Фото: Организатор Positive Hack Days 9

Дискуссия о том, какое место в финансовых учреждениях будущего уготовано службам ИБ, самым неожиданным и одновременно естественным образом трансформировалась в дискуссию топ-менеджеров кредитных организаций и представителей Банка России.

Своим мнением поделились руководители подразделений ИБ отечественных банков из числа топ-20, представители регулятора и ведущих компаний отрасли. Модератор — Олег Седов («Ростелеком-Solar»). Участники: Дмитрий Гадарь (Тинькофф Банк), Андрей Думанский (ФинЦЕРТ Банка России), Алексей Качалин (Центр киберзащиты Сбербанка), Сергей Пазизин (ВТБ), Николай Клендар (Home Credit and Finance Bank), Александр Омельченко (Альфа-Банк) и Роман Кобцев (компания «Перспективный мониторинг»).

Сбербанк будущего

Неожиданности начались с первых же минут, когда модератор предложил дать определение банку будущего. Поначалу мнения особенно не расходились: банк будущего — это некий life-style агрегатор как финансовых, так и прочих цифровых услуг, предоставляемых клиентам через каналы ДБО, который по максимуму использует все доступные достижения в сфере высоких технологий.

Однако, когда дело дошло до Сбербанка, выяснилось, что банк будущего помимо сказанного выше — это прежде всего безопасная и надежная организация. А оценивать и то, и другое, вероятно, будет уже не классический финансовый регулятор в лице ЦБ. Что можно добавить к этому, нашел только Роман Кобцев. По его словам, банк будущего — это не банк, а скорее большая «финансовая розетка», дающая доступ к полному набору финансовых сервисов. А кто регулирует розетки в нашей стране?

Что осталось делать модератору? Спросить у Алексея Качалина: «Сбербанк — это еще банк или уже нет?». На что последовал ответ: «Сегодня у Сбербанка есть лицензия ЦБ на ведение банковской деятельности, значит, это банк». Но при этом в Плане стратегического развития Банка, который находится в открытом доступе, обозначены очень широкие горизонты развития с точки зрения развития IT-сервисов и формирования экосистемы. Естественно, все они — безопасные и надежные сервисы как для существующего пула клиентов, так и для тех, кто захочет работать со «Сбером» в будущем.

«Мы банк, который хочет стать IT-компанией», — резюмировал Алексей Качалин, бросив взгляд на Артема Калашникова, представлявшего банковский регулятор. Казалось, можно было на этом заканчивать беседу, но, как выяснилось, поговорить еще было о чем.

ИБ того, не знаю, чего

Для Олега Седова эта ситуация стала, что называется, журналисткой удачей, хотя он и перешел на высокую должность в Ростелеком. Ему представился случай на правах модератора задать представителям банков из топ-20, включая топ-1, а также регулятору вопрос: «Чем отличается отношение к ИБ сегодняшнего банка и завтрашнего банка, который уже не будет банком?».

Вопрос оказался многовекторным. Ход дискуссии показал, что разбираться придется сразу со многими переменными. Во-первых, во взаимосвязи IT и ИБ. Во-вторых, во взаимосвязи ИБ и бизнеса. В-третьих, в роли и задачах регуляторов в условиях цифровой экономики. В-четвертых, в том,кто будет платить «налог на инновационность?»

Что касается взаимозависимости IT и ИБ, то с содержательным мнением представителя ВТБ никто не спорил. По словам Сергея Пазизина, изначально ИБ формировалась как часть IT, как гарантия того, что автоматизированные системы смогут выполнять свои функции. Угрозы на тот момент исходили главным образом от слишком «любопытных» пользователей. Задача защиты решалась тогда исключительно средствами IT. Хотя речь идет о 70-х годах прошлого столетия, в такой парадигме продолжает существовать множество компаний и поныне. Их основная черта — отсутствие «видимых невооруженным взглядом» значительных рисков ИБ. Для кого-то это далекое прошлое, а для кого-то — настоящее. И, как это ни прискорбно, в числе последних — множество поднадзорных мегарегулятору компаний. ЦБ это видит и предпринимает решительные меры.

