— Анатолий Анатольевич, с чего начиналось движение к развитию аутсорсинга в финансах?

— Около пяти лет назад стало понятно, что малые и отчасти средние банки далеко не всегда успевают за темпами цифровизации, неся существенные, по их меркам, издержки на выполнение регуляторных требований, связанных с диджитализацией и ИБ. Как следствие рано или поздно они придут к ситуации, когда часть банков материально не сможет далее выдерживать этот темп. Примерно в это же время у нас в Ассоциации стартовали первые робкие обсуждения этих вопросов, причем применительно исключительно к малым банкам.

Почему робкие? Некоторые банки видели опасность в передаче своих данных на аутсорсинг третьим лицам. В то время сервисная модель была еще в новинку, а ее использование в финансах представлялось слишком смелым и прорывным действием. Сейчас уже так не кажется, а тогда многие не хотели, чтобы внутренняя информация, связанная с применением 115-ФЗ и работой внутренних IT-систем, уходила вовне: мало ли как сервис-провайдеры ею распорядятся?

Анатолий Козлачков, вице-президент Ассоциации банков России

Тем не менее из года в год другие банки продолжала поднимать этот вопрос. В итоге АБР инициировала проект, связанный с попыткой создать платформу, которая могла бы выступить для банков неким информационным буфером, где помимо прочего были бы сосредоточены компетенции, связанные с цифровизацией и ИБ. Платформа помогла бы банкам снизить риски аутсорсинга и упростить вход в него. Разработка технического задания велась в течение последующих полутора лет.

В итоге в прошлом году эта работа вышла на финишную стадию: мы согласовали техзадание. Все это происходило сложно, ведь, по сути, требовалась «скрестить коня и трепетную лань», а именно нужно было объединить требования к цифровизации с организационно-правовыми формами, а также с видением того, как эта структура будет работать в интересах банков. Естественно, структура обязана выполнять требования Банка России и других регуляторов, а таких требований не было.

— Усилия АБР и Банка России удачно соединились. Почему?

— Примерно в это же время Банк России в интересах всего финансового рынка вел работу над так называемым Законом об аутсорсинге — пакетом поправок и дополнений в ряд законов. Усилия АБР удачным образом соединились с деятельностью регулятора, потому что, например, нельзя осуществлять и передавать на аутсорсинг какие-то информационные функции, не имея возможности снять главный барьер, который существует в законодательстве: передачу персональных данных и информации, защищаемой банковской тайной.

Это совершенно разные виды информации. Хотя по содержанию они во многом пересекаются, у них отдельные режимы правовой охраны. Без снятия барьеров здесь вся наша предварительная работа была бы бессмысленна.

Проект закона Банка России как раз решает этот вопрос. Именно поэтому, когда представители регулятора, в частности директор департамента информационной безопасности Банка России Вадим Уваров, обратились к нам с просьбой «первично обкатать» проект Закона с индустрией, мы с радостью согласились и приняли участие в работе. Это произошло в ноябре-декабре 2022 года, хотя в публичной сфере о соответствующей деятельности регулятора стало известно в середине года.

— Какова была реакция банкиров?

— И банки, и Ассоциация с энтузиазмом подключились к этой работе. В ходе обсуждения выяснилось, что вся банковская система «доэволюционировала» до принятия IT-аутсорсинга и облачных услуг. Как оказалось, они нужны не только малым банкам, но и средним, а также крупным банкам.

Для меня, например, это стало неожиданностью. Я позвонил нескольким представителям крупных банков, и мне объяснили, что существует насущная потребность в создании специализированных организаций внутри банковских групп в целях оптимизации информационных потоков. Насколько я понимаю, это взвешенная и продуманная позиция.

Однако, на мой взгляд, существует еще одна причина необходимости развития юридической базы IT-аутсорсинга, о которой мало говорится вслух и которая пока не всем очевидна. Она состоит в том, что бизнес-предел информационных технологий — создание абсолютно безбарьерной среды для бизнеса. Чем меньше барьеров и чем больше концентрация информационных ресурсов в одной точке (я сейчас не говорю, где именно), тем лучше. В первую очередь бенефициаром подобного эффекта станет государство.

Так вот, чем меньше будет барьеров и чем быстрее будет происходить концентрация данных, тем больше соответствующая юрисдикция будет иметь конкурентных преимуществ перед другими.

Даже по самым скромным оценкам, подобное преимущество уже проявилось, например, в развитии ядерной энергетики. Полагаю, именно о таких уровнях конкурентных преимуществ идет речь в планах Банка России.

Поэтому наша Ассоциация приветствуем все, что связано с созданием подобной безбарьерной среды — естественно, если этот процесс продуман и банки получат от таких решений большую выгоду, нежели без них. Поэтому решения должны быть взвешенными.

— Что является основным барьером?

— Запрет на передачу персональных данных и данных, охраняемых банковской тайной, третьим лицам.

В широком смысле законопроект дает дополнительный импульс развитию Open API — это хороший пример снятия барьера для взаимодействия субъектов финансового рынка с третьими лицами, привлеченными для осуществления определенных функций.

Тут всегда встает вопрос о защите прав субъектов — владельцев персональных данных, но его надо обсуждать отдельно с учетом теоретических глобальных концепций. В принципе, здесь уже нащупан правильный подход, который позволит не подвергать риску утраты данных субъектов, которые свободно обращаются.

Но вернемся к нашей теме. На самом деле законопроект, разрабатываемый Банком России, не просто создает некую новую опцию на финансовом рынке. Это юридический акт, который поднимает социум на ступеньку вверх. Мы его рассматриваем как необходимый элемент стратегического планирования и метод решения конкретных нужд финансового рынка здесь и сейчас.

