Путь регулятора… в облаках
На ХI Уральском форуме, во время дискуссии «Перспективы применения RegТech и SupTech» был поднят вопрос использования облачных технологий. Причем, в международном контексте. Модератор дискуссии – заместитель председателя Банка России Василий Поздышев – рассказал, что один из главных вызовов настоящего времени – это создание системы регулирования технологических рисков. Суть проблемы в том, что на протяжении последних двадцати лет банковское регулирование занималось рисками, имеющими финансовую природу — недостаточность капитала, недосоздание резервов, риски ликвидности, процентные риски и т. д. И сегодня регулирование таких рисков хорошо развито. Но в последние пять лет стало понятно, что регуляторы во всем мире упускают риски, имеющие технологическую природу, что приводит к колоссальным потерям от кибератак – до 90-100 млрд долларов в год. Очевидно, что с учетом взрывного развития новых технологий риск такого ущерба будет только возрастать.
С учетом этого были определены направления работы финансовых регуляторов во всем мире. Первое направление — разработка и принятие стандартов в области кибербезопасности. В разных странах подходы к формулированию таких стандартов различаются, но в недалеком будущем нам придется работать над тем, чтобы сближать их друг с другом. Второе направление — составление и принятие дорожных карт по реализации технологических инноваций. Практически во всех дорожных картах присутствуют такие компоненты как идентификация и биометрия, мониторинг транзакций, централизованная система сбора и анализа отчетности, управление рисками и цифровизация регуляторных требований.
Принятие российской дорожной карты планируется в течение этого года.
Начальник Управления по обеспечению информационной безопасности Банка ВТБ Сергей Пазизин предложил использовать проект создания отечественной платформы для регуляторных и надзорных технологий как драйвер развития Российской банковской системы на основе использования облачных технологий:
На основе зарубежного опыта можно утверждать, что наиболее эффективными являются регуляторные и надзорные технологии, построенные с использованием облачных решений. Одним из таких примеров может служить система сбора и анализа отчетности Банка Австрии.
Преимущества облачных вычислений известны. Это рациональное использование оборудования в условиях неравномерной загрузки, быстрота получения услуги, экономия на капитальных вложениях, сокращение расходов на поддержку.
В ключевых докладах Уральского форума неоднократно подчеркивалась необходимость снижения издержек малых и средних банков, в том числе, связанных с обеспечением информационной безопасности. Создание облачных сервисов для небольших банков позволило бы решить эту задачу в комплексе, обеспечив практически полный аутсорсинг ИТ и безопасности. Проконтролировать соблюдение требований крупными поставщиками услуг значительно проще, чем проверять сотни небольших банков.
Что касается крупных банков, то их масштабы позволяют создавать собственные корпоративные облака и вкладывать достаточно средств в обеспечение информационной безопасности. Тем не менее, ряд продуктов в настоящее время предлагается только в облачном варианте, например, системы автоматизации предприятия, решения по биометрической обработке данных, различные сервисы для организации совместной работы сотрудников. Кроме того, крупные банки заинтересованы в использовании облаков при проведении пилотных разработок, а также в развитии облачных сервисов для своих клиентов.
Недостатки облачных решений также известны. Это:
отсутствие необходимого уровня гарантии непрерывности предоставления услуг;
возникновение неконтролируемых данных;
низкий уровень сервисов безопасности существующих облачных решений (о чем на данном форуме подробно говорилось в докладе компании Symantec).
Отсутствие явно выраженной позиции регулятора в отношении условий использования облаков в банковской сфере приводит к тому, что соответствующие услуги не развиваются в России, а банки все в большей мере используют иностранные публичные облака.
В качестве положительного примера можно привести вышедшие на прошлой неделе методические рекомендации по нейтрализации угроз, в рамках которых компания ЦФТ разрабатывает облачное решение для работы с Единой биометрической системой.
Тем не менее, вопрос об условиях возможности передачи банковской тайны для обработки в облачной платформе остается открытым. Например, до сих пор не понятно, считается ли размещение информации в облаке, которое обслуживает сторонняя организация, передачей информации третьему лицу? Или это исключительно аренда вычислительных мощностей, а все остальное зависит от того, как реализована система контроля и разделения доступа?
Есть и чисто технические проблемы. Например, задача физически раздельного хранения персональных данных уже не адекватна технологиям, применяемым на практике. В среде виртуализации это требование вообще невозможно реализовать.
Для решения указанных вопросов было бы целесообразным разработать рекомендации Банка России по использованию облачных технологий в серии «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» с учетом опыта разработки документа «Обеспечение информационной безопасности при использовании технологии виртуализации».
Если необходимо, можно также использовать возможности регулятивной «песочницы» Банка России, созданной специально для проведения пилотирования и быстрого внедрения новых финансовых сервисов и технологий, требующих изменения правового регулирования.
Инициировав создание отечественной платформы для регуляторных и надзорных технологий можно было бы не только решить задачи Банка России как надзорного органа, но и создать точку роста широкого спектра облачных сервисов для Российской банковской системы.
В перспективе, создание комплекса облачных приложений для небольших банков позволило бы, значительно снизить их расходы на выполнение требований информационной безопасности и, в целом, регуляторных требований. Крупные банки в обозримом будущем продолжат развитие своих автоматизированных информационных систем, но смогут использовать отдельные сервисы, там, где это им выгодно.
В целом расширение применения облачных решений банками будет способствовать повышению экономической эффективности, прозрачности и устойчивости банковской системы. А в части банковского надзора - позволит перейти от ретроспективного к превентивному выявлению нарушений.
Модератор дискуссии Василий Поздышев поблагодарил за доклад и отметил, что при обсуждении с банками каждого из проектов дорожной карты, рассматривается в том числе и вопрос, на базе каких технологических решений этот проект будет реализован. «Пока нет уверенности, что облачные технологии менее рисковые, чем другие. Аргумент сторонников облаков состоит в том, что в системы безопасности общественных облаков могут быть вложены настолько большие средства, какие ни один банк, даже Центробанк, в свое частное облако вкладывать не станет. Аргумент такой… обсуждаемый. На самом деле, будем смотреть каждый раз индивидуально», - подвел итог Василий Поздышев.
Артем Сычев, первый заместитель директора Департамента информационной безопасности Банка России, со своей стороны пригласил желающих поработать над стандартом безопасности облачных технологий на площадке ТК 122 в подкомитете по безопасности финансовых (банковских) операций. А также предложил более внимательно посмотреть на возможности использования текущих уже документов. Прежде всего, стандарта по аутсорсингу и рекомендаций по виртуализации.
Третью позицию со стороны регулятора представил и.о. директора Департамента финансовых технологий Банка России Иван Зимин. Он отметил, что в Банке России часто обсуждается вопрос применения облачных технологий. В конце 2018 года вышел обзор, в котором, в том числе, содержатся подходы регуляторов по аутсорсингу облачной инфраструктуры. «В этом году в рамках основных направлений развития финансовых технологий уже запланирована работа, связанная с выработкой предложений по использованию облачной инфраструктуры сторонних поставщиков, именно в кредитно-финансовой сфере. Поэтому мы в любом случае либо рекомендации, либо определенные требования в этой части предъявим», - сказал Иван Зимин.
Дальнейшая дискуссия по теме продолжалась с участием зала и в кулуарах форума. Учитывая большой интерес к теме применения облачных технологий в финансовом секторе, поднятой Сергеем Пазизиным, BIS Journal предоставил свои страницы для развития дискуссии.
.jpg)