Далее — о дне настоящем: на сегодняшний день в ряде отраслей (в том числе в банкинге) риски ИБ возросли и стали регулироваться межотраслевым Федеральным законом № ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации». Что касается злоумышленников, то они получили возможность использовать для атак дистанционные сервисы, находясь в относительной безопасности и оставаясь безнаказанности. А главное, у них появилась возможность монетизировать свои усилия. На этом этапе ИБ отделилась от IT, так как проявился конфликт интересов: для ИБ самая безопасная система это та, которая не работает вообще, а представители IT считают, что «безопасники» — это люди, которые ограничивают возможности развития. На этом этапе безопасность стала органом контроля, хотя технические средства были на стороне IT, оставляя ИБ «бумажную» безопасность. Это происходит сегодня.

Оценка ущерба от ИБ-инцидентов по принципу «сколько украли», более работать не сможет, необходимо оценивать весь спектр понесенных на безопасность затрат

То, чего стоит ожидать дальше, вероятно, будет в какой-то мере определяться таким законом диалектики, как переход количества в качество. У каждого человека в кармане появился смартфон, подключенный к Интернету. Мощности самых современных облачных систем и интеллектуальные IT-сервисы стали доступны едва ли не каждому. Соответственно у всех без исключения практически одномоментно экспоненциально выросли риски ИБ. Обладателями критической инфраструктуры, учитывая всеобщую связность, стали, по сути, все юридические и даже физические лица. А еще в состав участников информационного взаимодействия вошли программные роботы, обладающие элементами искусственного интеллекта. Поэтому оценка ущерба от ИБ-инцидентов по принципу «сколько украли», более работать не сможет, необходимо оценивать весь спектр понесенных на безопасность затрат. Что касается злоумышленников, то они объединились в мощные преступные транснациональные высокопрофессиональные сообщества, обладающие колоссальными финансовыми ресурсами.

На этом этапе парадигма «Найдут ли хакеры уязвимость и воспользуются ли они ей?» также перестает работать: «Обязательно найдут и обязательно воспользуются, особенно если это можно безнаказанно монетизировать».

В каждом сервисе, предоставляемом сегодня практически персонифицированно, существует свой набор рисков ИБ. В этой ситуации простое соблюдение стандартов, например, Банка России не решит проблему ИБ в финансах, так как риски будут носить общий характер. Очевидно, что рисками конкретного сервиса необходимо будет управлять, учитывая особенности именно этих рисков, а не присущих организации в целом.

Роль ИБ в этих условиях меняется кардинально. Она не может быть просто контроллером. С одной стороны, ИБ вновь сближается с IT. Яркий пример тому — SandBox. А с другой стороны, гонку скоростей time-to-market, которую требует от всех бизнес, невозможно обеспечить по старинке, путем написания технического задания, последующего согласования с ИБ и т.д. В эпоху Agile ИБ должна участвовать в разработке продуктов с самого начала, имея возможность корректировать как саму услугу, так и методы ее реализации прямо в процессе формирования продукта.

К чему это приводит? Безопасность становится бизнес-фактором, который участвует в формировании конкурентоспособности бизнеса. Что-то из этого недалекого будущего уже сейчас находит свое отражение в документах регуляторов. Причем сейчас уже нет документов только по ИБ, охватываются более широкие понятия. Поэтому будущее — за ИБ, как неким элементом, который пронизывает весь бизнес банка и окружающую его инфраструктуру.

В качестве вывода из этой части дискуссии необходимо отметить, что любому бизнесу в недалекой перспективе придется работать в многоукладной, во-многом токсичной, среде, где общий уровень ИБ будет во-многом определяться ее ролью и местом в конкретной организации, а также качеством ее взаимодействия с рыночными и отраслевыми регуляторами.