Если все будет сделано взвешенно и грамотно, если правильно будет собран пакет подзаконных актов, то законопроект не будет увеличивать риск утраты данных граждан.

— Мы идем своим путем или учитываем международный опыт?

— Безусловно, мы идем в ногу с лучшими международными практиками. Но, как всегда, есть решения, которые могут быть найдены именно здесь, они могут быть эффективнее чьих-то, могут быть взвешены и соотнесены с большим слоем социальных субъектов, а следовательно, могут иметь в случае реализации масштабный социальный эффект.

Это легко сравнить с принципами, например, военной техники, которая у всех перед глазами. Танк — он и есть танк. Тем не менее кто-то придумал нечто новое в бронировании, кто-то — в артиллерийском снаряжении, кто-то — в навигационных и боевых системах. И так по совокупности характеристик получаются разные качественные виды промышленного производства вооружения.

Так и здесь. Чем лучше мы продумаем наши модели обращения информации (а они сейчас находятся в состоянии становления во всем мире), тем быстрее появится потенциал для того, чтобы выиграть конкурентную гонку в финансовом секторе.

— Есть ли разница в данном контексте между IT-аутсорсингом и облачными технологиями? И есть ли примерные оценки экономического эффекта?

— Технически разница между IT-аутсорсингом и облачными технологиями есть, но юридически, применительно к регулированию, никакой разницы между ними нет. Дело в том, что на аутсорсинг можно передать не только хранение данных в облаке, но и любую функцию, связанную с информационным обеспечением деятельности субъектов финансового рынка. Это относится к предоставлению софта (SaaS), «железа» (IaaS) и чего угодно, например транзакционной деятельности. Теоретически на аутсорсинг может быть передана любая деятельность, которая входит в понятие «информационная система». Это можно сделать не только на базе облачных технологий, поэтому понятно, что вариантов больше одного.

Скажу больше, представители малых банков, с которыми я общался, утверждали, что для них разница между облаками или еще чем-то не играет существенной роли, так как им нужен результат — более качественные и современные IT-системы обслуживания банка.

Дело в том, что в течение 30 лет банки пользовались услугами множества разработчиков, и у них за это время образовалось «лоскутное одеяло» из IT-решений, не соответствующее требованиям времени. Расчеты показывают, что в случае внедрения новых систем, например единой информационной системы для малого банка, экономия за счет снижения стоимости трудовых ресурсов составит около 30%.

Экономия денег — это далеко не все плюсы. Важно учитывать возможность централизованной оптимизации всех бизнес-процессов, а оптимизация — это ключ к совершенствованию работы с клиентами банков.

— Как предполагается решать проблему ответственности?

— В проекте Закона, который сегодня обсуждается, заложен принцип: вся ответственность за безопасность функций, переданных на аутсорсинг, ложится на субъект финансового рынка.

Долгое время всем казалось, что это единственно возможный подход. Но в ходе обсуждения практически все пришли к выводу, что это неправильно. Проблема здесь вот в чем. Когда ты начинаешь пользоваться чужой разработкой, которая тебе не принадлежит, ты не можешь нести полную ответственность за нее. Далее ответственность разделяется по двум направлениям.

Во-первых, это гражданско-правовая ответственность, то есть материальная ответственность, когда некачественная работа системы влечет за собой ущерб для потребителя. Это направление, в настоящее время во всяком случае, представляется минным полем: пока не нарвешься, проблему не увидишь. А нарваться можно только в ходе осуществления работ. Однако больших проблем здесь не ожидается. Рынок на уровне договорной работы сам отрегулирует перераспределение ответственности, что, собственно, он сейчас и делает. Юридические модели есть, они разработаны применительно к сложным системам и программным комплексам, а также к системам искусственного интеллекта. Поэтому пока здесь не просматривается необходимость какого-то законодательного регулирования.

Во-вторых, это ответственность в области информационной безопасности. Сегодня действует принцип: любой субъект ИБ — банк, страховая компания и т.д. — отвечает за все. Наверное, это логично, ведь в банках всегда есть должностное лицо, которое несет ответственность за неисполнение установленных требований. При этом предполагается, что требования должны быть установлены законами и регуляторами и за их неисполнение может наступить уголовная или административная ответственность.

Естественно, возникает вопрос: когда субъект финансового рынка будет пользоваться технологиями, которые он получает от третьей стороны и которыми он не владеет, каким образом он должен нести ответственность за то, на что он не способен повлиять?

В ходе сессии «Аутсорсинг на финансовом рынке: оптимизация расходов или новые риски?» в рамках прошедшего в феврале 2023 года Уральского форума «Кибербезопасность в финансах» ее участники пришли выводу, что мы должны зафиксировать актуальность принципа распределенной ответственности. Если мы постепенно переходим к этому принципу, то нам становится понятно, как действовать: каждый будет нести ответственность за свою часть.

Внутри банковского сообщества действуют нормы, в которых все логично и понятно, а также прописаны принципы возможного перераспределения ответственности. Поэтому в структурах, которые будут осуществлять аутсорсинг, должны появиться уполномоченные лица, на которых отраслевой регулятор возложит аналогичную ответственность за безопасность своих ресурсов.

Остается определить «водораздел» ответственности субъекта финансового рынка и аутсорсера. На мой взгляд, теоретически это сложности не представляет, так как разграничителем будет юридическая сторона вопроса, а не технологическая.

— На каком этапе находится сейчас законопроект?

— Мы готовим его к внесению в Государственную думу. Существует несколько технических вопросов, которые обсуждаются внутри госаппарата, но мы видим заинтересованность Банка России, а значит, этот вопрос будет решен. Кроме того, я полагаю, что Минцифры как орган, который стратегически отвечает за развитие цифровизации и понимает проблемы, ее тормозящие, окажет финансистам поддержку.