6 (121) июнь 2014
НА
ОН И Ц
А
НА ЛЬ
Я
Ж АТЕ Л П
А ТЕМ С И С НАЯ
ЕАЭС
санкции
и
ци к н а с
санкции ГА З
ОВ ЫЙ
КО НТ
РАК Т
КОНТРУДАР-2014
8
ГЛАВНАЯ ТЕМА: информационная безопасность стр. 30
115280, Москва, ул.Ленинская Слобода, 19/4 Тел.: +7(495)769-2073
111396, Москва, ул.Алексея Дикого, 3 Тел.: +7(495)215-5161
№ 6 (121) июнь 2014 Выходит ежемесячно. Учрежден по инициативе Ассоциации российских банков (АРБ). Зарегистрирован в Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Свидетельство о регистрации ПИ № ФС77-39520
НАБЛЮДАТЕЛЬНЫЙ СОВЕТ АЛЕКСАНДР ТОРШИН председатель наблюдательного совета, первый заместитель председателя Совета Федерации
РУСЛАН ГРИНБЕРГ директор Института экономики РАН
ВЛАДИМИР КИЕВСКИЙ исполнительный вице-президент Ассоциации российских банков
АНТОН ДАНИЛОВ-ДАНИЛЬЯН сопредседатель «Деловой России»
ГАРЕГИН ТОСУНЯН заместитель председателя наблюдательного совета, президент Ассоциации российских банков
АРКАДИЙ ДВОРКОВИЧ заместитель председателя Правительства РФ МИХАИЛ ЕРМАКОВ вице-президент Банка ЗЕНИТ
ДМИТРИЙ АНАНЬЕВ экс-первый заместитель председателя Комитета Совета Федерации по бюджету и финансовым рынкам СЕРГЕЙ ВАСИЛЬЕВ заместитель председателя госкорпорации Внешэкономбанк
ПАВЕЛ МЕДВЕДЕВ финансовый омбудсмен России АЛЕКСАНДР ТУРБАНОВ заведующий кафедрой Академии народного хозяйства и государственной службы при Президенте РФ, д.ю.н., профессор
ГАГИК ЗАКАРЯН президент КБ «ЮНИАСТРУМ»
АЛЕКСЕЙ УЛЮКАЕВ
ЮРИЙ ЗЕЛЕНСКИЙ начальник Главного управления Банка России по Саратовской области
АЛЕКСАНДР ШОХИН
министр экономического развития РФ
президент Российского союза промышленников и предпринимателей
Генеральный директор, руководитель проекта: Елена Елисеенкова
Издатель: ООО УК «Национальный Банковский Журнал»
Редакция:
Заместитель генерального директора: Юлия Островская ostrovskaya@nbj.ru Директор по рекламе: Наталия Львова lvova@nbj.ru И. о. коммерческого директора: Анна Богданова bogdanova@nbj.ru Директор по развитию: Мария Садкова sadkova@nbj.ru Директор по спецпроектам: Елена Кудимова kudimova@nbj.ru Директор по работе с ключевыми клиентами: Татьяна Толокнова toloknova@nbj.ru Директор по развитию сайта www.nbj.ru: Елена Афонина afonina@nbj.ru Шеф-редактор интернет-проекта: Светлана Полозкова polozkova@nbj.ru Директор по распространению: Анастасия Вишникина vishnikina@nbj.ru PR-менеджер: Элина Силкина pr@nbj.ru Административная группа: Сергей Ромасенко, Александр Федоров
Главный редактор: Анастасия Скогорева skogoreva@nbj.ru Арт-директор: Дмитрий Иванов art@nbj.ru Заместитель главного редактора, шеф-редактор раздела «Банки и бизнес»: Гузель Куликова kulikova@nbj.ru Заместитель главного редактора, шеф-редактор раздела «Upgrade»: Оксана Дяченко dyachenko@nbj.ru Журналист: Анна Кислицына kislitsyna@nbj.ru Дизайнер-верстальщик: Владимир Петров verstka@nbj.ru Корректор: Надежда Куницына
Адрес редакции: 107045, Москва, Колокольников пер., д. 22, стр. 5. Тел/факс: (495) 221-8815. Почтовый адрес: 127473, Москва, Суворовская площадь, дом 1. Сайт: www.nbj.ru; e-mail: nbj@nbj.ru. Тираж 42 000 экз. Отпечатан в типографии Lietuvos rytas. Материалы, отмеченные знаком , публикуются на коммерческой основе. Редакция не несет ответственности за достоверность информации в материалах, опубликованных на правах рекламы. При использовании материалов ссылка на Национальный Банковский Журнал обязательна. © NBJ (Национальный Банковский Журнал), 2014 Свидетельство на товарный знак № 436049
Деловые центры и гостиницы в Москве: «Романов двор», «Чайка Плаза», «Олимпик Плаза», «Президент-отель», «Даев Плаза», «Арбат», «Рэдиссон Славянская», «Балчуг Кемпински», «Конгресс Парк-Отель Волынская», «Золотое кольцо», ЦМТ, «HINES», «МОСЭНКА ПЛАЗА», «Моховая, 7», «Столешников» и др. Деловые центры и гостиницы в Санкт-Петербурге: «Прин», «Таймс», «Аскольд», «Паллада», «Октябрьская», «Невский, 38», «Адмирал», «Сити-центр», «Гайот», «Шереметьев», «Информ-футуре», «Маршал», «ТВ-полис», «Софийский», «Нарвский» и др. Аэропорты: Шереметьево-1, 2; Внуково-1, 2; Домодедово, Пулково, Сочи. Авиакомпании: «Трансаэро», «Домодедовские авиалинии» и на бортах бизнес-авиации.
мысли вслух
Жизнь – странная штука: бывает, годы летят, как месяцы, а бывает и так, что один месяц способен вместить в себя столько событий, что хватило бы на десяток лет, и всего за несколько дней делается то, на что в других обстоятельствах понадобились бы годы. Май 2014 года с уверенностью можно отнести к таким периодам, когда почти физически ощущаешь биение сердца истории. Подписан газовый контракт с Китаем, который – и отнюдь не только из-за продолжительности действия и объемов поставок – уже назвали сделкой века. Принято решение о создании национальной платежной системы, и даже уже сделаны первые шаги в этом направлении. Рассматривается – и уже не в теоретической, а в практической плоскости – вопрос о создании национального рейтингового агентства. Появляются признаки импортозамещения в различных отраслях экономики. О необходимости всего этого столько раз говорили на самых высоких уровнях власти, в экспертном сообществе, но воз комфортно оставался на своем месте, пока в полном соответствии с русской поговоркой не грянул гром. И здесь самое время подумать о мобилизационном типе экономического развития. Чему нас учит семья и школа, а также многочисленные ресурсы? Прямо скажем – разному. Одна из цитат гласит: «под мобилизационной экономикой подразумевается тип экономических отношений, при которых все ресурсы страны направляются на одну или несколько приоритетных целей в ущерб другим отраслям, что нарушает гармоничность развития страны». В другом источнике речь идет об «экономической деятельности, которая позволяет обеспечить максимально полное использование имеющихся производственных ресурсов». Ничего удивительного в том, что оценки экономистов по данному вопросу так варьируются, нет. Мобилизационный экономический режим наступает не от хорошей жизни, но, по моему скромному мнению, нельзя рассматривать его исключительно со знаком минус. Хотя бы потому, что он ускоряет те процессы, которые долгие годы считались либо «похороненными», либо «заплесневевшими» от бесконечных обсуждений и отсутствия хоть какого-нибудь движения вперед. Когда экономика страны вынуждена отвечать на многочисленные вызовы, она начинает проявлять прыть. В этом, как я уже писала выше, легко убедиться, посмотрев на обилие событий в мае и в первые дни июня 2014 года. Не хочу показаться циником, но что еще можно сказать, завершая эту колонку? Спасибо, Украина! Спасибо, санкции! Украине – за то, что она создала ситуацию, при которой наша страна оказалась реципиентом этих санкций. Пройдет время, война в соседней стране закончится, горечь и ненависть пройдут, но тот стимул, который получила наша экономика в тяжелые дни, надеюсь, сохранится.
Анастасия СКОГОРЕВА, главный редактор NBJ
2
НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К ИЙ Ж У РН А Л июнь 2014
реклама
содержание
в июне тема номера
информационная безопасность в банковском секторе
30–60
> NBJ ............................................................. 31 > А. СЫЧЕВ (Б Р ): «Д ! " , ! # $ ! , % % & ! " %!
# ' » ............................................. 42
42
> А. ФЕДОРОВ (БИС): «О " – % ! " % /& " ! ИТ- » ....................... 48
> В. ДРЮКОВ (И # ! Д9 ): «В SLA ! 9 ! 98-98,5%, ! % !» ............................................ 50
> А. ВЕСЕЛОВ (С-Т С Э П ): «О VPN- # »......................................................... 52
50
> О. САДОВНИКОВА ( ! LETA), Т. МИТЮШКИНА ( ! LETA): «М ' / ! " ИБ % 9 » .......... 54
> ! BoardMaps – $ ' ! % $ " , ! " ! ....................................... 56
> А. ФЕДОРЕЦ (ООО «А Д С ! »): «Н ' ' %
$ ! # ! $ ! 9 ! ! ! ! ! X## !» ........ 58
60 4
> В. МЕДВЕДЕВ (Д В ): «О " % % " ! » ............................... 60 НА Ц ИО НА Л Ь НЫ Й БА НКО В С К ИЙ Ж У РНА Л июнь 2014
содержание
2
МЫСЛИ ВСЛУХ
1. 8
actual
2. 62
и бизнес
СТРАХОВАНИЕ
в 2014 году драйверами роста страхового рынка вновь станут виды страхования, связанные с банковским каналом продаж
ПМЭФ-2014
САНКТ-ПЕТЕРБУРГСКИЙ АПОФЕОЗ, ИЛИ ПОБЕДА ВМЕСТО ПОРАЖЕНИЯ Петербургский международный экономический форум справедливо называют самым масштабным политико-экономическим мероприятием 2014 года
12
18
66
СДЕЛКА ВЕКА
68
НОВОСТИ
70
МЕРОПРИЯТИЯ
XI банковский саммит по инновациям и развитию, состоявшийся в Сочи, прошел насыщенно и плодотворно
К. СИМОНОВ (Фонд национальной энергетической безопасности): «Российско-китайский газовый контракт вполне подходит под определение win-win: в результате его подписания в выигрыше остались обе стороны»
72
ФИЛИАЛЬНАЯ СЕТЬ
А. БОВЫРИН (Smart Continental): «Street Banking Office – комплексное развитие банковской сети»
АНАЛИТИКА
А. ДЕВЯТОВ (УРАЛСИБ Кэпитал): «В случае вступления Украины в ЕС мы не потеряем слишком много, поскольку экономические связи между двумя странами ослабевают уже сейчас»
СТРАХОВАНИЕ
И. ЖУК (Банк России): «По аналогии с банковским надзором планируется установление института кураторства в страховой сфере, когда каждый крупный страховщик будет закреплен за конкретным должностным лицом в Банке России»
КРИЗИС
А. ХАНДРУЕВ (Ассоциация «Россия»): «Для российской экономики, которая характеризуется инвестиционной «прожорливостью», введение санкций – очень болезненный удар, ведь наша страна является чудовищно недоинвестированной»
24
банки
74
КАДРОВЫЙ ВОПРОС
Н. БЕРЗОН (НИУ ВШЭ): «Сбербанк платит за обучение студентов»
26
НАЦИОНАЛЬНАЯ ПЛАТЕЖНАЯ СИСТЕМА
А. ОБАЕВА (НП «НПС»): «Надо отдавать себе отчет в том, что благодаря реализации проектов по созданию НСПК целая отрасль будет поднята на принципиально новый уровень развития» июнь 2014 НАЦИ О НАЛЬНЫЙ БА НКОВСК ИЙ ЖУРНАЛ
76
РКО
Е. ДЕПУТАТОВ (ГК ЦФТ): «Поддержка крупного корпоративного бизнеса инструментами РКО» 5
содержание
3. спецпроект ГОД
ЭЛЬВИРЫ НАБИУЛЛИНОЙ
80
поздравления в адрес председателя Банка России от делового сообщества
111
БАНКОВСКИЙ КАЛЕНДАРЬ – ИЮНЬ 2014
Центры обработки данных Е. КУКАНОВА (Linxdatacenter): «Сохранить и приумножить!» – это не только слоган финансового сектора, но и прямая задача поставщика услуг ЦОД в отношении бизнеса своих клиентов» ............ 96
Слово практику М. ПУСТОВОЙ (ОТП Банк): «Сложившаяся ситуация способствует повышению эффективности, использованию улучшенных практик в сфере проектного и процессного управления» ......................... 86 Мобильный банкинг Мобильный банкинг повышает лояльность клиентов, сокращает расходы на обслуживание и расширяет каналы продаж............90
Безопасность Средства биометрической идентификации разнообразны, более того, они могут быть использованы в разных целях ........... 98
Безопасность И. КОРОЛЕВ (Wincor Nixdorf): «Защита от мошенничества в сфере банковских платежных операций» .............. 102
Автоматизация CRM-система позволяет банку быть внимательным к каждому клиенту и оставаться на плаву в период экономической нестабильности.................................................................. 92 Документооборот Новейшие технологии обеспечат надежную защиту конфиденциальной информации в архивах банков............... 94 Технологии Сохраним природу вместе – с бумагой в «облака» от «ОСГ Рекордз Менеджмент» ............................................ 95
6
Безопасность Е. МИРОНОВ (ООО «УЦСБ», QSA): «Европейский подход к защите интернет-платежей» .................106 Новости компаний ............................................................108
НА Ц ИО НА Л Ь НЫ Й БА НКО В С К ИЙ Ж У РНА Л июнь 2014
1.
actual контрудар-2014
8
12
Санкт-Петербургский апофеоз, или Победа вместо поражения. Петербургский международный экономический форум – 2014 стал настоящей политико-экономической сенсацией
А. ХАНДРУЕВ (Ассоциация «Россия»): «Украина сделала скачок из понедельника в среду, и теперь она не может прыгнуть назад в понедельник, как бы мы на этом ни настаивали»
18
К. СИМОНОВ (Фонд национальной энергетической безопасности): «Российско-китайский газовый контракт вполне подходит под определение win-win: в результате выиграли все стороны»
ПМЭФ-2014
actual
Санкт-Петербургский апофеоз, или Победа вместо поражения Петербургский международный экономический форум справедливо называют самым масштабным политико-экономическим мероприятием 2014 года текст
Анастасия Скогорева
По прошествии времени не может не обращать на себя внимания тот факт, что на протяжении нескольких недель, предшествующих открытию форума, западные политики и экономисты предрекали ему грандиозный провал. Высказывались мысли, что ПМЭФ-2014 станет наглядным подтверждением эффективности санкций, введенных против России после присоединения к нашей стране Крыма. Никто из руководителей транснациональных компаний не приедет, никаких масштабных контрактов подписано не будет, докладчикам придется выступать перед полупустыми залами – сколько-нибудь доброжелательного освещения в СМИ Петербургский форум не получит. Однако, как это часто бывает, все вышло с точностью до наоборот: ПМЭФ-2014 запомнится надолго, и не только потому, что именно в его рамках президент России Владимир Путин сделал несколько поистине исторических заявлений. ИЗОЛЯЦИЯ НЕ СОСТОЯЛАСЬ Конечно, немаловажную роль в обеспечении успеха форума сыграло то, что его работа началась в тот же день, когда в Шанхае был подписан 30-летний контракт о поставках российского газа в Китай. Его сразу же окрестили сделкой века, и нет ничего удивительного в том, что он стал одной из самых обсуждаемых тем в кулуарах форума. Шанхайский контракт стал наглядным свидетельством того, что планы по изоляции России (как экономической, так и политической) сорваны, и цифры, которые
8
actual
НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К ИЙ Ж У РН А Л июнь 2014
ПМЭФ-2014
actual
были озвучены после завершения работы ПМЭФ, только подтвердили это. В работе форума приняли участие 7 590 гостей, 73 официальные иностранные делегации, было подписано 175 соглашений на общую сумму 401,4 млрд рублей. Может показаться почти символическим совпадением тот факт, что и здесь, как и в шанхайском контракте фигурирует цифра 400 млрд, правда, номинал валюты, конечно, разный. «Откровенно говоря, мы сильно мандражировали до самого начала — оказались напрасны все опасения, настрой очень позитивный», – так впоследствии охарактеризовал результаты форума министр экономического развития РФ Алексей Улюкаев. По словам главы МЭР, несмотря на то что более 20 руководителей крупнейших компаний от участия вынуждены были отказаться (под прямым давлением представителей американской администрации), и со статистической (рекордные 7,5 тыс. участников), и с представительной (458 глав крупнейших российских компаний, 248 глав мировых компаний), и с содержательной точек зрения все получилось. Похоже, что мировой бизнес, несмотря на резкое ухудшение отношений между Россией с одной стороны и США и ЕС с другой, решил руководствоваться старым добрым принципом «ничего личного – только бизнес». САНКЦИИ, ЭКОНОМИКА И ФИНАНСЫ При этом нельзя сказать, что на форуме царили исключительно «шапкозакидательные» настроения и свои выступления российские высокопоставленные чиновники озвучивали под негласным девизом «Ура! Cанкции не прошли». Конечно, прошли и негативно сказались на настроениях инвесторов, на цифрах оттока капитала, на общеэкономической ситуации в стране, признавались друг другу в кулуарах участники форума. Однако их влияние оказалось меньшим, чем опасались. «Россия за последние 15–20 лет сделала очень серьезный рывок в экономическом развитии, – заявила спикер
июнь 2014 НАЦИ О НАЛЬНЫЙ БА НК ОВСК ИЙ ЖУРНА Л
Совета Федерации Валентина Матвиенко. – Наши опоры – это не только энергетический, сырьевой секторы, но и военно-промышленный комплекс и аэрокосмическая, атомная отрасли. Эти опоры не позволят обрушить российскую экономику и социальную сферу». Вице-премьер правительства РФ Аркадий Дворкович отметил: «Санкции, введенные против России сейчас, напоминают ранее действовавшую в отношении нашей страны поправку Джексона-Веника. Проблема, которая породила принятие этой поправки (запрет еврейской эмиграции из СССР), уже давно исчерпала себя. Тем не менее поправка была отменена совсем недавно. Теперь на ее место пришли новые санкции». В кулуарах форума участники мероприятия вспоминали исторические примеры. В частности, экономические ограничения, которые были введены против Советского Союза в 1983 году после того, как был сбит южнокорейский пассажирский лайнер, вторгшийся в закрытое воздушное пространство СССР. В том же году США наложили санкции на Китай в ответ на события на площади Тяньаньмэнь. Санкции США против Индии в 1998 году после проведения ею ядерных испытаний также были нацелены на то, чтобы заставить ее безоговорочно подписать ДВЗЯИ. Объединяет все эти примеры и нынешний раунд антироссийских санкций следующее: ни в одном случае подобные меры воздействия не достигли поставленных целей. Но если фактор санкций большинство участников форума были склонны рассматривать как внешний и малоэффективный, то внутренние факторы, оказывающие воздействие на российскую экономику, подверглись серьезному анализу. Действующих и потенциальных инвесторов интересовало, каковы перспективы нашей экономики в 2014 году, удастся ли ей преодолеть состояние стагнации и избежать рецессии. «Технической рецессии экономике России удастся избежать с вероятностью более 50%. Темпы роста промышленного производства в апреле 2014 года про-
должили тенденции марта. Это вызвано отчасти девальвационными эффектами, отчасти снижением нормы сбережения и увеличением потребительского спроса. Что касается оттока капитала, то он сохранится, но, возможно, будет какая-то коррекция, – констатирует Алексей Улюкаев и прогнозирует: – Уже с III квартала нынешнего года ситуация в экономике РФ будет улучшаться». Вряд ли стоит удивляться тому, что одним из самых ожидаемых в рамках форума было выступление министра финансов РФ Антона Силуанова. Участников мероприятия волновал вопрос, как реагирует финансовый сектор страны на ухудшение общеэкономической ситуации и, как результат, на снижение спроса на банковские продукты, падение качества активов. Антон Силуанов пояснил, что при необходимости возможна докапитализация системно значимых банков из бюджетных средств: «У нас в следующем году есть резерв в размере 85 млрд рублей. При рассмотрении бюджета на 2015 год мы будем оценивать ситуацию в банковском секторе, потребности в докапитализации». Однако пока, как дал понять министр, ни острой необходимости в подобных действиях, ни конкретных решений по данному вопросу нет. ИНТРИГА ПМЭФ-2014 Буквально в первый же день работы форума стало известно, что именно здесь, в Санкт-Петербурге, может быть найдено решение и другой злободневной проблемы. Как известно, после введения санкций международные платежные системы Visa и MasterCard заморозили карты клиентов нескольких банков, попавших в черный список. Результатом этого демарша стало появление в законе «О национальной платежной системе» требования к ПС размещать страховые депозиты на счетах ЦБ. По оценкам экспертов, обеспечительные взносы Visa и MasterCard должны были бы составить три миллиарда долларов, что поставило бы под вопрос целесообразность деятельности обеих платежных систем в России.
actual
9
ПМЭФ-2014
Очевидно, что после этого имел место торг, и как выяснилось, он был уместен. Как пояснил в кулуарах форума, отвечая на вопросы журналистов, Антон Силуанов, международные платежные системы Visa и MasterCard создадут в РФ две дочерние структуры для обеспечения бесперебойной работы платежных карт внутри страны и запуска собственного
Андрей НАДТОЧИЙ, технический директор платежной системы «Золотая Корона»
Вот уже несколько месяцев тема национальной системы платежных карт (НСПК) является, пожалуй, одной из наиболее обсуждаемых в России, причем не только на профессиональном уровне. Приходится слышать самые разные, часто довольно удивительные мнения. Звучат, например, реплики о том, что построение НСПК – это какой-то очередной особый путь, который выбирает Россия. В этой связи хочется напомнить всего несколько случаев из мировой практики. Удачным примером построения национальной платежной системы является китайская UnionPay – синергия совместных усилий государства, регулятора и участников финансового рынка позволила добиться впечатляющих успехов и создать надежный инструмент для безналичных расчетов прежде всего внутри страны. Нужно
10
actual
actual
оператора платежных систем. Поскольку речь идет о российских юрлицах, то они не будут подпадать под американское регулирование и в случае введения новых санкций против нашей страны не будут вынуждены действовать в ущерб своим бизнес-интересам. Собственно говоря, найденное соломоново решение, благодаря которому
обе МПС получили возможность остаться в России, как нельзя лучше вписалось в озвученный президентом Владимиром Путиным призыв: «Думайте о своих выгодах и о возможных дивидендах работы в Российской Федерации, не поддавайтесь давлению и шантажу, идите своим путем — и вы добьетесь успеха, а мы вам будем помогать».
вспомнить об опыте других стран. В Японии функционирует международная система JCB International. В Индии эмиссия карт системы RuPay началась только в 2012 году, но благодаря массовому распространению внутри страны эта система уже в 2013 году стала международной. Немецкая платежная система GeldKarte работает с 1996 года и предназначена для платежей на мелкие суммы. Французская Cartes Bancaires работает уже несколько десятилетий и закрывает практически все потребности в ежедневных платежах. Сегодня в России есть все, что необходимо для построения НСПК: экспертиза, технологии, мощные процессинговые центры, заинтересованность регулятора и финансовых институтов, наконец, политическая воля. Мы долго шли к этому, и сейчас все фрагменты пазла сложились – важно не упустить момент. Независимость от западных технологий с одной стороны, соответствие международным стандартам и использование лучших практик с другой – эти требования являются ключевыми для появления НСПК. «Золотая Корона» для создания национальной системы готова предложить свое платежное приложение, соответствующее спецификации EMV, – карты с таким платежным приложением находятся в промышленной эксплуатации с 2012 года. EMV-приложение «Золотая Корона» обслуживается во всей инфраструктуре, настроенной на прием карт стандарта EMV, и никакой
модернизации или модификации инфраструктуры не требуется. Также мы готовы предложить комплексные технологии для операционного и платежного клирингового центра, ведь «Золотая Корона» – это работающая платежная система с отлаженными бизнес-процессами, использующая собственные программные решения и обслуживающая более 500 банков. Теперь о том, что касается опасений некоторых комментаторов относительно сервисной составляющей НСПК. Для обычного владельца банковской карты, который 90% своих денег тратит в так называемой «30-мильной зоне» (в районе своего постоянного проживания), основным потребительским свойством этой карты является ее надежная и бесперебойная работа. С помощью карты человек должен гарантированно получить сервис: снять наличные в банкомате, рассчитаться за покупки в продуктовом магазине, оплатить жилищно-коммунальные услуги. Это основное качество, оно должно быть обеспечено платежной системой. Собственно говоря, обеспечение повседневных, «домашних» платежей – это и есть первоочередная задача национальной платежной системы. Различий в сервисах и функциональных возможностях, предоставляемых держателю карты как глобальными, так и региональными игроками, на сегодняшний день практически нет. Отличается только география инфраструктуры обслуживания, которая может быть обеспечена эмиссией кобрендовых карт.
НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К ИЙ Ж У РН А Л июнь 2014
кризис
actual
дамоклов меч санкций и прыжок из понедельника в среду А. ХАНДРУЕВ: «Для российской экономики, которая характеризуется инвестиционной «прожорливостью», введение санкций – очень болезненный удар, ведь наша страна является чудовищно недоинвестированной» беседовала
Анастасия Скогорева
КОЛЛАПСА ПОКА НЕ НАБЛЮДАЕТСЯ NBJ: Александр Андреевич, сейчас, когда говорят об экономическом и финансовом состоянии Украины, чаще всего произносят такие термины, как «кризис», «коллапс» и даже «хаос». Какой из них, с Вашей точки зрения, уместен в данном случае?
Почему именно Украина стала яблоком раздора между Россией, ЕС и США? Можно ли вернуть ситуацию в соседней с Россией стране на четыре месяца назад и найти взаимовыгодное решение проблем? Насколько болезненны для нашей экономики нынешние санкции и стоит ли нам опасаться применения новых воспитательных мер со стороны стран с развитой экономикой? На эти и другие вопросы ответил в интервью NBJ вице-президент Ассоциации «Россия», заместитель председателя Банка России в 1992–1998 годах Александр ХАНДРУЕВ.
12
actual
А. ХАНДРУЕВ: Я бы ответил так: ни один из перечисленных. Если отойти от эмоциональной составляющей и оперировать фактами, то можно сказать следующее: последние несколько лет наблюдалось торможение украинской экономики, по итогам прошлого года показатель ВВП страны колебался возле нуля. Украина в эти годы начала осуществлять активные заимствования, что, впрочем, не привело пока к резкому увеличению задолженности: сейчас соотношение долга страны к ее ВВП составляет где-то 30–40%, это значительно ниже аналогичных показателей в государствах с развитой экономикой. NBJ: То есть все не так плохо, как может показаться на первый взгляд? А. ХАНДРУЕВ: Чтобы ответить на этот вопрос, давайте разберемся, что в принципе представляет из себя украинская экономика. Она на протяжении всех 23 лет независимости страны жила в немалой степени за счет льгот-
ных цен на импортируемые из России энергоносители, не считая дополнительных доходов от прокачки нефти и газа, экспорта товаров, рабочей силы и кооперационных поставок в РФ. Я согласен с теми, кто сейчас говорит, что наша страна субсидировала украинскую экономику. Однако даже эти субсидии не могли остановить стагнационные процессы. Надо отдавать себе отчет в следующем: то, что произошло на Украине в феврале, не случайность, а выбор пути развития. Данный вопрос Украина пыталась решить на протяжении последних десяти лет. Страна оказалась в стагнационной ловушке, ей необходимо было начать структурные реформы в экономике. То, что мы увидели четыре месяца назад, – попытка эти реформы начать. NBJ: Что Вы можете сказать о состоянии финансовой системы Украины? А. ХАНДРУЕВ: Как я уже говорил, соотношение госдолга к ВВП не критическое, хотя если мы возьмем соотношение совокупной внешней задолженности страны к ВВП, то увидим несколько иную, отнюдь не столь оптимистичную картину. Кстати, примерно такой же расклад мы можем наблюдать сейчас в России: сравнительно небольшой суверенный долг и весьма впечатляющие цифры задолженности коммерческих организаций – банков и нефинансо-
НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К ИЙ Ж У РН А Л июнь 2014
кризис
actual
вых компаний. Но в этом сходстве нет ничего удивительного, если учесть, что структура украинской экономики очень напоминает структуру российской экономики. Фактически Украина – это та же Россия, только мини-вариант, без ядерного оружия и нефтегазового комплекса. NBJ: Вы сказали: Украина пыталась найти выход из стагнационной ловушки. Насколько изменилось ее экономическое и финансовое положение с тех пор, как она весьма неординарным способом подтвердила свой выбор пути? А. ХАНДРУЕВ: Пока, как ни странно, критических изменений нет. Несмотря на то что в стране фактически идет гражданская война (или в лучшем случае наблюдаются элементы гражданского противостояния), курс гривны после обесценивания в январе и феврале к настоящему моменту стабилизировался и даже проявляет признаки укрепления. Экономического спада пока не наблюдается, инфляция держится ниже 3%. Сохранится ли такая динамика дальше, сложно сказать, это будет зависеть от многих факторов, в том числе политических. Наибольшие угрозы для украинской экономики – это, конечно, газовая проблема и операционные поставки продукции военно-промышленного комплекса в Россию. NBJ: Продукцию эту производят бунтующие юго-восточные регионы. А. ХАНДРУЕВ: Совершенно верно, поэтому я и упомянул политические риски, которые могут негативно повлиять на состояние и экономики, и финансовой системы страны. NBJ: А на состояние банковской системы? Мы как-то мало о ней знаем, что она представляет собой? А. ХАНДРУЕВ: Вы знаете, по своей структуре она очень похожа на банковскую систему России. Так же, как и наша
июнь 2014 НАЦИ О НАЛЬНЫЙ БА НК ОВСК ИЙ ЖУРНА Л
система, она является двухуровневой, в нее входит больше 170 финансовокредитных организаций. Иностранный капитал в украинском банковском секторе выбирает примерно ту же долю, что и в нашей банковской системе. Если же говорить о надзоре и регулировании, то здесь тоже много общих черт с Россией. Правда, я должен признать, что у нас и надзор, и регулирование при всем этом осуществляются более качественно и системно. NBJ: Если верить экспертам, нынешняя ситуация на Украине – следствие противостояния между Россией и ЕС. Украина хотела подписать с Евросоюзом договор об ассоциации, Россия была против этого… А. ХАНДРУЕВ: Честно признаюсь: я не видел и не вижу в подобном договоре ничего трагичного для интересов России. Наверное, недоразумение вышло из-за того, что никто толком это соглашение не читал. В результате были сделаны два совершенно неверных вывода: во-первых, подписание соглашения автоматически означало бы вступление Украины в ЕС и, во-вторых, за вступлением Украины в ЕС последовало бы размещение на ее территории баз НАТО. Ни то ни другое даже не подразумевалось. NBJ: Возможно, не подразумевалось размещение баз НАТО, но вопрос о вступлении в ЕС, наверное, не так однозначен. Во всяком случае, украинские власти – и прежние, и нынешние – рассматривают подписание соглашения об ассоциации именно как вступление страны в Евросоюз. А. ХАНДРУЕВ: Они могут рассматривать его как им угодно, а мы говорим о фактах. Посмотрите на Турцию – она уже 20 лет без особых успехов добивается вступления в ЕС. Откуда уверенность, что Украине удалось бы это в результате блицкрига? Наверное, следствие того, что внимательно проект соглашения об ассоциации никто не прочитал,
ведь речь в данном случае фактически шла о дорожной карте, в соответствии с которой надо было проводить структурные реформы. Это был многостраничный свод рекомендаций, не более того. Никто не собирался одномоментно принимать Украину в ЕС, потому что это в первую очередь не соответствовало интересам самого Евросоюза. NBJ: Даже так? А. ХАНДРУЕВ: Безусловно. Я думаю, что в ЕС есть политические силы, которые отдают себе отчет в следующем: превращать Евросоюз в очередную империю, включая в нее экономически слабые и нестабильные территории, – путь в никуда, точнее, к распаду. История показывает: все империи рано или поздно распадаются. Евросоюз, если он превратится в империю, не будет исключением из этого правила. NBJ: Но сейчас речь идет о том, что Украина ради того, чтобы оказаться в ЕС, устроила революцию. Получается, все безрезультатно? А. ХАНДРУЕВ: Не совсем так. Знаете, здесь как раз очень кстати афоризм, сформулированный в свое время Николаем I в назидание будущему императору России Александру II: «Революция – попытка перескочить из понедельника в среду, но попытка вернуться из среды в понедельник столь же губительна». Украина сделала этот скачок, и теперь она не может прыгнуть назад в понедельник, как бы мы на этом ни настаивали. Поэтому всем сейчас нужно остановиться, немного убавить запал полемики и задуматься: а что дальше? Как можно урегулировать ситуацию в условиях, когда Украина уже перескочила из понедельника в среду? НЕДООЦЕНКА И ПЕРЕОЦЕНКА САНКЦИЙ – ОПАСНЫЕ ЗАБЛУЖДЕНИЯ NBJ: Похоже, что никто не готов остановиться, успокоиться и задуматься. Идет явная война нервов. Мы уже скоро
actual
13
кризис
actual
устанем подсчитывать, кто и сколько санкций ввел против нашей страны. А. ХАНДРУЕВ: Знаете, санкции – один из самых непростых вопросов в этой истории. С одной стороны, они имеют определенный позитивный эффект. Наглядное тому подтверждение – быстрое принятие поправок к закону «О национальной платежной системе», предусматривающих создание национальной платежной карты. Бог знает, сколько еще времени он пролежал бы под сукном, если бы не введение санкций против нескольких банков и не замораживание, пусть даже краткосрочное, карт клиентов этих финансово-кредитных организаций. NBJ: А отрицательная сторона санкций? А. ХАНДРУЕВ: Отрицательная – понижение рейтингов, то есть удорожание заимствований, и отток капитала. Для российской экономики, которая характеризуется инвестиционной «прожорливостью», это очень болезненный удар, ведь наша страна является чудовищно недоинвестированной. Уже сейчас понятно: все это приведет к дальнейшему торможению темпов роста ВВП. Мы ищем новые источники инвестиций, а это в современном мире непростая задача. Прибавьте неизбежные многомиллиардные расходы на Крым – и картина получится совсем невеселая. Чтобы как-то изменить негативную тенденцию, надо искать компромиссы по вопросу об Украине. NBJ: При оценке санкций теперь, наверное, надо учитывать и перспективность контрсанкций. После демарша Visa и MasterCard в нашем бизнес-сообществе резко актуализировалась тема создания национальной платежной системы. Причем настолько резко, что трудно разобраться, насколько это предложение является реалистичным. Каково Ваше мнение? А. ХАНДРУЕВ: На мой взгляд, создание такой системы – реалистичный проект, более того, этот вопрос обсуждался
14
actual
еще в 1990-х годах. Тогда региональные банки запустили систему «Золотая Корона», которая, как мы можем убедиться, вполне неплохо себя чувствует. В начале 2000-х годов, сразу после дефолта 1998 года, покойный Андрей Андреевич Козлов (первый заместитель председателя Банка России в 1997–1999 и 2002–2006 годах) организовал специальную рабочую группу по созданию национальной платежной системы банковских карт. Тогда реализации этого проекта помешала во многом сепаратистская позиция крупнейших финансово-кредитных организаций. Так что сами видите: наметки были, а вот с доведением их до ума мы опоздали где-то на 10–15 лет. NBJ: При обсуждении данной темы эксперты постоянно ссылаются на успешный опыт создания китайской международной платежной системы UnionPay. Насколько, по Вашему мнению, возможно перенесение этого опыта на российскую почву? А. ХАНДРУЕВ: Пример, конечно, вдохновляющий, но давайте не будем забывать, что Китай выстроил свою систему не на базе трех-четырех крупнейших банков, как это предлагается у нас. Он создал некоммерческое партнерство, в которое вошло больше 200 кредитных организаций. В принципе, в России можно сделать то же самое, тем более что есть технологическая платформа. Есть, наконец, Центральный банк, платежная система которого обслуживает более 60% всех электронных платежей в России. Так что данный вопрос является вполне решаемым, хотя понятно, что это задача не на один день, и даже не на один год. NBJ: Вроде бы сейчас никто не говорит о возможном уходе с российского рынка Visa и MasterCard. А еще совсем недавно столько копий было сломано и столько жестких, я бы даже сказала, воинственных заявлений было сделано по этому вопросу и с той, и с другой стороны конфликта...
