В банках довольно сложная IT-архитектура, зачастую использующая западные решения. Насколько сложно вписать в нее в рамах перехода на Open Bankig отечественные адаптеры API, интеграционные шины, подсистемы ИБ, базы данных? Можно ли это все полностью импортозаместить?

Олег Кузнецов, руководитель отдела продаж RU & CIS, Сybertonica

Особых сложностей в том, чтобы добавить элементы Open banking, нет. Потому что отечественные решения чаще всего построены на тех же базовых принципах и технологиях — спасибо стандартизации, продуктам с открытым исходным кодом и тому, что мы 20 лет существовали в едином технологическом мире. То есть многие банки и их инфраструктура весьма технологичны, а команды, которые с этой инфраструктурой работают, компетентны.

С полным импортозамещением сложнее. С одной стороны, российские финтех-компании — как стартапы, так и цифровые банки — находятся на мировом уровне. С другой, они находились там в том числе благодаря технологической конкуренции, которая не давала расслабиться, и доступу к западным технологиям и железу.   

К тому же одно дело — разрабатывть хорошую технологию «для себя» и оказывать на ее основе сервис, и совсем другое — продуктивизировать технологию и давать остальным игрокам рынка. Российский рынок не такой большой, и в точности повторить и превзойти глобальные продукты будет сложно — нужно выбирать: либо результат будет ограничен по функциональности, либо он будет дороже из-за отсутствия экономии при масштабировании. Радует, что не все зарубежные рынки закрыты для российских решений, посмотрим, что будет в 2023 году.

Алексей Зотов, генеральный директор eKassir

Из-за текущей геополитической ситуации ключевые вендоры программного обеспечения заявили об уходе с российского рынка. Соответственно зарубежные IТ-решения, лежащие в основе информационной инфраструктуры банков, требуют оперативного импортозамещения. Кроме того, если зарубежные решения являются элементами значимых объектов критической информационной инфраструктуры, их замена на отечественные аналоги обязательна до 2024 года включительно, согласно Указу № 166 от 30.03.2022. Для решения этих задач по поручению правительства РФ созданы индустриальные центры компетенции (ИЦК), целью которых является поддержка разработки отечественных аналогов отраслевых IT-решений. Такой ИЦК создан и в финансовой отрасли. Для обеспечения непрерывности бизнеса и в целях обеспечения импортонезависимости многие кредитные учреждения уже реализуют программы импортозамещения, поэтапно заменяя зарубежные IT-системы отечественными аналогами. Таким образом, вопрос «Можно ли это все импортозаместить?» нужно переформулировать: «Когда это все будет импортозамещено?». Ответить на этот вопрос можно утвердительно: в течение нескольких лет будет обеспечено преимущественное использование отечественного ПО, в том числе и в банках.

Что же касается отечественных адаптеров открытых API, то, на наш взгляд, они должны быть вписаны в любую IT-инфраструктуру банка независимо от того, на каком ПО она основана. Продукт компании eKassir под названием Open API Adapter разработан по стандартам SDLC (Systems Development Life Cycle) на современном стеке технологий и может быть установлен как на российские, так и на зарубежные операционные системы. Open API Adapter построен на базе другого решения eKassir — Identity Platform;, эта платформа является отечественным продуктом, внесенным в реестр российского ПО, апробированным временем, промышленными внедрениями и высокими нагрузками.

Константин Юрьев, руководитель продуктового направления RNDSOFT

Обычно у западных решений есть свое API, но основная сложность заключается в адаптации его к стандартам Банка России. Именно поэтому нужен дополнительный адаптер, который будет «розеткой» по стандарту. Решить задачу можно двумя способами: самостоятельно или с привлечением вендора. Вендоры справятся быстрее и дешевле, поскольку имеют большой опыт интеграций или готовые адаптеры.

Адаптер к Open Banking будет типовым решением для прохождения сертификации, которое также включает в себя блок безопасности по стандартам ФАПИ.СЕК, криптографической защиты, OPENID Connect и т.д. Останутся работы по интеграции банка и адаптера. Компания РНДСОФТ ведет разработку сервисной шины предприятия (ESB) с 2016 года. Наш продукт «Агредатор» является инструментом по импортозамещению таких решений, как IBM Bus и др.

Александр Гришин, исполнительный директор Corp.bank

Финансовый сектор является одним из основных потребителей информационных технологий. Сейчас, если банк не работает с финтех-сервисами, он отстает в своей деятельности от конкурентов. Поэтому важно следить за мировыми и российскими IT-трендами в финансах.

