Задачи регулирования и перспективы использования облачных технологий
На ХI Уральском форуме, во время дискуссии «Перспективы применения RegТech и SupTech» был поднят вопрос использования облачных технологий. Причем, в международном контексте. Модератор дискуссии – заместитель председателя Банка России Василий Поздышев – рассказал, что один из главных вызовов настоящего времени – это создание системы регулирования технологических рисков.
Суть проблемы в том, что на протяжении последних двадцати лет банковское регулирование занималось рисками, имеющими финансовую природу — недостаточность капитала, недосоздание резервов, риски ликвидности, процентные риски и т. д. И сегодня регулирование таких рисков хорошо развито. Но в последние пять лет стало понятно, что регуляторы во всем мире упускают риски, имеющие технологическую природу, что приводит к колоссальным потерям от кибератак – до 90-100 млрд долларов в год. Очевидно, что с учетом взрывного развития новых технологий риск такого ущерба будет только возрастать.
С учетом этого были определены направления работы финансовых регуляторов во всем мире. Первое направление — разработка и принятие стандартов в области кибербезопасности. В разных странах подходы к формулированию таких стандартов различаются, но в недалеком будущем нам придется работать над тем, чтобы сближать их друг с другом. Второе направление — составление и принятие дорожных карт по реализации технологических инноваций. Практически во всех дорожных картах присутствуют такие компоненты как идентификация и биометрия, мониторинг транзакций, централизованная система сбора и анализа отчетности, управление рисками и цифровизация регуляторных требований.
Принятие российской дорожной карты планируется в течение этого года.
Начальник Управления по обеспечению информационной безопасности Банка ВТБ Сергей Пазизин предложил использовать проект создания отечественной платформы для регуляторных и надзорных технологий как драйвер развития Российской банковской системы на основе использования облачных технологий.
На основе зарубежного опыта можно утверждать, что наиболее эффективными являются регуляторные и надзорные технологии, построенные с использованием облачных решений. Одним из таких примеров может служить система сбора и анализа отчетности Банка Австрии.
Преимущества облачных вычислений известны. Это рациональное использование оборудования в условиях неравномерной загрузки, быстрота получения услуги, экономия на капитальных вложениях, сокращение расходов на поддержку.
В ключевых докладах Уральского форума неоднократно подчеркивалась необходимость снижения издержек малых и средних банков, в том числе, связанных с обеспечением информационной безопасности. Создание облачных сервисов для небольших банков позволило бы решить эту задачу в комплексе, обеспечив практически полный аутсорсинг ИТ и безопасности. Проконтролировать соблюдение требований крупными поставщиками услуг значительно проще, чем проверять сотни небольших банков.
Что касается крупных банков, то их масштабы позволяют создавать собственные корпоративные облака и вкладывать достаточно средств в обеспечение информационной безопасности. Тем не менее, ряд продуктов в настоящее время предлагается только в облачном варианте, например, системы автоматизации предприятия, решения по биометрической обработке данных, различные сервисы для организации совместной работы сотрудников. Кроме того, крупные банки заинтересованы в использовании облаков при проведении пилотных разработок, а также в развитии облачных сервисов для своих клиентов.
Недостатки облачных решений также известны. Это:
- отсутствие необходимого уровня гарантии непрерывности предоставления услуг;
- возникновение неконтролируемых данных;
- низкий уровень сервисов безопасности существующих облачных решений (о чем на данном форуме подробно говорилось в докладе компании Symantec).
Отсутствие явно выраженной позиции регулятора в отношении условий использования облаков в банковской сфере приводит к тому, что соответствующие услуги не развиваются в России, а банки все в большей мере используют иностранные публичные облака.
В качестве положительного примера можно привести вышедшие на прошлой неделе методические рекомендации по нейтрализации угроз, в рамках которых компания ЦФТ разрабатывает облачное решение для работы с Единой биометрической системой.
Тем не менее, вопрос об условиях возможности передачи банковской тайны для обработки в облачной платформе остается открытым. Например, до сих пор не понятно, считается ли размещение информации в облаке, которое обслуживает сторонняя организация, передачей информации третьему лицу? Или это исключительно аренда вычислительных мощностей, а все остальное зависит от того, как реализована система контроля и разделения доступа?