А. ХАНДРУЕВ: Вокруг этой ситуации было слишком много эмоций с обеих сторон. К сожалению, напряженный эмоциональный фон оказывал негативное влияние на всех, в том числе и на наших законодателей. Надо ли было принимать поправки в закон «О национальной платежной системе»? Безусловно. Надо ли было при этом устанавливать такие жесткие требования к обеспечительному взносу и озвучивать конкретные цифры? Думаю, нет. В конце концов, кто мешал сформулировать это следующим образом: устанавливается обеспечительный взнос, размер которого будет определяться нормативноправовыми актами Банка России или Минфина РФ? Можно было вообще даже не затрагивать тему взноса, а просто изменить режим и порядок регистрации работы международных платежных систем в РФ. Иными словами, были и другие варианты, а наши законодатели отреагировали на происходящее неадекватно резко. Это сложно признать правильным. NBJ: Как Вы думаете, могут ли быть введены так называемые секторальные санкции? Об этом сейчас тоже много говорят. Складывается впечатление, что их боятся больше, чем точечных санкций. А. ХАНДРУЕВ: Санкции, в принципе, висят сейчас над нашей экономикой и финансовой системой как дамоклов меч, что, естественно, всех нервирует. Нельзя же полностью исключить того, что международные платежные системы могут не устоять перед политическим давлением и ущемить в правах банки, которые подпадут под санкции на следующем этапе их введения. А это напрямую ударит по клиентам «пораженных» финансово-кредитных организаций, как ударили меры, предпринятые в свое время системами Visa и MasterCard, по клиентам банка «Россия», СМП Банка и т.д. NBJ: Санкции, безусловно, давят на Россию, но они не меньше давят и
НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К ИЙ Ж У РН А Л июнь 2014
кризис
actual
на ту сторону, которая их накладывает, прежде всего на Евросоюз, поскольку с ним товарооборот у нас намного больше, чем с США. А. ХАНДРУЕВ: Для европейских стран это тоже достаточно болезненная ситуация, и не столько потому, что Россия активно торгует с ЕС, сколько потому, что экономика еврозоны до сих пор не оправилась от последствий глобального кризиса 2008 года. Могу сказать, что положение в ЕС гораздо хуже, чем это может показаться на первый взгляд. Экономики так называемых стран PIGS (в частности, Португалии, Греции и Испании) структурно не изменились, они как были неконкурентоспособными, так и остались такими, несмотря на многомиллиардную помощь, которая была ока-
июнь 2014 НАЦИ О НАЛЬНЫЙ БА НК ОВСК ИЙ ЖУРНА Л
субсидировать другую страну можно исходя из своих геополитических интересов или в силу неких дружеских договоренностей, а можно заниматься вынужденным субсидированием. Третий вариант в случае с Украиной самый реалистичный зана им за счет средств Европейского стабилизационного фонда и МВФ. Относительное благосостояние этих стран зависит от финансовой помощи Германии, но Германия не может тянуть их бесконечно в одиночку.
NBJ: В этом смысле ФРГ оказывается в той же роли, что и Россия в последние годы существования Советского Союза? А. ХАНДРУЕВ: Безусловно. Если это не осознают политики в Брюсселе,
actual
15
кризис
actual
то отлично понимают бизнесмены на местах. Мы уже сейчас видим, что они подталкивают европейскую бюрократию к поиску дипломатического решения конфликта. Фактически они открытым текстом говорят: «Ребята, вы заигрываетесь, а мы несем убытки. Не забывайте, что вы существуете за счет нас и нам есть чего опасаться в случае эскалации противостояния». РОССИЯ – НЕ ТОЛЬКО КРЕДИТОР УКРАИНЫ, НО И ЕЕ ЗАЛОЖНИК NBJ: То есть холодной войны между Россией и ЕС не будет? А. ХАНДРУЕВ: Может, и не будет, но наверняка будет то, что ничем не лучше – холодный мир. Украина фактически оказалась и для нашей страны, и для Европы ящиком Пандоры. Совместными усилиями мы его открыли, причем надо признать, что ЕС в открытии сыграло более активную роль, чем Россия. И что теперь делать с этим, судя по всему, никто до конца не понимает.
Украины, раз уж вопрос о расширении НАТО так беспокоит нашу страну, провести децентрализацию власти и согласовать изменение параметров оплаты газовых поставок. NBJ: Условия выглядят вполне приемлемыми, на мой взгляд, но сейчас все еще в запале… А. ХАНДРУЕВ: Запал пройдет. Первые сто дней покажут, правильный ли выбор сделали украинцы, сможет ли президент наладить переговорный процесс не только внутри страны, но и с основными экономическими партнерами Украины. NBJ: Вы думаете, есть необходимость в налаживании такого процесса? Украинские власти четко дают понять, что они делают ставку на получение многомиллиардной помощи со стороны МВФ, ЕС и США, которые наобещали им астрономические финансовые вливания…
NBJ: Я думаю, что после всего случившегося чего-чего, а вступления Украины в ЕС бояться не надо. Евросоюзу такое «счастье» вряд ли нужно.
А. ХАНДРУЕВ: Знаете, я очень хорошо помню, как МВФ обещал России в 1991–1992 годах 22 млрд долларов, естественно, под залог проведения структурных реформ экономики. После чего транши выдавали нам капельным методом. Все предоставленные средства не составили озвученной суммы! Я нисколько не сомневаюсь в том, что в случае с Украиной будет обкатана та же схема: ни США, ни ЕС, ни МВФ не будут бросать деньги в черную дыру, которой на сегодняшний день является украинская экономика. Для Европы очень важно, чтобы кредитные деньги не были разворованы, а это будет возможно только в случае проведения в стране структурных реформ, изменений в качестве управления, в защите собственности кредиторов. Наконец, необходимо повышение прозрачности олигархата, проведение антикоррупционных мероприятий и т.д.
А. ХАНДРУЕВ: Конечно, не нужно. Поэтому, на мой взгляд, надо письменно подтвердить внеблоковый статус
NBJ: Не так-то просто повысить прозрачность олигархата, особенно если президент сам является олигархом. Правильно
NBJ: Поэтому, судя по последним заявлениям, все возложили надежды на президентские выборы, точнее, на их уже известные результаты. А. ХАНДРУЕВ: Знаете, можно по-разному относиться к этим выборам, но они, безусловно, шаг вперед, поскольку будут содействовать налаживанию процесса национального примирения. Хотя, конечно, очень важно, как поведет себя избранный президент Украины, сможет ли он нащупать умеренную линию и выстроить нормальные отношения и с ЕС, и с США, и, конечно, с Россией.
16
actual
ли я понимаю, что весь вопрос в том, удастся ли Петру Порошенко вырасти над собой? А. ХАНДРУЕВ: Да. И довольно скоро станет ясно, удастся ли ему это. Мы, употребляя слово «олигарх», часто вкладываем в этот термин исключительно негативный смысл. Но олигархи тоже бывают разными: есть среди них те, кто выполняет законы, а есть те, кто переписывает законы под себя. К какой из этих двух категорий относится П. Порошенко, мы действительно очень скоро узнаем. NBJ: Новый президент Украины в одном из своих выступлений пообещал в течение первых же трех месяцев – то есть заветных ста дней – наладить конструктивные отношения с Россией. Как Вы считаете, готовы ли наши власти к ответным шагам? Не может ли быть так, что Россия и Украина сейчас по-разному понимают, в чем заключаются так называемые конструктивные отношения? А. ХАНДРУЕВ: Я уже говорил, что Россия на протяжении многих лет субсидировала украинскую экономику. По-видимому, под конструктивными отношениями украинская сторона подразумевает в том числе продолжение этой политики. Тут надо понимать: субсидировать другую страну можно исходя из своих геополитических интересов или в силу неких дружеских договоренностей, а можно заниматься вынужденным субсидированием. Третий вариант, скорее всего, самый реалистичный. NBJ: Что может подтолкнуть Россию к этому варианту? Давление со стороны ЕС и США? А. ХАНДРУЕВ: Нет, куда более прозаичные соображения. Я хочу напомнить Вам старую банковскую шутку: если человек должен вам сто рублей, то он ваш должник, а если он должен вам миллион рублей, то вы его заложник. То же самое и здесь: Россия – не только кредитор Украины, но и ее заложник.
НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К ИЙ Ж У РН А Л июнь 2014
сделка века
actual
Акела не промахнулся К. СИМОНОВ: «Российско-китайский газовый контракт вполне подходит под определение win-win: в результате его подписания в выигрыше остались обе стороны» беседовала
Анастасия Скогорева
ваться отношения между Россией и Украиной в сфере энергетики и насколько велик риск возникновения третьей газовой войны? На эти и другие вопросы ответил в интервью NBJ генеральный директор Фонда национальной энергетической безопасности, первый проректор по внешним коммуникациям Финансового университета при Правительстве РФ Константин СИМОНОВ. NBJ: Константин Васильевич, китайско-российский газовый контракт, заключенный в конце мая, – на сегодняшний день одна из самых обсуждаемых тем в нашем деловом сообществе. При этом очень часто можно услышать мнения, что этот контракт – своеобразный «наш ответ Чемберлену», что его подписание стало прямым следствием введенных против России санкций. Справедливы ли, с Вашей точки зрения, подобные утверждения?
Соглашение, подписанное между «Газпромом» и Китайской национальной нефтегазовой корпорацией (CNPC) 22 мая 2014 года, уже назвали сделкой века. В то же время все чаще звучат утверждения, что условия контракта невыгодны для России и
18
actual
что при согласовании условий чрезмерно большую роль сыграли политические, а не экономические факторы. Чем обоснованы такие выводы? На какие плюсы Россия может рассчитывать в результате подписания контракта? Как будут дальше разви-
К. СИМОНОВ: Я бы ответил так: и да и нет. С одной стороны, безусловно, у этой истории есть некий политический подтекст: Европа, хоть и неохотно, все-таки включилась в режим санкций. На данном фоне все чаще звучат заявления о том, что странам ЕС нужно отказаться от российских энергоносителей или, во всяком случае, существенно снизить свою энергозависимость от России. Тут само собой возникает желание ответить: вы хотите отвязаться от нас – ну так и мы проживем без вас.
НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К ИЙ Ж У РН А Л июнь 2014
actual
NBJ: А эта картинка не является упрощенной? К. СИМОНОВ: Конечно, является, хотя бы потому, что контракт, предусматривающий поставки российского газа в Китай, согласовывался не полгода в авральном режиме, а на протяжении последних десяти лет. Ведь понимание того, что рискованно поставлять газ на один европейский рынок и тем более рискованно это делать в условиях наличия в странах ЕС политиков, воспринимающих Россию как недружественное государство, было всегда. Я думаю, что не открою государственной тайны, если скажу, что русофобские настроения в европейских политических кругах довольно сильны, особенно сильны они в странах Восточной Европы, страдающих от «родовой травмы». Так что стремление диверсифицировать покупателей, выйти на азиатский рынок сформировалось намного раньше, чем начался украинский кризис. Кроме того, были и объективные экономические предпосылки.
интересный и перспективный для стран – продавцов голубого топлива. С учетом этого бессмысленно говорить о том, что Россия, подписывая контракт, руководствовалась принципом «раз нас обидели в Европе, срочно бежим в Азию». NBJ: Насколько я понимаю, речь идет о том, что газ в Китай будет поставляться не из тех месторождений, из которых он поставляется в Европу. Так что с этой точки зрения Европа не должна столкнуться с дефицитом газа. К. СИМОНОВ: Она и не столкнется, речь действительно идет об иных месторождениях. Их сложно ориентировать на Запад, поскольку в газовом бизнесе очень важны расстояния, транспортное плечо здесь играет огромную роль, поскольку транспортировка газа в семь-восемь раз дороже, чем транспортировка нефти. Тянуть трубу в Европу от месторождений, находящихся под Иркутском и в Якутии, – слишком накладно. А вот поставлять оттуда газ в Китай намного выгоднее.
NBJ: Какие именно? К. СИМОНОВ: Прежде всего речь идет о том, что Европа с точки зрения потребления энергоносителей стагнирует, а азиатские экономики, напротив, растут, что неизбежно приводит к повышению их потребностей в газе. В Китае, например, импорт голубого топлива ежегодно увеличивается на 25%. В Японии, Южной Корее и других странах региона темпы роста потребления газа несколько ниже, чем в Китае, но в целом они достаточно высоки, что вполне объяснимо. В Японии, например, после фукусимской трагедии частично отказались от атомной энергии. В Южной Корее на газ переводится общественный транспорт. В Индии очень высока доля угля в энергобалансе, как, впрочем, и в Китае, это подталкивает обе страны к активному использованию газа в промышленности. Так что азиатский рынок в целом очень
июнь 2014 НАЦИ О НАЛЬНЫЙ БА НК ОВСК ИЙ ЖУРНА Л
NBJ: Вы сами признали, что в истории с подписанием российско-китайского контракта есть политический подтекст – стремление если не лишить Европу газа, то хотя бы слегка припугнуть ее. К. СИМОНОВ: Фактор политики катализировал процесс согласования условий и подписания контракта. Не будь обострения ситуации из-за украинского кризиса, возможно, подписание было бы отложено еще на какое-то время. Но с учетом нынешней политической конъюнктуры России было важно продемонстрировать серьезный успех. Запад внимательно отслеживал визит Владимира Путина в Китай и гадал, промахнется Акела или нет. Выяснилось, что нет, не промахнулся. В результате мы заключили контракт на достаточно выгодных условиях. NBJ: А вот выгодность условий и оказалась сейчас под сомнением: в западной
сделка века
прессе активно муссируются слухи, что Россия была вынуждена пойти на огромные уступки ради того, чтобы обрести новый рынок для сбыта газа. К. СИМОНОВ: Справедливости ради следует сказать, что такие утверждения есть и в российской прессе. В данном случае мы сталкиваемся с поразительным неверием нашего экспертного сообщества в способность российского руководства заключать выгодные для страны контракты. Причем стремление критиковать нашу власть – не важно за что, главное, критиковать – доходит до абсурда. Я прекрасно помню, как те эксперты, которые сегодня говорят о пренебрежении интересами страны при заключении сделки с Китаем, несколько лет назад кричали о том, что надо заключить контракт на любых условиях по любой цене, даже самой демпинговой. А сейчас они возмущаются: безобразие, будем продавать в ущерб себе. Где тут логика? NBJ: А где она была раньше? Зачем было лоббировать заключение контракта по демпинговым ценам? К. СИМОНОВ: Тогда модно было говорить, что надо срочно занять китайскую нишу, пока ее не заняли Бирма, Туркменистан или Австралия. Это, конечно, абсурдная идеология. Тут важнее другое: любой слух, любая спекуляция, подтверждающая уверенность таких экспертов в неспособности руководства страны договариваться на выгодных для России условиях, воспринимается на ура. Не успело появиться сообщение о подписании контракта, как тут же в СМИ была вброшена цифра – 350 долларов за тысячу кубометров, и она стремительно разошлась по всем газетам, порталам и т.д. А вслед за ней стали множиться заявления о том, что Россия прогнулась по цене. NBJ: Мне не очень понятно почему. 350 долларов за тысячу кубометров – не такая уж плохая цена.
actual
19
сделка века
К. СИМОНОВ: Смотря с чем сравнивать. Средняя цена поставок нашего газа в европейские страны колеблется в диапазоне от 370 до 380 долларов за тысячу кубометров. Поэтому с точки зрения соблюдения принципа равнодоходности цена газа для Китая должна была быть на том же уровне. NBJ: Возможно, все спекуляции о 350 долларах произрастают из того, что «Газпром» не называет цену. Тут же начинают ползти слухи: если скрывают, значит цена плохая. К. СИМОНОВ: Если на то пошло, то очень часто при заключении таких контрактов цена не озвучивается, поскольку условия соглашения рассматриваются как коммерческая тайна. Бывают, правда, случаи, когда контракты появляются в печати. Например, так было в 2009 году, после заключения контракта о поставках газа на Украину. Причем в открытый доступ попала вся информация: и формула цены, и механизм начисления штрафных санкций, и объемы поставок. NBJ: Звучит как анекдот. К. СИМОНОВ: Тем не менее так и было. И это, как ни странно, пошло на пользу России. Сейчас нет ничего проще, чем ответить на все выпады и спекуляции со стороны украинских экспертов: ребята, читайте внимательно контракт, он был опубликован в ваших СМИ, там все прописано от и до. Вернемся к вопросу о цене поставок газа в Китай. Давно и хорошо известно, что шила в мешке не утаишь: глава «Газпрома» Алексей Миллер не озвучил цену, зато назвал другие ключевые условия соглашения: 30 лет, 38 млрд тонн, 400 млрд долларов. Из этого и вывели цену 350 долларов, тупо перемножив одни цифры и разделив на другие. На самом деле речь идет о том, что поставки «на полку», то есть на максимальный уровень, должны выйти только через пять лет, а в течение первых пяти лет действия
20
actual
actual
соглашения Россия будет поставлять Китаю в среднем чуть более 16 млрд кубов в год. Мы учли это, провели свою калькуляцию – у нас получилось 388 долларов за тысячу кубов. Если вы посмотрите оценки инвестиционных банков, то увидите, что этот показатель идеально вписался в прогнозы их экспертов: они считали, цена по контракту будет в диапазоне от 380 до 390 долларов.
ство, создание инфраструктуры: его выполнение потянет за собой прокладку дорог, появление новых предприятий и нескольких тысяч рабочих мест, увеличение спроса на трубы, сталь, автоперевозки и т.д. То есть речь идет именно об инфраструктурном проекте, реальной точке роста нашей экономики. Об этом в пылу обсуждения цены поставок тоже не стоит забывать.
NBJ: Причем вписался ближе к верхней границе.
NBJ: Все же странно, что китайцы, которых даже В. Путин назвал сложными переговорщиками, не сыграли на наших трудностях и не сбили цену.
К. СИМОНОВ: Вот именно. Принципиально важно, что эта цена выше, чем стоимость поставок нашего газа в страны ЕС. Но следует учитывать следующее: в этом договоре есть еще ряд очень важных моментов, например, заключение контракта на 30 лет с привязкой к нефтяным ценам. Европейцы давно пытаются добиться от России согласия на заключение спотовых контрактов, их девиз при этом – долгосрочные контракты с привязкой к нефтяным ценам несовременны. А тут мы именно такой контракт заключаем с Китаем! NBJ: Да, неудачно вышло для Европы. А на какие сроки мы обычно заключаем газовые контракты со странами ЕС? К. СИМОНОВ: Традиционно на те же сроки: 20, 30 лет. Кстати, в том числе и поэтому Европа, как бы она ни злилась сейчас на Россию, не может отказаться от поставок российского газа. NBJ: О Европе, если не возражаете, поговорим несколько позже, а пока все-таки о китайском контракте. Итак, в активе у России выгодная цена, доказательство, что долгосрочные контракты с привязкой к нефтяным ценам не вышли из моды, выход на желанный азиатский рынок… Что-то еще? К. СИМОНОВ: Еще очень многое и очень важное. Контракт предусматривает масштабное строитель-
К. СИМОНОВ: Не сбили, потому что были заинтересованы в заключении соглашения ничуть не меньше, чем мы, правда, по другим причинам. Только Россия может предложить поставки газа на северо-восток Китая – именно этот регион является центром китайской промышленности. Западная часть Поднебесной промышленно неразвита, ее весьма скромные потребности в газе отлично закрываются за счет поставок голубого топлива из Туркменистана и Узбекистана. NBJ: Эти страны могли бы протянуть свои трубы в восточную часть Китая. К. СИМОНОВ: Теоретически да, а практически цена их газа тогда бы стала для Китая огромной, поскольку речь шла бы о транспортировке голубого топлива на тысячи километров. Мы же предлагаем поставлять газ в те провинции, которые в них очень нуждаются по приемлемой цене. Чтобы понять это, посмотрим, как закрывает Китай свои потребности в газе сейчас: он экспортирует СПГ по цене 500 долларов за тысячу кубометров, это стоимость поставки газа на побережье. Прибавьте сюда еще расходы на его транспортировку и увидите куда более впечатляющую цифру. Российское предложение на этом фоне выглядит очень привле-
НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К ИЙ Ж У РН А Л июнь 2014
actual
кательно, поэтому нет ничего удивительного в том, что Китай радостно подписал соглашение. Это была ситуация win-win, когда в выигрыше остались обе стороны. Кстати, при оценке соглашения в целом не стоит упускать из виду и геополитический момент. Предположим, Китай мог бы заключить соглашение о поставках газа из Австралии или, скажем, из Катара. Но тут бы сразу возникли вопросы: а насколько безопасной была бы логистика таких поставок, ведь они бы шли по морю, а там и конфликт Ирана с Саудовской Аравией, и зона действия американского военно-морского флота. Поставки могут быть сорваны либо из-за вдруг вспыхнувшего военного противостояния, либо из-за пере-
июнь 2014 НАЦИ О НАЛЬНЫЙ БА НК ОВСК ИЙ ЖУРНА Л
сделка века
крытия проливов в рамках борьбы с пиратами. В случае же с Россией речь идет о трубе, которая проходит исключительно по территории страны-продавца, нет никаких морских перевозок и транзитных государств. К тому же у РФ, несмотря на все инсинуации, репутация надежного поставщика: мы никогда не использовали газ как инструмент политического шантажа. Нынешняя ситуация с Украиной это наглядно подтверждает. Можно говорить что угодно, но мы пять месяцев поставляли фактически бесплатный газ в страну, которая не собиралась и не собирается его оплачивать.
NBJ: Вопрос, который напрашивается сам собой, когда слушаешь о плюсах российского газового контракта: чем может ответить на это Европа? Диверсификацией источников энергии и поставщиков газа?
NBJ: Еще говорят, что поставки российского газа в Китай будут оплачиваться
К. СИМОНОВ: Знаете, на этот вопрос я всегда отвечаю так: я уже на протяжении
либо в рублях, либо в юанях, но никак не в долларах США. Это слухи или реальные намерения? К. СИМОНОВ: В случае с Китаем это вполне возможно. Я не исключаю того, что именно так и будет. И Россия, и Китай заинтересованы в сокращении объемов расчетов в долларах США.
actual
21
сделка века
по крайней мере десяти последних лет слышу о планах Европы разнообразить поставщиков, покончить с энергозависимостью от России и т.д. Но воз и ныне там. NBJ: Тут можно возразить: про контракт с Китаем тоже говорили последние десять лет, возможно, поэтому до последней минуты эксперты сомневались в том, что он будет подписан. К. СИМОНОВ: Контракт подписан, это свершившийся факт. Давайте посмотрим на результаты европейских призывов к диверсификации и снижению энергозависимости от России. В 2013 году мы поставили на рынки Европы и Турции 163 млрд кубов, что стало абсолютным рекордом за всю историю поставок нашего голубого топлива. Если это не крах политики ухода от сырьевой зависимости, то что? NBJ: А почему этот крах стал возможен? Совсем-совсем не у кого покупать газ, кроме как у России? К. СИМОНОВ: Тут, знаете ли, был продемонстрирован непрофессионализм со стороны наших европейских партнеров. Страны Европейского союза долго и победно говорили о том, что они построят СПГ-терминалы, у них будет прекрасный газ, но не российский. Хорошо, терминалы построены, и по итогам 2013 года выясняется, что 80% их пустуют, мощности не используются. Видимо, те, кто настаивал на их строительстве, теперь сидят и ждут, что в терминалах каким-то волшебным образом окажется нероссийский газ, что они магнитом будут притягивать танкеры. NBJ: В одном из своих интервью Вы говорили, что на Украине в какой-то момент возникла секта свидетелей трубы, а в Европе, значит, есть секта свидетелей терминала? К. СИМОНОВ: Да, здесь налицо религиозное мышление: терминалы рас-
22
actual
actual
сматриваются как жертвенники, на которые, если усердно молиться и верить, рано или поздно снизойдет священный огонь. Беда только в том, что газ – реальная вещь, а не некий магический артефакт, и просто так он никуда не приходит, особенно в нынешней рыночной ситуации. Я уже говорил, что в странах Азии наблюдается экономический рост, естественно, они становятся жадными до газа, поэтому катарский экспортный газ, на который так рассчитывала в свое время Европа, полностью уходит туда. Норвегия, на которую тоже возлагались надежды, не способна нарастить добычу газа – ей бы сохранить ее нынешние объемы. Туркменистан завязан на Китай, так что рассчитывать на его газ бессмысленно. Ну вот и хочется спросить: может, не надо изобретать велосипед и выдумывать все новые и новые фантастические проекты, когда под боком есть нормальный стабильный поставщик. NBJ: А Азербайджан? К. СИМОНОВ: Хорошо, что напомнили. К концу этого десятилетия Азербайджан сможет поставлять в Европу в среднем около 10 млрд кубов ежегодно. Учитывая потребности стран ЕС, это просто смешно, для сравнения: Россия сейчас поставляет в Европу газ в объеме 163 млрд кубов. NBJ: Но есть и новый объект поклонения – всемогущий и неисчерпаемый сланцевый газ, который придет и всех накормит. К. СИМОНОВ: Да, это последняя фишка, которую сейчас усердно разыгрывают. Что ж, давайте посмотрим, как обстоят дела с ним. Добыча сланцевого газа в Европе невозможна, поскольку она предполагает постоянное горизонтальное бурение с использованием воды и химических реагентов. Одно дело – добывать его в штате Техас, где много пустующих площадей, и совсем другое, напри-
мер, в Польше, где повсюду то деревня, то город. NBJ: Но речь, если я правильно понимаю, идет не о добыче сланцевого газа внутри ЕС, а о его поставках из США. К. СИМОНОВ: Возможно, такие поставки будут, но в небольших объемах, и уйдут эти поставки не в Европу, а в Азию. Кроме того, надо учитывать такой момент: в США внутренние цены на газ очень низкие, это дает американским производителям огромное преимущество. Америка может производить дешевые товары и поставлять их в европейские и другие страны. Если же начнется массовый экспорт американского газа, то цена на него внутри страны неизбежно пойдет вверх, тогда американские товары сильно потеряют в своей конкурентоспособности. Вот и ответ, почему, несмотря на все угрозы и истерики, вызванные украинским кризисом, не было выдано ни одной лицензии на поставки американского газа в Европу. Если у стран ЕС до сих пор есть иллюзии, что «большой брат» поможет им в газовом вопросе, то им придется заплатить за свои заблуждения очень высокую цену. NBJ: Есть и еще одно, совсем новое утверждение: под Славянском обнаружен сланцевый газ, поэтому для Киева жизненно важно прижать Донбасс к ногтю. К. СИМОНОВ: Знаете, на Украине сейчас подобные байки появляются каждый день: то они газ под Славянском обнаружили, то в Крыму, оказывается, были астрономические залежи газа и не менее астрономические запасы газа в хранилищах. Что называется, любые выдумки хороши, лишь бы не платить России за уже осуществленные поставки голубого топлива. NBJ: Вот мы и подошли к Украине и ко всей нынешней ситуации, которую уже, правда, пока робко, называют третьей газовой войной. Война не
НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К ИЙ Ж У РН А Л июнь 2014
actual
война, а переговоры по поставкам газа на Украину, похоже, и впрямь в тупиковом состоянии. К. СИМОНОВ: Ну это действительно уже из серии абсурда. Украина признает, что получала российский газ, соглашается с ценой 268,5 долларов за тысячу кубометров, то есть с ценой, которая была установлена на I квартал 2014 года. Власти Украины не отрицают того, что долг за первый квартал составляет 2,2 млрд долларов. Мы говорим: заплатите, и мы вернемся к переговорам об оплате поставок в следующем квартале, рассмотрим возможность предоставления скидок. Украина отвечает: хорошо, мы заплатим. Потом вдруг вспоминает что у нее отняли Крым и похитили месторождения газа. И результат: мы вам, проклятым оккупантам, платить не будем! NBJ: Россия сделала следующий вразумляющий шаг – перевела Украину на предоплату. Странно, что это, похоже, не пугает ни саму Украину, ни ЕС, который тоже может пострадать, как это было во время второй газовой войны в 2009 году. К. СИМОНОВ: Наверное, сказывается фактор лета – в теплый сезон Украина не испытывает острой потребности в газе. Это позволяет украинским властям гордо заявлять на весь мир: «москали не задушат вильных украинцев» и страна запросто обойдется без тоталитарного газа… NBJ: Все бы хорошо, только осень и зиму никто не отменял. К. СИМОНОВ: Совершенно верно. Тогда Украина окажется перед выбором: либо замерзнуть, либо начать подворовывать газ, предназначенный для европейских потребителей. Думаю, нет смысла гадать, что она выберет. Значит, с высокой степенью вероятности мы вынуждены будем полностью перекрыть поставки газа по этой трубе, следовательно, замерзать вместе с Украи-
июнь 2014 НАЦИ О НАЛЬНЫЙ БА НК ОВСК ИЙ ЖУРНА Л
ной будут Болгария, балканские страны и Чехия. NBJ: Ничего принципиально нового – такое уже было. Но вот интересно, почему ЕС так спокойно относится к этой «радужной» перспективе? К. СИМОНОВ: Я думаю, это связано в том числе с тем, что сейчас идет процесс смены власти в Евросоюзе. Нынешним чиновникам в Брюсселе не до того, чтобы решать газовые проблемы – этим будут заниматься их преемники. На Украине тоже межвластье. К тому же, как я уже говорил, на всех оказывает влияние сезонный фактор – лето. Ну и наконец, не стоит списывать со счетов США: американские власти оказывают колоссальное давление на своих европейских партнеров, которые далеко не всегда готовы противостоять ему. Украинский кризис наглядно демонстрирует это: что принесла Украина Европе, кроме постоянной головной боли и политических рисков? NBJ: Если бы только политических... Я думаю, что и экономических тоже. Украину ведь надо кормить, ее экономика, насколько я понимаю, априори несамостоятельна. К. СИМОНОВ: Ну если что и можно утверждать наверняка, так это то, что Европа кормить не будет. Даже когда не было еще всей этой майданной «революции» и ситуация в стране была под контролем, европейские инвесторы вкладывали средства исключительно в украинскую пищевую промышленность, но никак не в машиностроение и металлургию. NBJ: Россия будет продолжать субсидировать украинскую экономику? К. СИМОНОВ: Хороший вопрос. Тут мнения расходятся. Лично я считаю, что нам надо развивать внутреннее производство и активировать процессы импортозамещения украинской продукции. Многие эксперты, напро-
сделка века
тив, говорят о необходимости сохранять связи с украинской экономикой. Ну а пока мы видим, что на Украине уже идет резкий спад в машиностроении и металлургии, а у нас в тех же отраслях, напротив, наблюдается рост. NBJ: То есть пока мы думаем и гадаем, процесс импортозамещения уже идет? К. СИМОНОВ: Вот именно. На мой взгляд, ничего трагичного в этом нет. NBJ: У Вас есть прогноз, как дальше будет развиваться экономическая и политическая ситуация на Украине? К. СИМОНОВ: Есть, только он не слишком оптимистичный: через какое-то время в стране начнется полномасштабный экономический кризис, имеющий очень тяжелые, можно сказать, катастрофические социальные последствия. Кстати, нельзя сказать, что в данном случае мы увидим что-то принципиально новое. В 2004 году, как вы помните, к власти тоже пришел «оранжевый» президент, который, несмотря на всю свою русофобию, был вынужден через какое-то время наладить отношения с Россией. Ничего не поделаешь, Россия с Украиной тесно связаны. NBJ: Однако пока речь идет о подписании экономической части ассоциации с ЕС. Даже дата уже называется – 27 июня. Значит ли это, что Европа будет готова помогать Украине материально? К. СИМОНОВ: Ни в коей мере. Скорее ЕС по доброй сложившейся традиции скажет новым украинским властям: главное – институты, надо их создать, тогда все наладится; мы вам поможем, пришлем своих консультантов, напишем тома рекомендаций, а вы их исполняйте, и будет вам счастье. Но денег не даст, у ЕС даже мыслей таких нет. Там прекрасно понимают, что Украина нуждается в колоссальных денежных вливаниях на постоянной основе. И никто, кроме России, ей эти вливания обеспечить не сможет.
actual
23
аналитика
actual
Россия и Украина: разрыв без трагедии А. ДЕВЯТОВ: «В случае вступления Украины в ЕС мы не потеряем слишком много, поскольку экономические связи между двумя странами ослабевают уже сейчас» беседовала
Анастасия Скогорева
NBJ: Алексей, начнем нашу беседу с важного вопроса: как Вы оцениваете нынешнее состояние российской экономики? Сейчас эксперты, рассуждающие на эту тему, чаще всего прибегают к терминам «стагнация», «рецессия» и даже «кризис». Какой из них Вам ближе? А. ДЕВЯТОВ: Не стоит отрицать очевидный факт: экономика России действительно переживает не лучшие времена. Что касается терминов, то, на мой взгляд, уже можно говорить о рецессии, поскольку в I квартале 2014 года ВВП сократился на 0,5% по сравнению с IV кварталом 2013 года, во II квартале мы, скорее всего, также увидим снижение этого показателя. Причины очевидны: усилился отток капитала, инвесторы явно страдают от дефицита доверия к российской экономике.
