Экспертиза: что на самом деле мешает развитию облачных сервисов в финансовом секторе
ИТ в банках
05.04.2021, Пн, 11:00, Мск , Текст: Наталья Николаева
В 2020 г. интерес к облакам многократно возрос. Даже компании, которые до этого вовсе не смотрели в сторону подобных сервисов, были вынуждены «переехать» в облако на время удаленной работы, чтобы поддерживать непрерывность бизнес-процессов — получить телефонию и ЭДО, и сделать это не только максимально быстро, но и качественно. Впрочем, даже до пандемии облачные решения были востребованы. Так, согласно данным IDC, в 2019 г. этот рынок в России вырос на 26,9% и продолжил расти. Более того, облачные технологии развиваются и растут успешнее остальных областей ИТ. «Расходы на облачные услуги — это единственный светлый момент во всем прогнозе расходов на ИТ 2020 года», — писал Gartner. Значит ли это, что будущее облачных сервисов безоблачно? Алексей Полетаев, директор по информационной безопасности компании «Диасофт», поделился своим видением того, что нужно сделать для развития облачных сервисов в финансовом секторе.
Облака набирают популярность
Отечественные эксперты, наряду с прогнозами Gartner, уверяют, что рынок продолжит уверенно расти. Так, российское консалтинговое агентство «ТМТ Консалтинг» прогнозирует среднегодовой темп роста на рынке публичных облачных услуг на уровне 22%. По мнению аналитиков агентства, объем рынка к 2024 г. увеличится более чем в 2,5 раза и достигнет 198 млрд рублей. Отмечается, что основной рост придется на SaaS (программное обеспечение как услуга), как это было и раньше — на него будет приходиться 60% рынка. Среднегодовой темп роста IaaS (инфраструктура как услуга) составит 25%, и к 2024 г., если ничего не изменится, его объем увеличится в 3 раза.
Почему облачные сервисы в финсекторе не так востребованы
Публичные облачные решения в финансовом секторе практически не развиваются. Чаще всего они представлены в виде сервисов по взаимодействию с госорганами (ФНС, ПФР, ФМС, ЕСИА, ФССП, ГИС ЖКХ, ГИС ГМП и другими) и общедоступными источниками данных или развиваются в качестве приватных облаков в конкретном банке или банковской группе.
В 2019 г. облачный рынок в России вырос на 26,9%
Исторически сложилось так, что банки обладают собственной ИТ-инфраструктурой и сами несут ответственность за ее работоспособность. Как правило, они владеют большим количеством интегрированных между собой решений от нескольких вендоров. Кроме того, банки работают в разных сегментах финансового рынка и, соответственно, имеют разную специфику бизнеса. Как следствие, каждый из таких банков оперирует своим набором бизнес-процессов, которые необходимо автоматизировать, используя специализированное программное обеспечение. Часто банки решают задачу автоматизации за счет реализации своими силами кастомизированных «под себя» доработок уже установленных систем, опираясь на собственное видение тех или иных процессов.
Как меняют рынок регуляторы
В последние 3–4 года ситуация стала меняться. Банк России начал предъявлять больше требований к банковскому программному обеспечению, бизнес-процессам, формам отчетности и информационной безопасности.
«Опираясь на свой опыт, я могу припомнить всего несколько банков, которые строили систему информационной безопасности (ИБ) правильно, — говорит Алексей Полетаев, директор по информационной безопасности компании «Диасофт». — Лишь не многие начинали с изучения юридической стороны вопроса, затем двигались в сторону перестройки бизнес-процессов и ИТ-инфраструктуры, проводили анализ рисков и уже в конце переходили к ИБ. Эти банки четко осознавали, что для них является наиболее ценной информацией и как ее можно защитить. Именно в этих случаях, как ни парадоксально это может прозвучать, требования, выпускаемые Банком России и другими регуляторами, препятствовали построению целостной системы ИБ. Связано это с тем, что требования эти негибкие, и зачастую банкам приходится выстраивать два контура безопасности — реально необходимый бизнесу и формальный, для выполнения требований регулятора и без учета специфики бизнес-процессов».
Станут ли требования Банка России проблемой для финансовых организаций, тем более что количество этих требований достаточно велико?
Крупные банки обладают ресурсами, компетенциями, большим штатом специалистов ИБ (аналитики, инженеры), которые, в свою очередь, работают по разным направлениям, решая внутренние задачи по обеспечению ИБ банка, ИБ в ИТ. Чаще всего они осознают репутационные и бизнес-риски и уделяют должное внимание вопросам ИБ. Еще с выходом первой редакции 152-ФЗ многие из них пошли реализовывать первую версию требований от ФСТЭК России (согласно 4 документам ДСП), а спустя некоторое время эти требования трансформировались в Приказ 21 ФСТЭК России. Параллельно у банков действовал стандарт СТО БР ИББС, который, в принципе, функционально перекрывал требования Приказа 21.