Что касается представителя регулятора, то он посетовал на то, что главная проблема с ИБ в банках ниже топ-20 — это их менеджмент, который видит в ИБ исключительно источник затрат. Задача регулятора — показать бизнесу на примере других, к чему может привести инцидент: «уУбеждение после проверки».

Понятие «безопасность» — синоним слова «тормоз»?

Но ИБ, в свою очередь, должна стать ближе к бизнесу и понимать, куда тот движется, помогая ему создавать сервисы безопасными решениями «из коробки». Сказать это легко, а вот когда технологии появляются и умирают чуть ли не каждый день, сделать так становится все сложнее. Так тормоз ИБ для бизнеса или нет?

Опыт развития микросервисной IT-архитектуры, например, показывает, что в ближайшей перспективе крупные команды разработчиков будут дробиться на более мелкие, в которых должны быть свои «агенты» по безопасности. Их задача — помогать делать сервисы сразу «правильными» по дизайну. Здесь роль ИБ заключается в повышении культуры разработки вне зависимости от размера коллектива девелоперов.

Классическая роль ИБ — это контроль и наведение порядка, разграничение зон ответственности, обеспечение операционной безопасности, а также выстраивание ИБ на всех этапах жизненного цикла в DevOps и в проработке клиентского опыта в будущих система. Всю эту цепочку необходимо держать под контролем. Инструменты этого контроля должны быть эффективными, быстрыми и не замедляющими разработку. Если это DevOps, значит, должно быть автоматизированное средство проверки. И улучшение инструментов проверки должно закладываться в сами эти средства, тем самым ускоряя процесс разработки, а не удлиняя его.

Если рассматривать в этом контексте систему антифрода, то она должна помогать развивать бизнес, выводить на рынок новые услуги, поднимать лимиты по операциям, т.е. увеличивать возможности для бизнеса, сохраняя при этом управляемость рисками компании и позволяя соблюдать комплаенс. При этом необходимо отслеживать и то, как встраиваемые системы ИБ влияют на клиентский опыт.

В конце этого диалога был сделан следующий вывод: «Тормозом для бизнеса может стать что угодно, если оно не вписано в бизнес-процессы. С выходом на рынок провайдеров псевдофинансовых сервисов, не регулируемых ЦБ,(кошельков типа Apple Pay, социальных сетей, мессенджеров и т.д.), банкам придется становиться гораздо гибче. Этого можно добиться, если заработает формула IT = ИБ. А это с учетом итогов начала сессии сделать крайне непросто. Но если этого не делать, то банк рискует превратиться в портал в аномальный параллельный финансовый мир».

Таким образом, с точки зрения клиента, банк будущего — это сервис, все риски которого застрахованы, раз ИБ становится частью бизнеса.

Скорее числом, нежели умением

Финал сессии запомнился жаркой дискуссией о том, что такое новые технологии с точки зрения банка — это революция или эволюция?

Олег Седов не уставал подливать масла в огонь: «У меня есть подозрение, что бизнес все больше и больше работает в венчурном формате. Ведь там, где высочайшие риски, — там и прибыль. Кто первый вышел на эту поляну, тот и получил прибыль. Второй — крошки. Третий может и не выходить. Все это напоминает состояние, когда количество неизвестных превышает количество уравнений. В банках появляется масса вещей, которые неуправляемы и неконтролируемы. Так какая стратегия более выгодна: следовать за лидерами или самому стать лидером?».

Представитель Сбербанка был настроен достаточно миролюбиво. Его мнение заключалается в том, что у «Сбера» существует инновационная лаборатория, задача которой — поиск disruption-направлений, которые могут в принципе изменить существующий бизнес или создать новые его направления. Есть в «Сбере» лаборатория кибербезопасности, осуществляющая поиск таких технологий и передачу их в разработку. Это быстрые команды, которые строят гипотезы и отрабатывают прототипы, что привносит контроль и дисциплину, то есть соответствует базовым принципам Банка, связанными с безопасностью, надежностью и т.д.