Какими могут быть последствия для экономических взаимоотношений России и Украины в случае вступления последней в ЕС? Насколько вероятен риск возникновения новой газовой войны и к чему может подтолкнуть Европу заключение газового контракта между Китаем и Россией? В чем опасность секторальных санкций и как российская экономика справляется с последствиями уже введенных санкций? На эти и другие вопросы ответил в интервью NBJ главный экономист компании «УРАЛСИБ Кэпитал» Алексей ДЕВЯТОВ.
24
actual
NBJ: Когда речь заходит о рецессии, то главный вопрос – сколько она может продлиться, будет затяжной или краткосрочной? А. ДЕВЯТОВ: Я считаю второй вариант более вероятным, чем первый. Уже сейчас мы видим существенное улучшение политической ситуации: на Украине прошли президентские выборы. Для многих экономических агентов это положительная новость, поэтому можно надеяться на то, что темпы оттока капитала из нашей страны по крайней мере замедлятся. Второй фактор, который может сыграть
позитивную роль: в Европе наблюдается экономический рост, что для России, являющейся одним из главных торговых партнеров стран ЕС, тоже немаловажно. Кроме того, есть решение правительства об ограничении роста регулируемых тарифов, которое притормозит увеличение издержек в промышленности. Если не будет резких перемен во внешней политике, то эти позитивные факторы сработают – уже в III квартале мы можем увидеть возобновление роста нашей экономики. NBJ: Но это, конечно, при условии что политическая ситуация на Украине будет улучшаться. А. ДЕВЯТОВ: Безусловно. Нам остается только надеяться на то, что именно так и будет. NBJ: Однако про экономическое положение Украины сейчас говорят в более мрачных тонах, чем про ситуацию с российской экономикой. Если соседняя страна будет вынуждена объявить дефолт по своим обязательствам или там будет резкий спад в экономике, то это не может не сказаться на нас. А. ДЕВЯТОВ: На самом деле наш товарооборот с Украиной не слишком велик, поэтому даже в случае реализации худшего для Украины сценария эффект для нас будет ограниченным. Экспорт российских товаров на Украину составляет всего около 6% от общего объема экспорта РФ. Конеч-
НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К ИЙ Ж У РН А Л июнь 2014
actual
но, могут пострадать наши компании, связанные с металлургическими и машиностроительными украинскими предприятиями. Вряд ли даже в этом случае последствия будут трагичными. Можно ожидать определенных проблем из-за эскалации газового конфликта, неслучайно многие эксперты говорят о новой газовой войне. Я думаю, что катастрофы не будет. NBJ: Потому что две газовые войны уже были и третью Европа не допустит? А. ДЕВЯТОВ: Да. В конечном счете, такая война не выгодна ни ЕС, ни России, ни Украине, поэтому все стороны будут искать пути, чтобы избежать ее. NBJ: Украинский вопрос тесно связан с фактором санкций. Насколько этот фактор воздействует на состояние нашей экономики? А. ДЕВЯТОВ: Мне кажется, здесь надо четко разделять санкции и их восприятие экономическими агентами. Не столь опасны санкции, как страх перед ними. Пока речь идет лишь о неких ограничительных мерах, предпринятых в основном по отношению к друзьям нашего президента. Куда больше нервирует инвесторов перспектива введения так называемых секторальных санкций по аналогии с теми, какие были введены в свое время против Ирана. NBJ: Если, например, такие санкции будут введены против российского банковского сектора, что это будет означать на практике? А. ДЕВЯТОВ: Например, наши банки не смогут проводить зарубежные транзакции, для них полностью закроются финансовые рынки на Западе. Проблемы в этом случае возникнут и у нефинансовых компаний, они не смогут рефинансировать свои заимствования, что может привести к банкротству целого ряда предприятий. Не стоит забывать о
июнь 2014 НАЦИ О НАЛЬНЫЙ БА НК ОВСК ИЙ ЖУРНА Л
том, что совокупный внешний долг Российской Федерации превышает 700 млрд долларов, львиную долю в нем составляет корпоративный долг. Рефинансировать такой объем задолженности в случае полного закрытия рынков капитала будет невозможно. NBJ: Насколько велика на сегодняшний день вероятность введения секторальных санкций? А. ДЕВЯТОВ: Мне кажется, что она снижается. NBJ: Украинский кризис, как хорошо известно, начался из-за спора, следует ли Украине вступать в ЕС. Сейчас, похоже, для Украины этот вопрос уже решен. А. ДЕВЯТОВ: Да. Условия соглашения об ассоциации Украины с ЕС были достаточно невыгодными и жесткими для соседней с нами страны. Но после всех событий, которые произошли за последние четыре месяца, Европа, скорее всего, серьезно пересмотрит предлагаемые условия в сторону смягчения. Новое соглашение, я думаю, будет более приемлемым для Украины. NBJ: А для России? Насколько будет печальным для нее сам факт подписания подобного соглашения с точки зрения экономики? А. ДЕВЯТОВ: Определенный негативный экономический эффект на наши торговые отношения это безусловно окажет. Но не такой уж существенный, поскольку экономические связи между двумя странами ослабевают уже сейчас под воздействием последних событий. Так что в случае вступления Украины в ЕС мы не потеряем слишком много. NBJ: Мне кажется, что сейчас Украина – страна финансово несамостоятельная. Для стабилизации ситуации (экономической и политической) ей
аналитика
требуются денежные вливания. Получается, России и ЕС придется субсидировать ее экономику и торг идет вокруг того, кто на это подпишется? А. ДЕВЯТОВ: Собственно говоря, Россия уже субсидирует экономику Украины в форме поставок бесплатного газа. Отказаться от данной формы субсидирования даже при условии, что Украина не станет оплачивать эти поставки, нам будет сложно в силу того, о чем мы говорили выше. Если «Газпром» сдержит свое обещание и закрутит газовый вентиль, то Украина начнет воровать газ, предназначенный для стран ЕС, что станет началом новой газовой войны, сейчас все пытаются избежать этого. Также мы предоставили Украине три миллиарда долларов в форме покупки ее облигаций – скорее всего, больше не дадим, но эти деньги уже ушли. NBJ: Хорошо, с нами все ясно. Будут ли ЕС и МВФ оказывать Украине финансовую помощь? А. ДЕВЯТОВ: У них тоже нет иного выхода, поскольку если они откажутся от поддержки Украины, то хаос в этой стране усугубится и все планы по подписанию соглашения об ассоциированном членстве Украины в Европейском союзе будут отложены на неопределенный срок. NBJ: Но МВФ заложил в кредитное соглашение с Украиной обязательное условие: правительство страны должно усмирить сепаратистские регионы. Выполнить это условие будет нелегко. А. ДЕВЯТОВ: О любых условиях можно при определенных обстоятельствах забыть, например, если страна окажется на грани коллапса. Полагаю, и в ЕС, и в МВФ понимают, что финансовая помощь, оказанная Украине в нынешней ситуации, с высокой долей вероятности будет безвозвратной. Но в особо критичных случаях на это предпочитают закрывать глаза.
actual
25
национальная платежная система
actual
не было бы счастья, да несчастье помогло А. ОБАЕВА: «Надо отдавать себе отчет в том, что благодаря реализации проектов по созданию НСПК и появлению российских компаний Visa и MasterCard целая отрасль будет поднята на принципиально новый уровень развития» беседовала
Анастасия Скогорева
Совсем недавно вопрос о том, останутся или нет работать в России международные платежные системы Visa и MasterCard, был одним из самых обсуждаемых. На сегодняшний день можно сказать, что он решен. О своем отношении к нулевому варианту – проекту создания в нашей стране российских предприятий Visa и MasterCard и о том, сколько времени и сил может потребоваться для построения национальной системы платежных карт, рассказала в интервью NBJ председатель Некоммерческого партнерства «Национальный платежный совет» (НП «НПС») Алма ОБАЕВА. NBJ: Алма Сакеновна, какими могли быть последствия ухода международных платежных систем для физических лиц и субъектов экономической деятельности? Почему их воинственные заявления вызвали настоящий переполох и в СМИ, и в деловом сообществе? А. ОБАЕВА: Конечно, они могли стать очень серьезными, даже по той простой причине, что по картам Visa и MasterCard проходит порядка 90% внутреннего трафика платежных транзакций. Размер бедствия напрямую зависел от одномоментного или постепенного прекращения деятельности систем. Но, к счастью, был найден, на мой взгляд, оптимальный вариант урегулирования
26
actual
НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К ИЙ Ж У РН А Л июнь 2014
actual
конфликта: принято решение, что Visa и MasterCard создадут российские предприятия, так что они остаются работать в России. При этом, насколько мне известно, предложены на выбор две опции: в соответствии с первой они обязаны перенести свой операционный центр в Россию к 1 июля 2016 года, в соответствии со второй они могут создать платежную систему, учредителями которой будут либо российские компании, либо российские физические лица. NBJ: Эта новость стала резонансной. Многие эксперты согласны с Вами: был найден действительно очень хороший вариант решения проблемы. В чем Вы видите его преимущества? А. ОБАЕВА: Давайте сравним, как Visa и MasterCard работают сейчас и как они будут работать, когда появятся российские владельцы. Сегодня операционные центры обеих систем находятся за пределами Российской Федерации. В результате складывалась следующая ситуация: российский регулятор мог влиять на Visa и MasterCard только через операторов, а американский регулятор – непосредственно, поскольку обе системы являются юридическими лицами, зарегистрированными в США. Как я уже говорила, обеим системам теперь предлагается вариант, при котором их учредителями будут россияне. Таким образом, материнские компании Visa и MasterCard не смогут оказывать непосредственное влияние на их работу в нашей НПС. NBJ: Если только американский регулятор не зарубит этот проект на корню. А. ОБАЕВА: Если речь будет идти о российской компании с российскими бенефициарами, то это будет невозможно. NBJ: Но ведь речь не идет о том, что именно эти организации станут национальной системой платежных карт (НСПК)?
июнь 2014 НАЦИ О НАЛЬНЫЙ БА НК ОВСК ИЙ ЖУРНА Л
А. ОБАЕВА: Нет. Создание национальной карты – это другой проект. Я надеюсь, что появление НСПК и российских предприятий Visa и MasterCard сделает наш рынок более конкурентным, потому что сейчас, честно говоря, он является дуапольным. На нем фактически господствуют Visa и MasterCard, на долю которых, как я уже отметила в начале разговора, приходится 90% трафика платежных транзакций. NBJ: В силу чего повысится уровень конкуренции? А. ОБАЕВА: В силу того, что законом определены платежи, которые должны будут производиться только с использованием национальной карты. Иными словами, банки должны будут предоставлять национальный платежный инструмент клиентам, чьи выплаты осуществляются за счет бюджета (заработные платы, пенсии, пособия и т.д.). Но, с другой стороны, это не значит, что Visa и MasterCard только потеряют, ничего не приобретя. Во-первых, они, как платежные системы, могут стать участниками НСПК. Во-вторых, в закон «О защите потребителей» внесена поправка, в соответствии с которой все торгово-сервисные предприятия с выручкой выше, чем у микропредприятий (сегодня это более 60 млн рублей), должны иметь оборудование для приема платежей, позволяющее использовать национальные платежные инструменты. Это приведет к тому, что объемы безналичных платежей возрастут, и, естественно, Visa и MasterCard выиграют за счет этого, как и другие платежные системы. NBJ: После того как российское правительство с одной стороны и Visa и MasterCard с другой достигли компромисса, отошла в тень тема обеспечительного взноса, который должны были уплачивать обе международные системы. Надо ли понимать это так, что от идеи взимания взноса с Visa и MasterCard отказались?
национальная платежная система
А. ОБАЕВА: Здесь налицо если не ошибка, то недопонимание: в законе ведь не было написано, что взнос будет взиматься исключительно с Visa и MasterCard, его должны уплачивать и другие платежные системы, зарегистрированные Банком России: платежная система Сбербанка, платежная система ВТБ и т.д. Так что эта поправка в закон ударила по всем, кроме Национального расчетного депозитария, признанного законом национально значимой платежной системой. NBJ: Но почему-то основной шум вокруг этой поправки подняли именно Visa и MasterCard. А. ОБАЕВА: Это логично, если учесть ту долю, которую они занимают на рынке. Они бы и платили больше всех в денежном выражении. Посмотрев на формулы исчисления взноса, Visa и MasterCard пришли к решению о создании российских компаний. Так что закон выполнил свою сверхзадачу. NBJ: Давайте теперь поговорим о НСПК подробнее. А. ОБАЕВА: Честно говоря, ее следовало бы создать еще несколько лет назад. Сегодня, как хорошо известно, грянул гром – и необходимость появления в нашей стране национальной карты никто больше не оспаривает. Возможно, даже хорошо, что мы не приступили к реализации этого проекта раньше, поскольку технологии за последние несколько лет продвинулись вперед, и теперь можно будет избежать ненужных издержек при создании НСПК. NBJ: В мире были опробованы различные варианты создания НСПК. Какой из них выберем мы? А. ОБАЕВА: Это уже известно: национальная система платежных карт будет создана в форме ОАО, владельцем которого на протяжении двух лет будет Банк России, затем он будет постепен-
actual
27
национальная платежная система
actual
НСПК следовало бы создать еще несколько лет назад. Сегодня, как хорошо известно, грянул гром – и необходимость появления в нашей стране национальной карты никто больше не оспаривает
но продавать доли в капитале. Здесь интересно другое: что Банк России возьмет за основу с технологической точки зрения? Наверное, обсуждалось создание системы с нуля, но в этом случае проект может оказаться слишком дорогостоящим. Скорее всего, я предполагаю, что-то Банк России разработает сам, а какие-то наработки приобретет у сторонних вендоров, платежных систем и т.д. NBJ: Сколько времени может занять весь процесс: от начала создания НСПК до момента, когда система заработает в полную силу? А. ОБАЕВА: В законе не указаны конкретные сроки, но с 1 января 2015 года введена ответственность руководителей торгово-сервисных предприятий за непредоставление возможности оплаты с помощью национального платежного инструмента. Соответственно, к Новому году такой инструмент должен быть. NBJ: Эта система не будет международной? А. ОБАЕВА: Сначала как минимум она будет национальной. При этом ей никто не запрещает работать над тем, чтобы
28
actual
со временем стать акцептованной за рубежом. Здесь есть разные варианты. Можно договориться с международными платежными системами, уже работающими за границей, в том числе с UnionPay. Второй вариант – заключить соглашение с национальными платежными системами, работающими в тех странах, которые нас интересуют. Третий – договориться напрямую с крупнейшими международными банками. В принципе, все перечисленные варианты вполне доступны. NBJ: Какой из этих путей, с Вашей точки зрения, оптимален для нашей НСПК? А. ОБАЕВА: В принципе, можно двигаться всеми тремя одновременно. Но мне кажется, что оптимальным все же является заключение соглашения с одной из международных платежных систем. NBJ: Вы упомянули UnionPay, которая в некотором смысле стала для нас живым примером. Но при этом скептики говорят, что Китай создавал свою национальную платежную систему ни много ни мало 10 лет. А. ОБАЕВА: Ну и что? Visa создана 50 лет назад, UnionPay – 10 лет. Давай-
те не будем забывать о том, что технологии в последние годы продвинулись вперед, поэтому сроки создания вполне могут быть ужаты, и за пять лет наша НСПК может стать международной. NBJ: Какие подводные камни могут встретиться при создании НСПК? А. ОБАЕВА: Главный подводный камень – стандартизация, точнее, ее отсутствие. К сожалению, у нас в области финансов и платежей стандартизация развита крайне слабо. Visa и MasterCard завоевали наш рынок в том числе и потому, что у них были четко разработанные стандарты. У нас же это слабое место – данный камень нам надо убрать с дороги. Впечатляет объем работы, которую надо проделать Банку России: разработать не только необходимые стандарты приложений, безопасности и т.д., но и в первую очередь бизнесмодель. С одной стороны, это, конечно, дополнительная головная боль для мегарегулятора, но, с другой стороны, надо отдавать себе отчет в том, что мы вырастим благодаря реализации этого масштабного проекта – целая отрасль будет поднята на следующий уровень развития. NBJ: Понятно, почему создание НСПК даст толчок развитию всей отрасли. А почему такую же положительную роль должен сыграть проект открытия предприятий международных платежных систем с российскими бенефициарами? А. ОБАЕВА: А как же иначе? Предположим, инвестиции в этот проект составят ориентировочно до 30 млн долларов. Одно дело, когда вы принесли инвестиции и это просто денежная сумма, и совсем другое, когда на эти средства будут поставлены инновационные технологии, нанят и обучен профессиональный персонал, внедрены современные платежные решения. Так что, действительно, есть причины для оптимизма.
НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К ИЙ Ж У РН А Л июнь 2014
2.
банки и бизнес
42
66
Интервью с заместителем начальника Главного управления безопасности и защиты информации Банка России Артемом Сычевым о роли стандарта по обеспечению ИБ, кибератаках и способах их отражения
И. ЖУК (Банк России): «Каждый крупный страховщик в рамках института кураторства будет закреплен за конкретным должностным лицом в Банке России»
31
Круглый стол NBJ: «Информационная безопасность в банках: новые вызовы и оптимальные ответы на них»
тема номера > с. 30 > с. 60
чужие здесь не ходят? проблемы информационной безопасности, средств защиты данных клиентов становятся для банков актуальными, поскольку: большую популярность приобретают дистанционные банковские услуги, это означает, что увеличиваются риски клиентов в результате их непродуманных действий и игнорирования правил соблюдения ИБ на фоне ухудшения внешнеполитической обстановки нельзя исключать возможности увеличения количества целенаправленных хакерских атак на информационные системы банков с целью дестабилизации социальной ситуации в стране злоумышленники накапливают опыт и профессионально совершенствуются: их действия, как отмечают специалисты ИБ, все реже носят хаотичный характер и все чаще становятся продуманными и целенаправленными
всему этому можно противостоять только при условии совершенствования российского законодательства (в том числе и Уголовного кодекса), выполнения банками стандартов и рекомендаций регуляторов рынка в сфере ИБ и согласованных действий финансово-кредитных организаций по противодействию мошенничеству
30
банки и бизнес
НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К ИЙ Ж У РН А Л июнь 2014
Рисунок: Дмитрий Дивин
информационная безопасность в банках: новые вызовы и оптимальные ответы на них УЧАСТНИКИ КРУГЛОГО СТОЛА, ОРГАНИЗОВАННОГО NBJ ПРИ СОДЕЙСТВИИ АРБ: Алексей АЗАРКИН, начальник отдела информационной безопасности НРБанка; Сергей АНТИМОНОВ, председатель совета директоров и советник генерального директора ЗАО «ДиалогНаука»; Вадим АНУФРИЕВ, заместитель председателя правления Русского Трастового Банка; Дмитрий БАЙКОВ, руководитель службы информационной безопасности КБ «Пойдем!» (ФГ «Лайф»); Александр БЕЛКИН, руководитель сектора ДБО компании «ИНВЕРСИЯ»; Денис БЕЗКОРОВАЙНЫЙ, руководитель направления по работе с финансовыми организациями компании Trend Micro; Максим БОЛЫШЕВ, заместитель директора департамента электронного банковского обслуживания R-Style Softlab; Анатолий БОЧАРОВ, заместитель начальника управления сопровождения информационных технологий КБ «ЮНИСТРИМ»; Александр ВЕЛИГУРА, председатель комитета по банковской безопасности Ассоциации российских банков; Александр ВЕСЕЛОВ, ведущий инженер ЗАО «С-Терра СиЭсПи»; Кирилл ВОРОЖЦОВ, ведущий специалист по информационной безопасности КБ «Гаранти Банк – Москва»; Мария ВОРОНОВА, заместитель начальника управления информационной безопасности Пробизнесбанка (ФГ «Лайф»); Денис ГАВРИЛОВ, технический директор ООО «МультиСофт Системз»; Андрей ГОЛЯШИН, начальник отдела информационной безопасности Фора-Банка; Сергей ГОРЛЕНКО, заместитель начальника департамента защиты информации Газпромбанка; Михаил ГОРЧАКОВ, начальник отдела информационной безопасности КБ «Финансовый стандарт»; Александр ГУЗЕЕВ, вице-президент Джей энд Ти Банка; Вадим ГРИЦЕНКО, начальник отдела информационной безопасности Альта-Банка; Денис КАРПОВ, инженер по информационной безопасности Международного Банка Развития; Елена КОЗЛОВА, руководитель направления Security Compliance центра информационной безопасности компании «Инфосистемы Джет»; Дмитрий КОЗЫРЕВ, директор управления информационной безопасности АКБ «Международный финансовый клуб»; Даниил КОЗЬЯКОВ, PR-менеджер компании LETA; Дмитрий КОСЯК, начальник отдела безопасности информационных технологий Меткомбанка; Сергей КОТОВ, эксперт по информационной безопасности компании «Аладдин Р.Д.»; Вадим КРИВОВЯЗ, главный эксперт по информационной безопасности
июнь 2014 НАЦИ О НАЛЬНЫЙ БА НК ОВСК ИЙ ЖУРНА Л
банки и бизнес
31
тема номера
банка «Российская финансовая корпорация»; Николай КУЗЬМИН, начальник управления внутренней защиты департамента экономической и информационной защиты бизнеса Росгосстрах Банка; Михаил ЛЕВАШОВ, советник генерального директора Финансовой корпорации «Открытие»; Екатерина ЛЕЖНЕВА, менеджер информационной безопасности и непрерывности бизнеса БНП Париба; Георгий ЛЫСОВ, начальник службы безопасности банка «Российская финансовая корпорация»; Сергей МАЗОВ, руководитель группы по работе с партнерами ЗАО «ОКБ САПР»; Константин МАЛЮШКИН, начальник отдела информационной безопасности Алеф-Банка; Нина МАНАЕВА, ответственный за обеспечение информационной безопасности АКБ «Первый Инвестиционный»; Александра МАРКЕЛОВА, заместитель начальника отдела криптографии и смарт-технологий ООО «Ярус»; Вячеслав МЕДВЕДЕВ, ведущий аналитик отдела развития ООО «Доктор Веб»; Евгений МИРОНОВ, ведущий аналитик ООО «УЦСБ», QSA; Дмитрий МИХАЙЛОВ, заместитель начальника управления – начальник отдела информационной безопасности ВСБ управления по информационной безопасности банка «РОССИЯ»; Денис НАЗАРЕНКО, руководитель отдела поддержки продаж центра информационной безопасности компании «Инфосистемы Джет»; Сергей ПАНКРУХИН, начальник СБ ЗАО КБ «РУСНАРБАНК»; Артем ПОПОВ, менеджер по работе с ключевыми клиентами ЗАО «С-Терра СиЭсПи»; Евгений ПОПОВ, начальник отдела информационной безопасности Ури Банка; Арсений ПРИВАЛОВ, главный специалист информационной безопасности банка «Агросоюз»; Илья ПРОКОПОВ, региональный представитель в обособленном подразделении г. Москвы ООО «УЦСБ»; Алексей САБАНОВ, заместитель генерального директора компании «Аладдин Р.Д.»; Александр СЕРЕБРЯКОВ, старший специалист отдела по связям с общественностью ЗАО «Банковские Информационные Системы»; Евгений СОКОЛОВ, начальник управления информационной и технической безопасности МОСКОВСКОГО КРЕДИТНОГО БАНКА; Алексей СОНИН, ведущий специалист аналитического отдела компании «ИНВЕРСИЯ»; Александр СУСЛОВ, начальник управления информационной безопасности ДКБ ЗАО КБ «Росинтербанк»; Дмитрий СУШКОВ, руководитель службы информационной безопасности МСП Банка; Дарья ТКАЧУК, начальник отдела архитектуры системы управления информационной безопасности Альфа-Банка; Игорь УСАЧЕВ, начальник отдела методологии процессов ИБ Связного Банка; Александр ФЕДОРОВ, начальник управления информационной безопасности ЗАО «Банковские Информационные Системы». ВЕДУЩИЙ: Анастасия СКОГОРЕВА, главный редактор NBJ.
32
банки и бизнес
НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К ИЙ Ж У РН А Л июнь 2014
тема номера
дательства, появляются новые законодательные акты, к которым необходимо приспосабливаться. Второй вызов, который надо учитывать и на который нужно отвечать, тоже сложно назвать новым. Речь идет о воровстве: воруют и в сфере электронных платежей, и в сфере ДБО.
ЗАКОНОДАТЕЛЬСТВО ОТОРВАЛОСЬ ОТ РЕАЛЬНЫХ ПРОБЛЕМ ИЛИ ИДЕТ В НОГУ СО ВРЕМЕНЕМ? NBJ: Тема нашего круглого стола – информационная безопасность в банковском секторе России. Это далеко не первое наше заседание по данной теме. Должна признаться, что каждый раз на повестке дня в рамках обсуждения оказываются новые вопросы или, по крайней мере, несколько изменяются акценты. Первый вопрос я сформулирую так: каковы основные вызовы для обеспечения информационной безопасности в банках сейчас? А. ВЕЛИГУРА: Должен сказать, что какой-то значительной корректировки существующих вызовов за последний год не произошло. Главным как было, так и остается изменение нормативной базы, поскольку ни законодатель, ни регуляторы не забывают о нас. Как только мы привыкаем к требованиям предыдущего законо-
июнь 2014 НАЦИ О НАЛЬНЫЙ БА НК ОВСК ИЙ ЖУРНА Л
Александр ВЕЛИГУРА, председатель комитета по банковской безопасности Ассоциации российских банков
В. МЕДВЕДЕВ: Я не считаю, что у нас большие проблемы с законодательным процессом. Да, конечно, в нашем законодательстве есть шероховатости, но это не препятствует тому, чтобы выстроить нормально функционирующую систему безопасности. На мой взгляд, следует говорить о другом – о разрыве между имеющейся нормативной документацией и возможностями реализации регуляторных и законодательных требований. Положим, банкам решение этой задачи более или менее по плечу, но есть и небольшие организации – владельцы терминальной сети, магазины. Они по своим финансовым возможностям
банки и бизнес
33
тема номера
не в состоянии реализовать все требования ИБ, а ведь они также осуществляют финансовые транзакции. Это первая проблема. Вторая заключается в том, что выпустив достаточно большое количество документов, мы оторвались от базовых определений. Люди просто не в состоянии определить базовый уровень угроз, что неизбежно ведет к неправильному выбору средств защиты, к непониманию того, для чего предназначено то или иное средство защиты. Практически 19 из 20 переговоров с клиентами начинаются с объяснения нами какихто базовых положений, что, естественно, не внушает оптимизма. В этой ситуации, на мой взгляд, был бы очень актуальным и востребованным переход от обычных нормативных документов, которых выпускается очень много, к единой информационно-аналитической системе, позволяющей связать банковское и околофинансовое сообщества различными материалами. Это необходимо, чтобы люди понимали, о чем в принципе идет речь, и могли выбрать правильные средства защиты своего бизнеса.
Евгений СОКОЛОВ, начальник управления информационной и технической безопасности МОСКОВСКОГО КРЕДИТНОГО БАНКА
Е. СОКОЛОВ: Есть конкретные технические требования: организация мониторинга инцидентов в сфере ИБ, установка антивирусов, ведение отчетности и т.д. Для того чтобы все это осуществлять, необходимы значительные финансовые ресурсы либо на покупку специальных технических средств, либо на наем дополнительного персонала. Как легко догадаться, и то и другое ведет к увеличению расходов, которые при определенном раскладе могут превысить прибыль компании.
деньги? Как жаль, мы ничем не можем помочь!» Еще часто можно услышать: «железо» дорого, всевозможные решения финансово неподъемны для банков. А люди, которых приходится нанимать в большом количестве, не дороги? Особенно в условиях, когда налицо дефицит квалифицированных кадров. Посмотрите сами: институты выпускают максимум три тысячи подобных специалистов, а минимальная потребность составляет 4,5 тысячи человек. Подавляющее большинство новоиспеченных «спецов» – менеджеры по ИБ, которые способны видеть дыры разве что в бумагах, а не в системах.
С. КОТОВ: Мне кажется, один из главных вызовов – тот факт, что девятая статья ФЗ № 161 вступила в силу, а ничего во взаимоотношениях между банками и клиентами в случае хищения средств последних не изменилось. Как и раньше, кредитные организации на подобные жалобы реагируют с подкупающей простотой: «У вас украли
М. ЛЕВАШОВ: Я согласен с тем, что здесь в рамках обсуждения уже были подняты очень важные вопросы, но хотел бы вернуться к теме, которую обозначил наш модератор – есть ли новые вызовы в сфере ИБ? На мой взгляд, очевидно, что они есть, например геополитический вызов. Вряд ли, конечно, этот фактор будет оказывать долгосроч-
34
банки и бизнес
ное влияние, но он имеет место. Надо думать, как организовать противодействие этому вызову. Второй вызов – лавинообразный рост новых информационных технологий и реализующих их устройств, прежде всего мобильных гаджетов. В близкой мне финансовой отрасли это особенно заметно – нужно организовать и постоянно совершенствовать защиту против мошеннических действий в данной сфере. Третий вызов трудно назвать новым, скорее следует говорить о том, что он вечный, – персонал. Из практики изучения нарушений, произошедших в разных компаниях, именно действия сотрудников способны привести к серьезным убыткам, если персонал не воспитывать, не контролировать и не направлять его активность на пользу бизнесу. И еще один момент: если говорить о e-banking, центр тяжести решений по безопасности платежей находится в банке и в промежутке между банком и клиентом. Мы в некоторых случаях должны предполагать, что клиентская площадка занята противником. Наша задача заключается в том, чтобы отличить транзакцию настоящего клиента от транзакции противника – это фродмониторинг транзакций. NBJ: Проверить валидность цифровой подписи – один из вариантов. М. ЛЕВАШОВ: Этого недостаточно. Понятно, что, если площадка занята противником, то штатная подпись может быть поставлена им под мошенническим документом. Что касается уже поднятого здесь вопроса о расходах на обеспечение ИБ, есть всем известное, но регулярно игнорируемое средство – аутсорсинг. Он может быть дешевле и заведомо эффективней, чем обеспечение информационной безопасности собственными силами. И можно найти специализированные компании, имеющие высококлассных сотрудников, кото-
НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К ИЙ Ж У РН А Л июнь 2014
тема номера
рые в рамках аутсорсинга за умеренную плату выполнят эту работу. NBJ: Если все, как Вы говорите, периодически забывают об аутсорсинге, возможно, дело в том, что он не так привлекателен на практике, как в теории? М. ЛЕВАШОВ: Мне, честно говоря, причины этого неясны. Для малых и некоторых средних банков аутсорсинг будет предпочтительней, чем формирование дорогой собственной службы ИБ. Такой подход согласован в том числе с регулятором. А. САБАНОВ: На мой взгляд, один из новых вызовов – это тот факт, что сейчас мошенники пользуются дырами в законодательстве. Чтобы не быть голословным, приведу только один пример: у нас нет закона об идентификации и аутентификации. К чему
Дмитрий ДЕМИДОВ, руководитель департамента CRM компании НОРБИТ
В банках CRM-система является одним из главных хранилищ персональной информации, утечка которой способна
июнь 2014 НАЦИ О НАЛЬНЫЙ БА НК ОВСК ИЙ ЖУРНА Л
Михаил ЛЕВАШОВ, советник генерального директора Финансовой корпорации «Открытие»
нанести организации непоправимый ущерб, поэтому вопрос защиты информации в системе взаимодействия с клиентами является приоритетным. При внедрении CRM в банках эксперты компании НОРБИТ руководствуются принципами комплексного подхода безопасности и применяют технические и административные средства. С целью обеспечения конфиденциальности информации при ее передаче настраивается шифрование на базе защищенного протокола Secure Socket Layer (SSL). Это позволяет исключить утечку сведений при удаленном подключении к CRM-системе. Также шифрованию подвергается клиентская база данных и ее резервная копия, что гарантирует безопасность клиентской информации в CRM-системе. Экспертами компании НОРБИТ отработана методология административного подхода выстраивания многоуровневой архитектуры защиты информации. Все пользователи CRM разделяются на груп-
это приводит на практике? Человек приходит в банк и говорит, что хочет обнулить счет, после чего удаляется с мешком денег. И ничего сделать с этим нельзя: паспорт был предъявлен, фото фальшивое и т.д. Какой отсюда вывод? Надо действовать комплексно и укреплять все три составляющие ИБ: законодательство, оргмеры и «железо». Что касается аутсорсинга, то позволю себе маленькую ремарку: в конце мая состоялось обсуждение рекомендаций Банка России относительно ресурсного обеспечения информационной безопасности. В этих рекомендациях очень грамотно прописано, что аутсорсинг предлагается как средство ресурсного обеспечения на пятом этапе развития защиты информации в финансово-кредитной сфере. Я считаю, что это абсолютно правильный подход.
