Василий Окулесский: От внешних врагов российские банки защищены существенно лучше, чем западные
CNews: Как бы вы охарактеризовали ситуацию в отечественном финансовом секторе с точки зрения требований ИТ? Сергей Крутов: Нужно сначала правильно сформулировать, наверное, основные требования к информационным технологиям банка. Прежде всего, это функциональность и, конечно, отказоустойчивость. Если говорить о функциональности, то нужно понять тот исторический период, который прошел путь развития банковской системы в России. Естественно, все функциональные системы банков развивались на протяжении длительного этапа в 10-15 лет и унаследовали все революционные преобразования, которые наблюдались в новейшей истории России. Поэтому сегодня так сложилось, что большинство российских банков работают на российских ВС. При этом, если брать, допустим, банки из первой тридцатки, то большинство из них работают на ВС собственной разработки. К сожалению, на сегодняшний день западные системы, при том, что имеют достаточно мощный персонал, демонстрируют только единичные успешные внедрения в России. И наверное, нельзя сказать, что они доведены до точки, до полного функционального развития. «Банк Москвы» во многих направлениях банковской деятельности является первым. В частности, мы первые предложили выдавать ипотечные кредиты без первоначального взноса. Одними из первых мы начали выдавать ипотечные кредиты под залог паевых инвестиционных фондов. В силу того что мы первые в технологии, нам нужна очень быстрая разработка. Если бы мы были на промышленной системе, российской или западной, то нам приходилось бы обращаться к разработчикам, к программе соответствующего технического задания и т.д. То есть время введения новых банковских продуктов в основном бы сводилось к определенным реальным срокам — месяц, два. Что, в общем, такой динамичный банк, как «Банк Москвы» не устраивает. С одной стороны, конечно, есть определенные недостатки собственной наработки, и всем они известны, но, тем не менее, у нас, наверное, одна из самых мощных национальных банковских систем в российском секторе. Что касается других функциональностей, скажем, казначейство, обслуживание ценных бумаг, дистанционное обслуживание и т.д. — это мы делаем сами и считаем наш опыт положительным. Это позволяет быстро внедрить новые продукты, а также обеспечивает мощную функциональность, чего мы не видим, так сказать, в универсальном ряду банковской системы. Второе важное требование, помимо функциональности — отказоустойчивость. Понятно, что к банку предъявляются повышенные требования в этом плане, поскольку сегодня мы обслуживаем клиентов в режиме 24х7. Естественно, мы не можем себе позволить простои, хотя бы даже кратковременные. Этому вопросу все банки уделяют очень большое внимание. Что мы делаем в этом направлении? Во-первых, идет централизация информационных ресурсов, что, с одной стороны, — лучший практикум, позволяет работать с целым массивом отказоустойчивых хороших центров, снижает риски в каждом случае. Помимо основного, у нас есть хорошие резервы для этого центра. Если говорить в целом о требованиях банковского сектора к сегодняшним ИТ, то, конечно, нельзя обойти и требования к кадрам. К сожалению, с ними сложилась достаточно трудная ситуация. Число рабочих мест растет, как везде, вслед за ростом ИТ-рынка — как и вообще растет банковский сектор. Наблюдается в целом интенсивный рост рабочих мест в секторе ИТ, поэтому мы испытываем некоторый дефицит ИТ-кадров. И это общая проблема. которую с большим трудом сегодня приходится решать. CNews: Насколько значительно увеличивается эффект бюджета банка за последние годы и за счет каких статей происходит этот рост? Сергей Крутов: Понятно, что есть естественный рост, или, скажем, линейный рост. Растет число филиалов, растет число точечных продаж, число отделений различных форматов. Наблюдается одновременный рост как отделений полноценного формата, так и мини отделений, кассовых узлов, обменных пунктов, продаж в торговых точках. Естественно, увеличивается число сотрудников, число компьютеров, серверные мощности, каналы и прочее. Такой линейный рост затрат в силу роста банковского сектора — это сигнал. Существенным на сегодняшний момент у нас в бюджете является рост затрат на каналы связи. Притом, что, конечно, с 2000-го года их качество и количество существенно увеличилось. Тем не менее, при открытии новых отделений, новых точек продаж, новых филиалов, мы, естественно, испытываем