А вам нравится «BIS Journal»?

Присоединяйтесь к обществу профессионалов по информационной безопасности.

«BIS Journal» рекомендует!
Нажмите МНЕ НРАВИТСЯ!

11 мая, 2018«BIS Journal» № 2(29)/2018

Скоробогатова Ольга

первый заместитель председателя (Банк России)


Думать на стадии проектирования

Как информационная безопасность становится неотъемлемой частью цифровой трансформации

Банк России принимает активное участие в реализации программы «Цифровая экономика Российской Федерации». В своем выступлении на Х Уральском форуме первый заместитель председателя Банка России Ольга Скоробогатова рассказывает о новых подходах и основных направлениях деятельности Банка России в сфере финансовых технологий и информационной безопасности.

 Публикуем стенограмму выступления в сокращенном виде.

ТРЕНДЫ И ВЫЗОВЫ В СФЕРЕ ИБ

Заметные изменения, которые мы наблюдаем на рынке технологий, влекут за собой возникновение массы новых проектов и экосистем. При этом вопрос «насколько эти технологии безопасны?» волнует инвесторов и потребителей в первую очередь.

Рисунок 1.

Рисунок 2.

Вопрос действительно не праздный. В 2017 г. число инцидентов ИБ в финансовой сфере увеличилось по сравнению с предыдущим годом в 2,3 раза (два года назад в 1,6 раза). Системы мониторинга показывают, что мошенники не просто развиваются вместе с технологиями, но делают это даже быстрее, придумывая все новые и новые способы фрода.

Мировые расходы на обеспечение ИБ коммерческих организаций в 2018 г. составят $93 млрд. (на 8% больше, чем в 2017 г.). Это общая цифра, охватывающая банковский и небанковский сектор экономики.

Финансовая отрасль является драйвером финансовых технологий, поэтому 58% кредитных организаций уже начали инвестирование в технологии для снижения киберрисков. Процесс этот неоднородный, кроме банков в создании новых безопасных платформ заинтересованы в первую очередь телеком и электронная коммерция. Представители этих трех отраслей все чаще объединяются в т.н. партнёрства или экосистемы.

Финансовые организации по всему миру, понимая свою ответственность перед клиентами, разрабатывают отдельные программы создания инструментов киберустойчивости. В то же время в России 40% таких организаций не имеют своих стратегий ИБ. Стоит оговориться, эта цифра не касается банков. В банковской сфере 70-75% кредитных организаций имеют детально проработанную стратегию ИБ, а 30% кредитных организаций предлагают детализировать существующую стратегию кибербезопасности.

В целом уровень проработки стратегий ИБ в российских организациях небанковской сферы находится на достаточно низком уровне. 48% компаний понимают, что нужно увеличивать расходы на ИБ и уже начали это делать, а 60% планируют вкладываться в инструменты защиты только к 2020 г.

ПРИОРИТЕТЫ 2018 ГОДА

Два года назад приоритетным направлением деятельности банков по нашим опросам было развитие цифровых технологий. Кибербезопасность стояла на четвертом месте. В 2018 г. банки поставили кибербезопасность и защиту данных на первое место (рис. 1, стр. 2 презентации). Соответственно и сами банки, и Центральный банк как регулятор должны понимать, как будет выстраиваться система киберзащиты на национальном уровне.

Но сфера мегарегулятора - это не только банки, но и некредитные финансовые организации, которые также должны иметь свои системы быстрого реагирования на возникающие угрозы. Актуализация и укрупнение задачи заставило Банк России принять решение о выделении направления информационной безопасности в отдельный департамент. Это связано как с прямым запросом рынка, так и с пониманием, как и в каком направлении нужно развиваться в данной области. Кроме того, внедряя новые решения и создавая новые платформы, Банк России планирует встраивать элементы киберзащиты уже на стадии проектирования.

Второе место в списке приоритетов 2018 г. занимает цифровая трансформация. Но мы уверены, что в ближайшие 5-7 лет будет преобладать уклон в сторону ИБ, пока не выстроится абсолютно понятная, прозрачная система, гарантирующая максимальную защиту как потребителя, так и национальных интересов.

На третье место среди приоритетов неожиданно вышел сравнительно новый тренд – развитие кадров и поиск талантов. В 2016 г. он занимал только седьмую позицию. До последнего времени не так много компаний и банков понимало, что нужно не только искать людей, но и вкладываться в их развитие и обучение.

В МИРЕ

Что происходит в мире в сфере ИБ?