пы, соответствующие типовым ролям. Доступ к каждому из разделов данных осуществляется строго по правам, настроенным для конкретной роли, – можно скрывать и открывать данные для групп пользователей, выставлять ограничения с детализацией до поля в карточке клиента, гибко разделять права на чтение и запись, отслеживать и ограничивать действия сотрудников. Формула безопасности CRM-проекта – это сочетание комплексного подхода к защите и обеспечение баланса между удобством пользования CRM и безопасностью. Кроме того, для реализации максимально эффективного проекта важен профессионализм и отраслевой опыт команды. К примеру, практика CRM НОРБИТ является одной из наиболее опытных и крупнейших на российском рынке. Отработана гибкая методология внедрения отраслевых решений на базе Microsoft Dynamics CRM 2013 с учетом индивидуальных требований клиентов.
банки и бизнес
35
тема номера
даций, которые впоследствии могут перерасти в стандарты, причем, что особенно важно отметить, в стандарты обязательные для выполнения. У нас же все стандарты носят рекомендательный характер, и мы не шевелимся, пока не выйдет профильный закон. А он часто выходит после длительных согласований и «дырявый».
ГОТОВЫ ЛИ БАНКИ, ГОТОВЫ ЛИ КЛИЕНТЫ? В. МЕДВЕДЕВ: У нас несколько странное отношение ко всему происходящему. Априори подразумевается, что вся проблема в дырах в законодательстве. А на мой взгляд, она в другом: законы есть, а проблемы возникают на уровне исполнителя, то есть пока нет готовности со стороны банков выполнять в полном объеме то, что предписывает им законодательство. А. САБАНОВ: Здесь я не соглашусь с вами. И в мире, и у нас в стране принят следующий порядок. Создаются новые технологии – мобильная связь, электронная сеть и т.д. Это сопровождается появлением неких рекомен-
Вячеслав МЕДВЕДЕВ, ведущий аналитик отдела развития ООО «Доктор Веб»
Светлана КОНЯВСКАЯ, заместитель генерального директора ЗАО «ОКБ САПР» Сейчас очень заметно, как много общего у безопасников и банкиров. И те и другие видят основную причину всех проблем в том, что обеспечение информационной безопасности – это сложная предметная область, которую клиент не вполне понимает и за которую не готов платить достаточно. По репликам участников круглого стола видно, что под клиентами в отдельных случаях некоторые безопасники подразумевают как раз таки самих банкиров. Для клиента чего угодно (банка, ресторана или дистрибьютора средств защиты информации) совершенно нормально стараться минимизировать расходы. Обратное может говорить только о наличии явно выраженной коррупционной составляющей. На круглом столе заметная часть дискуссии была посвящена тому, как заинтересовать клиента в собственной информационной безопасности тем или иным способом. Отдельное спасибо Константину Малюшкину (начальнику отдела информационной безопасности Алеф-Банка – прим. ред.) за поднятие этой темы. К сожалению, по большей части обсуждение вращалось вокруг
36
банки и бизнес
А. ВЕЛИГУРА: Получается какой-то замкнутый круг: пока не заставят, никто безопасность обеспечивать не будет. И как из него можно выйти? Будем ждать, пока совесть проснется? Мне кажется, что эффективный механизм – показывать на реальных примерах, что обходить рекомендации и стандарты по ИБ экономически невыгодно. Когда банки это осознают, я думаю, количе-
того, почему это невозможно. Но обсуждение уже было, а когда мы ставили так вопрос впервые, в начале 2013 года, ничего, кроме недоуменного молчания, это не вызвало. Динамика положительная! Конечно, клиента нужно мотивировать, например, условиями договора: если он работает в защищенной среде с выполнением рекомендаций банка, то за его средства отвечает банк. А если он не хочет выполнять рекомендации, тогда, если что – он сам виноват. Но и банк тоже стоит мотивировать. Представляется, что мотив есть: разделение своих услуг на разные классы (защищенные – с ответственностью кредитной организации, незащищенные – с ответственностью клиента) может положительно сказаться на ассортименте предлагаемых банком услуг. Поддерживая скепсис в отношении предложения об экзамене на права, замечу, что противоестественно ожидать хорошей реакции клиента на предложение заплатить много денег за то, чтобы работать с банком стало сложнее. Нормально – платить за то, чтобы стало лучше, а не хуже. Средство защиты информации на стороне клиента, конечно, не должно требовать от него никаких знаний, умений и навыков. Оно должно работать само, и его должно быть невозможно испортить попыткой перенастройки и других «улучшений». Не следует привязывать его к одному компьютеру и накладывать абсурдных ограничений, вроде интернет-банкинга без подключения к сети Интернет. Такие средства есть. Банки обращаются к нам за ними.
НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К ИЙ Ж У РН А Л июнь 2014
тема номера
что так надо, бесполезно – возможно, лучше подумать над повышением ставки по вкладу или понижением ставки по кредиту для тех людей, которые ведут себя ответственно с точки зрения соблюдения рекомендаций ИБ.
ство подобных попыток обхода резко сократится. Д. БЕЗКОРОВАЙНЫЙ: Я бы хотел поговорить об инновационных решениях. Даже в рамках этого обсуждения мы видим, что характер угроз несколько изменился, целевых атак стало больше, это подтверждается исследованиями, проведенными как в России, так и в других странах. В связи с этим, естественно, возникает вопрос, сколько внимания банки уделяют инновационным решениям? Можно, конечно, создать систему ИБ на основе старых решений, но в этом случае мы получим не реальную защиту, а ее имитацию. Например, старые антивирусные системы пропускают примерно 80% угроз, с которыми пользователи сталкиваются в реальной жизни. В. МЕДВЕДЕВ: Тут надо разобраться, что такое новые, а что такое старые средства. Е. СОКОЛОВ: На мой взгляд, дело тут не в новых или старых средствах защиты, а в технологии. А технология одна – фрод-мониторинг, и ничего нового в этом вопросе мы не придумаем. Надо отслеживать трафик, постоянно анализировать, не появилось ли что-нибудь странное и неординарное. Конечно, для этого нужны люди, иначе проблему противодействия мошенникам не решить. С. ПАНКРУХИН: Можно поставить хорошую антивирусную защиту и нанять квалифицированных специалистов, но что делать с клиентами? Как должны выстраиваться отношения между ними и банками. Пожалуйста, есть Письмо № 209-Т, изданное ЦБ РФ. В нем финансово-кредитным организациям рекомендуется включать в договоры следующий пункт: если что-то происходит на стороне клиента, то ответственность за это несет клиент. В. МЕДВЕДЕВ: Если опираться на статистику, то в 60% случаев клиент не имеет
июнь 2014 НАЦИ О НАЛЬНЫЙ БА НК ОВСК ИЙ ЖУРНА Л
С. КОТОВ: У меня есть, как мне кажется, более конструктивное предложение. Хорошо известно, что, прежде чем пустить человека за руль автомобиля, его обязывают сдать экзамен и получить права. Возможно, самое время вводить права клиента банка по результатам того, соблюдает пользователь банковских услуг или нет рекомендации по ИБ.
Сергей КОТОВ, эксперт по информационной безопасности компании «Аладдин Р.Д.» никаких необходимых средств защиты – в частности установленного антивируса. С. ПАНКРУХИН: О том и речь. При таком раскладе наши усилия оказываются по большей части бесплодными. Можно нанять массу специалистов, чтобы они осуществляли мониторинг инцидентов. Но как заставить клиента поставить по рекомендации банка антивирусную защиту? А когда происходит хищение, люди обижаются и уходят, обвиняя во всем кредитную организацию. Возможно, это не самая острая проблема для крупных организаций, но она безусловно очень болезненная для малых и средних игроков, которые и так на фоне кризиса страдают от оттока клиентов. К. МАЛЮШКИН: Я бы хотел озвучить предложение, которое, возможно, покажется несколько экстравагантным. Для того чтобы клиент стал соблюдать рекомендации по безопасности по доброй воле, его надо чем-то заинтересовать. Просто твердить ему,
NBJ: Боюсь, что при таком раскладе останутся только 200–300 банков – из остальных клиенты просто-напросто уйдут, не желая сдавать экзамены на получение прав. С. КОТОВ: Встречный вопрос: а зачем нам банки, которые несерьезно относятся к вопросам обеспечения собственной информационной безопасности и которые не требуют ответственного отношения клиентов к этому? С. АНТИМОНОВ: Отношение кредитных организаций к проблемам обеспечения ИБ так или иначе изменится. Оно уже меняется, в том числе после вступления в силу девятой статьи ФЗ № 161, обязавшей банки возмещать средства, похищенные у клиентов. И если еще пять лет назад они не уделяли большого внимания средствам защиты, воспитанию клиентов и т.д., то теперь их подходы меняются, это естественно, если учесть, что появились новые риски. Вся эта ситуация наглядно демонстрирует, какую роль может сыграть вступление в силу нового закона. Отмечу второй момент. Недавно руководитель одной из крупнейших в мире компаний – производителей средств защиты информации признался, что их новый антивирус пропускает порядка 50% всех атак. Компания,
банки и бизнес
37
тема номера
по его словам, сделала выводы и сейчас выстраивает свою стратегию по следующему принципу: мы должны предположить, что враг уже сидит внутри нашей корпоративной сети, нужно его искать по тем действиям, которые совершает вирус. Д. КОЗЫРЕВ: Разрешите все-таки развить тему взаимодействия с клиентом. Прозвучало несколько замечаний о правильности финансовой ответственности банков в случае потери денег клиентом. Хотелось бы резюмировать: проблема ДБО сейчас имеет в себе несколько бизнес-противоречий и противоречий информационной безопасности. Во-первых, мы эксплуатируем систему, которая состоит из двух компонентов – банковского и клиент-
ского. За клиентский компонент банк не отвечает, не контролирует то, что там происходит. Мы можем только дать клиенту рекомендации в договоре, которые он совершенно не обязан соблюдать. Получается, что эксплуатируется система, имеющая дыру на стороне клиента. О какой защите может идти речь в данной ситуации? Во-вторых, Центральный банк предъявляет к кредитным организациям требования, касающиеся консультирования клиентов по вопросам информационной безопасности. Это совсем другой бизнес. Мы не консалтинговое агентство, не располагаем call-центром, у нас нет ресурсов, чтобы дополнительно этим заниматься. В-третьих, безопасность построена на рисках. Риски клиентов могут отличаться от рисков кредитной орга-
Виктор СЕРДЮК, генеральный директор ЗАО «ДиалогНаука», кандидат технических наук, CISSP На сегодняшний день для большинства кредитно-финансовых организаций одной из наиболее опасных угроз являются целенаправленные атаки (угрозы APT, таргетированные атаки, угрозы нулевого дня и т.д.). Актуальность этих рисков подтверждается реальными инцидентами, произошедшими в российских банках за последние несколько лет, вследствие которых они понесли значительные финансовые потери. При проведении целенаправленной атаки первоначальное проникновение в сеть банка может осуществляться, например, через Интернет, когда пользователь заходит на скомпрометированный злоумышленником сайт, через который эксплуатируется уязвимость в его интернет-браузере. Другим вариантом реализации атаки является отправка пользователю электронного письма с вложением (например, документа формата MS Office или Adobe Acrobat), при откры-
38
банки и бизнес
низации. Клиент снижает свои издержки, экономит на безопасности. Основное противоречие банковского бизнеса – клиент воспринимает ДБО как услугу, соответственно, он не хочет воспринимать банк как куратора, не хочет слушать его рекомендации, платить дополнительные деньги за страховку и уходит. С этим приходится работать. ВЫПОЛНЕНИЕ РЕКОМЕНДАЦИЙ ПО БЕЗОПАСНОСТИ КАК ВЫПОЛНЕНИЕ ПРАВИЛ ЛИЧНОЙ ГИГИЕНЫ К. МАЛЮШКИН: Знаете, здесь можно сказать о том, что и клиент, и банк заинтересованы в решении этого вопроса, потому что клиент несет деньги в кредитную организацию не для того, чтобы они там просто лежали –
тии которого эксплуатируется уязвимость в клиентском ПО и на компьютере пользователя запускается вредоносный код. И в том, и другом случае атаку не смогут обнаружить антивирусы и другие средства защиты, уже установленные в банке, так как злоумышленник использует уязвимости, сигнатуры для детектирования которых еще не внесены в базы данных систем безопасности. Таким образом, для эффективной защиты от такого вида угроз необходимо применять специализированные решения, примером которых является система FireEye. Решения FireEye реализуются в виде программно-аппаратных комплексов, выделяющих из входящего сетевого трафика те объекты, при помощи которых может реализоваться целенаправленная атака (гиперссылки, вложения в почтовые письма, передаваемые по сети файлы и т.д.). После этого проводится поведенческий анализ этих объектов в специальных виртуальных машинах (представляющих разные версии операционной системы Windows с различными версиями прикладного ПО), которые запускаются на платформе FireEye. В случае появления признаков вредоносной активности атака блокируется. FireEye также позволяет анализировать исходящий трафик банка с целью выявления уже инфицированных узлов внутри корпоративной сети. Опыт ЗАО «ДиалогНаука» показывает, что внедрение решений класса FireEye значительно повышает общий уровень ИБ кредитной организации.
НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К ИЙ Ж У РН А Л июнь 2014
тема номера
он стремится получить выгоду. Банк, в свою очередь, взимает комиссию за обслуживание. Это взаимный интерес. Говорить о том, что клиент не обязан выполнять предписаний, – значит по меньшей мере упрощать ситуацию. Нужно привлекать клиента к исполнению обязательств, чтобы он действовал самостоятельно, а не надеялся на великий и могучий банк. Возможно, необходимо заинтересовать по принципу кнута и пряника. Также хотелось бы, чтобы законодательная власть приняла документы, регламентирующие данную ситуацию.
В. МЕДВЕДЕВ: Боюсь, что использовать пряник не получится. Тот, кто придумает маркетинговый ход, заставляющий клиента понять, для чего нужна информационная безопасность, может сразу рассчитывать на получение Нобелевской премии. Клиенты не понимают и не хотят ничего понимать, для них потери от несоблюдения требований информационной безопасности гораздо меньше, чем возможные потери от других видов бизнеса. Более того, если банки потребуют от своих клиентов соблюдения требований ИБ, то клиенты просто начнут уходить.
Д. КАРПОВ: Ситуация, мягко говоря, противоречивая. С одной стороны, чем проще и удобнее клиенту – тем ему лучше, с другой стороны, чем проще клиенту – тем хуже банку. Мне понравилась идея о том, что нужно заинтересовать клиента информационной безопасностью. В настоящее время существует множество мелких фирм, которые зачастую грубо нарушают правила информационной безопасности. Система ИБ работает только тогда, когда она соблюдается на каждом участке цепочки, от начала до конца, иначе она развалится. Почему бы в таком случае не рассмотреть
ны как внешних, так и внутренних нарушителей.
изводит блокирование источника атаки с помощью соответствующего коммуникационного оборудования.
Александр БОЛГАК, менеджер по продукту ЗАО «РНТ» Довольно часто успешное вторжение в корпоративную сеть банка обнаруживается постфактум, то есть когда атака на систему уже была произведена. Сегодня сплошь и рядом происходят покушения на безопасность информационных банковских систем, в особенности на ресурсы тех финансово-кредитных организаций, которые вовремя не позаботились об оснащении своей локальной сети современными средствами защиты информации. Чтобы не стать жертвой хакерской атаки, лучше всего строить работу в области обеспечения ИБ по принципу «предупрежден – значит вооружен». Таким средством является система обнаружения компьютерных атак (СОА) «Форпост» от ведущего производителя средств защиты информации ЗАО «РНТ» СОА «Форпост» предназначена для выявления и предотвращения развития сетевых компьютерных атак в информационных системах банков, направленных на рабочие станции пользователей, серверы и коммуникационное оборудование. Система позволяет одинаково эффективно выявлять и блокировать источники атак со сторо-
июнь 2014 НАЦИ О НАЛЬНЫЙ БА НК ОВСК ИЙ ЖУРНА Л
ФУНКЦИОНАЛЬНЫЕ ВОЗМОЖНОСТИ В основу функционирования системы положен сигнатурный метод выявления атак. Он обеспечивает обнаружение атак на основе специальных шаблонов (сигнатур), каждый из которых соответствует конкретной атаке. При получении исходных данных о сетевом трафике информационной системы СОА «Форпост» производит их анализ на соответствие указанным шаблонам атак, имеющимся в базе данных. Кроме того, СОА производит анализ передаваемого трафика на соответствие спецификациям протоколов, описанным в RFC. В случае обнаружения сигнатуры в исходных данных система регистрирует факт обнаружения атаки, оповещает администратора безопасности о событии и про-
ДОСТОИНСТВА СИСТЕМЫ: обнаружение атак в режиме реального времени; блокировка источника угрозы ИБ на МЭ; поддержка обновлений базы данных сигнатур атак в системе; наличие подсистемы собственной безопасности; удобный русскоязычный графический интерфейс программы управления СОА; модульная архитектура, позволяющая адаптироваться к требованиям конкретной ИС по производительности и отказоустойчивости; сертификаты ФСТЭК России и ФСБ России.
банки и бизнес
39
тема номера
идею использования каких-либо платежных терминалов, тех же самых карточных верифонов, кассовых аппаратов – устройств, выполняющих одну и ту же функцию банковского платежа? Также можно начать использовать доверенные персональные рабочие места кассира, бухгалтера, которые выполняют однуединственную функцию. Пусть это сертифицированное устройство будет написано на компилируемом языке, не будет иметь никаких портов, кроме питания. Можно просто изготовить и начать устанавливать подобные объекты. С. КОТОВ: Мне известен один реальный пример, когда руководство кредитной организации, внедрив одну из систем информационной безопасности, затем сказало клиентам: «Господа, если вы не можете потратиться на собственную систему ИБ в таком-то размере – значит вы не клиенты нашего банка». Кредитная организация продолжает работать по сей день, клиенты не разбежались. Модель бизнеса банка должна быть привязана к модели развития ИБ – по-другому не бывает. А. ВЕЛИГУРА: Хотел бы сообщить, что в прошлом году мне довелось готовить материал по анализу состояния ИБ в финансовых организациях за рубежом. В рамках этой подготовки мне попался обзор, в котором были подробно описаны основные проблемы, вызовы и угрозы в данной сфере. Вот что выяснилось: несмотря на то что в западных странах гораздо раньше появились средства электронного платежа, 85% противоправных деяний происходит по вине клиентов. Разумеется, воспринимать эту цифру надо с поправкой на то, что об этом говорят банки, а они всегда рады спихнуть на клиента ответственность за случившееся. Но если бы клиент был виноват только в 10% случаев, вряд ли финансово-кредитные организации указали 85%. М. ГОРЧАКОВ: Я работал и в небольших, и в крупных банках – опыт накоплен
40
банки и бизнес
немалый. Законодательно можно принудить клиента использовать только е-токен, но мы должны отдавать себе отчет в том, что на стороне клиента есть масса других уязвимых мест, которые будут нарушены. Не забывайте, что договор между кредитной организацией и клиентом – это соглашение двух хозяйствующих субъектов. Как вы пропишете в договоре отношения, такими они в дальнейшем и будут. Если все риски будут повешены на банк (в том числе вы установите какой-то стандарт безопасности для клиентов), то где вы в таком случае найдете стороннего аудитора? Кто будет проводить аудит безопасности на стороне клиента? Возьмем, к примеру, средства хранения ключей – это только один рубеж защиты. Если вы зайдете в любую организацию, где нет защиты доступа в помещение, нет видеонаблюдения, то найдется финансовая информация, в том числе выписка со счета, которая хранится в шкафчике и является доступной для любого желающего. Это, по сути, информация, которая дает понимание о состоянии счета – не нужно взламывать систему. Более того, не успевая сделать работу в офисе, служащие уносят ее домой. В домашних условиях защищенная среда не может быть гарантирована. Вся априори защищенная информация станет доступной. Задача банка состоит в том, чтобы обеспечить максимальную защиту на своей стороне, чтобы в случае судебных споров при организации комиссии, которая будет разбирать возникшую проблему, доказать, что он исполнил свои обязательства в полном объеме. Современное законодательство ужесточилось, это большой плюс. Теперь после выхода Положения Банка России № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществле-
нии переводов денежных средств» появилась необходимость в службе ИБ. Раньше ее представлял человек или группа людей, которые не имели правового статуса. Теперь можно двигаться вперед. Основной вызов остается всегда – это диалектика безопасности, когда средства нападения всегда опережают средства защиты. Не было бы такого количества атак, которое мы имеем сегодня – не было бы и такого разнообразия способов защиты. Сегодня атаки производятся не только на ДБО, но и на системы исполнения платежей. Раньше это было просто немыслимо. А. САБАНОВ: Наши законы регулируют взаимоотношения между государством, бизнесом и личностью, создают условия для того, чтобы эти технологии использовались. Безусловно, по нормативно-правовой базе мы отстаем от высокоразвитых стран. Многие законы обсуждаются годами и не принимаются. Сегодня банки могут устанавливать любые правила игры в отношении любых технологий, в том числе ДБО. Я за то, чтобы законы в нашей стране издавались вовремя, чтобы в них было поменьше дыр, только и всего. А. БЕЛКИН: Как правило, объем хищений прямо пропорционален стремлению банка применять технические средства и средства информационной безопасности. Как только вырастает объем хищений, соответственно увеличивается желание банка покупать защиту для сети, e-токены и т.д. Поэтому стремление Центробанка, который предлагает ввести законодательно какие-либо средства и методы, мы обычно встречаем с радостью, для нас это некий ориентир. Без оглядки на ориентир игроки финансового рынка уходят в полноценное маскирование данной деятельности. Организации, которые интенсивно защищаются, – это отличные банки, они выступают лидерами развития информационной безопасности.
НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К ИЙ Ж У РН А Л июнь 2014
тема номера
И. УСАЧЕВ: Крупные игроки могут позволить себе защиту от угроз, которые только возникают или могут возникнуть. Но службы безопасности организаций, не имеющих ресурсов, в большей степени ждут ценных указаний от регулятора и нормативных документов, чтобы иметь возможность прийти к руководителю, рассказать о требованиях закона и заложить определенный бюджет под нужды ИБ. Это проблема. Не все регуляторы прислушиваются к мнению экспертного сообщества банков, которые действительно работают с кейсами инцидентов. На мой взгляд, еще один очень важный аспект нашей темы – взаимодействие банков в сфере ИБ. Известно, что вывести деньги в никуда нельзя. Есть перечень людей, которые этим занимаются, организации, которые открываются с этой целью. Обмена
подобной информацией на законных основаниях быть не может, потому что имеет место передача персональных данных. Банки в рамках правового поля ничего сделать не могут, потому что есть бюро кредитных историй, а вот бюро мошенников не существует. Никто не хочет взять на себя смелость и ответственность за создание подобной структуры, никто не хочет тратить собственные средства на ее организацию. И это также проблема. М. БОЛЫШЕВ: Мне кажется, мы стоим на пороге возникновения новых проблем с безопасностью. Давайте не будем забывать о росте продаж мобильных девайсов – в прошлом году был продан первый миллиард планшетов. В России за первый квартал текущего года продано около 50 млн смартфонов. Банки обязательно ринутся
Александр ВЕСЕЛОВ, ведущий инженер ЗАО «С-Терра СиЭсПи» Колоссальный прогресс в ИТ-индустрии зачастую приводит к тому, что средства информационной безопасности отстают от темпов развития технологий. Яркий пример – мобильные платформы, использование которых значительно расширило перечень потенциальных угроз информационной безопасности. Кроме того, следует отметить низкий уровень подготовки большинства рядовых пользователей и, как следствие, непонимание основных принципов интернет-гигиены. При таких тенденциях необходима непрерывная защита от угрозы: до атаки, в процессе и после атаки. Проактивные механизмы в средствах обеспечения безопасности должны быть не просто статическими и сигнатурными, а в большей степени адаптивными. Интеллектуальный анализ, который сейчас проводится персоналом вручную, необходимо автоматизировать. Это позволит оперативно реагировать на новые угрозы и надежно защитить инфраструктуру.
июнь 2014 НАЦИ О НАЛЬНЫЙ БА НК ОВСК ИЙ ЖУРНА Л
закрывать эту нишу, предоставлять услуги на мобильных устройствах, при этом они постараются вынести в системы ДБО все, что можно, в том числе и заключение договоров. Это неизбежно создаст отдельную зону риска. Законодательство должно регулировать те возможности и средства безопасности, которые будут предоставлять банки. Но при этом мы должны понимать, что оно всегда будет отставать от реальной жизни и к нему следует относиться как к средствам личной гигиены. Чистишь зубы – не будет кариеса, выполняешь требования и рекомендации регулятора в сфере ИБ – значит сможешь избежать огромного вороха проблем. Но при этом необходимо учитывать, что каждый банк уникален, каждый будет находить свои средства обеспечения информационной безопасности.
К сожалению, нормативная база также не успевает за прогрессом. Виртуализация, мобильные платформы – эти и другие аспекты до сих пор не в полной мере отражены в документах регуляторов. В настоящее время продолжается обновление СТО БР ИББС – будем надеяться, что новая редакция документа позволит расставить все точки над «i» в вопросах информационной безопасности финансовых организаций. Банк – это прагматичный заказчик, который использует только проверенные и хорошо себя зарекомендовавшие продукты для собственной системы защиты. В такой ситуации применение инновационных средств весьма затруднительно. Ставки слишком высоки, чтобы использовать непроверенный рынком продукт. Кроме того, в крупных банках разработка и согласование проекта могут занять достаточно длительное время, поэтому в момент начала использования средство защиты может быть уже обыденным, а не инновационным. Информационная безопасность финансовых организаций разделена на две составляющие: соответствие стандартам и реальная защищенность. Многие аспекты первого пункта могут выполняться формально. Зато по второму пункту банки значительно опережают компании из других сфер. Зачастую некоторые изменения в нормативной базе, касающиеся ужесточения требований, уже учтены и используются в банковских системах защиты.
банки и бизнес
41
тема номера
ИБ: новая ситуация и новые вызовы А. СЫЧЕВ: «Для того чтобы предотвратить последствия политически мотивированных кибератак, мы диверсифицируем свои риски, используя собственные средства защиты и привлекая механизмы очистки трафика нашего провайдера» беседовала
Гузель Куликова
О главных задачах Банка России в области информационной безопасности, о том, как защитить платежи клиентов при осуществлении транзакций в ДБО, а также о роли безопасников в предотвращении террористических атак киберпреступников рассказал в интервью NBJ заместитель начальника Главного управления безопасности и защиты информации Банка России Артем СЫЧЕВ.
42
банки и бизнес
«ТРЕПЕТНОЕ ОТНОШЕНИЕ К ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ» NBJ: Артем Михайлович, важность систем информационной безопасности для банковского бизнеса не подлежит сомнению. Тем не менее внимание Центробанка к вопросам ИБ в отечественных кредитных организациях в последнее время существенно возросло. С чем это связано?
А. СЫЧЕВ: Технологии, которые банки используют в своей деятельности, активно развиваются. В обеспечении их безопасности неуклонно возрастает роль защиты информации. Не секрет, что уязвимостями программного обеспечения кредитных организаций могут воспользоваться злоумышленники для извлечения собственной выгоды. Сегодня схемы хищений денежных средств становятся более изощренными. Мошенники быстро совершенствуют свои методы – модифицируются и применяемые ими технологии. Эти изменения необходимо анализировать и адекватно на них реагировать, потому что последствия для клиентов банка, а значит, и владельцев бизнеса могут быть очень серьезными. Поэтому ИБ является для кредитных организаций одним из основополагающих аспектов деятельности, а вопросы обеспечения защиты информации бизнеса активно обсуждаются как в банковском сообществе, так и на высоком государственном уровне. У Центрального банка России к обеспечению ИБ особое и трепетное отношение. NBJ: Обозначьте, пожалуйста, основные задачи Банка России в области информационной безопасности. А. СЫЧЕВ: Особое внимание Банк России уделяет обеспечению кредитными организациями безопасности при переводе денежных средств в соответствии с законом № 161-ФЗ. Что касается
НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К ИЙ Ж У РН А Л июнь 2014
тема номера
наших внутренних задач, то мы прежде всего обязаны гарантировать информационную безопасность собственных сетей и платежной системы. Система валовых расчетов должна быть защищена в режиме реального времени. Отдельно следует сказать, что появление заведомо недостоверной информации в отношении как ЦБ, так и коммерческих кредитных организаций может негативно повлиять на рынок, на вопросы регулирования. Здесь также необходимо отметить следующий момент: в связи с тем, что на базе Банка России создан мегарегулятор, а вопросы ИБ сегодня актуальны для всех участников финансового рынка, то внимание Банка России обращено в том числе и на небанковский сегмент. С учетом тенденции перехода организаций на электронное, безбумажное взаимодействие задачи обеспечения ИБ становятся приоритетными в работе ЦБ.
совых операций – прим. ред.) проведена работа, направленная на обобщение передового опыта банковского сообщества в части предотвращения утечек данных, в частности мониторинг СМИ и социальных сетей для выявления фактов публикации негативной информации, способной повлиять на деятельность кредитных организаций. По сути, был суммирован опыт крупнейших банков, в том числе и зарубежных, которые, основываясь на собственной практике, рассказали, как выявлять такие публикации и работать с полученным материалом. Для кредитных организаций это крайне актуальная задача, и бизнес требует соответствующей реакции. Уверен, что подготовленные материалы будут полезны и востребованы как средними, так и малыми банками. Во второй половине года на площадке Технического комитета № 122 пройдет обсуждение разработанного документа.
NBJ: В рамках XXV съезда АРБ многие игроки финансового сектора говорили о том, что распространение негативной информации, несостоятельных слухов в отношении кредитных организаций в разных источниках наносит ущерб их репутации и приводит к оттоку вкладчиков. Можно ли эффективно противодействовать таким явлениям?
«НОВЫЙ СТАНДАРТ – ЛУЧШИЙ РЕЦЕПТ УПРАВЛЕНИЯ РИСКАМИ»
А. СЫЧЕВ: Основная форма противодействия – это выявление подобных сообщений и адекватное реагирование на них в рамках существующего законодательства. Сейчас каждый игрок сам принимает решение по подобным инцидентам. Однако проблема носит системный характер, поэтому мы намерены проанализировать опыт банков, а по результатам сформировать рекомендации, применение которых для финансово-кредитных организаций будет добровольным. В рамках Технического комитета № 122 при Центральном банке (комитет отвечает за организацию и координацию разработки стандартов финан-
июнь 2014 НАЦИ О НАЛЬНЫЙ БА НК ОВСК ИЙ ЖУРНА Л
NBJ: Ранее сообщалось, что в начале лета Банк России планирует опубликовать новый стандарт по обеспечению информационной безопасности в банковской системе РФ. А. СЫЧЕВ: Стандарт по обеспечению ИБ вступил в силу и опубликован на сайте ЦБ. По сути, это адаптация предыдущей версии стандарта, в которую внесены коррективы с учетом изменений в законодательстве о персональных данных. Конечно, за время с момента публикации последней версии стандарта произошли некоторые преобразования: ИТ-технологии ушли вперед, изменился подход к оценке соответствия. Уверен, для большинства кредитных организаций документ не станет откровением, тем более стандарты обсуждались и на площадке Технического комитета № 122 во время проведения Уральского форума «Информационная безопасность банков».
Неожиданностей не будет. Большую часть требований многие банки и так выполняют. Следует отметить, инициатива внесения изменений в стандарт исходила от коллег из кредитных организаций, основную часть работы проделали именно они, за что им отдельная благодарность. NBJ: Что же изменилось в документе? А. СЫЧЕВ: Исходя из требований Федерального закона № 152-ФЗ «О персональных данных», а также соответствующего постановления правительства и нормативных документов ФСТЭК в нашем стандарте были смещены акценты. В этой связи ЦБ ведет работу по согласованию с ФСБ и ФСТЭК перечня актуальных угроз при обработке персональных данных, чтобы в соответствии с законом включить его в нормативный документ. В результате банки получат подробную методологию обеспечения безопасности при обработке персональных данных. Что еще нового? Введены в действие рекомендации и практики в области управления инцидентами информационной безопасности. Требование о необходимости управлять инцидентами ИБ установлено Положением Банка России от 9 июня 2012 года № 382-П. На практике же всегда возникает вопрос: как построить этот процесс? Хочу отметить, что нами создана подробная методологическая база, в наших предложениях специалисты кредитных организаций найдут ответы на многие вопросы: как выстроить процесс реагирования при выявлении инцидентов, возможно ли минимизировать последствия прецедентов, какую связь имеют кибератаки с внутренними нарушениями и как на них необходимо реагировать? Подчеркиваю, что все рекомендации основаны на международном опыте. NBJ: По Вашим оценкам, сколько процентов банков в России смогут соответствовать положениям и рекомендациям,
банки и бизнес
43
тема номера
прописанным в стандарте по обеспечению информационной безопасности? А. СЫЧЕВ: Здесь все очень просто. Весь комплекс стандартов исходит из одной простой задачи – риски возникают в результате деятельности самих кредитных организаций и зависят от проводимых операций, масштабов бизнеса, характера того окружения, в котором они работают. Наши рекомендации в области стандартизации не нацелены на то, чтобы выполнять их от а до я – это могут лишь крупные игроки. Документ отражает актуальные тенденции и дает возможность банкам оценить, насколько тот или иной риск характерен для их бизнеса. Если после ознакомления с нашими методиками специалисты выявляют те или иные проблемы в бизнесе, то в «учебнике» – комплексе документов в области стандартизации информационной безопасности (БР ИББС) – они найдут рецепты их устранения. Наша цель – помочь кредитным организациям снизить риски до приемлемого уровня и избежать многих проблем. Мы предлагаем набор хороших практик, требований, которые позволяют решать целый ряд задач обеспечения ИБ организации в целом. Поэтому я не ожидаю каких-то сложностей в реализации тех или иных рекомендаций, крупные и средние банки точно в состоянии справиться с этим. Если говорить о небольших игроках, то там уровень рисков совершенно иной – основная проблема лежит не в области ИБ, а в сфере финансовых рисков. «ПРОТИВ БАНКОВСКОЙ СИСТЕМЫ РФ БЫЛИ ПРИМЕНЕНЫ МЕТОДЫ КИБЕРТЕРРОРИЗМА» NBJ: В докладе Национальной ассоциации инноваций и развития информационных технологий (НАИРИТ) сообщается, что число DDoS-атак на объекты в России в 2013 году выросло на 178%. Каковы в настоящее время основные характеристики киберпреступности?
