исходящего трафика, ограничение прав доступа к ресурсам (включая сменные носители), резервное копирование – все это компоненты современного антивируса. И конечно же, поведенческий анализатор. Что делать, если вредоносная программа неизвестна вирусным базам? Контролировать запросы запущенных программ к различным ресурсам и анализировать, что делает тот или иной процесс. При этом здесь также возможно два пути. Можно сравнивать поведение процесса с известными моделями поведения популярных программ. Это требует базы данных признаков всех программ мира и не дает гарантии для неизвестного процесса (к тому же эта база требует постоянного обновления из-за контролируемых программ, что в закрытых сетях может привести к рассогласованию поведения обновленной программы и мнения о ней системы защиты). А можно сравнивать поведение процесса с моделями поведения вредоносных программ, что в случае отсутствия базы данных признаков всех программ мира дает еще и рост скорости проверки. Но даже лучший поведенческий анализатор начинает свой анализ после начала работы программы. А это приводит к тому, что шифровальщик до своего обнаружения успевает зашифровать до десятка файлов. Что делать? Платить выкуп? Очень важна готовность к возникновению вирусозависимого компьютерного инцидента. На фоне новостей upgrade the best publications 2015

THE BEST UPGRADE 2015

№ 12 (140) DECEMBER 2015

об успехах злоумышленников немногие знают, что не все шифровальщики так хороши, как хотелось бы их создателям. Вероятность расшифровки составляет от 10 до 90%. Компания «Доктор Веб» только за последний месяц объявила о возможности расшифровки двух представителей Trojan.Encoder — в том числе Trojan.Encoder.2843, известного также под именем Vault. К сожалению, большинство пострадавших к моменту инцидента не знают, что им нужно делать. Обычно в подобных случаях в службу технической поддержки приходит невнятный запрос с сообщением «нас зашифровали». В лучшем случае прикладывают один файл. До момента получения техподдержкой всей необходимой информации (или неполучения: многие первым делом запускают штатный антивирусный сканер или скачивают Dr.Web CureIt!, который находит и уничтожает троянца) пострадав-

n 2.1

ersio

site v

шие успевают обменяться со специалистами более чем десятком сообщений. А это время и деньги пострадавшей компании. Для повышения шансов на расшифровку пострадавших файлов важно прислать специалистам не один, а три-пять файлов разных типов (pdf, doc и т.д.), а также письмо с требованием выкупа (при наличии), описание процесса заражения, тело троянца (подумайте, у всех ли по умолчанию вредоносная программа при обнаружении перемещается в карантин, а не уничтожается?). Должно быть как можно больше информации для анализа. И даже в этом случае служба технической поддержки не всегда может отреагировать мгновенно: во время эпидемии количество запросов о расшифровке многократно возрастает. Для восстановления информации прежде всего нужна информация, и преступники об этом тоже знают. Поэтому зараженный компьютер нельзя выклю-

www.

чать (для преступника не составляет особого труда установить на зараженном компьютере программу для уничтожения информации на жестком диске или в расшаренных папках). Но и продолжать работать на зараженном компьютере тоже нельзя, ведь это модификация места совершения инцидента безопасности. К потере информации может привести даже загрузка с внешнего носителя. Поэтому остается только варварский способ – выдернуть вилку из сети до получения рекомендаций. Праздничные дни и каникулы – время, когда системные администраторы и специалисты в области безопасности отдыхают, а злоумышленники традиционно выходят на охоту. Вы и ваша дежурная смена знаете, кому звонить в случае возникновения компьютерного инцидента, как собрать информацию и как правильно составить заявление в полицию?