В Европейском Союзе уже давно была принята платежная директива № 2, которая разрешает банкам и любым компаниям получать информацию о счетах и остатках по счетам в случае, если клиент согласен. Эта директива действовала как теоретический документ и не содержала элементов информационной защиты

25 мая 2018 г. вступает в силу другой документ - General Data Protection Regulation, в котором подробно прописаны основные правила по защите персональных данных (рис. 2 (стр 4 презентации). Правила сводятся к тому, что клиентов нужно правильно информировать о том, как их данные будут использованы, и получать их осознанное согласие на использование персональных данных в явной форме. В документе есть требования по защите информации как для кредитных организаций, так и для компаний широкого профиля. Вводится новая отчетность, которая уведомляет надзорные органы в области защиты персональных данных.

Но самое интересное, что произошло при выпуске этого документа: часть положений по ИБ вошла в противоречие с платежной директивой. И теперь ЕС не понимает, как ему поступить: убрать часть положений из платежной директивы и серьезно корректировать оставшиеся или упростить требования в части нового закона. С профессиональной точки зрения нам очень важно и интересно, как решат эту проблему коллеги из ЕС. Как мне кажется, им придется корректировать и первый, и второй законы, т.к. их надо синхронизировать, в противном случае система вряд ли заработает.

Еще одна причина противоречий: кредитные организации и те, кто владеет большими данными о клиенте, не готовы делиться со стартапами или технологическими компаниями, которые могут составить им конкуренцию. Поэтому в General Data Protection Regulation есть пункты, ограничивающие возможность обслуживания клиентов маленькими и средними компаниями. Я думаю, что уже в следующем году мы увидим варианты решения этих проблем.

Почему нам это важно? Потому что мы движемся в область финтеха и желаем не просто ее регулировать, но и содействовать ее развитию, включая создание правильных механизмов защиты. Соответственно нужно уже на стадии законодательных документов, организационных и технологических мероприятий детально согласовывать планы по этим направлениям.

Более того, в нашем понимании информационные технологии и информационная безопасность должны рассматриваться не как разные направления, а как неразрывные элементы, фундамент для единой цифровой экономики.

ВНУТРЕННЯЯ СТРАТЕГИЯ БАНКА РОССИИ

Два года назад Банк России как мегарегулятор принял для себя важное решение: не просто надзирать и регулировать финансовую сферу, а содействовать отрасли в развитии конкуренции, появлении новых продуктов, услуг и т.д. То есть не запрещать новые платформы и технологии, а изучать их и, если это целесообразно, отражать новые задачи и тренды в нормативных документах, что должно приносить пользу и клиентам, и самому финансовому рынку.

В развитие такого подхода мы разработали внутреннюю стратегию «Основные направления развития финансовых технологий на период 2018-2020 годов», в которой определили семь направлений:

Правовое регулирование. Фактически мы уже живем в цифровом мире и активно пользуемся понятиями и определениями, которых тем не менее все еще не существует на уровне законодательной базы: смарт-контракты, распределенные реестры, валидация, майнинг и т.д. Чтобы использовать и осуществлять в реальной практике все то, что стоит за этими словами, нужно, как минимум на нормативном уровне, сформулировать что это такое и понять, как эти термины и определения могут использоваться в защите инвесторов и клиентов. Первый шаг – систематизировать новые понятия и дать им определения – мы делаем совместно с Минфином и Минэкономразвития. Закон называется «О цифровых активах». Сейчас он проходит обсуждение, есть разногласия, но в части основных понятий и определений стороны пришли к общему пониманию.

Развитие цифровых технологий на финансовом рынке. В 2016 г. Центробанк и участники рынка создали Ассоциацию «Финтех», поскольку в существующей парадигме развития невозможно двигаться вперед, не сотрудничая и не содействуя друг другу. На этой площадке мы обсуждаем перспективные технологии, проекты, платформы, вырабатываем подходы, устраивающие и регулятора, и рынок, планируем совместные мероприятия. Недавно мы договорились, что в рамках осуществления программы «Цифровая экономика РФ» все вопросы цифровых технологий в финансовой сфере будут обсуждаться на площадке Ассоциации «Финтех», т.к. в нее входят именно те участники, которые способны профессионально оценить предложения и оказать помощь в выработке планов по их реализации.

Переход на электронное взаимодействие между Банком России, органами государственной власти, участниками финансового рынка и их клиентами. Если говорить о Банке России и участниках рынка, то ситуация с электронным взаимодействием на данный момент выглядит нерадостно. При огромном количестве данных, которые мы получаем как регулятор, мы продолжаем нагружать финансовую сферу запросами в бумажном виде. И тут у нас необъятное поле для деятельности. Предполагается, что за три года мы полностью переведём общение с участниками финрынка на электронный документооборот. В 2017 г. мы запустили личные кабинеты. В этом году вышли нормативные документы, разрешающие банкам передавать информацию в электронном виде. Но главная наша цель заключается в том, что, получив информацию от банка, дальше работать с ней только через инструментарий управления большими данными и машинного обучения. Чтобы самим делать отчеты, необходимые справки, не перекладывая это на участников рынка.

