Долгожданный законопроект о легализации IT-аутсорсинга в банковской сфере прошел в Госдуме первое чтение, есть шансы на его дальнейшее движение. Однако выяснилось, что с самим по себе аутсорсингом и облачными вычислениями неразрешимых проблем нет — уже сейчас без нарушения режима банковской тайны и с полным соблюдением норм 152-ФЗ «О персональных данных», а также национальных стандартов безопасности банковских и финансовых операций (ГОСТ Р 57580) можно работать с некритичными банковскими IT-системами. Но есть нюансы.

Например, Александр фон Розен, член правления, технический директор компании «ЕДИНЫЙ ЦУПИС», отметил: «Современные коммерческие облака весьма полезны любой крупной организации, но их применимость ограничена требованиями, подразумевающими полный контроль IT-инфраструктуры, особенно в части каналов связи и ИБ. Именно поэтому наша компания придерживается комбинированного подхода, предполагающего задействование облачных платформ лишь для непродакшен нужд».

Александр фон Розен («ЕДИНЫЙ ЦУПИС»). Фото: АБР

Противоречивые противоречия

Сергей Путятинский, заместитель генерального директора НСПК, модератор круглого стола, в первую очередь предоставил слово представителям сервис-провайдеров Виктору Чернявскому, директору по развитию финансовой индустрии компании Cloud.ru, и Александру Долбневу, директору по работе с финансовым сектором Yandex Cloud.

Сергей Путятинский (НСПК). Фото: АБР

Задача, которую поставил им модератор, заключалась в том, чтобы привести потенциальным клиентам свои аргументы «за» еще до того, как упоминавшийся выше законопроект станет законом, тем более что целый клубок противоречий так или иначе уже решается с находящимися у них на обслуживании кредитными организациями.

Александр Долбнев пошел в атаку: «А если я вам скажу, что безопасность публичных облаков выше, чем собственная ИБ средних и малых банков? Да, вопрос с передачей банковской тайны пока не решен. Тем не менее 48 банков и 130 финансовых организаций потребляют услуги Yandex Cloud».

Александр Долбнев (Yandex Cloud). Фото: АБР

Причина такой популярности заключается в сути ИБ: в обеспечении единства противоречивых компонентов триады безопасности — целостности, конфиденциальности и доступности. При этом, когда идет дискуссия о применимости облаков, все почему-то фокусируются исключительно на рисках конфиденциальности. А вот Положение Банка России № 787-П об обязательных для кредитных организаций требованиях к операционной надежности говорит именно о комплексном подходе, что может обеспечить облако.

Виктор Чернявский привел дополнительные «заоблачные» аргументы: «Облака являются одним из эффективных путей достижения технологической независимости, особенно в сегменте аппаратных решений. Можно использовать гибридное облако как средство достижения требований комплаенса. Есть еще платформенные сервисы».

Виктор Чернявский (Cloud.ru). Фото: АБР

Гибкость, масштабируемость и экономическая эффективность являются неоспоримыми преимуществами облачной модели. 

Декларировать можно что угодно

А вот у Артема Сычева, ныне советника генерального директора компании «Позитив Текнолоджиз», а в недавнем прошлом первого заместителя главы ДИБ Банка России, мнение не изменилось: решение клубка проблем с облаками лежит вне плоскости исключительно банковского регулирования. Поэтому необходим комплексный инфраструктурный подход с обязательным использованием института страхования киберрисков.

Артем Сычев («Позитив Текнолоджиз»). Фото: АБР

Он напомнил о том, что по большому счету для регулятора основной риск перехода финансовой организации в облако заключается не в том, что меняются контуры и параметры ИБ, а в том, что в случае возникновения какого-то критичного момента, например отзыва банковской лицензии, у регулятора должна быть твердая уверенность в получении прямого доступа к той IT-инфраструктуре, в которой хранятся клиентские данные.