.ru ОБЗОРЫ СЕМИНАРОВ И БАНКОВСКИХ МЕРОПРИЯТИЙ ПОЛНАЯ ВЕРСИЯ ЖУРНАЛА

О АТН Л П ЕС

НОВОСТИ БАНКОВ, КОМПАНИЙ

НБЖ – НАСТОЯЩАЯ БАНКОВСКАЯ ЖИЗНЬ! 38

upgrade the best publications 2015

НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К И Й Ж У Р Н А Л

THE BEST UPGRADE 2015

15 20 16

№ 12 (140) DECEMBER 2015

ЛУЧШИЕ

Андрей ВИСЯЩЕВ, председатель правления ГК ЦФТ

Анатолий ВОЛКОВ, генеральный директор РДТЕХ

2015 год обещал быть непростым. Таким он и был, но в любой экономической и политической ситуации необходимо искать возможности развития ради будущего. Мы, как и весь рынок, много и упорно трудились, искали новые драйверы, помогали нашим клиентам достигать их целей. Мы завершили важные этапы проектов в ОТП Банке, Нордеа банке, Экспобанке, расширили пул партнеров на аутсорсинге, вышли на рынок страховых компаний, заключив договор с СК «Росгосстрах». Первыми в России мы запустили сервис для бесконтактных NFC-платежей по технологии HCE, выпуcтили релиз нового интернет-банка и мобильного приложения Faktura.ru для юридических лиц. Впереди много планов. Пусть 2016 год станет для всех нас годом хороших новостей.

2015 год стал годом развития. Помимо «традиционных» внедрений корпоративного хранилища данных, электронного архива документов и системы для борьбы с финансовым мошенничеством, РДТЕХ вывел на рынок два перспективных решения: COBRAS (CommercialBankReportsandAnalyticalSystem) – созданное совместно с «ПрограмБанком» универсальное решение по автоматизации процесса формирования обязательной отчетности Банка России, которое не зависит от конкретной АБС. «Аналитический CRM» – система, предоставляющая возможность работы с клиентской базой, исходя не только из анкетных данных, но и из социальнодемографических характеристик клиента, его рентабельности и модели поведения. Система уже работает в Татфондбанке.

upgrade the best publications 2015

Андрей ГАЛКОВСКИЙ, генеральный директор компании R-Style Softlab Чтобы развивать бизнес на фоне изменений финансовой системы, важно придерживаться выбранного курса. Для R-Style Softlab такая стратегия стала успешной. Мы заключили несколько крупных сделок, завершили ряд проектов в банках России и СНГ. Наше взаимодействие со Сбербанком вышло на новый уровень доверия, что удается не всем подрядчикам. Мы продвинулись в тиражировании платформы InterBank RS в региональные структуры банка, в частности внедрили «Сбербанк Онлайн» в Казахстане, запустили мобильное приложение, которое уже получило высокую экспертную оценку на MobiEvent 2015. В 2016 году продолжим развивать направления АБС, ДБО и информационно-аналитических систем. Желаем всем успешных проектов! НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К И Й Ж У Р Н А Л

№ 12 (140) DECEMBER 2015

THE BEST UPGRADE 2015

ИT-партнеры для банков

Александр ГЛАЗКОВ, председатель совета директоров компании «Диасофт»

Александр ГОЛЬЦОВ, генеральный директор АМТ-ГРУП

Юрий ГРИБАНОВ, председатель совета директоров «ЮНИТ-ОРГТЕХНИКА»

2015 год стал для «Диасофт» очередной вехой. В непростое для отечественного рынка время компания сумела не только удержать лидерство в своем сегменте, но и сделала прорыв. Наши ставки на компонентность, digital banking и импортозамещение успешно сыграли, обеспечив нам стабильный рост. Продукты «Диасофт» были отмечены международными премиями FSTech Awards, IDC Financial Insights FinTech Real Results Awards и удостоены награды журнала Global Banking And Finance Review. Мы продолжаем укрепляться, объединяя усилия с профессиональными сообществами: в этом году компания стала членом ассоциаций «Отечественный софт» и РОССВИФТ. В будущем мы продолжим вносить свой вклад в бизнес наших клиентов, развиваясь и преумножая свой опыт.

Важность задач информационной безопасности возрастает из года в год, и в текущей экономической и геополитической ситуации АМТ-ГРУП делает особый акцент на развитии этого направления. В 2015 году мы вывели на рынок новую услугу и новый продукт, которые вызвали большой интерес у потенциальных потребителей. Услуга SOC – Security Operation Center – экспертный сервис по мониторингу и реагированию на инциденты ИБ, предоставляемый из облака АМТ-ГРУП. Продуктовая линейка пополнилась аппаратно-программным комплексом однонаправленной передачи данных InfoDiode. Фактически мы реализовали передовое решение в данном классе с рядом уникальных возможностей, существенно расширяющих потенциал использования систем однонаправленной передачи данных.