44
банки и бизнес
А. СЫЧЕВ: Я не знаком с этим исследованием, мне не известна их методология расчетов. Вместе с тем отмечу, что за последние девять месяцев банковская система РФ столкнулась с фактами, которых раньше не было. Да, DDoS-атаки были всегда. Как правило, злоумышленники так заметали следы после покушения на хищение денежных средств: они атаковали мощности банков, чтобы клиенты вовремя не смогли проверить остатки на своих счетах и выявить факты хищения. Однако сейчас появилась другая тенденция. Были осуществлены DDoSатаки на Банк России, а также на крупные кредитные организации, но не с целью сокрытия преступления, а исключительно по политическим мотивам. В связи с ситуацией вокруг Крыма хакерские атаки затронули интернет-представительства Банка России, крупнейших банков, правительственные сайты. Подчеркну, в данном случае целью злоумышленников были не финансовые сервисы, а исключительно интернет-представительства организаций. Поэтому здесь можно говорить о политической составляющей или о террористическом характере DDoS-атак. В Уголовном кодексе понятие «терроризм» толкуется главным образом как насильственные действия, направленные на устрашение населения и создание опасности гибели человека в целях дестабилизации деятельности органов власти либо принятия ими решений. Если опираться на это определение, то можем констатировать, что зафиксированы все признаки террористической деятельности: создание негативного отношения к органам власти, попытка подорвать доверие клиентов и населения в целом к финансовым институтам. Пока шли атаки, россияне могли испытывать сложности в получении необходимой информации на государственных порталах, клиентам банков были недоступны сведения о различных финансовых услугах. Это явный пример того, что против банковской системы РФ были применены методы кибертер-
роризма. Я бы обратил внимание именно на этот аспект, а не на количество DDoS-атак. NBJ: Насколько мощной была атака, о которой Вы упомянули? А. СЫЧЕВ: Она была технически хорошо подготовлена. Это значит, что ее организаторы задействовали очень большие мощности и привлекли грамотных специалистов. Мощность DDoS-атаки на сайт Банка России в десять раз превышала пропускную способность каналов связи сайта. Если учитывать то, что в киберпространстве одновременно развернулись масштабные действия и на интернетпредставительствах других крупных организаций, то очевидно, что были привлечены серьезные силы. Хакеры-одиночки на это неспособны. Практика показывает, что они, как правило, используют уязвимости нулевого дня (от англ. Zero-Day – термин, обозначающий уязвимости ПО или вредоносные программы, против которых еще не разработаны защитные механизмы) и их манипуляции не приобретают массовый характер. В конкретном случае кибератаки, очевидно, были хорошо оплачены и поддержаны техническими средствами высокого уровня. NBJ: За счет чего удалось остановить нападения злоумышленников? А. СЫЧЕВ: Во-первых, сработали упреждающие средства безопасности. Для очистки трафика мы не только задействовали собственные механизмы, но и привлекли наших провайдеров. В результате принятия адекватных ответных мер прерывание работы нашей системы было незначительным. Нам есть чем защитить себя, но я обратил внимание на эту проблему, так как произошла смена мотивации киберпреступников. Это говорит о том, что такие политические заказы в дальнейшем могут быть поддержаны профессионалами высокого уровня и
НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К ИЙ Ж У РН А Л июнь 2014
тема номера
современными ИТ-технологиями. Для того чтобы предотвратить последствия мы стараемся снижать риски, используя собственные средства защиты и привлекая механизмы очистки трафика нашего провайдера.
в связи с ситуацией вокруг Крыма хакерские атаки затронули интернет-представительства Банка России, крупнейших банков, правительственные сайты. Подчеркну, в данном случае целью злоумышленников были не финансовые сервисы, а исключительно интернет-представительства организаций
NBJ: Какие бы Вы дали рекомендации банкам с учетом нового, политического фактора? А. СЫЧЕВ: Дело в том, что банковская система – это прежде всего доверие (клиентов к банку, банка к контрагенту и т.д.). С точки зрения клиентов, выведенный из строя сервер, который предоставляет основную контактную информацию, говорит о том, что кредитная организация не может обеспечить собственную безопасность в Интернете. Это сильный удар по репутации. Если говорить о DDoS-атаках, то рекомендация одна: защита банковских систем должна быть многозвенной и эшелонированной. Имеет смысл договориться с провайдерами связи о предоставлении такой услуги, как использование их механизмов обеспечения безопасности. У телеком-компаний гораздо больше возможностей для решения данного вопроса – для них это еще один вид сервиса, который они могут предоставить клиенту. Вместе с тем между банками должен быть налажен оперативный обмен информацией. Необходимо консолидировать свои усилия, чтобы меры применялись вовремя. Отмечу, ИБ воспринимается в большинстве случаев так: есть информационные безопасники, они что-то там делают с «железом», устанавливают программы. На самом деле специалисты, работающие в этой сфере, понимают: если появилась проблема, то первыми «тушить пожар» прибегут информатизаторы. Именно поэтому я еще раз повторяю: необходим оперативный обмен информацией между кредитными организациями, причем как на уровне безопасников, так и на уровне информатизаторов.
июнь 2014 НАЦИ О НАЛЬНЫЙ БА НК ОВСК ИЙ ЖУРНА Л
«МОШЕННИКИ ПРОЩУПЫВАЮТ СРЕДНИЕ И МЕЛКИЕ БАНКИ» NBJ: Если говорить собственно о банковском секторе, то как за последнее время трансформировались атаки с целью получения финансовой прибыли? А. СЫЧЕВ: Злоумышленники изменили вектор атак. Мы фиксируем, что они стали прощупывать малые и средние банки. У таких кредитных организаций не всегда хватает возможностей для правильного выстраивания взаимоотношений с информационной безопасностью. Уязвимость их ресурсов – привлекательная мишень для киберпреступников. Вместе с тем участились случаи целевой рассылки информации, содержащей вредоносное программное обеспечение. Причем подобные рассылки рассчитаны на группы банков, использующих однотипные АБС. Такие атаки могут быть парированы в том случае, если специалисты вовремя оповещают своих коллег об угрозе. Модная нынче тема таргетированных атак на банки выделилась в новый тренд. Известно, что такие хорошо подготовленные акции злоумышленников могут иметь очень серьезные последствия. Поэтому с точки зрения обеспечения безопасности крайне необходим
обмен информацией, причем аналитического характера, поскольку сведения об угрозе для кредитной организации могут быть получены из самых разных источников. NBJ: Достаточно ли внимания банки уделяют вопросам ИБ? А. СЫЧЕВ: Этой проблеме уделяют ровно столько внимания, насколько руководители организаций осознают уровень рисков, которые несут с собой используемые технологии или бизнеспроцессы. Особенность любого бизнеса заключается в следующем: руководители вспоминают о мерах защиты, когда петух клюнет. Их можно понять, потому что первостепенная задача коммерческого банка – получение прибыли, а не решение проблем ИБ. Однако в России уже сформировано поколение предпринимателей, которые знают, что использование высокотехнологичных решений требует серьезного отношения к вопросам ИБ. Многие руководители финансово-кредитных организаций наконец поняли важность проблемы и приняли определенные меры. NBJ: 27 мая NBJ проводил круглый стол, посвященный проблемам обеспечения информационной безопасности в банках. Участники мероприятия отмечали, что
банки и бизнес
45
тема номера
злоумышленники изменили вектор атак. Мы фиксируем, что они стали прощупывать малые и средние банки. У таких кредитных организаций не всегда хватает возможностей для правильного выстраивания взаимоотношений с информационной безопасностью
одной из основных уязвимостей сейчас являются дистанционные платежи. Скажите, пожалуйста, есть ли рекомендации Банка России по этому направлению? А. СЫЧЕВ: В идеале канал доставки платежного поручения от клиента в банк и канал подтверждения транзакции должны быть разными. Вместе с тем необходимо использовать многофакторную аутентификацию, которая позволяет удостовериться в легитимности клиента. Только при выполнении этих условий можно говорить о том, что идет целенаправленная работа по противодействию хищениям средств со счетов клиентов. В свою очередь, Банк России уделяет серьезное внимание внесению в законодательство положений, которые способствовали бы неотвратимости наказания для злоумышленников. Например, на данный момент, с точки зрения преступников, скимминг – процесс очень заманчивый. Привлечь к уголовной ответственности злоумышленника за использование скиммингового оборудования практически невозможно. Формально он никогда не берет украденные деньги в руки – он лишь ставит оборудование для хищения данных с карты. Поэтому в лучшем случае ему можно инкриминировать мелкое хулиганство, да и то с большой натяжкой. По данно-
46
банки и бизнес
му направлению, чтобы исправить этот пробел в законодательстве, мы активно сотрудничаем с МВД России. NBJ: Один из участников нашего круглого стола отметил, что 80% всех краж денег из банка приходится не на DDoSатаки или мошенничества со списанием денежных средств, а на физический вывоз банкоматов и терминалов, причем терминал преступники вывозят за 20 секунд, а банкомат за 2 минуты. По Вашему мнению, как можно бороться с этим видом преступности? Регулируется ли он какими-либо нормативными актами ЦБ? А. СЫЧЕВ: Вполне могу предположить такую ситуацию в регионах с большой долей исправительных учреждений. Там злоумышленникам абсолютно не нужны электронные деньги – им необходимы наличные средства, которые проще получить в банкоматах и терминалах. Допускаю, что 80% от количества общих случаев именно таких хищений, потому что если очистить счет юридического лица, то добыча преступников будет гораздо больше, чем при хищении даже нескольких банкоматов. Некоторые коллеги из кредитных организаций с горечью шутят, что появились «мобильные банкоматы». Рекомендация в этой связи может быть сле-
дующей: устанавливать охранную сигнализацию, страховать банкоматы. NBJ: Руководители служб информационной безопасности заявляют, что финансовые организации испытывают дефицит специалистов в данной сфере. Согласны ли Вы с этим? А. СЫЧЕВ: У нас долгое время считалось, что лучший безопасник – отставник из соответствующих служб. Безусловно, такие люди имеют хороший опыт, но он узкоспециализирован. Вместе с тем в последнее время в банковскую отрасль приходят молодые профессионалы, которые получили образование в области информатизации и информационной безопасности. Однако даже это не решает проблему. На мой взгляд, в каждой службе ИБ должен обязательно работать хороший технолог. Бесспорно нужен экономист, потому что использование тех или иных средств нужно соотносить с уровнем риска и со стоимостью технологии. Необходимо привлечь специалистов по криптографии, юристов-безопасников, бизнес-аналитиков, разбирающихся в тонкостях бизнес-процессов банка, и технических специалистов, которые понимают, как работают те или иные средства безопасности, автоматизированные и операционные системы. Также нужен профессионал, способный перевести с технического языка на язык бизнеса те задачи, решение которых позволяет уходить от рисков, обеспечивает экономическую эффективность и безопасность кредитной организации. Такой набор специалистов получить из вуза невозможно. Как правило, эти кадры воспитываются внутри организации как минимум два-три года. Но они необходимы любому банку, поэтому согласен с тем, что дефицит специалистов существует. Однако верно и другое: кредитные организации неохотно воспитывают собственные кадры в сфере ИБ, желая получить с рынка уже готового мастера на все руки.
НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К ИЙ Ж У РН А Л июнь 2014
реклама
тема номера
безопасный доступ на всех уровнях облачные технологии – один из самых быстроразвивающихся сегментов ИТ-рынка текст
Александр Федоров, начальник управления информационной безопасности компании БИС
По прогнозам экспертов, скоро «облака» станут самым востребованным продуктом на ИТ-рынке. Компания БИС, как один из ведущих российских разработчиков комплексных ИТ-решений для банков, в своей стратегии учитывает все возможные риски, а также плюсы и минусы облачных технологий. На первый план выходит вопрос цены. Облачная модель применима далеко не ко всем программным системам и оказывается неэффективной для облачного провайдера там, где программные системы требуют глубокой индивидуальной адаптации под каждого заказчика. Из-за отсутствия массового потребителя услуга становится относительно дорогой, поэтому, как правило, заказчики предпочитают иметь собственное «железо», ИТ-службу, соответствующую инфраструктуру. Сегодня в «облаке» гораздо интереснее размещать стандартные решения, так называемые «коробки», которые не требуют дополнительных настроек. Один и тот же продукт может быть востребован раз-
48
банки и бизнес
ными клиентами, и при этом не нужно искать индивидуальный подход. Многие заказчики опасаются применять облачные технологии из-за соображений безопасности и возможной утечки информации со стороны поставщика услуг. Вопросы, связанные с безопасностью, ограничивают использование облачных технологий для критически важных систем, в которых обрабатывается конфиденциальная информация, несмотря на то что в промышленных дата-центрах обеспечивается существенная защита за счет применения более мощных и комплексных решений по информационной безопасности. В компании БИС понимают актуальность этой проблемы. В целях повышения коммерческого преимущества БИС внедряет наложенные средства защиты, полностью отвечающие требованиям регуляторов по информационной безопасности, применительно к автоматизированной банковской системе (АБС) и «облакам». В России на сегодняшний день аналогов таких решений нет. При внедрении облачных сервисов БИС рекомендует очень внимательно отнестись к вопросам безопасности и повышения доверия к АБС, размещенной в облачной среде. Это должны быть меры и методики, соответствующие требованиям регуляторов в области информационной безопасности и отвечающие стандартам Банка России и PCI DSS. На данный момент такие инструменты уже существуют и имеют соответствующую сертификацию ФСТЭК и ФСБ. Основная идея состоит в том, чтобы использовать так называемые наложенные средства на среду виртуализации, операционную систему, каналы передачи данных. Компания БИС двигается в дан-
ном направлении и понимает, что здесь есть и преимущества, и своя целевая аудитория. К тому же автоматизированная банковская система компании БИС поддерживает клиента ДБО на операционных системах IOS и Android, так как наиболее распространенные мобильные устройства для беспроводного доступа в Интернет используют операционные системы от Google и Apple. Если раньше предприятия задавались вопросом о необходимости «облака», то сегодня они размышляют о том, какое «облако» и для каких задач выбрать. Повышается интерес к публичным «облакам» как к способу оптимизации ИТ-инфраструктуры. Аутсорсинг в случае публичных облачных сервисов позволяет переложить эти заботы на плечи провайдера. Среди компаний, обладающих развитой ИТ-инфраструктурой и собственными центрами обработки данных, растет потребность в построении гибридных «облаков». На первое место для них вышла проблема интеграции традиционной и облачной инфраструктур. Эксперты констатируют рост популярности внешних сервисов среди малого и среднего бизнеса. Ведь потребитель не несет расходов по установке, обновлению и поддержке оборудования и программного обеспечения. Также он свободен в выборе времени и места работы с программой, так как поставщик обеспечивает ее круглосуточную работу через Интернет. Гарантирована стабильная работа на последней версии программы, соответствующей последним изменениям законодательства. В этой связи у заказчиков все меньше предубеждений относительно безопасности облачной инфраструктуры и ее использования.
НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К ИЙ Ж У РН А Л июнь 2014
тема номера
аутсорсинг ИБ в банковском секторе: потребности и решаемые задачи В. ДРЮКОВ: «Выполнение SLA мы выдерживаем на уровне 98-98,5%, что является очень высоким показателем» беседовала
Анастасия Скогорева
отношение к нему в банковском секторе трудно назвать однозначно положительным. В чем главные причины?
статочного числа квалифицированных специалистов по ИБ. NBJ: Кадровый голод?
В. ДРЮКОВ: Зачастую здесь играет роль психологический фактор: когда звучит термин «ИБ-аутсорсинг», многие руководители служб ИБ в банках воспринимают его как полную замену уже существующих подразделений, что, естественно, вызывает негативную реакцию. NBJ: Но вряд ли речь идет об отдаче на аутсорсинг всего объема задач по обеспечению ИБ?
Вопросы, связанные с обеспечением должного уровня ИБ в банках, с каждым годом становятся более актуальными и острыми. Что неудивительно: мастерство злоумышленников совершенствуется, а атаки на информационные системы банков становятся все изощреннее. О том, какова роль ИБ-аутсорсинга в новой реальности, и о результатах подключения банков к сервису JSOC (Jet Security Operation Center, коммерческому центру мониторинга и реагирования на инциденты ИБ), созданному компанией «Инфосистемы Джет», рассказал в интервью NBJ руководитель направления аутсорсинга ИБ центра информационной безопасности компании «Инфосистемы Джет» Владимир ДРЮКОВ.
В. ДРЮКОВ: Безусловно. Мы, общаясь с заказчиками, предлагаем передавать определенные функции и зоны ответственности − мониторинг инцидентов или администрирование систем, что позволит существенно снять текущую нагрузку со штатных сотрудников ИБподразделений. Речь может идти и о задачах по поддержанию организационной и эксплуатационной документации в соответствии с изменяющимися требованиями регуляторов. Такие точечные предложения находят позитивный отклик и позволяют банкам оценить все тонкости аутсорсинга на практике.
NBJ: Тема ИБ-аутсорсинга сегодня становится более актуальной. В то же время
В. ДРЮКОВ: Основная и часто встречаемая причина − отсутствие на рынке до-
50
банки и бизнес
NBJ: Какие причины заставляют финансово-кредитные организации думать о привлечении аутсорсеров в сфере ИБ?
В. ДРЮКОВ: Да. В результате службы ИБ недоукомплектованы – на сотрудников ложится огромная нагрузка по мониторингу средств защиты, инцидентов, администрированию систем, обработке результатов и т.д. Они просто физически не справляются с таким объемом работы. В этом контексте передача его части на сторону выглядит вполне логичной. Второй плюс, получаемый банком, прибегнувшим к ИБ-аутсорсингу, – организация круглосуточного мониторинга возникающих инцидентов ИБ. Обеспечить такой режим работы силами ограниченного штата специалистов практически невозможно, а его расширение связано в том числе с увеличением финансовых затрат. Здесь на помощь может прийти компанияаутсорсер. Третий момент: аутсорсер обычно обслуживает не одну организацию. Это позволяет ему накопить большой опыт и, как следствие, эффективнее решать задачи, возникающие в сфере обеспечения ИБ клиента или устранения сбоев в работе конкретной системы. NBJ: Получается, одна и та же команда может обслуживать системы ИБ в нескольких организациях? Не приведет ли это к рассеиванию внимания сотрудников?
НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К ИЙ Ж У РН А Л июнь 2014
тема номера
В. ДРЮКОВ: По нашему опыту, нет. Главное – правильно выстроить процессы. Это наглядно демонстрируют результаты подключения наших клиентов к сервису JSOC: выполнение SLA мы выдерживаем на уровне 9898,5%, что является очень высоким показателем. NBJ: Вы сказали, что банки позитивно реагируют, когда им предлагают передать на ИБ-аутсорсинг локальные задачи. Что они передают на аутсорсинг чаще всего? В. ДРЮКОВ: Наиболее охотно внешней компании передают техническую эксплуатацию средств защиты. При этом возможны варианты: можно отдать аутсорсеру объемные и технологически сложные операции, можно заключить с ним SLA, в соответствии с которым будет обеспечиваться высокая доступность системы и оперативное устранение всех возможных сбоев в ее работе. Инциденты ИБ возникают в любое время суток, выявлять их и реагировать на них нужно очень оперативно. Ответом на эту потребность стал запуск нашего JSOC. В круглосуточном режиме в рамках высоких SLA мы выявляем, анализируем и предотвращаем широкий спектр инцидентов: попытки несанкционированного доступа, вирусные атаки, включая Zero-Day, таргетированные атаки и пр. Одна из наиболее популярных сегодня тем – защита от DDoS-атак − также попадает в сферу действия аутсорсинговых услуг. В рамках сервиса JSOC по защите от DDoS, помимо выявления самого факта совершения атаки и информирования заказчика, мы оперативно проводим работы на оборудовании для оптимизации очистки трафика, обеспечивая таким образом бесперебойность работы публичных бизнес-сервисов клиентов. NBJ: Насколько успешно удается противодействовать DDoS-атакам?
июнь 2014 НАЦИ О НАЛЬНЫЙ БА НК ОВСК ИЙ ЖУРНА Л
В. ДРЮКОВ: Сценарий отражения атак таков: система фиксирует всплеск каких-либо показателей, признаков деградации работы приложений. В этот момент подключаются наши специалисты: перенастраивают и ужесточают правила для глубокой очистки или связываются с интернет-провайдером и решают проблему вместе с ним. Взаимодействие с внешними магистральными системами очистки позволяет повысить эффективность противодействия. NBJ: Вы назвали типовые кейсы. Бывает ли так, что банки, войдя во вкус, передают на ИБ-аутсорсинг все новые и новые задачи? В. ДРЮКОВ: Да. Один из наших заказчиков, например, изначально передал нам на аутсорсинг задачу приведения документации в соответствие регуляторным стандартам. После этого он отдал нам на техническую эксплуатацию средства защиты, а затем уже подключился к нашему сервису JSOC. Это избавило его от необходимости увеличивать штат внутренних специалистов и одновременно обеспечило высокий уровень информационной безопасности. NBJ: Существует убеждение, что услуги по ИБ-аутсорсингу доступны только лидерам рынка, иными словами, тем, кому они по карману. Насколько это справедливо? В. ДРЮКОВ: Это не соответствует действительности. Безусловно, банк может организовать собственный операционный центр безопасности, провести необходимые для этого работы, закупить лицензии и т.д. Но его затраты в данном случае будут намного превышать те расходы, которые ему придется понести в результате подключения и дальнейшего обслуживания, скажем, JSOC. Особенно заметным этот разрыв будет на протяжении первых четырех-пяти лет.
NBJ: Когда банки-партнеры начинают ощущать первые положительные результаты использования сервиса JSOC? В. ДРЮКОВ: Первые результаты появляются в течение двух-четырех недель. Затем, чем ближе мы знакомимся с системами заказчика, тем больший эффект от сотрудничества он получает на выходе. NBJ: Какие возможности остаются у заказчика с точки зрения контроля качества выполнения работ аутсорсером? В. ДРЮКОВ: Между нами и клиентом JSOC заключается SLA, в котором четко разграничивается ответственность за работу системы, мониторинг инцидентов в сфере ИБ и измеримые метрики качества работ. С технической точки зрения существует два подхода. При первом клиент передает нам все учетные данные администраторов системы и осуществляет контроль наших работ (изменение конфигурации, доступы к данным в системе), используя специализированные средства. При этом в случае сбоев или неверной конфигурации вопрос «кто виноват?» не встает, так как у клиента нет административного доступа к системе. Во втором варианте нам выделяются специализированные доступы и учетные записи, позволяющие выполнять только те операции, которые необходимы для эксплуатации – ни больше ни меньше. Выбор конкретной модели зависит от обслуживаемой системы и ее технических особенностей. Но даже при соблюдении всех формальных процедур по разграничению ответственности ключевой фактор успеха аутсорсингового проекта − взаимное доверие между сервис-провайдером и подрядчиком. Только в этом случае можно построить эффективные и удобные для обеих сторон отношения.
банки и бизнес
51
тема номера
особенности построения VPN-сетей в банковской сфере «С-Терра СиЭсПи» предлагает решение, соответствующее как всем современным вызовам в области информационной безопасности, так и требованиям регуляторов текст
Александр Веселов, ведущий инженер ЗАО «С-Терра СиЭсПи» СТАНДАРТИЗАЦИЯ
Взаимодействие многочисленных подразделений банков в разных регионах страны нужно защищать, поэтому финансовым организациям не обойтись без VPN-технологий. В большинстве банков ориентируются на западные продукты, например, используют IPsec VPN с шифрованием по западным алгоритмам. Но для соответствия отраслевому стандарту СТО БР ИББС необходимо применять VPN-шлюзы, сертифицированные ФСБ России. Подобных VPN-продуктов, подходящих для банковского сектора, не так уж много. Связано это с серьезными требованиями, предъявляемыми данной сферой бизнеса.
52
банки и бизнес
Несоблюдение данного требования может доставить значительные неудобства. Использование проприетарного протокола влечет за собой технологическую зависимость от поставщика. Также нужно быть готовым к возможным ошибкам в дизайне протокола, его уязвимостям, недокументированной работе. Необходимо применение стандартных, общепринятых VPN-протоколов, в том числе международных стандартов IKE/IPsec в соответствии с RFC 24012412, как это реализовано, например, в продуктах С-Терра. Протоколы полностью документированы, независимы от производителя, а применение алгоритмов ГОСТ исключает нарушение конфиденциальности и целостности. ПРИВЫЧНОЕ УДОБСТВО АДМИНИСТРИРОВАНИЯ Практически каждое средство защиты имеет собственный интерфейс администрирования. При появлении нового продукта заказчик вынужден будет обучить группу инженеров либо передать администрирование системы безопасности сторонней организации. Эти процессы требуют временных и финансовых затрат. А добавление в инфраструктуру отдельной системы управления или мониторинга для каждого продукта приведет к громоздкому «зоопарку»
решений, который будет сложно поддерживать. В связи с этим необходимо использование интуитивно понятных инструментов администрирования, а также интерфейсов, уже известных администраторам. Например, большинству сетевых инженеров хорошо знакомо оборудование Cisco. Именно поэтому наряду с собственной системой управления в линейке продуктов С-Терра в качестве консоли управления используется подмножество команд Cisco IOS, а также поддерживается управление через Cisco Security Manager (CSM). МАСШТАБИРОВАНИЕ Современные банковские информационные системы насчитывают тысячи объектов, поэтому внедрение идет постепенно, в сети постоянно происходят изменения. Ручная перенастройка большого количества оборудования очень трудоемка и грозит ошибками, связанными в том числе с человеческим фактором. Важно, чтобы при добавлении нового объекта изменения в уже настроенных шлюзах были минимальны, в идеале нужно обойтись без перенастройки. Это достигается в том числе путем применения специализированных сценариев использования продуктов. Например, динамический VPN (аналог DMVPN), реализованный в новой версии продуктов С-Терра, позволяет легко настроить
НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К ИЙ Ж У РН А Л июнь 2014
тема номера
полносвязную топологию (full mesh), необходимую для мультимедийных сервисов. А высокая производительность на многопроцессорных платформах позволяет не беспокоиться за пропускную способность VPN-концентраторов в центральных офисах и ЦОД.
IPS/IDS. Уже сейчас продукты выпускаются в виде виртуальной машины для популярных гипервизоров. Благодаря этому шлюз становится самодостаточным объектом.
ФУНКЦИОНАЛЬНОСТЬ
Многие компании при встраивании сертифицированного криптопровайдера позиционируют свой продукт как сертифицированное СКЗИ. Однако мнение регулятора здесь однозначно: СКЗИ должно сертифицироваться полностью, то есть сертификата на криптопровайдер или корректность встраивания недостаточно. Согласно СТО БР ИББС необходимо применять СКЗИ, сертифицированное ФСБ России по классу КС2. Несоответствие этим требованиям может нести за собой финансовые, репутационные и другие поте-
Не секрет, что функциональность отечественных VPN-продуктов несколько отстает от западных аналогов. В такой ситуации заказчик вынужден реализовывать некоторые необходимые ему функции на стороннем оборудовании. Постепенно отставание от западных вендоров сокращается: например, у шлюзов С-Терра появился stateful межсетевой экран, time-based ACL, поддержка Radius, ведется разработка
июнь 2014 НАЦИ О НАЛЬНЫЙ БА НК ОВСК ИЙ ЖУРНА Л
СООТВЕТСТВИЕ ТРЕБОВАНИЯМ РЕГУЛЯТОРОВ
ри. Применение продуктов С-Терра, сертифицированных ФСБ России по классам КС1/КС2/КС3 и ФСТЭК России, позволит полностью выполнить данное требование. Западные продукты, бесспорно, обладают более широким перечнем функциональных возможностей, но не учитывают национальную специфику – поддержку алгоритмов ГОСТ и сертификацию регуляторов. Отечественные аналоги уступают по функционалу, но, как правило, легитимны с точки зрения законодательства. «С-Терра СиЭсПи» нашла баланс между этими крайностями и предлагает решение, соответствующее как всем современным вызовам в области информационной безопасности, так и требованиям регуляторов. Именно такой подход позволяет надежно защитить банковскую информационную систему.
банки и бизнес
53
тема номера
информирован – значит защищен мероприятия по повышению осведомленности клиентов банков в вопросах информационной безопасности чрезвычайно важны
Ольга САДОВНИКОВА, руководитель группы консалтинга по информационной безопасности, компания LETA
Обеспечение информационной безопасности банков – тема, не теряющая своей актуальности уже многие годы. Она требует повышенного внимания со стороны регуляторов, руководства организаций банковской системы РФ и специалистов по ИБ ввиду несовершенства систем обеспечения информационной безопасности кредитных организаций и большого количества инцидентов, связанных с несанкционированным списанием денежных средств со счетов клиентов. Причин несовершенства системы обеспечения ИБ банков множество. Отдельно хочется рассмотреть одну, на наш
54
банки и бизнес
Татьяна МИТЮШКИНА, консультант по информационной безопасности, компания LETA
взгляд, очень важную проблему – недостаточную эффективность мероприятий по повышению осведомленности клиентов банков в вопросах обеспечения ИБ. Рассуждая об информационной безопасности сферы банковских услуг, стоит отметить важность участия в ее обеспечении как самих банков, так и их клиентов. Никакой, даже самый современный и дорогостоящий комплекс мер обеспечения ИБ, принятый на стороне кредитных организаций, не будет эффективен без соблюдения клиентами требований по ИБ. Чтобы клиен-
ты придерживались определенных мер безопасности, усилия в этом направлении должны приложить именно банки. Почти все организации банковской системы РФ на сегодняшний день активно развивают услуги дистанционного банковского обслуживания (ДБО) и обслуживания банковских платежных карт. Именно по этим направлениям целесообразно проводить мероприятия по повышению осведомленности в области ИБ среди клиентов. Цели повышения осведомленности клиентов явные: снижение вероятности потерь денежных средств по причине несоблюдения клиентами элементарных мер предосторожности при осуществлении платежей и связанных с этим негативных последствий и проблем как для банков, так и для самих клиентов. Конечно, в защиту клиентов выступает статья 9 Федерального закона от 27.06.2011 № 161-ФЗ «О национальной платежной системе», которая обязывает кредитные организации возмещать клиентам денежные средства, потерянные в результате несанкционированных электронных платежей, если только отсутствуют доказательства, что инцидент произошел по вине самого клиента, не соблюдавшего правила пользования системой ДБО. Среди банковского сообщества вступление в силу данной статьи с 01.01.2014 вызывает лишь массу беспокойств; выполнение соответствующих требований Банка России, теперь уже
НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К ИЙ Ж У РН А Л июнь 2014
тема номера
обязательных с выходом «Положения о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» от 09.06.2012 № 382-П. К сожалению, не все банки уделяют должное внимание информированию своих клиентов по вопросам ИБ. Зачастую на сайтах кредитных организаций встречается гораздо больше материалов, направленных на повышение информированности клиентов о банковских продуктах и услугах, ориентированных на увеличение продаж и лояльности клиентов, но не рекомендаций по ИБ при пользовании теми же продуктами и услугами. Даже при наличии соответствующих рекомендаций на сайтах банков бывает слишком трудно обратить на них внимание из-за того, что они размещены не на видном месте. Это говорит о недостаточной проработанности данного вопроса. По опыту специалистов компании LETA, сформировавшемуся в ходе проведенных в банках проектов, такая ситуация встречается довольно часто: банки все же выполняют необходимый минимум требований по повышению осведомленности клиентов, однако не уделяют должного внимания качеству их выполнения. Для того чтобы повышение осведомленности клиентов в вопросах ИБ было эффективным, рекомендуем придерживаться следующих правил. Необходимо разработать качественные и по возможности краткие и емкие рекомендации по вопросам ИБ при пользовании услугами ДБО и банковскими картами. Их следует доводить до сведения клиентов при заключении договоров на услуги в форме памятки на бумажном носителе, а также разместить на главной странице сайта и на информационных стендах в отделениях банка.
июнь 2014 НАЦИ О НАЛЬНЫЙ БА НК ОВСК ИЙ ЖУРНА Л
Надо уделять повышенное внимание доступности рекомендаций по ИБ как в отношении мест размещения информации, так и в отношении формулировок. Наиболее эффективный способ – размещение рекомендаций в соответствии с предполагаемым видом операций клиентов. Например, рекомендации по безопасному пользованию банкоматами расположить вблизи мест их установки, а также по возможности в приветственном сообщении на экране банкомата, а меры предосторожности при использовании систем ДБО – на странице входа в систему. Следует помнить, что рекомендации ориентированы на обычных пользователей банковских услуг, не являющихся специалистами по ИБ. При возникновении инцидентов ИБ, повлекших утечку денежных средств со счетов клиентов либо создавших предпосылку к этому, необходимо дополнительно информировать клиентов о мерах предосторожности любыми доступными способами: размещать соответствующую информацию на главной странице сайта банка, а также по возможности в новостном разделе системы ДБО, осуществлять рассылку по электронной почте при наличии соответствующего согласия клиента, рассылку SMS-сообщений с краткой информацией об инциденте и ссылкой на подробный материал. Поддерживать актуальность разработанных памяток, добавляя при необходимости новые рекомендации, и доводить до сведения клиентов изменения и дополнения перечисленными выше способами. Уже упомянутое Положение № 382-П определяет следующие темы рекомендаций для обязательного доведения до сведения клиентов банков: рекомендации по защите информации от воздействия вредоносного кода; рекомендации по защите информации от несанкционированного до-
ступа путем использования ложных (фальсифицированных) ресурсов сети Интернет; информацию о возможных рисках получения несанкционированного доступа к защищаемой информации с целью осуществления переводов денежных средств лицами, не обладающими правом распоряжения этими денежными средствами, и рекомендуемые меры по их снижению. Перечисленный перечень рекомендаций не является исчерпывающим – банковскими организациями может быть освещен широкий круг вопросов. Примером качественных рекомендаций и своеобразным ориентиром выбора тем для информирования клиентов могут служить Письмо Банка России от 02.10.2009 № 120-Т «О памятке «О мерах безопасного использования банковских карт» и Письмо Банка России от 07.12.2007 № 197-Т «О рисках при дистанционном банковском обслуживании», которые содержат рекомендации по следующим темам: общие рекомендации; рекомендации при совершении операций с банковской картой в банкомате; рекомендации при использовании банковской карты для безналичной оплаты товаров и услуг; рекомендации при совершении операций с банковской картой через сеть Интернет; меры предосторожности при использовании систем ДБО. Стоит отметить растущий интерес Банка России к контролю выполнения организациями банковской системы РФ обязательных требований по ИБ. С большой вероятностью можно утверждать: подобная деятельность регулятора подтолкнет банки к пониманию того, что нужно уделять больше внимания принятию мер по защите информации. Можно также надеяться на улучшение ситуации и в вопросе повышения осведомленности клиентов банков в отношении ИБ.