Средние банки также обладают ресурсами и компетенциями, но в значительно меньшей степени, при этом они не всегда до конца осознают свои риски и уделяют недостаточное внимание вопросам ИБ. Чаще они закрывают лишь наиболее критичные для себя угрозы ИБ по мере их выявления.
Маленькие банки не обладают ни ресурсами, ни компетенциями и решают вопросы ИБ в большей степени только тогда, когда этого прямо и адресно потребует регулятор.
Ключевая проблема здесь в том, что для понимания сути требований и успешной их реализации на конкретной, «живой» информационной системе нужно обладать достаточными компетенциями. Именно на этапе реализации выявляются затруднения, проявляются противоречия и разночтения в понимании: что именно делать, какие решения использовать.
Например, можно отметить простой факт: требования от регуляторов различаются!
«ФСБ России устанавливает требования к средствам криптографической защиты информации (СКЗИ), иногда — к критической информационной инфраструктуре (КИИ), как к системе, — объясняет Алексей Полетаев. — ФСТЭК России, в свою очередь, устанавливает требования к различным классам средств защиты информации и к объектам информатизации (автоматизированные и информационные системы), которые обрабатывают конфиденциальные данные, требующие защиты. ФСБ и ФСТЭК устанавливают требования в общем виде, стараются уйти от конкретизации, переложить бремя формирования конкретных требований на плечи владельцев защищаемой информации или отраслевых регуляторов».
Каковы приоритеты самих банков
Есть и хорошие новости. Требований ФСБ действительно не так много, они возникают только тогда, когда появляется необходимость применения СКЗИ для защиты каналов связи и электронной подписи. Участники рынка их изучили, затруднения с реализаций, в основном, отсутствуют. Требования ФСТЭК с каждым годом становятся более понятными, гибкими и зрелыми, регулятор работает над совершенствованием нормативной базы, и за последние 10 лет она существенно преобразилась. ФСТЭК всегда готов к диалогу и выступает за разработку отраслевых требований (моделей угроз), если в этом есть необходимость для снятия противоречий между требованиями и реальной картиной ИБ на конкретной ИС и ее бизнес-процессах.
Основная сложность кроется не здесь. Банк России выпустил общие требования к банковским ИС в виде ГОСТ Р 57580.1–2017, а отдельные требования, применяемые к программному обеспечению или части ИС, отразил в своих многочисленных Положениях, например, 382-П, 683-П, 672-П, 719-П. И именно с этими требованиями возникает основное затруднение, так как на бумаге их еще можно попробовать реализовать, а вот на практике это почти невозможно. Банковская ИС (АБС), чаще всего, представляет собой единый монолит из различных решений (главная книга, РКО, СБП, ДБО), и невозможно взять какую-то одну часть из них, «вырезать» из общей системы и обеспечить выполнение требований ИБ только для нее.
«Вернемся к требованиям ГОСТ Р 57580.1–2017: в числе прочего, помимо классических средств (МЭ, СКЗИ), банки обязаны внедрить ряд дорогих решений ИБ (DLP, SIEM, САЗ). Кроме того, появилось более сложное в реализации требование сертифицировать определенный состав ПО (или провести его оценку по ОУД4), и, более того, обеспечить безопасный цикл разработки ПО», — подчеркивает Алексей Полетаев.
По его словам, ситуацию также усугубляет то, что теперь ряд кредитных организаций являются субъектами КИИ со своей категорией значимости и, как следствие, дополнительно должны реализовать ряд новых требований. С учетом маячащего на горизонте проекта по импортозамещению непонятно, как банкам расставлять приоритеты: начинать ли проект по выполнению новых требований ИБ сейчас или уже после принятия проекта постановления правительства РФ (ПП)? Если ПП по импортозамещению будет принято, то банкам, прежде всего, необходимо будет вложить огромную сумму в замену всего ландшафта ИТ-инфраструктуры: начиная от сетевых устройств и заканчивая серверами, операционными системами, СУБД и новым банковским ПО. Как следствие, если сейчас вложиться в один набор средств ИБ, которые привязаны к текущей ИТ-инфраструктуре, то есть существенный риск потом еще раз вложиться в совершенно другой набор средств ИБ. А это немалые суммы: подобные затраты могут доходить до 100 млн рублей.