ООО «ЮНИТ-Оргтехника» является коммерческим агентством сервиса и оказывает комплексные услуги в области ИТ-аутсорсинга с 1994 года. Компания создала уникальную сервисную сеть, которая обеспечивает ее присутствие на всей территории РФ. В оперативном управлении – 5000 технических специалистов. Срок запуска любого проекта – до одного календарного месяца с момента подписания договора. Секрет успеха компании, помимо отлаженной системы управления, кроется в четком понимании потребностей бизнеса заказчиков. Сегодня ООО «ЮНИТОргтехника» не просто сервисная компания, а бизнес-консультант и проводник инноваций в сфере ИТ-услуг. Коллеги, с наступившим Новым годом. И успехов всем нам!

Н А Ц И О НАЛЬНЫ Й БАНКОВСК ИЙ ЖУРНА Л

upgrade the best publications 2015

THE BEST UPGRADE 2015

15 20 16

Сергей ГРУЗДЕВ, генеральный директор компании «Аладдин Р.Д.» В апреле 2015 года «Аладдин Р.Д.» отметила 20-летие на рынке ИБ. Продолжились работы над расширением портфеля продуктов, а также обновлением существующих решений. Важным достижением стал вывод новых продуктов, в том числе первый на рынке MicroUSB-токен JaCarta для работы с ЭП на мобильных устройствах, а также JaCarta U2F-токен для усиления парольной аутентификации конечных пользователей онлайн-сервисов. Компания стала членом АРПП «Отечественный софт» и FIDO Alliance. Продолжилась работа с партнерами – лидерами рынка систем ДБО над созданием надежных решений для финансового сектора. Решения «Аладдин Р.Д.» выбрали Райффайзенбанк, Промсвязьбанк, банк «Центр-инвест». 42

upgrade the best publications 2015

№ 12 (140) DECEMBER 2015

ЛУЧШИЕ

Олег ДРОЖДИН, генеральный директор компании БИС

Евгений ЗАКРЕПИН, первый вице-президент компании «Техносерв»

На мой взгляд, 2015 год для банковского ИТ-рынка стал испытанием на прочность, как, впрочем, и для самих банков. Слияния и поглощения, отзывы лицензий, сокращение издержек – вот факторы, которые определяли состояние рынка и его участников в уходящем году. Несмотря на все трудности, БИС удалось показать хорошие результаты работы. Это стало возможным благодаря тому, что за 24 года работы мы накопили огромный потенциал для развития в разных экономических условиях и с удовольствием делимся им с нашими клиентами. Мы одними из первых предложили банкам ИТ-решения, которые оптимизируют бизнес-процессы и сокращают зависимость от разработчика. Я благодарю всех наших клиентов и партнеров за доверие! Уверен, что в 2016 году мы добьемся новых успехов и достойных результатов!

На наш взгляд, готовность банков к современным вызовам зиждется на оперативном введении изменений в ИТ-системы, круглосуточной доступности инфраструктуры и анализе сведений о клиентах, чтобы быть для них ближе, понятнее и удобнее. Поэтому нашим партнерам мы рекомендуем обратить внимание на направления, где ГК «Техносерв» обладает успешным опытом внедрений: автоматизация создания и управления тестовыми средами, мониторинг ИТ-инфраструктуры, включая мониторинг не только аппаратных средств, но и бизнес-процессов, внедрение таких приложений от «Техносерв», как iBanking и Collection, а также новые возможности по оптимизации и аутсорсингу инфраструктуры. И в заключение от лица «Техносерв» поздравляю наших партнеров и читателей NBJ с наступившим Новым годом! НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К И Й Ж У Р Н А Л

№ 12 (140) DECEMBER 2015

THE BEST UPGRADE 2015

ИT-партнеры для банков

Оливье КЕССОН, коммерческий директор международного сервис-провайдера Orange Business Services в России и СНГ