банки и бизнес
55
тема номера
как организовать вопросооборот система BoardMaps – принципиально новое решение по автоматизации работы коллегиальных органов, в том числе кредитных комитетов текст
Анастасия Скогорева
В банке много разных информационных систем – АБС, CRM, СЭД, ERP и т.д. Руководство, с учетом своей возрастающей мобильности (внешние встречи, командировки и т.п.), должно быть обеспечено ИT-инструментами, работающими вне офиса, позволяющими принимать не индивидуальные, а коллегиальные решения в составе советов директоров, правлений, комитетов, рабочих групп, коллегий, комиссий и т.д. Программный продукт BoardMaps обеспечивает поддержку организации и проведения заседаний коллегиальных органов управления любого уровня в составе как очных, так и заочных заседаний. Термин «документооборот» известен и привычен. А что такое вопросооборот? Чтобы различия между этими двумя понятиями были очевидными, необходимо констатировать следующий факт. Документ – это отчет, записка, в любом случае статическая по своей сути вещь. Вопрос живет в динамике, он рассматривается в той или иной инстанции, при этом по мере рассмотрения могут меняться не только его отдельные положения, но и сама суть вопроса. Вопрос – это тема, проблема, задача, поручение, цель, идея, мысль – все сразу. Заранее предугадать, какой у него будет жизненный цикл практически невозможно, следовательно, нельзя предвидеть и то, какими маршрутами будет идти тот или иной вопрос. Будет ли он обсуждаться сначала на уровне профильных депар-
56
банки и бизнес
список вопросов компании, отфильтрованный по коллегиальному органу
экран вопроса в системе BoardMaps
таментов, а потом уже на кредитном комитете и в правлении, или наоборот? Будет ли решение по нему принято сразу, или потребуется несколько согласований, рассмотрений, консультаций и т.д.? Да и не нужно это предугадывание, достаточно позволить вопросу жить своей «естественной» жизнью, отмечая изменения его состояния, наращивая вокруг «скелета» вопроса «мясо» в виде материалов, документов, записок, комментариев, замечаний, переписки, электронных обсуждений и мнений, принятых и отвергнутых проектов решений. «По опыту своего сотрудничества с крупными компаниями, прежде всего банками, которые возглавляют ИTпрогресс, мы знаем, что многие вопросы, стоящие перед компанией, условно можно квалифицировать как «вопросы-попрыгунчики». Они постоянно «прыгают» с заседания на заседание, рассматриваются в течение длитель-
ного периода времени, обсуждаются в рабочих группах, сопровождаются информационными материалами, расчетами, юридическими документами, – рассказывает генеральный директор «Дэшборд Системс» Владимир Бернштейн. – В итоге по вопросу может накопиться целый архив материалов. Недаром уже привычным стало употребление такого термина, как «история вопроса»: чтобы принять решение, требуется видеть не отдельные документы, которые дают представление об отдельных аспектах, а картину в целом с разверткой по временной шкале». Иными словами, в данном случае действует принцип case-by-case. С учетом этого компания «Дэшборд Системс» зарегистрировала в Роспатенте новый термин – вопросооборот, разработала программный продукт BoardMaps, позволяющий автоматизировать процесс рассмотрения и принятия решений по различным вопросам
НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К ИЙ Ж У РН А Л июнь 2014
тема номера
в коллегиальных органах, таких как советы директоров, комитеты, правления и т.д. Вряд ли у кого-либо вызовет удивление тот факт, что при создании и внедрении продукта BoardMaps большое внимание было уделено не только вопросам, связанным с автоматизацией процесса работы коллегиальных органов, но и теме защиты информации. Чтобы понять это, достаточно перечислить те вопросы, которые попадают на обработку в систему: внедрение в банке системы менеджмента качества, внедрение ERP-системы, переход на новые принципы бюджетирования, принятие новой стратегии развития компании, принятие решений кредитным комитетом и т.д. Любая утечка такой информации может нанести банку непоправимый ущерб, как репутационный, так и финансовый. Можно легко представить себе ситуацию, при которой, например, становится известно об аспектах обсуждения новой стратегии банка, о противоречиях, возникающих при принятии того или иного кредитного решения (а это практически неизбежно, поскольку на кредитные комитеты обычно выносятся вопросы по нестандартным сделкам). Банк в этом случае легко может стать жертвой недобросовестной конкурентной борьбы – к сожалению, такие прецеденты нельзя исключить. Естественно, это обстоятельство тоже учитывалось при разработке продукта. Теперь «Дэшборд Системс» не без чувства гордости может констатировать, что глубоко проработала вопросы информационной безопасности и новая система технически готова для аттестации на класс защищенности 1Г в составе соответствующего программно-аппаратного комплекса. Для обеспечения безопасности информации в продукте BoardMaps применяются следующие механизмы: шифрование данных как при их передаче, так и при хранении на серверах системы и рабочих мобильных или стационарных местах чле-
июнь 2014 НАЦИ О НАЛЬНЫЙ БА НК ОВСК ИЙ ЖУРНА Л
нов кредитного комитета, при этом используются личные сертификаты членов кредитного комитета; возможность удаленного уничтожения всех данных на мобильном рабочем месте при его утере (краже) или при исключении пользователя из состава коллегиального органа; предоставление члену коллегиального органа возможности хранить в зашифрованном виде документы и материалы, не связанные с какими-то конкретными заседаниями и поручениями, на своем мобильном рабочем месте для оперативной работы с ними; использование персональных сертификатов пользователей для разграничения доступа внутри системы. Следующий, чрезвычайно важный для банков, как организаций, априори умеющих считать деньги, момент – сроки окупаемости продукта. «Исходя из среднего размера стоимости лицензий и внедрения (один миллион рублей), этот показатель не превышает двух лет, если учитывать трудозатраты аппарата кредитного комитета и секретарей других коллегиальных органов. При этом производительность персонала в результате внедрения системы возрастает на 25%. В принципе, окупаемость может наступить сразу после первого же заседания, в котором не будут упущены важные детали вопросов и решений по ним. Один непропущенный вопрос, который не затерялся в ворохе электронных писем, одно важное дополнение или ремарка, которую удалось сохранить, могут в перспективе принести банку миллионы рублей или уберечь финансово-кредитную организацию от потери сопоставимых денежных сумм», – подчеркивает Владимир Бернштейн. Каждый новый продукт, появившись на свет, конечно, не должен застывать навечно: его необходимо совершенствовать и дорабатывать, не просто опираясь при этом на теорию, а постоянно получая обратную связь от компаний, где BoardMaps
рабочий стол системы с календарем событий, предоставляющий быстрый доступ к повесткам заседаний и уведомлениям
проведение голосования с возможностью добавления особого мнения уже установлена и успешно функционирует. На сегодняшний день система вопросооборота внедрена в крупных компаниях, таких как Московская биржа, АКБ «Возрождение», МОСКОВСКИЙ КРЕДИТНЫЙ БАНК, Альфа-Банк Украина, лизинговая компания «Трансфин-М». Судя по обратной связи, а также по возрастающему интересу к нашему предложению со стороны других компаний, финансово-кредитные организации понимают, что нельзя втиснуть процесс принятия стратегических решений в жесткие рамки документооборота. Рынок и возрастающая конкурентная борьба неизбежно диктуют свои условия. Выигрывает в этой борьбе тот, кто способен не только максимально быстро принимать решения, но и делать это на основании всей полноты имеющейся информации.
банки и бизнес
57
тема номера
избежать ошибок и убрать суету решение «АйДиСистемс» позволяет сделать процесс обмена информацией между банками и госорганами максимально быстрым и эффективным текст
Андрей Федорец, к.т.н., генеральный директор ООО «АйДиСистемс»
В офисах банков можно услышать разные разговоры, в том числе и такой. «А куда это Иванов в 18:00 пошел?» – «Знамо куда – домой». – «Ничего себе! Уже все разгреб, что ли?!» – «Нет, что ты! Просто он в отпуске…». Кому-то такое общение может показаться почти анекдотическим, а для банковских служащих это жизнь, как она есть. Конечно же, это относится и к сотрудникам информационной безопасности, которые заняты, например, в кредитном конвейере для оценки качества потенциального клиента. Сегодня я опишу новые возможности, которые появились для улучшения ка-
58
банки и бизнес
чества оценки потенциальных клиентов, повышения качества ведения просроченной задолженности, исполнения требований регулятора по проверке выгодоприобретателей и клиентов банка, а также для исполнения новых требований ФЗ № 115. Эти возможности помогут снизить нагрузку на работников кредитных организаций, которые вынуждены проверять данные потенциального клиента с использованием различных информационных сервисов. Мы поставляем в банки решение, предназначенное для обмена документами с государственными органами, использование которого поможет существенно снизить количе-
ство ручных операций по проверке сведений о физических и юридических лицах. На основании распоряжения Правительства РФ № 1471-р у банков появилась возможность обмениваться сведениями с государственными органами. Для целей, которые описываются в этой статье, с успехом применимы документы, доступные при обмене с Федеральной миграционной службой (сведения о действительности документов, удостоверяющих личность, адресов регистрации), Федеральной налоговой службой (краткая выписка из ЕГРЮЛ, ЕГРИП), Росреестром (правоустанавливающие сведения на объекты недвижимости). Обмен указанными сведениями, конечно же, может быть встроен в имеющиеся механизмы банковской автоматизации. Это существенно снизит количество ошибок двойного ввода, число бессмысленных действий copy-paste и повысит эффективность труда отдельных специалистов. Существуют и другие сервисы государственных органов, которые могут быть полезны в деле дополнительного сбора сведений о потенциальном клиенте для последующего анализа. Тут все дело в нештатном использовании штатных сервисов! Например, есть сервис Федерального казначейства, который называется «Государственная информационная система о государственных и муниципальных платежах» (ГИС ГМП). Штатное использование его предполагает, что плательщик может по своим реквизитам (ИНН, СНИЛС, номер водительского удостоверения, номер сви-
НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К ИЙ Ж У РН А Л июнь 2014
тема номера
детельства транспортного средства) узнать, нет ли у него задолженностей перед госорганами, не начислены ли пени за неуплату налога, нет ли штрафа ГИБДД. Нештатное же использование этих сведений подскажет: раз гражданин не платил несколько лет налог, то он, скорее всего, может и некачественно обслуживать кредит; если он имеет множество штрафов ГИБДД, то надо задуматься о целесообразности выдачи ему автокредита. Для полной аналитики качества жизни предполагаемого клиента необходимо оценивать качество оплаты жилищно-коммунальных услуг, других платежей, которых нет в ГИС ГМП. Эти сведения мы можем найти на региональных порталах государственных услуг, в информационных системах
крупных муниципалитетов. Особое место занимает возможность проверки наличия исполнительного производства на потенциального клиента банка. Сегодня такая возможность есть при ручной проверке сведений в Банке данных должников, который доступен на портале Федеральной службы судебных приставов. Эти же сведения могут быть доступны кредитной организации при подписании специального соглашения об электронном документообороте с ФССП России. Банку потребуется взять дополнительное разрешение на обработку и хранение персональных данных у субъекта сведений. Следует указать, что возможности для обмена сведениями в электронном виде с указанными организациями уже есть. Некоторые банки их уже используют.
июнь 2014 Н АЦИ О Н АЛЬН ЫЙ БАНК ОВСК ИЙ ЖУРНА Л
Немного особняком стоят вопросы исполнения Указания ЦБ РФ № 3179У и новой редакции ФЗ № 115. В данных документах вводится необходимость проверки действительности паспортов, а также определяются случаи обязательной упрощенной идентификации физического лица. Для реализации этих нормативных документов нужно использовать возможности обмена документами в электронном виде с Пенсионным фондом России (автоматическая проверка СНИЛС), ФМС России (проверка документов, удостоверяющих личность, на соответствие заявителю), ФОМС России (проверка номера полиса ОМС), а также ФНС России (проверка ИНН). Конечно же, реализовать все эти возможности можно уже сегодня, используя решение нашей компании.
банки и бизнес
59
тема номера
о бедных заказчиках молвите слово текст
Вячеслав Медведев, ведущий аналитик отдела развития компании «Доктор Веб»
Теоретически вопрос о том, что нужно для обеспечения информационной безопасности в условиях рынка, решает заказчик (естественно, учитывая действующие в отрасли требования регуляторов). Кто еще, кроме него, знает, что ему нужно защищать, какие угрозы для него актуальны и, самое главное, сколько он может потратить на защиту. Но это в теории. На практике (если не учитывать стоимость необходимых решений) все решает информированность специалистов заказчика и квалификация имеющихся на местном рынке профессионалов. Не нужно создавать очередную теорию заговора – необходимая для принятия решений информация никем не скрывается. В условиях конкуренции со стороны вендоров запросить и полу-
60
банки и бизнес
чить нужные сведения вполне реально. Нужно только задать правильные вопросы. Проблема одна: чтобы задать вопрос, нужно понимать, о чем именно спрашивать. На деле же выбор средств и методов защиты в большинстве случаев осуществляется на основе знаний, не имеющих никакой связи с реальностью. Не будем в качестве примера знаний об уровне угроз говорить о том, сколько на самом деле вредоносных файлов приходит тем же антивирусным вендорам в день или в месяц – об этом говорилось неоднократно. Посмотрим на иные примеры знаний, скажем, связанные с банкоматами. В связи с прекращением поддержки Windows XP в СМИ прокатилась волна публикаций, предсказывающих рост числа уязвимостей в ОС, установленных на банкоматах, и даже переход на иные ОС. Но действительно ли проблема возникла только сейчас? Будем честными – насколько регулярно до часа Х в банкоматы устанавливались обновления безопасности? Эти обновления требуют время от времени перезагрузки. В какой момент перезагрузка понадобится – никому не известно. Да, банкоматы перезагружаются и в ходе регламентных работ, и при инкассации, но применялись ли при этом обновления? Не меньше «знаний» о необходимости использования защитного ПО. До сих пор далеко не всем известно, что PCI DSS требует именно антивирусного ПО: вопросы по данному требованию встречаются постоянно. Применение ПО, ориентированного на подсчет контрольных сумм, не решает проблемы заражений – антивирусные
программы давно отказались от таких подсистем, хотя и имели их на заре своего развития. Подсчет контрольных сумм обеспечивает целостность программ, но не может обеспечить целостность системы в целом. На данный момент для защиты финансовых структур разработано много действительно хороших стандартов. При грамотном применении они дают нужный эффект. Проблема в том, что эти стандарты не дают возможности определить необходимость той или иной меры защиты, опираясь на текущий уровень угроз и действительную эффективность предлагаемой заказчику меры защиты. К сожалению, выбор в большинстве случаев осуществляется на основе сложившихся в обществе и ИТ-сообществе мифов. Несмотря на огромное количество общедоступной информации, востребованность ее остается крайне невысокой, в том числе и представителями системы образования. На сегодняшний день актуальная задача – не выработка требований, а создание системы информирования, доводящей критически важные сведения до специалистов по ИТ-безопасности и сотрудников, ответственных за выбор решений. Кто, скажем, знает о доступности практически единственной специализированной разработки для защиты банкоматов и терминалов – Dr.Web ATM Shield? Не говоря уже о наличии обучающих курсов по принципам защиты банкоматов. Создание системы распространения ИБ-аналитики в рамках банковского CERT становится сверхнасущной задачей.
НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К ИЙ Ж У РН А Л июнь 2014
страхование
банки и бизнес
вместе банки и страховщики смогут заработать больше в 2014 году драйверами роста страхового рынка вновь станут виды страхования, связанные с банковским каналом продаж текст
Гузель Куликова
Доходность по депозитам медленно, но верно снижается – в немалой степени из-за девальвации национальной валюты. Курс рубля за первый квартал 2014 года снизился более чем на 10%. Хотя ситуация на валютном рынке в последнее время стабилизировалась, риск нового ослабления позиций рубля, например в результате усугубления санкций, нельзя исключить. В этой ситуации россияне, для которых вклады были излюбленным инструментом сбережения средств, начинают обращать внимание на другие опции. Специалисты прогнозируют, что вскоре продукты накопительного страхования будут востребованы не только среди
62
банки и бизнес
состоятельных слоев населения, но и в массовом сегменте. Некоторые банки уже разрабатывают программы обучения персонала, которые позволят менеджерам доступно и профессионально рассказывать о продуктах потенциальным клиентам. СКВОЗЬ ТЕРНИИ К ЗВЕЗДАМ Основным каналом продаж страховых продуктов в России являются банки. Приобретение жилья и автотранспорта в кредит, обращение за потребительским кредитом в большинстве случаев подразумевают покупку страхового полиса вместе с основным продуктом.
Функционирование кредитных организаций и страховых компаний как финансовых институтов всегда было тесно связано. После создания в 2013 году мегарегулятора на базе ЦБ эксперты справедливо отметили, что банки и страховые компании оказались в одной лодке. Судя по первым шагам регулятора, вслед за кредитными организациями страховые компании ждет не менее серьезный экзамен на качество активов и устойчивость к финансовым рискам. Первые признаки, подтверждающие это наблюдение, стали очевидными еще в прошлом году: у 36 страховщиков были отозваны лицензии, в их числе оказалась крупная страховая компания «Россия», входившая в ТОП-15 и активно работавшая в регионах. В 2014 году, по прогнозам профессионального сообщества, численность участников страхового рынка еще сократится, а в среднесрочной перспективе из жизни могут уйти порядка 200 компаний, то есть половина действующих сейчас страховых организаций. Несмотря на это, страховщики поддерживают меры по очистке страхового рынка от неустойчивых и недобросовестных игроков, а также намерение введения института актуариев, повышение требований к политике андеррайтинга, введение отчетности по МСФО. Специалисты надеются, что после этого регулятор начнет проводить меры по стандартизации и созданию условий для развития рынка страхования. Как же отразятся данные изменения в надзоре на взаимодействии банков и страховых компаний?
НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К ИЙ Ж У РН А Л июнь 2014
банки и бизнес
«Когда на рынке что-то меняется с точки зрения регулирования или надзора, всем участникам приходится привыкать к изменениям, пересматривать какие-то процессы. В итоге взаимодействие между банками и страховыми компаниями будет более простым, так как правила будет устанавливать один орган», – комментирует директор департамента розничного бизнеса Росэнергобанка Александр Васильчиков. «Единый регулятор обладает всеми инструментами для комплексной оценки деятельности банков и страховых компаний, работающих в банковском канале продаж. Полагаю, что правила регулятора, касающиеся взаимодействия банков и страховых компаний, будут более понятными и удобными для исполнения всеми сторонами», – говорит первый заместитель председателя правления Росбанка Игорь Антонов. Руководитель отдела по работе со страховыми компаниями DeltaCredit Наталья Просветова считает, что на данный момент первоочередная задача – это решение проблем массовых видов страхования, таких как автострахование. «Если рассматривать изменения в общем, то страховщики ожидают усиления контроля со стороны надзорных органов. Предполагается, что требования к деятельности субъектов страхового рынка будут не менее жесткими, чем требования к банковской деятельности», – объясняет специалист. По мнению экспертов, 2014 год будет непростым для всей российской экономики и финансового сектора в частности. Очевидно, что политика Банка России по охлаждению рынка потребкредитования будет стимулировать кредитные организации отказываться от наиболее рискованных кредитных продуктов. Банки уже переходят от политики расширения клиентской базы к формированию более качественных и надежных продуктов в своем кредитном портфеле. Это значит, что снижение объемов кредитования отразится и на размере страховых премий. Согласно исследованию «Экс-
июнь 2014 НАЦИ О НАЛЬНЫЙ БА НК ОВСК ИЙ ЖУРНА Л
перт РА» по итогам 2014 года объем сборов в банкостраховании ожидается на уровне 221 млрд рублей, что будет на 15% ниже аналогичного показателя 2013 года. Вместе с тем аналитики считают, что сегмент страхования жизни продолжит расти: на 35–40% в 2014 году, до 116–120 млрд рублей. ПЕРЕМЕНЫ К ЛУЧШЕМУ Несмотря на то что страхованию в России более 200 лет, эта отрасль по-прежнему остается одной из самых непростых. В числе сдерживающих факторов специалисты называют и невысокий уровень жизни, и низкую экономическую грамотность населения, по причине которой страхование нечасто рассматривается как эффективный инструмент защиты имущественных и финансовых интересов. Еще одна причина – высокий уровень взаимного недоверия между страхователями и страховыми компаниями. С точки зрения профессионалов, для изменения данной ситуации необходимо, чтобы услуги стали понятны и доступны широким слоям населения, а выплаты при наступлении страхового случая должны быть гарантированными. Какими же мотивами сегодня руководствуется клиент при выборе программы страхования? «Действительно, в России отсутствует понимание значимости института страхования. К сожалению, на данный момент многие клиенты в первую очередь обращают внимание на размер страхового тарифа, при этом не вникая в условия страхования и особенности страхового покрытия. Только при наступлении страхового случая клиенты начинают анализировать условия договора страхования и осознанно подходят к выбору соотношения «цена – качество» страховой услуги», – подчеркивает Наталья Просветова (DeltaCredit). Иная точка зрения на ситуацию у начальника отдела по работе со страховыми компаниями департамента залогового обеспечения Транска-
страхование
питалбанка Елены Васяниной: «В последнее время все больше заметен рост уровня культуры страхования среди населения. Клиенты стали лучше ориентироваться в условиях страхования, рисках, страховом рынке в целом. В первую очередь мы связываем это с тем, что люди стали чаще сталкиваться с ситуациями, предусматривающими страховые выплаты. Растет количество выданных кредитов, как следствие, увеличивается число застрахованных и страховых случаев. Люди на себе ощутили реальную финансовую помощь в сложных для себя ситуациях, когда, например, самостоятельно исполнять обязательства по кредиту им становится проблематично. Если раньше клиенты воспринимали страхование как неизбежное зло, являющееся обязательным условием получения кредита, и при выборе страховой компании руководствовались исключительно стоимостью услуги, то сейчас они все чаще обращают внимание на риски, исключения из страхового покрытия, репутацию страховой компании. Мы, в свою очередь, с удовольствием помогаем им сориентироваться в различных вариантах, предлагаемых на рынке. Для нас очень приятным и показательным является тот факт, что наши клиенты обращаются к нам за консультационной помощью и по добровольным видам страхования, не связанным с кредитной сделкой». Говоря о тенденциях, Игорь Антонов (Росбанк) отмечает, что страховые продукты, не связанные с кредитами, востребованы. Популярными становятся программы защиты дома (страхование квартир, дач), семьи (страхование жизни и здоровья членов семьи) и бюджета (накопительные программы страхования). «При выборе страховщика многие ориентируются на стоимость продукта, но при этом оценивают и то, насколько хорошо страховщик оплачивает риски, затягивает ли выплаты, высоки ли его требования к процессу урегулирования и т.д. Это позитивная тенденция: клиент взвешенно относится к выбору и понимает, за что платит», –
банки и бизнес
63
страхование
комментирует Александр Васильчиков (Росэнергобанк). Утверждать, что у наших граждан вдруг радикально поменялся менталитет, будет явным преувеличением. Уровень проникновения страхования жизни остается по-прежнему низким. Чтобы продукты страховщиков стали востребованы россиянами, финансистам и государству необходимо проделать большую совместную работу, которая собственно уже началась. Правительством РФ в июле 2013 года была утверждена Стратегия развития страховой деятельности в Российской Федерации до 2020 года. Стратегия содержит дорожную карту, которая представляет собой комплекс конкретных мер по содействию развитию страховой отрасли и ее становлению как стратегически значимого сектора экономики России. Эксперты отрасли подчеркивают, что в данной ситуации локомотивом должны стать накопительные виды страхования, в которых клиенты на протяжении многих лет периодически оплачивают страховые взносы до наступления страхового случая. Мировой опыт показывает: средства страховых резервов составляют существенный сектор экономики, финансирующий государственные проекты без привлечения внешних инвесторов. Именно страховые компании – один из основных источников длинных денег. В свою очередь, население получает возможность реализовать планы на образование детей, покупку жилья и обеспечение достойной жизни после прекращения трудовой деятельности. ЗА ЧЕМ БУДУЩЕЕ? Социологические опросы подтверждают: постепенно к россиянам приходит понимание того, что пенсионная реформа неизбежна и обеспечение старости – задача, которую необходимо решить каждому из нас. Забота о своих доходах становится личным делом каждого, и рассчитывать надо не только на государство, но и на свои
64
банки и бизнес
банки и бизнес
силы: вкладывать деньги в работающие активы. Будущее за инвестиционно-накопительными программами для массового сегмента и корпоративными пенсионными продуктами, отмечают аналитики. «БИНБАНК уже сейчас предлагает интересные программы, позволяющие диверсифицировать свои инвестиции между вкладом с высокой процентной ставкой и инвестиционными и накопительными страховыми продуктами от наших партнеров (причем инвестор в данном случае защищен от потери страхового взноса). Гражданам пенсионного возраста мы адресуем пенсионную программу, сочетающую в себе пластиковую карту и вклад с повышенной процентной ставкой и минимальным первоначальным взносом», – комментирует директор департамента разработки розничных продуктов БИНБАНКа Антон Маслий. Специалисты Росбанка видят большой потенциал развития данных продуктов. В 2014 году они планируют представить линейку инвестиционных программ, используя многолетний опыт и поддержку коллег из группы Societe Generale. «Для клиентов с разными доходами подойдут разные страховые продукты. Так, клиентам со средним доходом будут интересны программы страховой защиты членов семьи, страхование квартир и личного имущества, накопительные программы страхования. Клиенты с доходами выше среднего будут заинтересованы в страховых программах, обеспечивающих качественное обслуживание в современных клиниках и медицинских центрах в России и за границей. Также такие клиенты готовы инвестировать в долгосрочные инструменты, приобретая инвестиционные страховые продукты», – убежден Игорь Антонов (Росбанк). «Это действительно так, но в ближайшей перспективе данное направление будет развиваться медленно. Продукт сложный, в экономике периодически случаются волнения. Клиенты неохотно доверяют средства на длительный срок вообще, тем более
с учетом отсутствия гарантий. И здесь страховые компании должны явно демонстрировать клиенту преимущества своих предложений перед такими банковскими продуктами, как депозиты или доверительное управление. Сейчас такого желания с их стороны нет, даже рекламы нет. Так что активное развитие подобных программ – вопрос не текущего дня. Возможно, потребуется еще года два-три с условием того, что страховые компании будут активно продвигать это направление и развивать его», – анализирует ситуацию Александр Васильчиков (Росэнергобанк). По мнению эксперта, в России склонны страховать не то, что завтра сгорит или утонет, а то, что прямо сейчас горит или тонет. «Это тот самый пресловутый авось, при этом своя жизнь у граждан ценится по-прежнему меньше, чем имущество. Поэтому в первую очередь будет развиваться имущественное страхование, потом страхование от несчастного случая, болезни, потери трудоспособности. А когда клиент будет защищен от рисков со всех сторон, он, может быть, задумается о приобретении инвестиционного полиса. Но кто-то должен будет дать ему гарантии, что страховщик не разорится и он не потеряет все вложенные на долгий срок средства», – разъясняет Александр Васильчиков (Росэнергобанк). Наталья Просветова (DeltaCredit) как наиболее перспективные для развития в ближайшие годы отмечает коробочные продукты, рассчитанные на массовый сегмент и предусматривающие стандартные условия страхования для типовых объектов, которые можно приобрести в режиме online. «Я соглашусь с аналитиками. Для нас эти направления являются интересными и с точки зрения расширения перечня услуг, предлагаемых нашим клиентам, и с точки зрения дополнительного дохода для банка. В первую очередь мы видим нашу роль в выборе достойных партнеров по данным продуктам, которые обеспечат качественный сервис и предложат интересные условия нашим клиентам, поскольку
НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К ИЙ Ж У РН А Л июнь 2014
банки и бизнес
банк несет в этом случае определенные репутационные риски. Немаловажным является уровень подготовки специалистов, которые будут предлагать продукты клиентам. Именно поэтому у нас есть свой тренинговый центр, где мы совместно с представителями наших партнеров разрабатываем программы обучения, которые позволят сотрудникам при общении с клиентами качественно и профессионально рассказать о продаваемых продуктах», – говорит Елена Васянина (Транскапиталбанк). Директор департамента розничного бизнеса ЛОКО-Банка Мурат Толпаров рассказывает: «Сейчас блок розничного бизнеса активно проводит анализ потребностей наших действующих клиентов и продаж пенсионных продуктов. Если их эффективность будет высоко оценена в краткосрочном периоде, то в
июнь 2014 НАЦИ О НАЛЬНЫЙ БА НК ОВСК ИЙ ЖУРНА Л
дальнейшем они будут предлагаться и частным, и корпоративным клиентам». «Будущее за пакетным предложением услуг в офисах кредитной организации, когда клиенту, пришедшему за одной услугой, будет предложен спектр опций, из которых он выберет максимально подходящий ему банковский, инвестиционный, пенсионный или страховой продукт. То есть банки превращаются из простых продавцов услуг в финансовых консультантов. Так, Росгосстрах Банк уже сегодня может предоставить своим клиентам так называемое пакетное предложение. В сети банка помимо оформления банковских продуктов можно получить консультации по инвестиционным программам, купить паи инвестиционного фонда и оформить ряд страховых продуктов: от страхования квартиры и ОСАГО до полисов для выез-
страхование
жающих за рубеж, договоров обязательного пенсионного страхования и накопительного страхования жизни», – делится опытом директор департамента розничного бизнеса и управления региональной сетью Росгосстрах Банка Вилен Ли. Объединение страховой и банковской структуры различными методами – общая тенденция и для мировой экономики, и для России. Практика показывает, что в ряде случаев страховые продукты достаточно сложны для покупки напрямую (например, непосредственно через Интернет) и требуется консультация специалиста, чтобы уточнить все особенности покрытия и подобрать оптимальный вариант. Возможно, именно накопительные и инвестиционные программы послужат импульсом для дальнейшего взаимодействия банков со страховыми компаниями.
банки и бизнес
65
страхование
банки и бизнес
новая жизнь российского страхового рынка И. ЖУК: «По аналогии с банковским надзором планируется установление института кураторства, когда каждый крупный страховщик будет закреплен за конкретным должностным лицом в Банке России» беседовала
Гузель Куликова
тот инструментарий, который уже применяется по отношению к банкам?