Создание регулятивной площадки Банка России. Мы изучили международный опыт регуляторов разных стран - Сингапура, Англии, Швейцарии и др. - и решили двигаться в два этапа. На первом этапе создаем песочницу, она начинает свою работу во втором квартале 2018 г. Проекты в ней будут испытываться в тестовом режиме, без влияния на реальных потребителей. Почему? И Банку России, и участником рынка, и многими министерствам и ведомствам надо понять, как этот механизм будет работать, отладить его, внести изменения в нормативные документы. В 2019 г. начнется второй этап – запуск проектов в реальном секторе, но сначала в ограниченном периметре.

Взаимодействие в рамках ЕАЭС. Эта тема обсуждается на всех конференциях и семинарах, но, к сожалению, на уровне ЕАЭС нам до сих пор не удалось создать какие-то общие прогрессивные решения. Причин, объективных и субъективных, много.  Одна из них, например, - наши старые системы и платформы, которым сложно интегрироваться с европейским IT-ландшафтом. Но взаимодействовать необходимо. В этом направлении Банк России совместно с регуляторами ЕАЭС выработал план действий. В 2018 г. мы должны договориться по каким направлениям создавать новые платформы и какие технологии для этого применять. В 2019 г. планируем прописать дорожную карту по созданию общих решений.

Обеспечение безопасности и устойчивости. ИБ и киберустойчивость пронизывают все направления деятельности: и технологии, и инфраструктуру, и правовое... Тут на многое нужно взглянуть по-новому, поэтому мы специально выделили ИБ в отдельное направление. Зона постоянного внимания - это мониторинг и развитие своей собственной системы безопасности, как для внутренних целей, так и при взаимодействии с участниками рынка.

Развитие кадров в сфере финансовых технологий. Чуда ждать бесполезно. Никто не приведет за руку готовые талантливые кадры. Поэтому мы экспериментируем с образовательными программами на разных уровнях: университеты, вузы и даже школы. Например, мы договорились со Школой талантов «Сириус» о создании площадок, на которых талантливые дети будут не только учиться, но и вполне серьезно тестировать инновационные технологии, конечно, пока в ограниченном периметре.

О ПЛАТФОРМАХ

Как регулятор мы понимаем, что на уровне государства возможна синергия по многим направлениям, и создание инфраструктуры национального масштаба интересно всем участникам рынка.

Например, финансовый маркетплейс и платформа регистрации финансовых сделок - это те две платформы, которые мы сейчас обсуждаем. Они направлены на создание службы одного окна, когда клиент не ищет по разным банкам нужную услугу или сервис, а заходит на один портал, как в гипермаркет, и выбирает из множества продуктов разных производителей именно те, что ему подходят.

Финансовый маркетплейс поможет выбирать услуги и сервисы, а платформа для регистрации финансовых сделок – это личный кабинет, где хранится информация клиента о сделках как прошедших, так и текущих. Люди часто не помнят, сколько карт у них открыто, какие счета… И такая услуга-подсказка - в одном месте получить всю информацию о себе - будет крайне полезна.

Платформа быстрых платежей.  Мы заметно опаздываем в этой области, потому что мировой опыт показывают, насколько быстро такие инфраструктуры становятся востребованными как на уровне клиентов, так и на уровне банков. Мы предлагаем свое решение, то есть возможность для любого клиента, вне зависимости от того, в каком банке у него счет, переводить деньги по телефону или е-мейлу. Банки же, предлагая эту услугу через свои порталы и по своим тарифам, будут подключены к общей инфраструктуре. Банковская карта тут - один из инструментов, но точно не единственный.

Национальная система платежных карт. Одна из наших задач -  развитие новых инновационных услуг и возможность предоставления клиентам широкого спектра нефинансовых сервисов через программу лояльности, которую мы запускаем в этом году. По этой программе клиенты смогут получать кэшбеки в реальном выражении, а не в баллах. И за два года, с подключением всех участников, как торговых партнеров, так и банков, мы планируем вывести эту систему на качественно новый уровень.

Система передачи финансовых сообщений. Идея в том, чтобы уже на уровне ЕАЭС создать платформу по передаче сообщений между странами. Мы изучаем разные технологии, в том числе рассматриваем и свою, которую разработали на площадке АФТ. Это мастерчейн, переработанная версия, где за основу взят etherium. Но при этом нам удалось решить несколько задач, которые в etherium не решены. Например, повышение производительности и встраивание в систему российской криптографии. Получилась хорошая отечественная разработка, которая может быть использована для многих проектов.