С одной стороны, банкам необходимы современные финансовые технологии, с другой — финтех-компаниям требуется доступ к банковским ресурсам и экосистемам. Сейчас все чаще можно увидеть взаимодействие между банками и финтехом. Сегодня банки ищут баланс между традиционным сервисом и современными финансовыми технологиями.

На рынке уже есть реальные примеры взаимодействия банков с технологическими компаниями. Примером такого сотрудничества стало партнерство с системой Corp.bank крупнейших банков — Сбера, Альфа-Банка, ВТБ, Газпромбанка, Россельхозбанка, Промсвязьбанка, МКБ, АБ «Россия», «ЮниКредит» и др. Именно прямая интеграция банков и бизнеса с помощью финтех-решения Corp.bank позволила сделать успешный платежный сервис.

Подобное взаимодействие крупнейших банков России с IT-компанией было трудно представить еще несколько лет назад. Сейчас это в порядке вещей, и таким образом банковская сфера демонстрирует свою открытость к сотрудничеству с технологическим бизнесом.

Западных решений в области Open API сейчас в России немного. Исторически иностранные решения не стремились заходить на российский рынок. Cофт в отечественных банках, кроме дочек иностранных банков, почти весь российский. Связано это с требованиями регулятора к банковскому рынку и с широтой рынка российского софта для банков. В России представлены крупные вендоры ПО для банков: ЦФТ, BSS, «Диасофт», iSimple, «Новая Афина», R-Style и многие другие. Поэтому для банков импортозамещение должно быть легким.

Достаточны ли, на ваш взгляд, требования по ИБ к сфере Open API? Не мешают ли они внедрениям?

Олег Кузнецов, руководитель отдела продаж RU&CIS компании Сybertonica

Требования по информационной безопасности часто кажутся завышенными до тех пор, пока не случается инцидент. Должен быть риск-ориентированной подход на основе рыночных механизмов. С нашей сточки зрения, неправильно диктовать рынку, что и как должно делаться, профессиональное сообщество способно само выбрать меры. Но регулятор должен задать понятный экономический механизм наказания за инциденты, желательно в судебном порядке. Возвращаясь к технологиям, нужно дать финансовым организациям средства для обеспечения безопасности Open API. При этом, раз мы говорим об открытых данных и интерфейсах, то и технологии безопасности должны быть более открытыми, доступными, возможно, распределенными и децентрализованными. Как раз такое решение мы и предлагаем — FraudHub.

Собственно, именно простота внедрения — одно из преимуществ Open API. Поэтому требования по ИБ должны сопровождать, но ни в коем случае не мешать.

Алексей Зотов, генеральный директор eKassir

Требования по безопасности Open API описаны в двух стандартах: ФАПИ.СЕК и ФАПИ.ПАОК. Оба стандарта не появились «из ниоткуда», а базируются на профилях безопасности международных стандартов Financial Grade API (FAPI), которые одобрены к использованию профильными специалистами по безопасности. С точки зрения ИБ к стандартам нет вопросов, они обеспечивают должный уровень безопасности Open API. Однако оба стандарта сложны сами по себе, требуют большого объема предварительных знаний и активно используют криптографические средства. Работа с криптографией, особенно с ГОСТ-алгоритмами, значительно осложняет понимание, разработку и внедрение. Было бы здорово, если бы ЦБ РФ помог при подключении к Open API за счет предоставления сертифицированных и одобренных программных компонентов, которые взяли бы на себя сложность при реализации ФАПИ.СЕК и ФАПИ. ПАОК. Мы готовы сотрудничать с ЦБ РФ и поделиться опытом подключения банков к Open API на примере решения Open API Adapter от eKassir.

Константин Юрьев, руководитель продуктового направления RNDSOFT

Требования по ИБ достаточны, но и неизбыточны. Безопасная аутентификация и авторизация, использование цифровой подписи, токенов и шифрования, использование TLS-протокола — вполне современные требования для любой информационной системы, связанной с финансами.

Все понимают важность безопасности доступа к управлению финансами наших сограждан. Поэтому требования по ИБ должны учитываться начиная с этапа проектирования информационных систем, работающих с OpenAPI. Однозначно, реализация мер ИБ требует дополнительных ресурсов и времени, это еще одна развилка для принятия решения — реализовывать все самостоятельно или совместно с вендором.