Нужно ли переносить банковские сервисы в облака
С учетом всех этих факторов большая часть банков осознала, что они не готовы и не могут выполнить требования ИБ в установленный срок. По этой причине они начинают искать альтернативы, которые, порой, доходят до абсурда: например, они просят предоставить им средства ИБ по подписке для ИТ-инфраструктуры, которая находится где-то совершенно в другом месте.
Наиболее правильным решением, с учетом текущей ситуации, будет проработка возможности вывода на рынок ряда защищенных банковских сервисов по модели SaaS и BaaS (банк как услуга). Очевидно, что не все банковские продукты можно будет быстро, легко и безопасно перевести в SaaS и BaaS. Для этого потребуется, как минимум, разработка соответствующих требований со стороны Банка России, ФСТЭК и ФСБ. Как максимум, нужно создать отдельный закон и (или) ряд дополнений в существующие законы с добавлением новой сущности и термина «облако» для финансового рынка (сервисы SaaS, BaaS, PaaS (платформа как услуга), IaaS с учетом специфики требований ИБ, включая хранение огромного количества УКЭП), а также особых требований к провайдеру такой услуги. На текущей момент «облако» де-юре ничем не отличается от обычный ИС (АС).
Не менее важная задача — провести гармонизацию всех требований ИБ, которые распространяются на банки, и выявить (создать) требования, которые автоматически перекрывают (или будут перекрывать) требования всех регуляторов.
Есть ли сдерживающие факторы для финсектора
Да, и их немало. В законодательстве просто отсутствует сам термин «облако» , и поэтому нет требований, предъявляемых к подобным сервисам. В России нет практики прохождения проверок с публичными сервисами или же мы про них ничего не знаем. В страховых компаниях отсутствуют продукты по страхованию ИТ и ИБ активов и рисков.
Пока на рынке нет поставщика банковского ПО, который сможет доработать свои продукты под сервис-модель и развернет их в облаке, обеспечивая все требования по соблюдению ИБ, а также предоставляя полный цикл сопровождения в круглосуточном режиме. Нет компании-оператора, которая бы объединила функции разработчика банковского ПО, оператора, интегратора, ЦОД и была бы готова инвестировать в такой неопределенный проект десятки миллиардов рублей со сроком окупаемости инвестиций в 3–5 лет в зависимости от количества банков, которые будут готовы подключиться.
Опасения самих банков понятны. Именно они берут на себя основные бизнес-риски. Перед финансовыми организациями встает необходимость иметь денежные гарантии на покрытие прямых убытков в случае отказа облачного сервиса и/или его взлома, которые приведут к разглашению банковской тайны и/или персональных данных клиентов банка. Банки не готовы передавать базы данных клиентов на сторону и делить ИТ-инфраструктуру с другим банком. Банки не готовы предоставлять постоянный доступ к своим базам даже Банку России. Плюс, им непонятно, как именно будут реагировать на облачные сервисы аудиторы из Банка России при проверках.
Каких перемен ждет финсектор
Получается, что банки не прочь воспользоваться преимуществами облака и переложить на плечи облачных операторов заботы о соблюдении требований законодательства, но мешает общая зыбкость ситуации. Что должно измениться?
В первую очередь, стоит внести изменения в уголовной кодекс в части норм, связанных с преступлениями по краже информации, поскольку текущие нормы должным образом не работают, а затраты на ИБ гигантские. Можно пересмотреть подход и требования регуляторов к вопросам ИБ в финансовом секторе. Основное внимание необходимо уделить реальным угрозам и рискам ИБ, что позволит перейти от «бумажных» требований к риск-ориентированному подходу, который даст банкам возможность самостоятельно выбирать меры по нейтрализации актуальных угроз, связать свой риск-менеджмент с ИБ и финансами, снизить затраты и повысить эффективность.
«Целый ряд законов нуждается в обновлении и добавлении новых «облачных» сущностей и подходов к их реализации, — считает Алексей Полетаев. — Возможны два сценария. Можно либо вписать «облака» в существующие, хоть и несколько устаревшие, требования со всеми имеющимися ограничениями. Или же можно привлечь внимание к вопросу всех регуляторов и существенно переработать требования с учетом текущего уровня развития ИТ».
Менять нормативные акты необходимо в несколько этапов, по мере понимания и погружения в особенности реализации облачных сервисов. Значительная часть дополнительных стоп-факторов всегда всплывает при внедрении и вводе решения в промышленную эксплуатацию.
«Не хочется повторения печального опыта с запуском защищенных облаков «по требованиям 152-ФЗ» для юридических лиц, — подчеркивает Алексей Полетаев.—Все они, в итоге, не получили развития. Отчасти это произошло из-за высоких цен. Например, размещение ИС за 1 год стоило столько же, сколько приобретение in-house решения со всеми необходимыми средствами ИБ».
Полный текст статьи читайте на CNews