Единая система идентификации и аутентификации (биометрическая платформа). Мы разработали законопроект, и он подписан президентом. Теперь нужно решить две сложные задачи: детально прописать нормативы работы этой платформы и создать приложение, которое можно закачать на смартфон, чтобы через него входить на сайт банка и проводить удаленную идентификацию. При этом интерфейс нужно совместить со всеми элементами безопасности и в то же время сделать дружелюбным для клиента. Вся программа должна заработать в июле 2018 г.

Сквозной идентификатор клиента. В этом вопросе издавна борются две идеи. Первая: создать уникальный идентификатор, к которому будут привязаны все остальные идентификаторы физического лица. Но после анализа множества проблем, с которыми пришлось бы столкнуться, рабочей сегодня является вторая идея. У каждого гражданина уже ест идентификатор: СНИЛС, паспорт, другие документы. Можно связать их внутренним технологическим идентификатором. Человек не будет его видеть, даже не будет его знать, но на уровне системы, вне зависимости от того, с каким документом он пришел в нужную ему организацию, весь профиль клиента становится доступным оператору. Сейчас эта идея детально обсуждается с Минэкономразвития и Минкомсвязи. Этот инструмент может стать одним из элементов единой биометрической платформы.  

Платформа для облачных сервисов. Пока это только задача. Тут мы имеем дело с тремя идеями, пришедшими к нам с рынка. Первая: создать юридическое лицо, которое будет заниматься развитием ИБ, выпускать готовые продукты, и потребители, в основном, малые и средние банки, станут их покупать. Вторая: вложиться в инфраструктуру со встроенными элементами ИБ. Третья идея - это полный аутсорсинг, включая IT-разработку, когда участник финрынка является только постановщиком задач.

Пока рынок обсуждает первый и второй варианты: или аутсорсинг продуктов ИБ, или аутсорсинг инфраструктуры со встроенными элементами ИБ. Возможна и комбинация, но пока еще ни одна компания не вышла с предложением взяться за такой проект. И сомнения тут понятны: такой проект потребует больших вложений, глубокого понимания работы рынка, а главное – гибкости при любом изменении в нормативных документах.

Платформа на основе технологии распределенных реестров. О Мастерчейне, как российской разработке, я уже упоминала. Сейчас эта технология запущена в трех проектах: электронные закладные, электронные аккредитивы и гарантии. Подписан закон, который определяет, что электронные закладные могут работать с июля 2018 г. Поскольку юридические нормы уже есть, в июле мы хотим попробовать в нескольких банках аккредитивы и гарантии, а в 2019 г. распространить их на весь реальный сектор.

РАЗВИТИЕ ИБ В КОНТЕКСТЕ ЦИФРОВОЙ ЭКОНОМИКИ

Из пяти направлений программы «Цифровая экономика РФ» три являются наиболее важными для Банка России: нормативное регулирование, информационная безопасность и информационная инфраструктура.

Стоит отметить, что именно в этой точке впервые в нашей стране сделана попытка кросссекторально посмотреть сферы, которые важны для многих отраслей. Например, в части новых технологий у Банка России есть серьезные пересечения с Минкомсвязи. Нам нужно многое обсудить, и мы начали этот непростой процесс. В начале пути, не скрою, было очень сложно, все пытались продвинуть исключительно свои специализированные идеи. Сейчас мы вышли на уровень, когда представители разных министерств и бизнеса стали смотреть на вещи шире, можно сказать, научились договариваться.

Нормативное регулирование сегодня – наиболее продвинутое направление. Тут есть утвержденный план, документы и сроки. Информационная инфраструктура и ИБ находятся в стадии обсуждения и выработки планов. Задачи большие, начиная от выработки подходов к большим данным по стране в целом до определения стандартов по информзащите в части персональных данных.

Представляю основные мероприятия Банка России по направлению «Информационная безопасность»:

Развитие нормативного регулирования в области информационной безопасности ЕАЭС;
Определение перечня необходимых стандартов обработки массивов больших данных;
Совершенствование законодательства в области персональных данных с учетом требований к ИБ;
Мониторинг и предотвращение рисков применения перспективных технологий идентификации;

И этот список далеко не полный. Например, важная задача - стимулирование рынка к созданию российской продукции в области ИБ. И в этой области у нас хорошие заделы, на этом поле мы вполне можем конкурировать с другими странами.

Самое главное, чтобы российская продукция действительно выходила конкурентоспособной и с ценой, приемлемой для рынка.


Мы в социальных сетях

События

Пн
Вт
Ср
Чт
Пт
Сб
Вс
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31