Функции надзора за страховым рынком в прошлом году переданы Банку России. Каких изменений ждать в связи с этим страховым компаниям? Зачем регулятор планирует приставить к страховщикам кураторов и какие полномочия они получат? На эти вопросы, а также на вопрос, где теперь искать защиты потребителям страховых услуг, в интервью NBJ рассказал директор Департамента страхового рынка Банка России Игорь ЖУК. NBJ: Игорь Николаевич, какие главные изменения в надзоре на страховом рынке уже произошли, а какие планируются в первую очередь? Будет ли использоваться при осуществлении надзора за страховыми компаниями
66
банки и бизнес
И. ЖУК: Главные изменения связаны с корректировкой концепции надзора, в рамках которой все страховщики будут разделены на три группы. Первая группа – это системно значимые компании, к ним предварительно отнесены 20 страховщиков. Вторая группа – организации, входящие в первую сотню по объемам страховых премий. И наконец, в третью группу войдут все остальные страховщики. При этом в Департаменте страхового рынка образованы два надзорных управления, одно из которых займется надзором за двадцаткой наиболее крупных страховщиков, а второе – за остальными компаниями первой сотни. По аналогии с банковским надзором планируется создание института кураторства, когда каждый из крупных страховщиков будет закреплен за конкретным должностным лицом в Банке России. В отношении системно значимых страховщиков будет реализована модель «один куратор – одна страховая организация», в отношении компаний, входящих во второй контур надзора, – «один куратор – четыре-пять страховых организаций». Надзор за остальными страховщиками будет осуществляться исходя из их территориальной принадлежности. Для этого создаются три центра компетенции: в Москве – для компаний Центрального федерального округа, в Санкт-Петербурге – для страхов-
щиков Северо-Западного, Южного, Северо-Кавказского и Приволжского федеральных округов, в Новосибирске – для организаций, работающих в Уральском, Сибирском и Дальневосточном федеральных округах. Кроме этого, участие в надзорном процессе за всеми группами страховщиков будут принимать Служба Банка России по защите прав потребителей финансовых услуг и миноритарных акционеров (в части рассмотрения жалоб) и Главная инспекция Банка России (в части контактного надзора). NBJ: С какими целями вводится институт кураторов на страховом рынке? И. ЖУК: Мы рассчитываем, что введение такого института позволит выявлять проблемы страховых компаний на ранней стадии, повышать оперативность надзора. А в конечном итоге это будет способствовать улучшению финансового положения страховщиков, повышению доверия к отрасли. Кураторы будут оперативно взаимодействовать с компаниями и составлять для крупнейших страховщиков индивидуальные карты рисков, требовать у их руководства оперативные комментарии, вовремя информировать Банк России о проблемах, возникающих внутри компаний. Помимо института кураторства, улучшению надзора будут способствовать и другие меры. Уже используется такой новый инструмент, как оперативный мониторинг инвестиционных
НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К ИЙ Ж У РН А Л июнь 2014
банки и бизнес
активов страховщиков. Он представляет собой ежемесячный анализ регистров бухгалтерского учета, подтверждающих наличие и балансовую стоимость инвестиционных активов. Также проводятся комплексные встречные проверки наличия реальных активов на межотчетные даты через запрос такой информации у профессиональных участников рынка ценных бумаг, Федеральной службы государственной регистрации, кадастра и картографии и т.д. NBJ: Какие еще надзорные требования к страховым компаниям могут быть ужесточены в ближайшее время? И. ЖУК: В первую очередь это может касаться требований к размещению собственных средств и страховых резервов компаний. Речь идет об изменении качественных требований к ценным бумагам страховщиков, принимаемым для покрытия собственных средств и страховых резервов, а также количественных требований к векселям, принимаемым для покрытия собственных средств и страховых резервов. Кроме того, планируется изменить требования к платежеспособности организаций: при определении величины необходимого капитала будут учитываться риски и качество портфеля. Мы считаем, что есть смысл перейти на ежеквартальную надзорную отчетность страховщиков. Это также позволит обеспечить своевременную реакцию надзора при ухудшении положения страховщиков. NBJ: Будет ли меняться процедура банкротства на страховом рынке? И. ЖУК: Мы обсуждаем возможные изменения в нормативно-правовых актах, которыми регулируются процедуры восстановления платежеспособности и предупреждения банкротств на страховом рынке. Это нужно, чтобы гармонизировать подходы к указанным процедурам на кредитном и финансовом рынках, обеспечить реализацию «Ключевых атрибутов
июнь 2014 НАЦИ О НАЛЬНЫЙ БА НК ОВСК ИЙ ЖУРНА Л
эффективных режимов урегулирования несостоятельности финансовых институтов», подготовленных Советом по финансовой стабильности. Планируется, что будет изменен порядок санации страховых организаций, обязательной ликвидации юридического лица при отзыве лицензии. Кроме того, надо уточнить основания, при которых могут применяться меры по предупреждению банкротства страховщиков, чтобы избежать формального подхода. Идет речь и о том, что могут быть расширены функции государственной корпорации «Агентство по страхованию вкладов» (АСВ). В делах о банкротстве страховых организаций на Агентство будут возлагаться функции конкурсного управляющего и ликвидатора, а если принимается решение о санации страховой компании, то функции временной администрации. NBJ: Какие регуляторные и прочие изменения, с Вашей точки зрения, необходимы, чтобы обеспечить динамичное развитие страховой отрасли? И. ЖУК: Прежде всего это проекты в области комплексного развития законодательства об ОСАГО. Проект изменений в закон «Об обязательном страховании гражданской ответственности владельцев транспортных средств», который должен быть принят уже в весеннюю сессию, затрагивает ряд ключевых моментов: совершенствование механизма упрощенного оформления ДТП, подходов к возмещению расходов на лечение, пересмотр страховых сумм по ОСАГО, разработку единых методик оценки ущерба. Причем такие изменения необходимо принимать в комплексе, чтобы добиться баланса интересов страховщиков и потребителей их услуг. В числе приоритетных направлений также развитие электронного страхования, совершенствование сельскохозяйственного страхования, осуществляемого с господдержкой, создание системы государственного
страхование
софинансирования механизмов страхования жилья. Планируются изменения в сфере лицензирования. Эта процедура на страховом рынке будет гармонизирована с процедурой лицензирования кредитных организаций. Должна стать более гибкой система санкций, применяемых к субъектам страхового дела. Кроме того, Банк России намерен проводить работу по внедрению стандартов по отдельным видам добровольного страхования, например по КАСКО. Одно из перспективных направлений – проработка и внедрение стандартов регулирования страховой отрасли Solvency II. Наконец, в сфере нашего внимания в ближайшее время будет блок вопросов, который касается взаимоотношений страховщиков и потребителей их услуг. Речь идет о введении института досудебного урегулирования споров с участием страхового омбудсмена, более четком определении сфер, на которые распространяется действие закона «О защите прав потребителей» по правоотношениям, вытекающим из договоров обязательного и добровольного страхования. NBJ: В Банке России создано новое структурное подразделение – Служба по защите прав потребителей финансовых услуг и миноритарных акционеров. Какие задачи стоят перед ней применительно к страховому рынку? И. ЖУК: Специалисты Службы будут вести личный прием граждан, рассматривать жалобы на действия субъектов страхового дела и, в случаях когда выявляются нарушения в их деятельности, принимать в отношении страховщиков необходимые меры. Кроме того, задачей Службы является оценка нормативных правовых актов и их проектов с точки зрения защиты прав потребителей страховых услуг, а также организация работы по подготовке программ финансовой грамотности и информированности населения об институтах и инструментах страхового рынка.
банки и бизнес
67
новости
банки и бизнес
РЕШЕНИЯ Путин одобрил договоренность правительства с Visa и MasterCard
позиты появилось в законе после того, как Visa и MasterCard перестали обслуживать карты российских банков, попавших под санкции США (банк «РОССИЯ», СМП Банк и др.).
РАСЧЕТЫ
БОНУСЫ
Россия и КНДР перейдут на расчеты в рублях уже в этом месяце
АСВ через суд отберет «золотые парашюты» у банкиров
ПЛАНЫ А. Силуанов: Россия и Китай решили создать совместное рейтинговое агентство
Президент РФ Владимир Путин одобрил договоренность правительства с международными платежными системами о продолжении их работы в России. Как сообщалось ранее, предварительно президент провел закрытое совещание с правительством и ЦБ, в ходе которого одобрил очередное изменение закона «О национальной платежной системе». «Из норм закона об обеспечительных взносах в ЦБ для МПС будет убрана вся конкретика о размере депозитов, сроках их перечисления, порядке списания штрафов из этих сумм, это будет определяться нормативным актом правительства по согласованию с ЦБ», – пояснил один из источников, владеющих информацией о ходе совещания. Таким образом, одобренные поправки радикально меняют те, которые были подписаны 5 мая. Требование к МПС размещать в ЦБ страховые де-
68
банки и бизнес
Россия и Китай создадут совместное рейтинговое агентство, сообщил журналистам министр финансов РФ Антон Силуанов. «Российско-китайское рейтинговое агентство будет использовать те же самые инструменты, критерии оценки страновых, региональных инвестиционных проектов, которые используются действующими рейтинговыми агентствами», – добавил он. По словам министра, переход на расчеты в национальных валютах должен дать импульс дальнейшему развитию российско-китайского экономического сотрудничества. А. Силуанов также отметил, что китайский бизнес готов инвестировать в инфраструктурные проекты на Дальнем Востоке и в Сибири. Напомним, ранее сообщалось, что китайский бизнес готов к расчетам в национальных валютах в двусторонней торговле. Об этом говорится в официальном твиттере Министерства финансов со ссылкой на высказывания главы Минфина по итогам встречи с представителями бизнеса в КНР.
Россия и КНДР достигли договоренности о начале расчетов в рублях уже в июне, сообщил министр по развитию Дальнего Востока Александр Галушка. Представители двух стран пришли к соответствующему соглашению во Владивостоке в ходе заседания Межправительственной комиссии по торгово-экономическому и научно-техническому сотрудничеству. «Списание задолженности КНДР перед Россией позволило нам выйти на решение целого ряда вопросов, которые не могли осуществиться, потому что над нами висела эта задолженность. Уже в этом месяце между Россией и КНДР начнутся расчеты в рублях, будут открыты первые счета в российских банках. Возможность современных расчетов значительным образом ускорит и облегчит торгово-экономическое сотрудничество», – сказал А. Галушка.
Агентство по страхованию вкладов (АСВ) через суд пытается лишить банкиров «золотых парашютов», получаемых ими даже в случае банкротства кредитной организации. АСВ подало в Арбитражный суд Московской области иск к бывшему первому зампреду правления банка «ПУШКИНО» Павлу Чернявскому. Агентство требует признать недействительными дополнительные соглашения к трудовому договору банка с П. Чернявским, которые увеличили его оклад c 450 тысяч до 643,7 тысяч рублей и установили компенсацию при увольнении в размере 37,143 млн рублей. По мнению юристов АСВ, дополнительные соглашения влекут причинение вреда интересам кредиторов банка и являются недействительными. Заявление АСВ будет рассмотрено в июле 2014 года. Напомним, что Центробанк отозвал лицензию у банка «ПУШКИНО» 30 сентября 2013 года в связи с тем, что руководство кредитной организации проводило высокорискованную кредитную политику по размещению средств в низкокачественные активы и не создавало соответствующие резервы на возможные потери соразмерно принятым рискам. Объем страховой ответственности АСВ составил 20,2 млрд рублей.
НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К ИЙ Ж У РН А Л июнь 2014
новости
банки и бизнес
РИСК-МЕНЕДЖМЕНТ Банк «Первомайский» получит информацию о платежном поведении клиентов из НБКИ в режиме реального времени «Первомайский» доверил проведение мониторинга платежных действий своих клиентов Национальному бюро кредитных историй (НБКИ), внедрив систему «Сигнал 2.0». Таким образом, региональный банк получил конкурентные преимущества, которые уже оценили многие кредитные организации федерального значения. «Сигнал 2.0» позволяет кредиторам узнавать об изменениях кредитной дисциплины клиентов в 17 случаях. Одни из самых важных ситуаций связаны с просрочкой. Кредитор получает уведомление, если заемщик отложил внесение очередного платежа на срок от 1 до 29 дней, от 30 до 59 дней, от 60 до 89 или более 90 дней. Также «Сигнал 2.0» информирует кре-
дитора, если клиент, например, открывает новый счет, улучшает свое платежное поведение или погашает текущую просрочку по кредиту. Кроме того, система сообщает о резком изменении среднего ежемесячного платежа на определенную величину, лимита по кредиту или текущей задолженности. По словам представителя банка «Первомайский», использование услуги «Сигнал 2.0» позволило значительно улучшить систему формирования предварительно одобренных предложений и сократить на 30% затраты на оценку рисков для данных предложений. «Сигнал 2.0» помогает кредиторам в режиме online изучать кредитные предпочтения клиентов, формировать и предлагать кредитные продукты тем людям, которым они нужны, и именно тогда, когда в них есть необходимость, – комментирует генеральный директор НБКИ Александр Викулин. – Мы отмечаем, что доверие к системе «Сигнал 2.0» возрастает. В настоящее время системой
июнь 2014 НАЦИ О НАЛЬНЫЙ БА НК ОВСК ИЙ ЖУРНА Л
пользуются около ста кредиторов, на «Сигнале» находятся порядка 16 млн кредитов».
СОТРУДНИЧЕСТВО Между ФССП и АРБ подписано соглашение о взаимодействии В июне 2014 года между Федеральной службой судебных приставов и Ассоциацией российских банков подписано соглашение о взаимодействии. В качестве одной из основных задач сотрудничества ФССП России и АРБ была определена задача по проведению мероприятий, направленных на решение вопросов, связанных с проблемами взаимодействия банков – членов АРБ с территориальными органами ФССП России. В рамках данного соглашения стороны договорились о том, что ФССП России будет оказывать содействие в разрешении ситуаций, связанных с неправомерными действиями, совершаемыми сотрудниками
территориальных органов ФССП России в отношении банков – членов АРБ, и участвовать в совместной с Ассоциацией работе по совершенствованию действующих нормативно-правовых актов, регулирующих вопросы исполнительного производства. Соглашение предусматривает оказание Ассоциацией содействия в разрешении обстоятельств, связанных с возникновением конфликтных ситуаций между банками и ФССП России при исполнении запросов, постановлений судебных приставовисполнителей, в том числе вынесенных в форме электронного документа. По сообщениям СМИ и корр. NBJ
банки и бизнес
69
мероприятия
банки и бизнес
мозговой штурм и его результаты XI банковский саммит по инновациям и развитию, состоявшийся в Сочи, прошел насыщенно и плодотворно текст
Анастасия Скогорева
более 180 делегатов приняли участие в мероприятии. Среди них представители 65 финансовых институтов, эксперты технологических и международных консалтинговых компаний, Ассоциации региональных банков, ассоциации «Национальный платежный совет»
Секрет успеха заключается не только в том, что организатор саммита – компания ЦФТ – за долгие годы накопил огромный опыт в проведении подобных мероприятий. Не менее позитивную роль сыграл тот факт, что в рамках саммита – как во время публичных выступлений, так и в кулуарах – обсуждались самые актуальные для российской банковской системы проблемы и вызовы: будущее национальной платежной системы и механизмы ее создания, возможные точки роста бизнеса банков, клиентоориентированность и способы ее поддержки. Это далеко не весь перечень – на повестке дня оказа-
70
банки и бизнес
лись и многие другие проблемы, не менее важные как для субъектов экономической деятельности, так и для физических лиц, выступающих в роли потребителей финансовых услуг. ИДЕАЛЬНЫЙ ШТОРМ И ТОЧКИ РОСТА Открывая саммит, в своем вступительном слове член совета директоров ГК ЦФТ Александр Погудин отметил, что глобальной задачей мероприятия является создание дискуссионного клуба, площадки, где профессионалы рынка и представители экспертного сообщества ведут свободный диалог об актуальных
проблемах банковского бизнеса. Надо сказать, что эта задача была выполнена: развернулись жаркие дискуссии, чему в немалой степени способствовал внешний фон. Как известно, нельзя жить в обществе и быть свободным от общества – XI банковский саммит продемонстрировал справедливость этого тезиса. В рамках первой сессии представители банков, рейтинговых и консалтинговых агентств и компаний-интеграторов активно обсуждали вопрос, который можно сформулировать так: «Что же будет с Родиной и с нами?» Заместитель генерального директора «Эксперт РА» Павел Самиев высказал мнение, что и российская экономика, и национальная банковская система переживают сейчас период идеального шторма. «Характерные признаки этого налицо: ужесточение банковского регулирования, ухудшение общей экономической ситуации – все неизбежно влечет за собой ухудшение качества активов, снижение темпов экономического роста и нестабильность пассивов. Это, безусловно, отражается и будет отражаться в дальнейшем на устойчивости финансово-кредитных организаций, поэтому стоит ожидать отзыва лицензий у ряда банков не из-за каких-либо злоупотреблений с отчетностью или из-за проведения сомнительных операций, а в силу объективных экономических факторов», – считает эксперт. Однако констатация проблем и негативных тенденций – это только первая часть обсуждения. Вторая и, пожалуй, главная его часть – поиск точек роста. По мнению заместителя председателя Первобанка Дениса Хадеева, предпосылки роста бизнеса отдельных банков
НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К ИЙ Ж У РН А Л июнь 2014
банки и бизнес
и укрепления позиций российского банковского сектора в целом сохраняются – задача в том, чтобы четко их определить и воспользоваться ими. «Одной из таких точек, как и в 1999 и 2009 году, может стать национальный фондовый рынок. Давайте вспомним: и в 1998, и в 2008 году мы были свидетелями массированного оттока капитала из страны, как и сейчас. Но это открывало окно возможностей для тех, кто верит в будущее российской экономики. Если говорить о нашем банке, то мы за счет вложений в акции и облигации в период после кризиса 2008 года смогли практически полностью покрыть все убытки по корпоративному портфелю. Я не исключаю того, что банки, имеющие доступ к подобным инструментам, смогут хорошо заработать», – прогнозирует специалист. Другой точкой роста, по мнению главного эксперта центра макроэкономического прогнозирования Газпромбанка Егора Сусина, может стать ипотечное кредитование – именно в силу того, что этот сегмент банковского рынка на сегодняшний день остается наименее развитым. «Спрос на ипотечные активы есть. Конечно, доходность в этом сегменте невысока, но зато здесь стабильно низкий уровень просрочек по кредитам, – резюмировал эксперт. – Следовательно, риски небольшие. Правда, точкой роста ипотека может стать только при условии, что будет расти рынок жилья и кривая доходов населения тоже будет меняться в сторону увеличения». КЛИЕНТООРИЕНТИРОВАННОСТЬ = ТЕХНОЛОГИИ И развитие ипотеки, как наиболее перспективного и устойчивого сегмента банковского бизнеса, и перенос акцента на работу на рынке ценных бумаг – все это, как признают сами банкиры, локальные шаги. Если придерживаться системного подхода к решению проблем, то надо отдавать себе отчет: высокие шансы не только на выживание, но и на динамичное развитие получат банки, которые будут придерживаться клиентоориентированного подхода. В условиях эконо-
июнь 2014 НАЦИ О НАЛЬНЫЙ БА НК ОВСК ИЙ ЖУРНА Л
Аркадий Затуловский, Nordea Bank
мической нестабильности очень многое будет зависеть от того, насколько высока степень удовлетворенности клиентов банковскими услугами и насколько лояльны и взаимовыгодны отношения между участниками банковского рынка и потребителями финансовых услуг. «Очень важно выстраивать отношения с клиентом так, чтобы ты, как банк, мог предугадать его потребности, – подчеркнул директор по рынкам капитала и связям с инвесторами банка «Восточный экспресс» Виктор Тимотин. – Мы должны понимать, в каком жизненном цикле находится клиент, и предлагать именно те продукты, которые нужны ему в данный момент». Здесь, как подчеркивает эксперт, банкам может быть интересен опыт нефинансовых организаций, например социальных сетей, которые действительно умеют подстраиваться под клиентов. «Если мы не сумеем выстроить такие же отношения, то банки будут обречены», – констатировал Виктор Тимотин. Однако подлинная клиентоориентированность – не та, которая просто прописывается в стратегиях развития и других документах, а та, которая становится формой существования – невозможна без развития технологической базы. Эту точку зрения разделили все участники саммита. Вопрос только в том, насколько передовые технологии сейчас доступны для банков разных размеров, по каким критериям следует выбирать наиболее
мероприятия
подходящие для того или иного бизнеса решения и как могут регулироваться вопросы внедрения и окупаемости ИТ-решений. Стало уже традицией, что ни одно из мероприятий, в рамках которого обсуждаются высокие технологии, не обходится без дискуссии о механизмах и путях защиты информации, что логично: это действительно сейчас очень горячая тема. Хакеры становятся более изощренными, к тому же рост числа банковских клиентов увеличивает риск человеческого фактора: недостаточно высокий уровень финансовой грамотности и безалаберность потребителей приводит к тому, что и они сами, и банки становятся жертвами мошеннических атак. Вопросы ИБ, как подчеркивали участники саммита, напрямую связаны с вопросами клиентоориентированности: доверие клиентов просто невозможно, если существует достаточно высокий риск либо кражи их средств, либо утечки их персональных данных, либо компрометации этих данных. Сохранение доверия, возможно, недешевое удовольствие для банков, так как требует и найма квалифицированного персонала, и использования продвинутых ИТ-решений. Но потеря доверия клиентов для кредитных организаций может стать при определенном раскладе смертным приговором, в чем банковское сообщество уже не раз убеждалось. В целом XI банковский саммит по инновациям и развитию действительно можно охарактеризовать как площадку для мозгового штурма. Ни один из вопросов, актуальных для национального банковского и финансового рынка, не остался без внимания со стороны участников мероприятия. А общий вывод, которые сделали делегаты саммита, можно было бы сформулировать так: «Мы живем в непростое время и с точки зрения экономики, и с точки зрения политики. Но, как известно, любой кризис и даже любое осложнение не повод, чтобы опустить руки, а причина для того, чтобы искать и находить новые пути и нестандартные решения. Победит тот, кто не отчаивается!»
банки и бизнес
71
филиальная сеть
банки и бизнес
Street Banking Office: комплексное развитие банковской сети текст
Алексей Бовырин, генеральный директор Smart Continental
Сегодня борьба за клиента ведется банками по всем фронтам: как в активном развитии online-обслуживания, так и в повышении эффективности offline-точек обслуживания клиентов. Говорить о переходе потребителей услуг только в online рано, поэтому кредитным организациям по-прежнему приходится думать над вопросами: как разместить отделение, банкомат или платежный терминал в максимально эффективном месте, как сократить расходы на содержание точки присутствия и т.д. Разработанное компанией Smart Continental решение – Street Banking Office – позволяет банкам не только значительно расширить точки присутствия и оптимизировать расходы на содержание офиса, но и привлечь новых клиентов. ЧТО ТАКОЕ STREET BANKING OFFICE? Street Banking Office – это решение для эффективного развития банковской сети. Суть подхода заключается
72
банки и бизнес
в том, что покрытие обширной территории осуществляется банковскими павильонами разной конфигурации и разного функционального назначения. В ассортиментной линейке Street Banking Office представлено четыре типовых проекта: банковский павильон с открытой клиентской зоной; банковский павильон с закрытой клиентской зоной; банковский павильон с остановочным модулем, при этом остановочный модуль может быть интегрирован с любой моделью павильона; банковский павильон с рабочими местами для сотрудников банка и клиентской зоной. Все модели банковских павильонов разработаны с учетом требований к безопасности, комфортной эксплуатации и бесперебойной работе банковского оборудования. Павильоны Street Banking Office оснащены автоматическими инженерными системами электроснабжения, освещения, микроклимата и поставляются уже полностью готовыми к установке и дальнейшему коммерческому использованию. Конкурентным преимуществом банковских павильонов Street Banking Office является конструктивная особенность каркаса сервисной зоны павильона – бронекапсула, в которой размещается все банковское оборудование и инженерные системы. Сервисная зона павильона полностью заключена в бронекапсулу, что защищает павильон от взлома и другого физического воздействия. Площадь павильонов типовых проектов варьируется от 5,8 м² до 17 м². При этом модульность конструкции позволяет специалистам компании Smart Continental реали-
зовывать нестандартные проекты с различным метражом по индивидуальным требованиям заказчика. Кроме того, конфигурация павильонов может меняться как по типу устанавливаемого оборудования, так и по количеству устройств в зависимости от бизнес-задач банка. Внешний вид павильона выполняется в соответствии с фирменным стилем банка по утвержденному дизайн-проекту. ПРЕИМУЩЕСТВА ПОДХОДА STREET BANKING OFFICE Модель развития банковской сети с помощью Street Banking Office отличается от модели развития традиционных полноформатных отделений. Банковский павильон обладает мобильностью и может быть перемещен с одной точки установки на другую, что позволяет кредитным организациям не только расширять точки присутствия, но и открывать пилотные отделения, например, когда банк сомневается в ликвидности выбранного места под открытие традиционного отделения. Павильоны Street Banking Office значительно сокращают сроки открытия точки присутствия, минимизируют финансовые инвестиции на открытие, сохраняют инвестиции (стоимость монтажа, демонтажа, перенос павильона – единственные невозвратные инвестиции), способствуют продвижению бренда банка и повышению его узнаваемости. Борьба за клиента была, есть и будет. Очевидно, что в этой борьбе победит тот банк, который окажется наиболее прогрессивным, клиентоориентированным и надежным.
НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К ИЙ Ж У РН А Л июнь 2014
кадровый вопрос
банки и бизнес
Сбербанк платит за обучение студентов текст
Николай Берзон, руководитель совместной магистерской программы НИУ ВШЭ и Сбербанка России «Финансы»
реклама
Президент-председатель правления Сбербанка Герман Греф решил сделать Сбербанк настоящей европейской кредитной организацией и окончательно распрощаться с традициями советских сберкасс, для чего понадобились по-новому подготовленные кадры. Сбербанк оплачивает обучение всех поступивших на совместную с НИУ ВШЭ магистерскую программу «Финансы» и гарантирует выпускникам трудоустройство в своем московском офисе и дочерних компаниях. Программа «Финансы» была открыта на факультете экономики НИУ ВШЭ еще в 2009 году, но тогда Сбербанк оплачивал лишь 50% стоимости учебы. Учиться на эту программу шли выпускники ведущих техниче-
74
банки и бизнес
ских вузов Москвы, имеющие опыт работы в разных компаниях, и более 70% уже в процессе учебы или после получения диплома трудоустраивались в Сбербанк. В этом году формат программы изменился. Во-первых, магистерская программа становится полностью бесплатной – Сбербанк оплачивает 100% расходов на обучение. Во-вторых, если раньше студенты могли работать на полную ставку (занятия проходили по вечерам и не каждый день), то теперь учебных часов стало значительно больше и ходить на работу каждый день не получится. Однако один день в неделю выделен на практику в Сбербанке. В-третьих, Сбербанк с этого учебного года принимает более активное участие в реализации программы. Несмотря на наличие в Сбербанке внутрифирменной системы повышения квалификации кадров, его руководство считает необходимым сотрудничество с Высшей школой экономики. Создан академический совет управления программой, в который вошли представители НИУ ВШЭ, Сбербанка (в том числе один из вицепрезидентов) и Корпоративного университета Сбербанка. В чем заключается участие Сбербанка в учебном процессе? К студентам приходят представители подразделений банка и проводят практические занятия, а программа строится так, что теоретическая и практическая подготовки сочетаются. Например, руководитель департамента теоретической экономики ВШЭ Сергей Пекарский читает лекции по макроэкономике, а специалист из отдела макроэкономического прогнозиро-
вания Сбербанка – по практическому макропрогнозированию. Курс «Стратегический менеджмент в банке» читают совместно профессор факультета менеджмента ВШЭ Геннадий Константинов и несколько сотрудников стратегического департамента Сбербанка. Таким образом, теория сочетается с практикой в самых разных курсах и темах. Если в предыдущие годы ключевыми факторами при отборе первокурсников были диплом престижного технического вуза и результаты собеседования с представителями Сбербанка, то в этом году нужно сдавать экзамены. Это математика и английский язык (в формате IELTS). Затем абитуриентам предстоит пройти собеседование. Органичное сочетание теоретических и профессиональных дисциплин, прикладных исследований и практики позволяет студентам сформировать комплексную систему передовых знаний о механизмах функционирования финансовых рынков и деятельности современного коммерческого банка. Международные стандарты подготовки обеспечивают высокую конкурентоспособность выпускников программы на мировом финансовом рынке. Координатор программы – Корпоративный университет Сбербанка – осуществляет экспертизу международной сопоставимости и конкурентоспособности программы, внедряет программу в систему международных коммуникаций и глобальную сеть стратегических партнерств с ведущими бизнес-школами мира. Официальная страница программы: www.economics.hse.ru/finance
НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К ИЙ Ж У РН А Л июнь 2014
РКО
банки и бизнес
поддержка крупного корпоративного бизнеса инструментами РКО текст
Евгений Депутатов, менеджер по развитию дирекции финансовых продуктов ГК ЦФТ
Чтобы централизовать управление финансовыми потоками и снизить риски, компании пытаются оптимизировать внутренние бизнес-процессы. Для того чтобы выполнить задачу полностью, им необходим банк и такие банковские услуги, как cash management и, в частности, cash pooling – технологии управления открытыми в банке счетами, остатки на которых физически собираются на один счет (мастер-счет) или рассматриваются совместно. Использование технологии cash pooling позволяет не только оптимизировать финансовые потоки, но и решить следующие задачи:
Клиентов банков – юридических лиц обычно делят на три группы: малый, средний и крупный бизнес. Зачастую этим группам предлагаются одни и те же финансовые продукты и услуги. Однако необходимо четкое понимание различий как между группами клиентов, так и между членами каждой группы, чтобы предложить отдельному клиенту нужный ему продукт или услугу. В части расчетно-кассового обслуживания интересно рассмотреть средний и крупный бизнес, так как именно этот сегмент сейчас больше других нуждается в современных технологиях и методиках для управления банковскими счетами. МЕХАНИЗМ ЭФФЕКТИВНОГО УПРАВЛЕНИЯ КАПИТАЛОМ КОМПАНИИ В условиях развития современного рынка компании испытывают сложности в регулировании своих финансовых потоков, что не только отрицательно сказывается на прибыли, но и повышает риск потери ликвидности, следовательно, может привести к серьезным убыткам и в худшем случае к дефолту компании.
76
банки и бизнес
■ управление оборотными активами; ■ сокращение потребности в дополнительном финансировании; ■ оптимизация процентных доходов или расходов; ■ снижение операционных расходов. Cash pooling делится на материальный и виртуальный. Различия между ними и то, какой вид предпочтительнее использовать той или иной компании, рассмотрим ниже. MATERIAL CASH POOLING Material cash pooling реализует модель автоматического перечисления на мастер-счет денежных средств участников пула с избыточной ликвидностью и при необходимости финансирование с мастер-счета платежей участников пула при недостатке денежных средств на их счетах. В зависимости от принятой в корпорации политики внутреннего казначейства банк может предложить различные технологии материального cash pooling – zero balancing, zero balancing with reversal movements of funds, target
Управление пулами счетов – основной продукт по cash pooling, разработанный на платформе развития ЦФТ и предназначенный для создания и управления произвольными пулами счетов, в которые могут быть включены банковские счета любых структурных подразделений группы компаний, независимо от их территориальной удаленности, включая филиалы и дочерние подразделения, являющиеся самостоятельными юридическими лицами. Гибкая настройка и возможность произвольного объединения счетов позволяют подключать к пулу различные сервисы и услуги и консолидировать данные.
balancing и т.д. Основное различие между этими технологиями заключается в параметрах, определяющих правила, и в условиях перечисления денежных средств со счетов участников пула на мастер-счет и, наоборот, с мастер-счета на счета участников пула. С точки зрения экономической целесообразности material cash pooling дает наибольший эффект, так как вся ликвидность группы компаний физически собирается на одном мастер-счете. Соответственно, компания может легко управлять ею с помощью таких банковских инструментов, как РКО, размещение временно свободных денежных средств и т.д. Еще одно преимущество material cash pooling – отсутствие больших расходов на обслуживание, поскольку переводы денежных средств с одного счета на другой внутри банка выполняются бесплатно. Проблема технологии material cash pooling – сложность обоснования пла-
НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К ИЙ Ж У РН А Л июнь 2014
РКО
банки и бизнес
тежей между мастер-счетом и счетами участников пула в соответствии с законодательством Российской Федерации. Если переводы средств между счетами, объединенными в пул, соответствуют хозяйственной деятельности участников пула, то, как правило, для таких компаний material cash pooling будет оптимальным инструментом казначейства. Для корпорации, включающей группу юридически обособленных предприятий, такой выбор не столь очевиден. Распространенным случаем является использование для обоснования платежей внутри пула внутрикорпоративных заимствований и, следовательно, заключение договоров займа между владельцем мастер-счета и каждым участником пула. Подобный подход может снизить экономическую эффективность по следующим причинам: ■ появление операционных затрат, возникающих из-за ведения и учета заимствований; ■ увеличение налогооблагаемой базы. В качестве альтернативы банки предлагают воспользоваться технологией notional cash pooling, основным плюсом которой является отсутствие необходимости обоснования платежей
Консолидация средств счетов пула на мастер-счете (zero balancing) – приложение, разработанное компанией ЦФТ и дополняющее основное приложение «Управление пулами счетов». В комплексе решение позволяет выделить среди счетов пула один мастер-счет, на котором осуществляется концентрация всех денежных средств со счетов группы на конец операционного дня. Данный продукт реализует механизм оперативного заимствования денежных средств с мастер-счета для проведения текущих операций клиентов по остальным счетам пула с учетом заранее определенных лимитов.
июнь 2014 НАЦИ О НАЛЬНЫЙ БА НК ОВСК ИЙ ЖУРНА Л
между счетами (в связи с отсутствием таких платежей). NOTIONAL CASH POOLING В модели notional cash pooling физических перемещений денежных средств между счетами участников пула не происходит. В таком пуле мастер-счет отсутствует, и все счета участников обслуживаются по одинаковым правилам. Положительные и отрицательные остатки на счетах участников пула рассматриваются банком совместно при взимании и уплате процентов. Модель notional cash pooling реализует механизм компенсации процентных расходов компаний – участников пула на использование заемных средств – овердрафтов по расчетным счетам. При такой технологии банк снижает для компании или холдинга общую стоимость заемных средств в ситуациях, когда одни компании группы получают от финансово-кредитной организации эти заимствования, а другие компании обладают необходимыми денежными средствами и держат их на счетах в том же банке. С технической точки зрения разные финансовые институты по-разному реализуют модель notional cash pooling. Как правило, это является новшеством для банка, предлагающего подобную услугу. За счет своих преимуществ notional cash pooling прекрасно подходит группам компаний с различающейся хозяйственной деятельностью, в которых возникает избыточная ликвидность у одних предприятий при одновременном недостатке ликвидности у других. С помощью notional cash pooling можно существенно повысить доходность от размещения временно свободных денежных средств группам компаний, обладающим избыточной ликвидностью. Как правило, банковские комиссии за notional cash pooling выше, чем за material cash pooling, поскольку включают риски, возникающие у банка при кредитовании предприятий группы. С другой стороны, совокупная стоимость
notional cash pooling может оказаться ниже стоимости material cash pooling. В настоящее время продукты сash pooling и сash management проходят этап активного развития. Тем не менее крупным транснациональным корпорациям услуг одной или даже нескольких кредитных организаций недостаточно для централизованного управления всеми своими финансовыми показателями. Таким компаниям необходим cash management планетарного масштаба. Подобную услугу можно предложить только на базе системы, взаимодействующей практически со всеми крупными банками в мире, иначе говоря, предоставить инновационное использование услуги cash management на базе S.W.I.F.T. – SWIFT SCORE. SWIFT SCORE В связи с глобализацией мировой экономики значительно увеличиваются требования к качеству и эффективности деятельности финансовых подразделений крупных международных корпораций. Такого рода эффективность и качество определяются принципиальной стратегией, предусматривающей внедрение технологий, которые обеспечат: ■ уменьшение производственных, операционных, кредитных и иных видов рисков;
Частичная компенсация процентных расходов за пользование (notional pooling) – приложение компании ЦФТ, позволяющее производить начисления по повышенным ставкам на часть суммарного кредитового остатка на расчетных счетах пула. Эта часть суммарного кредитового остатка не превышает задолженность по овердрафтам, что, в свою очередь, дает возможность компенсировать процентные расходы за пользование заемными средствами – овердрафтами по расчетным счетам, включенным в пул.
банки и бизнес
77
РКО
банки и бизнес
■ усиление защищенности бизнеса, в частности защиты от мошенничества; ■ сокращение производственных и административных затрат; ■ увеличение прозрачности финансовых операций; ■ централизацию управления финансовыми потоками. Выполнение всех вышеописанных условий требует от корпораций соблюдения самых высоких стандартов автоматизации финансовых операций. Однако в настоящее время финансовые подразделения корпораций сталкиваются с целым рядом проблем: ■ в банках, обслуживающих корпорации, установлены различные базовые платформы; ■ системы «Банк-Клиент» в разных кредитных организациях имеют различные стандарты и форматы.
78
банки и бизнес
Использование корпоративной среды SWIFT SCORE – приложение компании ЦФТ, предоставляющее корпоративным клиентам банка услуги по дистанционному банковскому обслуживанию в рамках продукта РКО с использованием стандартизированной корпоративной среды SWIFT SCORE. SWIFT SCORE представляет собой инфраструктуру для обмена сообщениями по сети SWIFTNet между корпорациями и кредитными организациями, входящими в данный SCORE. В рамках SCORE используется единый набор и формат финансовых сообщений, отвечающих ISO 20022.