некоторые проблемы с каналами связи. Только в 2007 году произошло четыре достаточно крупных аварии на каналах одного из операторов. Если бы мы заблаговременно не предусмотрели резервные каналы связи, то понятно, что требования отказоустойчивости были бы нарушены. Следующий момент — нужно обеспечить некий резерв для интенсивного развития бизнеса. Мы можем работать на пределе, предоставляя бизнесу комфортные условия. Соответственно, привлекаем ряд консалтинговых компаний — как зарубежных, так и российских, которые помогают в этом вопросе. Возможно, это не существенный рост ИТ-бюджета, но, тем не менее, определенная его доля тут есть. Скажем, 5 лет назад мы не привлекали консалтинг в своей деятельности. Сегодня такое направление принципиально появилось. Ну, и наконец, в последние несколько лет усилились требования к лицензионной чистоте. Понятно, что, скажем, 10 лет назад мало российских банков были лицензионно чистыми. Сегодня это просто необходимо. Соответственно, в настоящий момент у нас лицензировано все, и за последние годы это тоже привело к некоторому увеличению бюджета. С другой стороны, можно отметить и некоторые его снижения. Скажем, крупные банки уже прошли этапы внедрения практики ITSM. Это финансово емкая акция, но требует единоразового вложения денег. А теперь мы используем те плюсы, которые она дает, не неся уже затрат. Кроме того, как я уже говорил, мы построили очень мощный основной центр и резервный вычислительный центр, что тоже привело к определенным затратам, а сейчас эти вложения будут окупаться. И в ближайшие 5 лет, наверное, мы не будем проводить таких крупных инвестиций в вычислительные ресурсы. CNews: Насколько актуальна для российских банков проблема защиты от инсайдеров, которых сейчас так много?
Кроме того, развитие российской банковской науки характеризуется тем, что она изначально строилась на более жестких требованиях к информационной безопасности. Поэтому защита от внешних врагов была на порядок выше, чем, скажем, в западных банках. За примером далеко ходить не надо — если мы посмотрим статистику внешних взломов, то мы найдем там только западные банки. Дело не в том, что другие банки скрывают подобные факты — многие вещи скрыть просто невозможно. Это действительно характеризует то, что от внешних врагов российские банки защищены существенно лучше, чем западные. А проблема внутреннего инсайдера, к сожалению, становится тем серьезнее, чем больше банк растет. Здесь есть свои методы защиты, и банки активно начинают их применять. Это совершенствование системы управления прав доступа, управления конфигурацией рабочих станций, контроль за любыми внешними отправлениями и получениями. Естественно, глаза не закроешь, и руки не отрубишь, поэтому всегда остается вероятность того, что кто-то просто в голове, в телефоне, на бумаге имеет информацию, которую потенциально можно «слить» наружу. Но с технической точки зрения сделано все, чтобы этого не произошло. CNews: В России вступил закон о персональных данных. Как вы подготовились к борьбе с утечкой конфиденциальной информации? Василий Окулесский: Банковский сектор России характеризовался тем, что персональные данные в какой-то мере покрывались законом о защите банковской тайны. Сведения о клиенте и его операциях подлежали закону о защите. И банки, еще на основании старых требований, защищали таким образом данные своих клиентов. Поэтому, в какой-то мере, они подошли к закону о защите персональных данных существенно более подготовленными, чем другие представители бизнеса. Другое дело, что сейчас рынок требует все новых и новых услуг — в том числе мобайл-банкинг, интернет-банкинг, которые, так или иначе, являются каналами передачи персональных данных. Это накладывает достаточно жесткие требования защиты. Поскольку развитие всей технологии идет от проектирования, тестирования к внедрению, на каждом этапе принимают участие, в том числе и сотрудники информационной безопасности. Эти вопросы мы проектируем заранее. Поэтому когда новые банковские продукты, что называется, находятся на пути и доводятся до клиента, все проблемы уже спроектированы и решены. В этом смысле исполнение требований в значительной мере у нас уже реализованы. CNews: Какие меры предприняты и предпринимаются вами в связи со стандартом Центробанка? Василий Окулесский: У стандарта информационной безопасности есть история, и она связана с тем, что российская банковская система собирается переходить на Basel II. Одно