Александр Гришин, исполнительный директор Corp.bank

Думаю, что требования ИБ не мешают, а скорее направляют тренд развития Open banking, обогащают его новыми интересными функциями. Конечно, если требования по ИБ будут едиными, их будет проще выполнять не только самим банкам, но и финтех-компаниям, которые будут делать с ними интеграции. Этому, надеемся, помогут и концепция развития Open API, и опыт внедрения, которым банки делятся с коллегами, и требования Банка России по сертификации используемых банками решений в области ИБ.

Стандарт информационной безопасности открытых API будет обеспечивать совместимость с различными технологиями, которые применяют участники финансового рынка. Положения стандарта ИБ открытых API будут учитывать требования законодательства, регулирующих и надзорных органов.

Как отечественные решения в области Open API выглядят на фоне иностранных аналогов? Есть ли экспортный потенциал?

Олег Кузнецов, руководитель отдела продаж RU & CIS компании Сybertonica

Решения в области Open banking / Open API часто базируются на стандартах и требованиях регуляторов. В этом плане РФ идет в ногу со временем. Но если стандарты разные, без адаптации решения не будут обладать экспортным потенциалом. Это нужно учитывать при выработке нашего российского пути.

Вариантов — три:

1) изолироваться и идти специфическим путем;

2) продавливать требования, чтобы наши стандарты, подходы и протоколы принимали как стандарты, но это вряд ли возможно в текущей ситуации;

3) брать международные протоколы, но тогда мы будем играть ведомую роль. Однако нужна ли нам ведущая роль именно в этой сфере — вопрос. Есть более важные вопросы, например обеспечение безопасности и независимости критической информационной инфраструктуры. Будет ли Open API частью критической информационной инфраструктуры? Это тема отдельной статьи.

Есть еще путь взаимной международной коммуникации и создания совместных решений. Но это тоже больше вопрос к рынкам, которые готовы с нами сотрудничать, и мы открыты для дискуссий.

Алексей Зотов, генеральный директор eKassir

Open API реализуют постановления и стандарты Банка России и в первую очередь ориентированы на применение внутри страны. Экспортный потенциал есть, но тогда нужно:

• адаптировать решения для соответствия стандартам страны-импортера;
• решить вопрос с ГОСТ-криптографией. Нет уверенности, что за пределами России будут активно использованы ГОСТ-алгоритмы.

Успешное внедрение внутри страны создаст предпосылки для экспорта, однако прямо сейчас нужно сосредоточиться на подключении банков и финтех-компаний к Open API в РФ.

Константин Юрьев, руководитель продуктового направления RNDSOFT

Безусловно в 2019 году мы презентовали сервисную шину предприятия (ESB) «Агредатор» заместителю министра цифрового развития, связи и массовых коммуникаций Алексею Волину. Он сразу отметил экспортный потенциал. ESB решает инфраструктурные задачи, в том числе в направлении Open Banking: имеет готовые адаптеры (285 шт.) для интеграции с различными системами, гарантирует доставку данных, высокую производительность (более 1000 операций в секунду), отказоустойчивость, масштабируемость, имеет мониторинг и алертинг, работает с использованием различных систем оркестрации контейнеров и многое другое. Все эти требования присутствуют в любой компании, которая выносит интеграционный слой из имеющихся IT-систем и переходит на микросервисную архитектуру. Вопрос только в выборе вендора. Проверенных решений на рынке не так много, но они есть.

Александр Гришин, исполнительный директор Corp.bank

Следует разделить поставщиков решений для банков и финтех-компании, которые поставляют решения в области Open API, заточенные под конкретные бизнес-задачи.

Для банковских вендоров ключевой момент состоит в различии регуляторных требований в разных странах. Те страны, которые принимают опыт России, являются первыми кандидатами для реализации российского экспортного потенциала в банковской сфере.

Российские финтех-компани, такие как Corp.bank, напротив, обладают отличным экспортным потенциалом, так как могут перенести передовой клиентский опыт и функционал, который не связан со спецификой регулирования отрасли. В частности, система для прямой интеграции Corp.bank может выполнять любые требования по криптографии, авторизации и форматам документов и не несет требований по сохранению клиентских данных на сторонних серверах.

За рубежом обычно интересуются российскими разработками, тем более если решения грамотные, обладают необходимым функционалом и значительным уровнем безопасности.