За более чем 20 лет работы с финансовыми организациями мы накопили значительный опыт и экспертизу и стали надежным партнером для банков. Более 250 российских и международных финансовых структур используют нашу инфраструктуру по всей России. Мы реализуем сложные инфраструктурные проекты и предоставляем самые различные сервисы – услуги защищенной IP VPN сети, телефонии, контактцентров, систем IVR, унифицированных коммуникаций, облачные решения. Мы также предоставляем услуги подключения к крупнейшим биржам, трейдинговые решения, услуги подключения банкоматов и комплексного обеспечения информационной безопасности. Н А Ц И О НАЛЬНЫ Й БАНКОВСК ИЙ ЖУРНА Л

Светлана КОНЯВСКАЯ, заместитель генерального директора ЗАО «ОКБ САПР»

Георгий КРАВЧЕНКО, генеральный директор Компании BSS

2015 год мы посвятили любимому делу разработчиков – развивали теоретически совершенную концепцию в технически совершенную линейку устройств. Главным успехом года в деле создания компьютеров на базе «новой гарвардской» архитектуры мы считаем защищенный планшет TrusTPad: «личное», неконтролируемое устройство мы сделали защищенным, сохранив возможности, которыми планшеты так дороги пользователям. Другому достижению – системе интеграции СЗИ НСД со СКУД и системами видеомониторинга на базе комплекса «Рассвет-СВМиКД» – посвящена моя статья в этом номере. Мы уверены, что в наступающем 2016 году эти решения займут достойное место в финансовых организациях. А внедрять свои новые разработки – тоже любимое дело разработчиков!

BSS предоставляет банкам технологии, позволяющие зарабатывать больше. Мы сделали ДБО омниканальным, наша единая платформа облегчает работу клиентам банков и банковским сотрудникам. Мы предлагаем существенно повысить уровень безопасности ДБО и снизить риски фрода за счет новых способов аутентификации. Мы работаем над конвергенцией платформ для юридических и физических лиц. Это эффективнее с точки зрения развития технологий ДБО и более выгодно в обслуживании, разработке новых интерфейсов, обеспечении высокой скорости внедрения новых банковских продуктов. Благодарим наших клиентов за доверие и желание развивать свой бизнес вместе с BSS. Нет сомнений, что в будущем 2016 году нас ждут грандиозные свершения. С наступившим Новым годом! upgrade the best publications 2015

THE BEST UPGRADE 2015

15 20 16

№ 12 (140) DECEMBER 2015

ЛУЧШИЕ

Олег КУЗЬМИН, заместитель генерального директора Компании ИНВЕРСИЯ

Юрий МАКСИМОВ, генеральный директор Positive Technologies

Вячеслав МЕДВЕДЕВ, ведущий аналитик отдела развития ООО «Доктор Веб»

Для нас 2015 год особенный: нам исполнилось 25 лет! Многое сделано за эти годы, но мы не останавливаемся на достигнутом! Запущен в промышленную эксплуатацию проект ОТП банка – Touch Bank. Завершается переход на нашу платформу в крупном региональном банке «Таатта». Начались активные продажи новых фронт-офисных решений. Продолжается работа по переписыванию клиентского интерфейса на современных инструментах, позволяющих эксплуатировать наши решения в плотной интеграции с разработками других компаний. В этом году нашими новыми клиентами стали восемь банков и одна микрофинансовая организация. Желаем читателям журнала в наступившем году счастья и успехов!

Cтремительному росту Positive Technologies в 2015 году не помешали ни кульбиты российской экономики, ни западные санкции, ни чертова дюжина в графе «возраст» – в этом году компания отпраздновала 13-летие. Благодаря выходу новых продуктов – PT Application Firewall, PT Application Inspector и MaxPatrol SIEM – компания основательно потеснила лидеров рынка. Positive Technologies стала первым российским вендором в рейтинге Magic Quadrant for Web Application Firewalls аналитического агентства Gartner, получив статус визионера. С начала года Positive Technologies успешно реализовала более 60 проектов в таких компаниях, как АO «Национальная система платежных карт», страховая компания «Согаз» и ОАО «Газпром нефть».