из требований управления информационными рисками — управление рисками информационной безопасности. Надо сказать, что стандарт очень нужен, потому что практически во всех банках своя собственная информационная безопасность и свое, не совсем одинаковое видение проблем. Когда появляется универсальный документ регулятора, все начинают, по крайней мере, говорить на одном языке. Это позволяет обрести уверенность банкам в том, что когда они работают с другими, все требования по защите данных выполняются. При том, что стандарт нужен, на мой взгляд, и на взгляд моих коллег из других банков, он пока достаточно сырой. Время покажет, насколько он имеет потенциал развития, и как банки будут его применять. На сегодняшний день единицы банков провели сертификацию на соответствие этому стандарту. У нас же ситуация такова, что основные требования стандарта у нас были учтены до того, как он вышел. У нас были введены свои методики оценки состояния информационной безопасности, мы их немного подкорректировали в соответствии с требованием стандарта, и как бы уже его у себя применяем. Вопрос сертификации на соответствие требованиям, я думаю, не стоит как обязательное требование. До тех пор, пока не будет каких-то серьезных объективных причин, думаю, банк не будет выполнять сертификацию третьими лицами. CNews: Какого рода ИТ продукты и решения, на ваш взгляд, в первую очередь необходимы сегодня банку? Сергей Крутов: Можно выделить 5 основных моментов, как уже говорилось, если посмотреть историю развития банковской системы России. Наверное, ни в одном банке сейчас нет единой системы, которая позволяла бы работать во всех направлениях. В частности, у нас есть отдельно банковская система и отдельно промышленная система, которая закрывает все другие направления деятельности. Такая проблема стоит перед всеми банками — особенно когда они объединяются. И основное решение, наверное, одно из самых простых — это интеграционный «шенген». Сегодня в России существует достаточно много успешных проектов такого рода. На рынке есть порядка пяти крупных игроков, которые этим занимаются. У всех решений есть определенные преимущества и недостатки. Сейчас перед нами, как и перед всеми другими банками, стоит вопрос интеграции всех рабочих систем в единую информационную систему. Эта работа ведется у нас уже на протяжении нескольких лет. Определенного успеха мы добились, но, тем не менее, сейчас мы все пересматриваем и пытаемся выбрать ту единую интеграционную машину, которая будет работать в дальнейшем, на протяжении ближайших пяти-семи лет. CNews: Какие наиболее значимые проекты вы сейчас реализуете? Сергей Крутов: Сегодня, я бы сказал, самый значимый проект, — это создание единого информационного пространства «Банка Москвы». Проект длится уже на протяжении 2,5 лет. Основным результатом явилось то, что мы создали единую клиентскую базу, что позволило обслуживать клиентов в Москве и московском регионе, в любой точке присутствия банка. Следующим этапом, я надеюсь, к концу этого года, мы реализуем эту услугу по всей территории России. Очень немногие банки предоставляют обслуживание в любом филиале, поэтому мы считаем, что здесь находимся на переднем рубеже. Достаточно серьезный проект, который находится на стадии завершения — это построение отказоустойчивого мегацентра, как основного, так и резервного. У нас закончен проект с резервным центром, внедрена защищенная комната площадью 80 кв. метров, которая полностью защищена от пожара. То есть, если здание сгорит, тем не менее, все данные, все серверы останутся в целости, и банк не потеряет никакую информацию. Понятно, что в случае такого форс мажора, нам понадобится некоторое время на восстановление каналов связи. Но мы это оцениваем достаточно реальным промежутком в несколько часов, пол дня, в крайнем случае. Сегодня мы закупили сетевую систему хранения данных, которая в ближайшее время будет установлена как в основном, так и в резервном центре. Надеюсь, что к концу года мы сможем уже говорить об отказоустойчивости 99,999% работы в году, что соответствует максимально 5 минутам простоя оборудования. Следующие серьезные проекты, которые непосредственно затрагивают ИТ — это развитие зон самообслуживания. Сейчас у нас идет резкое увеличение банкоматов и депозиторов, которые принимают наличные деньги. Завершено тестирование и внедряется в промышленную эксплуатацию функционал в ИТ-киосках, где человек может подойти и с помощью пластиковой карты провести