Есть и чисто технические проблемы. Например, задача физически раздельного хранения персональных данных уже не адекватна технологиям, применяемым на практике. В среде виртуализации это требование вообще невозможно реализовать.
Для решения указанных вопросов было бы целесообразным разработать рекомендации Банка России по использованию облачных технологий в серии «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» с учетом опыта разработки документа «Обеспечение информационной безопасности при использовании технологии виртуализации».
Если необходимо, можно также использовать возможности регулятивной «песочницы» Банка России, созданной специально для проведения пилотирования и быстрого внедрения новых финансовых сервисов и технологий, требующих изменения правового регулирования.
Инициировав создание отечественной платформы для регуляторных и надзорных технологий можно было бы не только решить задачи Банка России как надзорного органа, но и создать точку роста широкого спектра облачных сервисов для Российской банковской системы.
В перспективе, создание комплекса облачных приложений для небольших банков позволило бы, значительно снизить их расходы на выполнение требований информационной безопасности и, в целом, регуляторных требований. Крупные банки в обозримом будущем продолжат развитие своих автоматизированных информационных систем, но смогут использовать отдельные сервисы, там, где это им выгодно.
В целом расширение применения облачных решений банками будет способствовать повышению экономической эффективности, прозрачности и устойчивости банковской системы. А в части банковского надзора - позволит перейти от ретроспективного к превентивному выявлению нарушений.
Модератор дискуссии Василий Поздышев поблагодарил за доклад и отметил, что при обсуждении с банками каждого из проектов дорожной карты, рассматривается в том числе и вопрос, на базе каких технологических решений этот проект будет реализован.
«Пока нет уверенности, что облачные технологии менее рисковые, чем другие. Аргумент сторонников облаков состоит в том, что в системы безопасности общественных облаков могут быть вложены настолько большие средства, какие ни один банк, даже Центробанк, в свое частное облако вкладывать не станет. Аргумент такой… обсуждаемый. На самом деле, будем смотреть каждый раз индивидуально», - подвел итог Василий Поздышев.
Артем Сычев, первый заместитель директора Департамента информационной безопасности Банка России, со своей стороны пригласил желающих поработать над стандартом безопасности облачных технологий на площадке ТК 122 в подкомитете по безопасности финансовых (банковских) операций. А также предложил более внимательно посмотреть на возможности использования текущих уже документов. Прежде всего, стандарта по аутсорсингу и рекомендаций по виртуализации.
Третью позицию со стороны регулятора представил и.о. директора Департамента финансовых технологий Банка России Иван Зимин. Он отметил, что в Банке России часто обсуждается вопрос применения облачных технологий. В конце 2018 года вышел обзор, в котором, в том числе, содержатся подходы регуляторов по аутсорсингу облачной инфраструктуры.
«В этом году в рамках основных направлений развития финансовых технологий уже запланирована работа, связанная с выработкой предложений по использованию облачной инфраструктуры сторонних поставщиков, именно в кредитно-финансовой сфере. Поэтому мы в любом случае либо рекомендации, либо определенные требования в этой части предъявим», - сказал Иван Зимин.
Дальнейшая дискуссия по теме продолжалась с участием зала и в кулуарах форума. Учитывая большой интерес к теме применения облачных технологий в финансовом секторе, поднятой Сергеем Пазизиным, BIS Journal предоставил свои страницы для развития дискуссии.
Источник: IB-Bank
Читайте также:
ПодписатьсяФАС наказала оператора: площадка неправомерно вернула заявку участника и продлила срок подачи заявок
В день окончания срока подачи заявок на площадке произошел технический сбой. Из-за этого оператор решил продлить срок на один рабочий день. Участник посчитал, что оператор не имел такого права. Кроме того, оператор вернул заявку участника, хотя на спецсчете было достаточно незаблокированных средств для обеспечения заявки.
Россиян предложили защитить от мошенничества с использованием электронной подписи
В Государственную Думу внесён проект федерального закона, защищающий граждан от мошеннических действий с их недвижимостью, совершаемых при помощи электронной подписи. Автором инициативы выступил глава Комитета палаты по госстроительству и законодательству Павел Крашенинников.