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации, ключевой игрок на российском рынке защитного программного обеспечения. 2015 год продемонстрировал противоречивые тенденции: одни компании сократили ИТ-бюджеты, другие выбрали стратегию развития и увеличили вложения в эту сферу. Начата реализация инициатив в области импортозамещения, на рынок пришли новые поставщики. Несмотря на все ожидания, продолжился рост продаж антивирусных решений. В то же время подтвердились все прогнозы по вредоносным программам: злоумышленники расширили свое присутствие на тех платформах, которые ранее считались островком безопасности: Linux, Mac, Blackberry, iOS. Эта тенденция сохранится и в 2016 году.

upgrade the best publications 2015

НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К И Й Ж У Р Н А Л

№ 12 (140) DECEMBER 2015

THE BEST UPGRADE 2015

ИT-партнеры для банков

Владимир МИРОНОВ, вице-президент по финансам группы «Астерос» Отрасль информационных технологий во многом больше других зависит от экономического здоровья страны. Диверсификация бизнеса «Астерос» позволяет находить баланс между доходностью ключевых направлений работы – инжинирингом, системной интеграцией и ИТ-услугами. Уверенность в завтрашнем дне нам дают в том числе наши бизнес-партнеры, среди них ведущие банки страны, которые, несмотря на кризисную ситуацию, выполняли и выполняют все условия заключенных контрактов и оказывают полноценное финансовое содействие на приемлемых для бизнеса условиях. Мы также благодарим наших клиентов из банковской сферы за оказанное доверие в реализации крупных инфраструктурных проектов. Н А Ц И О НАЛЬНЫ Й БАНКОВСК ИЙ ЖУРНА Л

Дмитрий НОВИКОВ, коммерческий директор «С-Терра СиЭсПи» Компания «С-Терра СиЭсПи» – ведущий российский разработчик и производитель сертифицированных средств сетевой защиты (VPN). В 2015 году компании исполнилось 12 лет. Дата была отмечена сразу тремя новинками, соответствующими присущему юности максимализму. Были представлены самый маленький на российском рынке шлюз безопасности С-Терра Шлюз 50, инновационный высокопроизводительный С-Терра Шлюз 10G, а также Универсальный сервисный криптомаршрутизатор ESR-ST российского производства. Мы ожидаем, что в 2016 году компания продолжит свое динамичное развитие, увеличив присутствие на рынке средств информационной безопасности, внедряя новые проекты с нашими партнерами и предлагая интересные решения для заказчиков, включая крупнейшие банки РФ.

Кирилл РАДЧЕНКО, генеральный директор компании Best2Pay

2015 год полностью подтвердил жизненную позицию нашей компании – всегда надо быть на шаг впереди рынка. Только так можно составлять достойную конкуренцию даже более крупным игрокам. Поэтому и в 2016 году, и во все последующие годы мы сохраним верность этому принципу. У Best2Pay серьезные планы на 2016 год – выход на зарубежные рынки и дальнейшее совершенствование нашей линии продуктов, позволяющей банкам быстро решать любые задачи в сфере онлайн-платежей. Будем дальше развивать и наш «якорный» продукт – Best2Transfer. Первые результаты его использования оказались весьма впечатляющими, и мы убеждены, что интерес к нему продолжит расти. upgrade the best publications 2015

THE BEST UPGRADE 2015

15 20 16

№ 12 (140) DECEMBER 2015

ЛУЧШИЕ

Дмитрий СЛОБОДЕНЮК, коммерческий директор ARinteg (ООО «Антивирусные решения»)

Андрей СЫКУЛЕВ, генеральный директор компании «Синимекс»

Сергей ТИХОМИРОВ, первый заместитель генерального директора группы компаний CUSTIS

2015 год ознаменован для российской ИТ-отрасли выходом приказа Минкомсвязи об отраслевом плане импортозамещения программного обеспечения. В связи с этим остро стоит вопрос о применении решений от разработчиков отечественного софта. К одному из ключевых проектов ARinteg по итогам года относится внедрение системы управления правами доступа и учетными записями пользователей от компании Avanpost в крупнейшем в России интернет-магазине модных товаров Lamoda.ru. Также значимым для нас стало введение в эксплуатацию программно-аппаратного комплекса односторонней передачи информации в одном из крупнейших банков РФ. Мы сертифицировали во ФСТЭК это решение и пилотируем его в нескольких крупных компаниях.