Цифровая экономика снимает множество барьеров, что, в свою очередь, ведет к тому, что топ-3 начинают перетягивать на себя все больше и больше доходов

Disruption-компании, наделавшие немало шума в последнее время, по мнению представителя крупнейшего банка страны, зачастую наступают на одни и те же грабли и в погоне за time-to-market не проводили работы, связанные с оценкой рисков. Поэтому у них есть склонность к детским болезням. Велика вероятность того, что после прохождения первых этапов получения инвестиций и наращивания клиентской базы они начинают спотыкаться. Это приводит к тому, что «версия 1.0» такого дисраптора закрывается и взамен пишется с нуля «версия 2.0», естественно, более вдумчиво и с учетом всех мер ИБ. А вот здесь уже поляна банка. В итоге подобные компании штурмуют рынок скорее числом, нежели умением.

Но модератора было не остановить, и его следующий вопрос был обращен к представителю Банка России: «Сколько банков из топ-20 могут позволить себе подобные исследования? А какая стратегия у всех остальных? Задача ли коммерческого банка делать результаты исследований достоянием всего сообщества? Кто может помочь банкам протестировать эти ноу-хау, оценить перспективность разработок?».

Последовавшая дискуссия была крайне любопытной и не менее конструктивной, из которой можно сделать два основных вывода.

Во-первых, ЦБ не на словах, а на деле участвует в инновационном процессе, выстраивая открытые платформенные решения, чем снижает порог входа в новые сервисы для всех: регулятивная песочница, биометрия, СБП, Мастерчейн и т.д.

Во-вторых, и это общее мнение участников, если считать сутью цифровой экономики минимизацию издержек на транзакциях благодаря новым технологиям, то возникает несколько следствий. Сокращение издержек ведет к эффекту перераспределения оборота, дохода, ответственности и соответственно возможности инвестировать. Цифровая экономика снимает множество барьеров, что, в свою очередь, ведет к тому, что топ-3 начинают перетягивать на себя все больше и больше доходов. Это происходит в любой цифровой системе.

Что касается ответственности, то ключевой постулат — ответственность должна быть определена, должны быть согласованные и проработанные, принятые всеми участниками, правила игры. Для этого и нужны регуляторы и новое поколение юристов, умеющих оперировать смарт-контрактами. Массу проблем привнесет Интернет вещей и умные вещи в совокупности с ботами, которые уже сейчас встраиваются в самые резные бизнес-цепочки (как внутри организаций, так и в цепочке партнерских отношений).

Фото: Вадим Ференец / «Б.О»

Но не это самое главное. Модель второй волны (следования за лидером) действительно до последнего времени была наиболее рабочей, но перестала быть таковой в условиях трансформации. Жизненный цикл выпуска цифровых продуктов сокращается и достиг примерно шести месяцев. По окончании этого срока необходимо решить: идет банк дальше или остается на месте. При этом инвестиции в развитие берутся из бюджетов, заработанных ранее. Если раз за разом выбирается безрисковая стратегия «подождать», то кредитная организация все больше отстает от лидеров, которые и соберут все сливки (или умрут по дороге, и такое бывает).

Описываемый процесс, который иногда называют «налогом на инновационность», снижает этот налог в абсолютной сумме для каждого, но при этом становится обязательным для всех. Однако любое внедрение инноваций должно быть с самого начала продумано с точки зрения того, в каком виде они дойдут до бизнеса. И, как ни удивительно, «вопрос про ИБ» тут далеко не первый с точки зрения того, какие будут барьеры на пути внедрения и интеграции инновации в реальные бизнес-процессы банка.

Наверное, поэтому финальная точка в дискуссии была поставлена Сбербанком: «У нас инновации рассматриваются как монолитная четверка: люди, процессы, технологии и культура. Без этого нас ждет путь в никуда!».