По словам эксперта, ответственности за доступ к данным и их сохранность в комплексном понимании этого бизнес-процесса облачный провайдер не несет, мотивируя это тем, что сам якобы доступа к ним не имеет. Это привилегия имеется только у сотрудников финансовой организации, которых провайдер допускает в соответствующий периметр IT-инфраструктуры ЦОД. На самом деле все понимают, что это не так.

«Сотрудники провайдера совершенно спокойно и без зазрения совести могут “грохнуть” виртуальную машину, на которой все это работает и хранятся эти “замечательные” данные. Какая будет ответственность у облачного провайдера? Да никакой, кроме прописанной в договоре с клиентом. Поэтому на слово верить декларациям провайдеров о том, что у них все хорошо, не стоит. Декларировать можно все что угодно», — уверен Артем Сычев.

А в поиске доказательств он предложил вспомнить события 2014–2016 годов, когда в финансовой сфере существовала декларативная составляющая по оценке своей собственной ИБ. Причем в этот период времени банки «очень активно грабили». 

Артем Сычев с иронией вспомнил: «Апофеозом стала ситуация, когда один и тот же банк ограбили два раза подряд, а его директор по ИБ сначала утверждал, что у него все хорошо и замечательно, никакие ему проворящие не нужны, как и помощь Банка России. Но вот после второго ограбления с использованием тех же самых проблемных точек, на которые ему указывал регулятор, уверял всех в том, что это другое, это тщательно спланированная против именно него целевая атака. С облачными провайдером ситуация будет точно такая, и хорошо бы для начала посмотреть, что там происходит на самом деле».

Страховка от киберрисков

В компании «Позитив Текнолоджиз» уверяют, что кроме доброй воли немногочисленных отечественных провайдеров и некоторых результатов тестов Bug Bounty порой действительно ничего нет. К сожалению, все это не стало практикой, как не стала лучшей практикой декларирование ими «соответствия с привлечением третьего лица». И практически нет никого, кто бы свои ИБ-риски страховал. А чтобы это случилось, нужно пройти немалый путь. И вот массовое появление в залогах банков высокотехнологичного оборудования, которое дистанционно можно превратить в «кирпич», похоже, даст вместе с ростом социальной инженерии тот самый «волшебный пинок», который реально стронет с места эту страховую махину.

Елизавета Лаутс, кандидат юридических наук, доцент кафедры предпринимательского права МГУ имени Ломоносова, подтвердила: «На сегодняшний день у обсуждаемой проблемы федеральное регулирование отсутствует. Но это не означает, что соответствующей индустрии нет. Эта ситуация способствует тому, что будущее регулирование не должно серьезно что-либо ограничивать и стать драйвером развития».

Елизавета Лаутс (МГУ имени Ломоносова). Фото: АБР

Этого можно достичь в рамках гармоничной минимизации всех рисков у всех участников. Неплохо показал себя Стандарт Банка России в области аутсорсинга. Но не хватает, например, идентификации тех режимов конфиденциальности информации, которые могут быть переданы на обработку. Есть и другие проблемы. Их сейчас решают при подготовке ко второму чтению законопроекта. Работа с опорой на международный опыт идет. 

Артур Зубанов, заместитель председателя правления Первоуральскбанка, поставил промежуточную точку в дискуссии: «Мы сейчас перевели до 20% IT-задач на аутсорсинг, например, работу с сайтом. Если нет прямого доступа из инфраструктуры провайдера к сети банка, почему бы и нет».

Артур Зубанов (Первоуральскбанк). Фото: АБР

Этот тезис сопровождался загадочной улыбкой Артема Сычева, а значит, стоит ожидать продолжения начатой дискуссии, которую он предварил фразой: «Я не против облаков! И я даже считаю, что для некоторых компаний они являются выходом из сложившейся экономической ситуации. Я же против заблуждений, связанных с тем, что провайдер за нас все решит сам. Например, кейс с массовым взломом Bitrix доказал, что это не так». 

Фото: АБР