любые операции — с карты на банковский счет, с банковского счета на карту, с карты на карту, естественно, оплатить некоторые услуги — коммунальные платежи, мобильный телефон и тому подобное. Ну, и наконец, одно из существенных направлений — это развитие мобильного банкинга. CNews: Банк Москвы за годы работы создал большую сеть отделений банкоматов, мы знаем, что более чем в 50-ти городах России открылись филиалы банка. Как ИТ-подразделением сегодня решаются задачи по созданию единого информационного пространства? Сергей Крутов: Я уже сказал несколько слов по поводу того, что мы построили единую базу. Дальше мы переходим на единый интернет-банк-клиент — как для юридических, так и для физических лиц. Затем — на централизованное решение по обслуживанию пластиковых карт. Таким образом, основной функционал, основной бизнес будет приведен в централизованное решение и будет создано единое информационное пространство. CNews: Ваш банк является участником нового проекта «Социальная карта москвича». В планах правительства Москвы со временем сделать эту карту аналогом удостоверения личности. Какие проблемы придется решать в этом случае банку как эмитенту карты? Сергей Крутов: Для нас очень важна социальная функция, и понятно, что мы к этому очень внимательно относимся. Нельзя допустить, чтобы уважаемые пенсионеры имели какие-то трудности при работе с социальными картами. Они воспринимаются сегодня больше как карты, которые позволяют пенсионерам и необеспеченным социальным группам населения бесплатно проезжать в общественном транспорте. Но кроме того, она является одновременно и картой VISA Electron, позволяющей хранить наличные средства. Мы должны обеспечить достойную работу этих социальных карт, чтобы ни в коем случае не происходило сбоя. Понимая перспективу развития социальных карт, где-то полгода назад мы провели обновление основных серверов процессингого центра. Сейчас у нас есть двойной- тройной запас мощности, и мы полностью готовы к тому, что будем выпускать карту для всех москвичей. Будет развиваться функционал, к чему мы тоже готовы. Эта программа еще не утверждена, но, тем не менее, мы заблаговременно подготовились — и с точки зрения вычислительных мощностей, и с точки зрения понимания того функционала, который будет реализован. CNews: Большое количество клиентов ставят перед крупным банком, задачи управления большими объемами информации. Какие решения применяются для создания базы данных банка, централизованные, децентрализованные, динамические или статистические базы данных? Сергей Крутов: Наша основная банковская система построена, и это закреплено в нашей концепции развития, на промышленных решениях. Это известные традиционные базы данных Oracle и операционная система Windows, на связке которых построены наши основные решния. Мы используем динамические базы данных, которые достаточны — мы не видим проблем с производительностью, даже при том, что у нас существует отдельная система аналитической отчетности, в которой реализовано порядка 2,5 тыс. отчетов. С точки зрения аппаратного обеспечения, как я уже говорил, у нас система хранения данных последнего поколения, которая позволяет расширяться на сотни терабайт. Хотя, конечно, не просто было создать мощную инфраструктуру, которая позволяла бы обслуживать такое количество клиентов без каких-либо перерывов в работе. CNews: Расскажите об основных аспектах использования электронно-цифровой подписи в вашем банке. Как здесь решаются вопросы обеспечения безопасности? Василий Окулесский: Вопросы достаточно актуальные. После выхода закона об электронно-цифровой подписи банк принял решение о том, что вся система клиент-банк будет переведена на сертифицированное средство. В прошлом году мы разработали программу перевода и сейчас практически ее выполнили. На сегодняшний день в системе клиент-банк мы используем только сертифицированные средства генерации электронно-цифровой подписи. CNews: Какие вопросы, связанные с применением ЭЦП в российском финансовом секторе уже решены, а какие ожидают своего решения? Какие факторы сдерживают широкое развитие института электронно-цифровой подписи в России вообще, и в банковской сфере — в частности? Василий Окулесский: Развитие цифровой подписи — это естественное явление при создании юридически значимого электронного документооборота. Если мы собираемся развивать электронный документооборот как основу, в широком смысле, то тогда электронно-цифровая подпись становится неотъемлемым