В 2015 году мы реализовали ряд значимых проектов для давних партнеров – Группы ВТБ, ГПБ (АО), АО «АЛЬФАБАНК», АО «ЮниКредит Банк» и АО «Райффайзенбанк», а также новых клиентов – ПАО «Лето Банк», ПАО «МТС Банк» и ПАО «Росбанк». Мы смотрим на кризис как на период затишья перед новым ростом, время для наведения порядка в «бэке» и поиска новых возможностей во «фронте». «Синимекс» строго исполняет взятые на себя обязательства, сохраняет высокое качество выполнения работ и проявляет гибкость и скорость в принятии решений в ходе подготовки и выполнения проектов. Наша цель ― долгосрочные и честные партнерские отношения с заказчиками, основанные на взаимной выгоде и удовольствии от совместной работы.

Мы с умеренным оптимизмом оцениваем среднесрочные перспективы рынка банковских информационных технологий и полагаем, что в условиях кризиса особенно важно оперативно отвечать на запросы и потребности бизнеса. Сегодня растет спрос на проекты, повышающие эффективность банков и открывающие им новые рыночные перспективы. Поэтому мы работаем над реализацией технологических платформ и ИТ-инструментов для прозрачного и целостного управления банковской деятельностью и предлагаем финансовым институтам новый подход к мониторингу эффективности и управлению бизнес-процессами. В 2016 году мы продолжим помогать нашим партнерам отвечать на вызовы рынка с помощью высоких технологий.

upgrade the best publications 2015

НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К И Й Ж У Р Н А Л

№ 12 (140) DECEMBER 2015

THE BEST UPGRADE 2015

ИT-партнеры для банков

Андрей ФЕДОРЕЦ, генеральный директор компании АйДиСистемс

Валерий ЧАУСОВ, управляющий партнер компании Intersoft Lab

Решения от АйДиСистемс в 2015 году стали стандартом для работы с госорганами. Более четверти российских банков, в число которых входят более 30 из ТОП-100, используют iDБанк для организации обмена с ГИС ГМП, РНиП Москвы, ЕСИА, ПФР, Реестрами банкротов и уведомлений о залоге, ФНС, ФМС, ФТС, ФССП России. Общее количество проектов компании превышает 340. Результаты обмена эффективно применяются для исполнения требований регулятора, для оптимизации внутрибанковских и организации новых клиентских сервисов. Это позволяет удешевить рутинные действия, увеличить комиссионную прибыль и неоценимо повысить лояльность клиентов. Мы поможем Вам победить!

Объективное подтверждение качества продуктов и услуг Intersoft Lab – долгосрочное партнерство с крупнейшими финансовыми организациями России. Банк «Возрождение» (ПАО), АО АКБ «НОВИКОМБАНК», ПАО «АК БАРС» БАНК, АО «ОТП Банк», ПАО «Росгосстрах Банк», АО «Банк Русский Стандарт» более десяти лет решают задачи бюджетирования и управления прибыльностью на ВРМ-платформе «Контур». Регуляторной и аналитической отчетности из хранилища Intersoft Lab доверяют в ПАО Московская Биржа, ОАО «АБ «РОССИЯ», ПАО «Банк «Санкт-Петербург», Банк ВБРР (АО) и АО «ГЛОБЭКСБАНК». Мы довольны своим развитием в 2015 году: вышла система оценки качества данных и ALM-приложение.

Н А Ц И О НАЛЬНЫ Й БАНКОВСК ИЙ ЖУРНА Л

Сергей ШИЛОВ, управляющий партнер компании AT Consulting Финансовый год мы закрываем в конце марта – планируем, что итоговый рост выручки составит 10–15% в рублевом выражении. Цифры, конечно, не очень большие, но AT Consulting позитивно смотрит на ситуацию: удалось привлечь новых клиентов, а со старыми запустить новые проекты. Это при том, что в целом рынок ИТ переживает спад. Мы реализовали множество интересных проектов в этом году. Например, AT Consulting выступила партнером Сбербанка в его проекте модернизации сайта, который стал еще удобнее для пользователей благодаря адаптивной верстке и функциям таргетирования и персонализации. Сейчас среди наших клиентов в банковской сфере – Сбербанк, группа ВТБ, Альфа-Банк, Лето Банк, МТС Банк, БИНБАНК, ОТП Банк, Росбанк, банк «Возрождение» и многие другие. upgrade the best publications 2015