элементом системы. Если идти строго по букве закона, то использование цифровой подписи очень сложно в том плане, что в корпоративных сетях это делать совершенно не обязательно. Поэтому создание удостоверяющих центров, выдающих эти цифровые подписи, совершенно не обязательно аккредитовать в органах ФСБ. Для создания юридически значимого документооборота, в том числе и по системам клиент-банкинг, интернет-банкинг, мобайл-банкинг, на самом деле применение, собственно, цифровой подписи не обязательно. Закон позволяет нам заключать договоры с клиентами, применение любых вложенных средств, и некую процедуру разбора конфликтных ситуаций. При этом, если мы предупреждаем клиента о всех рисках, связанных с процедурой подтверждения платежей, то мы вправе применять эти средства. CNews: Существует ли разница между электронными банковскими услугами для физических и юридических лиц с точки зрения требований по обеспечению безопасности, а также защиты персональных данных? Василий Окулесский: Традиционно к защите платежей юридических лиц подходили более жестко. На сегодняшний день требования к обеспечению безопасности физических лиц у нас те же самые, что и для платежей юридических лиц. Они используют фактически одни и те же механизмы. Мы подняли информационную безопасность проведения платежей для физических лиц до уровня юридических лиц и поэтому физические лица на сегодняшний день могут пользоваться электронно- цифровой подписью. CNews: Расскажите поподробней о мобильных банковских услугах, таких как Mobile-Банкинг, WAP-Банкинг или SMS-Банкинг. Какие из этих услуг уже внедрены в вашем банке? Внедрение каких услуг ожидается в ближайшее время? Сергей Крутов: SMS- банкинг у нас уже несколько лет, и эта услуга в общем востребована. Мы бесплатно предоставляем ее владельцам кредитных карт. Естественно, работает, телефонный банкинг, у нас внедрен очень мощный функционал. По телефону можно получить информацию о платежах, о суммах в банке. Заканчивается разработка WAP-сайта, где в полном объеме будет реализован доступ к активным операциям. Услуга интернет-банкинга введена в полном объеме с электронно-цифровой подписью. Это удобно, бесплатно, и поэтому клиенты очень активно пользуются. CNews: Какие новые требования, предъявляются к подразделению ИБ банка в связи с ростом в последние годы опасностей террористических и техногенных угроз? Какие элементы вы решаете с этим вопросом? Василий Окулесский: Мы можем разделить их на две составляющие. Во-первых, на техногенные проблемы, связанные с физическим разрушением каналов, вычислительных ресурсов, файловых серверов. Как уже говорилось, здесь создается резервный центр и защищенная комната. Выполняется физическое и логическое пунктуальное резервирование каналов, использование каналов от нескольких поставщиков услуг. Во-вторых, есть такое понятие, как кибертерроризм. Для противостояния нему используются внешние защитные экраны, сетевые сканеры для обнаружения сетевых атак, мощные антивирусные комплексы, комплексы защиты от хакинга, спама и т. д. Чтобы все это работало, в классической системе информационной безопасности стоят планы по восстановлению работоспособности информационной системы после каких-то сбоев. Естественно, все эти планы остаются не только на бумаге, выполняются определенного рода тренировки — чтобы не было шока при «военных ситуациях». Опыт показывает, что такие тренировки позволяют работать на резервных средствах и восстанавливать работоспособность системы достаточно быстро. CNews: Спасибо. |
На вопросы CNews отвечают Сергей Крутов, управляющий директор блока ИТ «Банка Москвы», и Василий Окулесский, начальник отдела защиты информации «Банка Москвы».
Василий Окулесский: Проблема действительно, часто обсуждаемая. На всех конференциях, семинарах, тусовках этому, наверное, уделяется больше всего времени. Когда несколько лет назад банки начинали работать, проблема защиты информации, в основном, заключалась в том, что надо было защититься от внешнего нарушителя. Поэтому все системы безопасности строились на защите внешнего периметра. В то же самое время банки были достаточно небольшие, всех своих сотрудников знали, всем им доверяли. И мысль о том, чтобы защищаться от своих, была просто абсурдна. Но по мере роста банка проблема стала подниматься, привлекались люди, которые недостаточно друг друга знают, просто посторонние. Чисто физически их количество росло, поэтому возникла проблема упорядочения внутренних отношений.