Как уже упоминалось ранее, техническую реализацию подобной услуги можно осуществить только на системе, взаимодействующей с банками во всем мире, имеющей унифицированные и всем известные форматы обмена. В данный момент централизовать управление всеми своими счетами во всем мире корпорация может при использовании технологии SWIFT SCORE, которую предоставляет международная межбанковская система S.W.I.F.T. Тем самым современные технологии, средства коммуникации и возможности, предоставляемые информационными системами, позволяют из традиционных продуктов создать абсолютно новые и перспективные решения. В результате значительно увеличивается прибыль за счет минимизации рисков и контроля финансовых показателей.
НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К ИЙ Ж У РН А Л июнь 2014
3. спецпроект год Эльвиры Набиуллиной
80
Поздравления в адрес председателя Банка России от делового сообщества
годовщина
год Эльвиры Набиуллиной
Уважаемая Эльвира Сахипзадовна! От имени Ассоциации российских банков и от себя лично поздравляю Вас с первой годовщиной на посту руководителя Центрального банка Российской Федерации. Ваш профессионализм, целеустремленность, ответственность, умение слышать своих оппонентов и принимать сложные, порой непопулярные, но очень важные для банковской системы страны решения вызывают у меня искреннее уважение. Этот год был очень непростым для банков. Но в условиях замедления экономического роста, обострения геополитической ситуации, преобразований в модели регулирования, усиления борьбы с недобросовестными участниками рынка, которое так часто вызывало критику, Вы смогли сохранить стабильность нашей банковской системы.
80
Надеюсь, что Ваши дальнейшие действия будут способствовать укреплению и развитию финансового рынка и экономики в целом. Желаю Вам успехов, удачи во всех начинаниях, доброго здоровья и благополучия!
С уважением, президент Ассоциации российских банков Гарегин ТОСУНЯН
НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К ИЙ Ж У РН А Л июнь 2014
годовщина
Уважаемая Эльвира Сахипзадовна! За прошедший год на посту председателя Банка России Вы показали себя в качестве решительного, последовательного и целеустремленного руководителя. Вам удалось сохранить преемственность в организации работы Банка России с точки зрения обеспечения стабильности финансовой системы, поддержания курса национальной валюты и сдерживания инфляции и при этом привнести новые веяния в работу ЦБ РФ. В этом Вам помогли огромный опыт и обширные знания. Регулятор постепенно и аккуратно движется по пути расширения инструментария, необходимого для стимулирования экономического роста, предпринимает шаги для оздоровления банковского сектора.
Российский финансовый рынок все еще находится в стадии активного развития, и Банку России многое предстоит сделать в качестве мегарегулятора. Желаю Вам, Эльвира Сахипзадовна, дальнейших успехов и надеюсь на продолжение сотрудничества и конструктивного диалога, который установился между регулятором, Ассоциацией «Россия» и банковским сообществом в целом. С уважением, президент Ассоциации региональных банков России, заместитель председателя Комитета Госдумы по финансовому рынку Анатолий АКСАКОВ
Уважаемая Эльвира Сахипзадовна! В течение долгого времени Вы плодотворно работаете и вносите значимый вклад в развитие России. Став председателем Центрального банка Российской Федерации, Вы начали свою деятельность с высокой планки, которая была задана предыдущим руководством. С особым чувством радости хочу поздравить Вас с первым годом успешной работы на посту руководителя Банка России. Целенаправленная работа, постоянный поиск эффективных путей решения поставленных задач, высокая самоотдача стали залогом коренных положительных изменений, произошедших в банковской и финансовой системе страны за это время.
Сейчас как никогда укрепляется положение Российской Федерации на мировой арене, труд таких руководителей, как Вы, способствует этому! Желаю Вам успехов в решении столь масштабных и ответственных задач в деле обеспечения финансовой стабильности России. Руководимому Вами коллективу я желаю успешной работы по поддержке высоких профессиональных стандартов. С уважением, заместитель председателя Комитета Совета Федерации по бюджету и финансовым рынкам Николай ЖУРАВЛЕВ
Уважаемая Эльвира Сахипзадовна! Вот уже год, как Вы являетесь председателем Банка России. Вы талантливый, авторитетный и опытный руководитель. Многие годы Ваша профессиональная деятельность была направлена на формирование макроэкономической политики страны. И сегодня, когда российская банковская система переживает трудные времена, хочется поблагодарить Вас за те своевременные, точные и порой непростые решения, которые принимает Банк России. Уверен, что Ваш богатый опыт, целеустремленность, глубокое понимание сути экономических процессов, а также усилия руководства Банка России, направленные на создание новой модели
июнь 2014 НАЦИ О НАЛЬНЫЙ БА НК ОВСК ИЙ ЖУРНА Л
финансового регулирования, будут способствовать стабильному развитию экономики страны. От всей души желаю Вам крепкого здоровья и благополучия, поддержки и понимания коллег, успехов в осуществлении всех задуманных проектов. Убежден, что Вы сможете успешно реализовать все важные задачи по укреплению и дальнейшему развитию отечественной финансовой системы.
С уважением, председатель правления Финансовой группы «Лайф» Александр ЖЕЛЕЗНЯК
81
годовщина
Уважаемая Эльвира Сахипзадовна! Поздравляю Вас с годовщиной официального вступления в должность председателя Банка России. Приятно констатировать, что за минувшие месяцы многие Ваши планы по совершенствованию финансовой политики и повышению уровня прозрачности банковского бизнеса в России были реализованы. Обширные познания в экономике и финансах, отточенные навыки планирования, способность к последовательному отстаиванию собственной позиции делают Вас специалистом вне конкуренции и внушают доверие. Мы искренне верим в то, что во всех Ваших начинаниях основным помощником станут именно региональные кредитные организации. Ведь главная за-
дача объединенных региональных банков – это поддержка регионального бизнеса, а вместе с ним и экономики всей России. Уверен, что принятые решения и их исполнение приведут экономику страны к стабильности и процветанию. Позвольте от всей души пожелать Вам дальнейших успехов, новых нестандартных идей и решений! Тепла, заботы и любви со стороны близких и поддержки со стороны Ваших верных единомышленников! С уважением, председатель правления городского Эл банка, член Союза банков Самарской области Анатолий ВОЛОШИН
Уважаемая Эльвира Сахипзадовна! Поздравляем Вас с годовщиной вступления в должность председателя Банка России! В современной жизни всегда все относительно: для одной ситуации год – это целая жизнь, для другой – одно мгновение. Год плодотворной, тяжелой и ответственной работы, на наш взгляд, то, что достойно отдельного упоминания и уважения. За минувшие 12 месяцев Центральный банк изменился структурно, приступил к регулированию всех финансовых учреждений страны, созданию условий для поступательного и непрерывного экономического роста, стал главным ньюсмейкером деловой России. Это стало возможным в том числе и благодаря тому, что структуру возглавили Вы – целеустрем-
ленный, опытный, знающий свое дело руководитель. Поздравляем Вас с годовщиной вступления в должность председателя Центрального банка России, желаем новых профессиональных достижений, больших успехов и верных соратников. С уважением, председатель наблюдательного совета КБ «Кубань Кредит» Виктор БУДАРИН
председатель правления КБ «Кубань Кредит» Нина ЧУПРЫННИКОВА
Уважаемая Эльвира Сахипзадовна! Банк «КЕДР» поздравляет Вас с годовщиной вступления в должность председателя Банка России! На финансовом рынке и в деловом сообществе Вы по праву заслужили авторитет компетентного руководителя, блестящего аналитика, стратега, способного системно решать важнейшие государственные задачи. Мы убеждены, что усилия, которые сегодня предпринимаются Центральным банком по созданию
82
новой модели финансового регулирования, способствуют улучшению делового климата, поступательному развитию экономики нашей страны. Эльвира Сахипзадовна, разрешите в этот радостный день пожелать Вам здоровья, успехов в работе, огромной энергии и всего самого доброго. Пусть рядом с Вами всегда будут надежные партнеры и профессиональная команда единомышленников!
С уважением, коллектив ОАО КБ «КЕДР»
НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К ИЙ Ж У РН А Л июнь 2014
годовщина
Уважаемая Эльвира Сахипзадовна! Позвольте поздравить с годовщиной вступления в должность председателя Банка России. Ваша интеллигентность, такт, тонкий ум, принципиальность и вместе с тем умение учитывать различные, подчас противоположные точки зрения при принятии сложных решений не могут не вызывать восхищения. За столь короткий срок Вами проделана без преувеличения колоссальная работа! Активно совершенствуются нормы регулирования банковского сектора, повышается их эффективность, а значит, и надежность всей финансовой системы. По сути, реализованы инициативы, умножающие запас прочности нашей экономики. Это четкие, проду-
манные действия, нацеленные на долгосрочную перспективу. Тем не менее я уверен: самые масштабные проекты еще впереди. От всего сердца желаю Вам новых успехов, неиссякаемых сил и удачи!
С уважением, президент 2Тбанка Артур ПЕРЕПЕЛКИН
Уважаемая Эльвира Сахипзадовна! Примите искренние поздравления с годовщиной со дня Вашего вступления в должность главы Банка России. Присоединяюсь ко всем добрым словам, которые звучат сегодня в Ваш адрес. Вы любимы и уважаемы банковским сообществом. Ваши принципиальные решения, встречи, в которых Вы принимаете участие, Ваши выступления – все говорит о том, что во главе первого в истории России мегарегулятора стоит талантливый макроэкономист и целеустремленный руководитель. Хочется подчеркнуть, за этот год Вам удалось объединить вокруг себя единомышленников, уникальный опыт и высокий профессионализм которых позволяют решать сложнейшие фи-
нансовые задачи, развивать и укреплять экономику страны. От чистого сердца желаю, чтобы рядом с Вами всегда были надежные друзья, а любовь и поддержка родных придавали Вам силы для новых свершений.
С уважением, председатель наблюдательного совета банка «Первомайский» (ЗАО) Александр ИЗМАЙЛОВ
Уважаемая Эльвира Сахипзадовна! Исполнился ровно год с того момента, когда Вы вступили в должность председателя Банка России. 24 июня 2013 года Вы открыли новую страницу в истории ЦБ РФ. Под Вашим руководством началась реформа регулирования и надзора в финансовом секторе, на базе Центрального банка создан мегарегулятор, что крайне важно для решения масштабных задач по модернизации всех сфер жизни нашей страны. Выражаю сердечную благодарность Вам и руководству Банка России от имени коллектива и клиентов банка за оперативную помощь в трудной ситуации, в которой мы оказались. Спасибо Вам за понимание и неравнодушие к судьбе региональных банков!
июнь 2014 НАЦИ О НАЛЬНЫЙ БА НК ОВСК ИЙ ЖУРНА Л
Желаю Вам крепкого здоровья, личного счастья, осуществления всех намеченных планов!
С уважением, президент, председатель правления АКБ «Тамбовкредитпромбанк» (ОАО) Галина ХАУСТОВА
83
годовщина
Уважаемая Эльвира Сахипзадовна! Позвольте присоединиться к тем поздравлениям, которые Вы получаете по случаю годовщины своего вступления в должность председателя Банка России. За столь короткий срок Вам удалось выработать свой стиль руководства и общения, в основе которого творчество, сдержанность и компетентность. Мне импонирует Ваше умение обостренно чувствовать вызовы времени, твердо отстаивать свою принципиальную позицию при неизменной доброжелательности и уважении к оппоненту, взвешенность при принятии решений. В этот день от чистого сердца желаю Вам доброго здоровья, неиссякаемой энергии, удачи и успехов
в достижении поставленных целей, побед во всех делах и начинаниях. Пусть Ваши знания и опыт долгие годы служат на благо России!
С уважением, председатель совета директоров Торгового Городского Банка Сергей ЮНИН
Уважаемая Эльвира Сахипзадовна! Ровно год назад, 24 июня, Вы вступили в должность председателя Банка России. Это назначение стало логичным этапом Вашей блестящей карьеры макроэкономиста. Хочется особо отметить, что на посту главы Центрального банка Вы проявили себя как мудрый и ответственный руководитель, а главное, как генератор идей для дальнейших качественных преобразований на финансовом рынке. Убежден, что в условиях широкомасштабных реформ в банковском секторе Ваше понимание современных тенденций, энергичность и огромный потенциал способствуют успешной деятельности,
84
направленной на его интеграцию, стабилизацию и всестороннее развитие. Разрешите в этот день пожелать Вам крепкого здоровья, счастья, удачи, семейного тепла, внимания и понимания близких!
С уважением, председатель совета директоров ООО КБ «АкадемРусБанк» Андрей ЩЕКОТУРОВ
НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К ИЙ Ж У РН А Л июнь 2014
Слово практику М. ПУСТОВОЙ (ОТП Банк): «Сложившаяся ситуация способствует повышению эффективности, использованию улучшенных практик в сфере проектного и процессного управления» .................................... 86 Мобильный банкинг Мобильный банкинг повышает лояльность клиентов, сокращает расходы на обслуживание и расширяет каналы продаж........................................................................................................................ 90 Автоматизация CRM-система позволяет банку быть внимательным к каждому клиенту и оставаться на плаву в период экономической нестабильности ..................................................................................................... 92 Документооборот Новейшие технологии обеспечат надежную защиту конфиденциальной информации в архивах банков ........... 94 Безопасность Средства биометрической идентификации разнообразны, более того, они могут быть использованы в разных целях ............................................................................................................. 98 Новости компаний ................................................................................................................................. 108
UPGRADE
СЛОВО ПРАКТИКУ
ОТП Банк: догоняя и перегоняя ИТ-тренды М. ПУСТОВОЙ: «Сложившаяся ситуация способствует повышению эффективности, использованию улучшенных практик в сфере проектного и процессного управления, различного рода инструментов, ИТ-решений для автоматизации» беседовала
Анна Кислицына
Дочерний банк венгерской OTP Group входит в сотню самых надежных кредитных организаций России. Не секрет, что в нашу эпоху надежность компании во многом обусловлена степенью развития ИТ. Директор дивизиона операционного управления ОТП Банка Максим ПУСТОВОЙ рассказал NBJ о том, как привлечь новых клиентов с помощью ДБО, сделать ИТ-знания доступными для всех сотрудников банка и чем может быть полезна нехватка ИТ-кадров. NBJ: Максим, расскажите, пожалуйста, с какими результатами в области ИТпроектов ОТП Банк пришел к началу 2014 86
upgrade
года? Не так давно в банке планировался переход на новую АБС. Состоялся ли он? М. ПУСТОВОЙ: Относительно проекта по внедрению АБС: он движется по заранее намеченному плану. В январе текущего года мы развернули новую банковскую систему во всех филиалах организации, включая головной офис. Таким образом, весь банк в настоящий момент работает на единой АБС. Старая система была переведена в режим резервного использования. Оценивая проект, следует отметить, что он выполнен частично, второй этап реализации запланирован на середину 2014 года. В ближайшем будущем мы
рассчитываем перевести на новую АБС все продукты ОТП Банка, связанные с POS-кредитованием. Сделав данный шаг, мы полностью завершим программу внедрения новой автоматизированной банковской системы. Пока все продвигается по плану. Внедрение единой АБС – ключевая инициатива дивизиона операционного управления ОТП Банка, но не единственная. На первый план выходят проекты и задачи, носящие исключительно «бизнесовый» характер. Они связаны с возможностью дополнительных кросспродаж, как исходящих, так и входящих, и требуют внедрения отдельного комплекса решений. Исходящие и входящие кросс-продажи свидетельствуют о развитии банковской индустрии в Российской Федерации. Мы хотим следовать тренду и, возможно, опережать его. Нами уже запущены проекты по построению отдельных бизнеснаправлений, связанных с кросспродажами. В минимальном объеме индустриальные кросс-продажи будут запущены уже в ближайшие три месяца, у нас есть все возможности для этого. Еще одно масштабное направление деятельности дивизиона связано с проектом, который мы называем «Знание – в массы». В нем отразилось желание технически подкованных специалистов поделиться накопленными за долгие годы знаниями со всеми сотрудниками банка. Мы располагаем объемным централизованным хранилищем данных, которое развивали не один год. Оно использовалось небольшим количеством специалистов и лишь для некоНА Ц ИО НА Л Ь НЫ Й Б А НК О В С К ИЙ Ж У РН А Л июнь 2014
СЛОВО ПРАКТИКУ
торых рабочих операций (составление отчетов, аналитика), а могло бы быть полезным более широкому кругу сотрудников. Для популяризации знаний было необходимо соответствующее их описание, легкий понятный и удобный инструментарий, разработкой которого мы займемся в ближайшие месяцы. Проект «Знание – в массы» является частью другой, более крупной инициативы – Data governance, призванной разработать подход к управлению знаниями в организации, обеспечить удобный инструментарий для получения их всеми сотрудниками. NBJ: Что в конечном счете будет представлять собой проект «Знание – в массы»? В чем он воплотится? Это будет специальное ПО? М. ПУСТОВОЙ: Проект воплотится в двух составляющих. Первая – депозитарий знаний, которыми мы располагаем. Они представляют собой витрины данных, а также сведения из нашего централизованного хранилища. Простое открытие доступа к нему неэффективно: необходим слой данных, который транслировал бы ключевые знания по основным единицам информации в банке (о клиентах, продажах, элементах их эффективности). Для того чтобы сотрудники могли начать ими пользоваться, витрины нужно описать на понятном языке. Описание нужно определенным образом разместить, обеспечить его соответствие той или иной витрине. Важно убедиться в том, что налажен механизм обновления, синхронизации. Таким образом, пользователь получит некий инструмент, приложение, в котором сможет видеть описание и детали всех витрин данных: на каких алгоритмах они построены, какую информацию можно извлечь из той или иной витрины – список опций будет состоять из сотен позиций. Вторая составляющая, которой будет располагать пользователь, – это инструмент, определенное программное обеспечение. Оно позволит использовать визуализированную среду построения отчетов и аналитики на данных, описанных в депозитарии, июнь 2014 НАЦИ О НАЛЬНЫЙ БА НК ОВСК ИЙ ЖУРНА Л
UPGRADE
без технических знаний и языков программирования. Обе составляющие требуют от нас определенных усилий: создания депозитария, выбора правильного инструмента, а также технической возможности использовать его. Возвращаясь к теме бизнес-проектов, стоит упомянуть об активном развитии направления online-продаж. Многие банки еще в 2012 году погрузились в данную сферу деятельности, при этом известны примеры, когда такое необдуманное рвение привело к проблемам и последующему отказу от активного привлечения клиентов через onlineканал. Сегодня у нас по-прежнему существует понимание перспективности данного вида обслуживания, но к этому прибавились новые подходы в работе, богатый инструментарий, свежие бизнесстратегии, позволяющие его развивать. В 2014 году мы собираемся сделать акцент на привлечении через onlineканалы. За этим стоят определенные бизнес-планы, новая команда. Мы располагаем технологическими решениями, которые внедряем с целью существенного увеличения доли привлечений через online-канал и улучшения конвертации.
Говоря о дальнейшем развитии взаимодействия, стоит подчеркнуть: мы планируем перейти к более тесной работе на начальном этапе формулирования требований между ИТ и бизнесом. Иными словами, уйти от модели, при которой требования довольно долго прорабатываются на стороне бизнеса и уже в более или менее завершенной форме передаются на сторону ИТ для декомпозиции и анализа. Это не вполне эффективный подход. Оптимальным представляется тот, при котором с самого начала создаются рабочие группы, где бизнес и ИТ работают вместе. Мы практикуем данный тип взаимодействия, работая над несколькими достаточно крупными проектами, и планируем двигаться в том же направлении. NBJ: Какой объем ресурсов вашего банка выделяется на развитие, а какой – на сопровождение?
«ОТПДИРЕКТ» – УЖЕ ИМЕЮЩИЙСЯ И БЛАГОПОЛУЧНО ФУНКЦИОНИРУЮЩИЙ АКТИВ»
М. ПУСТОВОЙ: В этом плане мы, наверное, не сильно отличаемся от большинства кредитных организаций: на развитие и сопровождение выделяется равное количество ресурсов. Впрочем, год на год не приходится. Бывают периоды, когда на ИТ выделяются очень большие средства – в этом случае баланс смещается в сторону развития.
NBJ: Не возникает ли сложностей при общении ИТ- и бизнес-подразделений в ОТП Банке? Возможно, последнее стало предъявлять к ИT новые требования?
NBJ: Насколько успешно реализуется проект «ОТПдирект»? Можете ли Вы назвать ДБО приоритетным направлением развития банка?
М. ПУСТОВОЙ: Определенный этап взаимодействия между бизнесом и ИТ уже пройден, требования к нам изменились. Мы наделили бизнес функцией заказчика, а наш дивизион получил функцию управления спросом. Благодаря этому получилось выстроить абсолютно понятные, прозрачные отношения между бизнесом и ИТ. С обеих сторон есть понимание того, когда, кем и какие работы будут выполнены, это было достигнуто с помощью эффективного управления ресурсами. Мы добились того, что наши обещания относительно сроков и стоимости работ всегда исполняются.
М. ПУСТОВОЙ: «ОТПдирект» – уже имеющийся и благополучно функционирующий актив, приложение для onlineи мобильного банкинга. Обе части программного обеспечения развиваются параллельно. Наш продукт является инструментом для оказания дистанционных услуг самого широкого спектра, а также каналом для привлечения клиентов, поэтому наша первоочередная задача состоит в том, чтобы регулярно наполнять функционалом «ОТПдирект». Недавно мы подключили к обслуживанию клиентов дополнительных платежных агрегаторов для оплаты upgrade
87
UPGRADE
СЛОВО ПРАКТИКУ
различных услуг в адрес получателей. В приложении появилась опция по переводу средств между счетами и картами клиентов нашего банка, а также по моментальным переводам на карты сторонних кредитных организаций. В настоящий момент мы развиваем функционал, связанный с конверсионными операциями в «ОТПдирект». В целом приложение дополняется новыми опциями примерно раз в месяц. Мы хотим сделать «ОТПдирект» полностью автономным и независимым каналом обслуживания и привлечения новых клиентов. Это возможно, так как наше приложение удобно и многофункционально. «НАШ ПРИНЦИП – СОБЛЮДЕНИЕ БАЛАНСА МЕЖДУ УДОБСТВОМ КЛИЕНТА И ЕГО БЕЗОПАСНОСТЬЮ» NBJ: Насколько сложно поддерживать безопасность ДБО? М. ПУСТОВОЙ: Способы защиты информации во многих банках типизированы. Одни ограничиваются рассылкой SMS-сообщений с временными паролями, другие выпускают скретч-карты и secure-токены. Мы придерживаемся более или менее стандартного подхода, который обеспечивает минимальный уровень защиты, – использования разовых паролей при входе в систему. Наш принцип – соблюдение баланса между удобством клиента и его безопасностью. С ноу-хау в сфере безопасности ДБО мы ведем себя осторожно: порой они негативно влияют на опыт клиента, могут оказаться слишком сложными для него. Каждый банк выбирает для себя определенный порог, ниже или выше которого не идет, иначе это может сказаться либо на безопасности, либо на удобстве клиента. NBJ: Как вы боретесь с инсайдом и внешними посягательствами на персональные данные клиентов? М. ПУСТОВОЙ: Внутри банка существует четкое разделение функций между дивизионом операционного управления и дирекцией безопасности. Последняя следует всем требованиям зако88
upgrade
на, установленным для контроля над персональными данными и защиты информации. Внедрение любой новой системы в банке проходит обязательный аудит на информационную безопасность, а также отдельный анализ на предмет следования требованиям по защите персональных данных. Мы не можем обойти установленные дирекцией безопасности правила в угоду скорости или функциональности. NBJ: Опыт OTP Group по-прежнему помогает вам в борьбе за информационную безопасность? М. ПУСТОВОЙ: Стандарты Венгрии напрямую на нас не распространяются, хотя мы действительно используем опыт иностранных коллег по внедрению ИТ-практик, тем или иным образом направленных на защиту персональных данных. Сами же решения выбираются нами в России. NBJ: Какому ЦОД вы отдали предпочтение: собственному, коммерческому или облачному? М. ПУСТОВОЙ: Не буду высказывать свое личное мнение на этот счет – расскажу о модели, которую применяет ОТП Банк. Мы располагаем собственным ЦОД, который функционирует не первый год. Наш подход имеет как плюсы, так и минусы. Сейчас мы всерьез рассматриваем предложения крупных ИТ-компаний по использованию внешних площадок для обеспечения так называемого дополнительного элемента гибкости. Потребность в резервном дисковом пространстве и процессорных мощностях возникла из-за большого количества проектов. Мы готовы быть потребителями фактически облачной услуги, оплачивать ее при необходимости для того, чтобы в любой момент обеспечивать себе дополнительную емкость в неограниченном объеме. Одна из ИТ-компаний с мировым именем предоставляет свои дата-центры, мощности в модели on demand, используя облачный сервис. В текущем году мы воспользовались ее услугами.
Вероятно, это не прямой ответ на вопрос о ЦОД, но последний нередко рассматривается в качестве площадки, которая предоставляет банку определенные мощностные ресурсы, дисковое пространство для хранения информации. NBJ: Вариант полного перехода в «облака», наверное, сейчас не оправдан – свой ЦОД уже построен. М. ПУСТОВОЙ: Думаю, это нерационально. Вопрос даже не в том, что наш ЦОД потребовал значительных инвестиций – это в первую очередь вопросы безопасности, регуляции. Мы не рассматриваем возможности размещения банковских данных в «облаках» крупных провайдеров, особенно западных, например компаний Google или HP. Кроме того, важно понять, что мы в принципе подразумеваем под «облаком» и облачной услугой. Существует аспект, связанный с квотированием стоимости использования «облака» не на уровне потребляемого дискового пространства и процессорных мощностей, а на уровне вполне исчислимых единиц – количества транзакций и клиентов. В данном случае видна понятная, прозрачная структура ценообразования, общей стоимости владения ИТ в зависимости от объемов бизнеса, количества продаж и клиентов. Самостоятельно выявить прямую корреляцию между объемом бизнеса и стоимостью ИТ достаточно сложно. Говоря о физическом расположении всех мощностей и данных банка, важно выяснить, насколько удобно и рационально держать их вне организации. В этом случае ребром встает вопрос безопасности с точки зрения доступа к информации и управления ими. Кроме того, нужно учитывать дополнительные риски инфраструктурного плана: если данные не хранятся у вас, то нельзя быть абсолютно уверенным в сохранности всех инструментов инфраструктуры, контролировать их со своей стороны. Не думаю, что для банков ТОП-100 в России перевод основных дата-центров на исключительно облачную инфраструктуру вне организации – бесспорный тренд, имеющий большие НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К ИЙ Ж У РН А Л июнь 2014
СЛОВО ПРАКТИКУ
перспективы. Но для небольших российских кредитных организаций это уже реализованный сценарий: они живут на внешних ЦОД. NBJ: Полагаю, в целом ОТП Банк стал более расположен к «облакам». Ранее Вы говорили о том, что «нырять» в них довольно опасно… М. ПУСТОВОЙ: Я говорил о том, что история с «облаками» достаточно спекулятивна, что понятие «облако» трактуется по-разному. Оно может быть частным, публичным, гибридным. В целом облачная услуга, которая складывается по модели, квотируемой не в единицах понятной для технаря инфраструктуры, а в единицах, связанных с бизнесом, – удачная идея, у которой есть будущее. Неверно утверждать, что «облако» – это внешняя площадка, которая используется вне периметра организации. Существует понятие «частное «облако», оно означает, что сервис функционирует в пределах компании. Сервис при этом отличается от классической модели тем, что обладает гибкостью масштабирования, требует большой ресурсной мощности или дискового пространства. Второй атрибут «облака», внешнего и внутреннего, – наличие прямой связи и фактическая возможность квотирования потребителя ресурсов в понятных, прозрачных единицах, которые могут быть напрямую связаны с объемом бизнеса. Я за «облако» в таком виде. Мои предыдущие комментарии относились к внешнему «облаку», когда услугу оказывают за пределами организации. Полный перенос ЦОД во внешнее «облако» для крупных организаций – процесс сложно реализуемый и, возможно, нерациональный. NBJ: Многие ИТ-подразделения кредитных организаций стремятся к сокращению расходов. Как это происходит в ОТП Банке? Насколько велики ваши расходы? М. ПУСТОВОЙ: Мы стремимся к сокращению расходов, но только в части поддержки. Как уже было сказано, в настоящий момент на развитие и сопровождение выделяется равное количество ресурсов. Раньше это было не так: июнь 2014 НАЦИ О НАЛЬНЫЙ БА НК ОВСК ИЙ ЖУРНА Л
UPGRADE
меньший процент приходился на развитие. Тренд изменился, и теперь большая часть ИТ-бюджета тратится именно на него. Сопровождению, напротив, будет уделяться меньшая часть средств за счет повышения эффективности. Она будет достигнута с помощью привлечения аутсорсеров, например для организации первого уровня поддержки средствами ServiceDesk. Мы считаем допустимым и оправданным привлечение персонала сторонних организаций: существует проблема масштабирования, увеличения или уменьшения количества людей в зависимости от разных факторов, например сезонности. В праздничные дни на POS-кредиты нашего банка возрастает спрос, увеличивается объем выдачи. Безусловно это сказывается на функции поддержки ИТ. Мы обращаем внимание не только на аутсорсинг и оптимизацию численности персонала, но и на возможности автоматизации. Допустим, сейчас мы меняем систему ServiceDesk, в которой задействованы сотрудники ИТ 1, 2, 3 уровней поддержки, взамен внедряем нишевые решения для работы этих специалистов, что напрямую сказывается на их эффективности. Современные технологии позволяют в существенной степени оптимизировать работу ServiceDesk путем очень гибких правил настройки жизненного цикла заявки в системе. В банке достаточно развита система отчетности, без которой невозможно устраивать KPI и SLA, проверяя качество работы сотрудников службы поддержки. В этом смысле мы серьезно нацелены на оптимизацию затрат в области ИТ, но лишь в части, связанной с сопровождением. «НЕХВАТКА КАДРОВ ЗАСТАВЛЯЕТ НАС ДВИГАТЬСЯ БЫСТРЕЕ, БЫТЬ БОЛЕЕ ИЗОБРЕТАТЕЛЬНЫМИ И ПОДВИЖНЫМИ» NBJ: Многие руководители ИТ-подразделений в один голос твердят о нехватке ИТ-кадров. Вы присоединяетесь к их мнению? М. ПУСТОВОЙ: Да, конечно. Московский рынок, если мы говорим об ИТ-сотрудниках, более чем конкурент-
ный, на нем не первый год идет борьба за таланты. В этом смысле мы ничем не отличаемся от остальных. Если оценить область ИТ не только в финансах, но и в других сферах деятельности, можно убедиться, что спрос на специалистов не подвержен флуктуациям. Этому не смогли помешать ни кризис 2008 года, ни более ранние экономические потрясения. Большое количество ИТ-специалистов, живущих в России, работают на западный рынок. Поэтому мы конкурируем не между собой, если речь идет о банках, а со всем миром. В Москве находится масса компаний, которые занимаются, допустим, удаленной разработкой или аутсорсингом. NBJ: Что, по-вашему, могло бы изменить ситуацию в лучшую сторону? М. ПУСТОВОЙ: Я не думаю, что в данной ситуации что-то нужно предпринимать. Мне кажется, что сложившаяся ситуация способствует повышению эффективности, использованию улучшенных практик в сфере проектного и процессного управления, различного рода инструментов, ИТ-решений для автоматизации. Как известно, нет большего зла для экономики, чем дешевые низкоквалифицированные ресурсы. Конкуренция, постоянно растущие зарплаты ИТ-сотрудников и их недостаток толкают организации к большей эффективности не только на российском рынке, но и на мировом. Нехватка кадров заставляет нас двигаться быстрее, быть более изобретательными и подвижными. NBJ: Напоследок хотелось бы вернуться к аутсорсингу. Какой процент проектов вы отдаете аутсорсерам? М. ПУСТОВОЙ: Если мы говорим о внедрении совершенно нового продукта, то обращение к аутсорсерам неизбежно. После ознакомления с ним мы принимаем решение о дальнейшем развитии компетенций. Оценивая картину аутсорсинга в целом, могу сказать, что при тестировании новых решений не менее половины работы выполняется внешними компаниями. upgrade
89
UPGRADE
МОБИЛЬНЫЙ БАНКИНГ
Расчеты уходят в девайсы Мобильный банкинг повышает лояльность клиентов, сокращает расходы на обслуживание и расширяет каналы продаж текст
Гузель Куликова
Преимущество мобильного банкинга очевидно: проведение электронных транзакций обходится дешевле. Однако высокие затраты на разработку приложений становятся преградой для внедрения технологии в небольших кредитных организациях. ЛЕГКОСТЬ ИНТЕГРАЦИИ КАК ГЛАВНЫЙ КРИТЕРИЙ У нас все меньше свободного времени, и мы не хотим тратить его на поездку в банк. Для осуществления платежей и переводов мы все чаще используем гаджеты. Банки учитывают эти тенденции и предлагают своим клиентам полнофункциональные приложения для смартфонов и планшетов. Какими критериями руководствуются кредитные организации при выборе решения для мобильного банкинга? «В первую очередь заказчик обращает внимание на функционал, который может предложить разработчик. Причем уже на этапе переговоров оцениваются как действующие опции приложения, так и планы его развития и доработки под потребности банка в ближайшем будущем. Большое значение имеет и возможность легкой интеграции с другими системами организации. Важную роль играет вопрос соотношения цены и качества приложения», – комментирует ведущий специалист отдела сопровождения клиентов РОСАВТОБАНКа Алена Балашова. Недавно Промсвязьбанк обновил приложение: изменен дизайн и полностью переделана программа навигации. «Решение было создано специалистами банка. Мы отталкивались прежде всего от потребностей клиентов и старались превзойти их ожидания. При разработке мы придавали большое значение простоте и удобству работы пользователей в приложении», – рассказывает дирек90
upgrade
тор департамента электронного бизнеса Промсвязьбанка Алгирдас Шакманас. Начальник отдела пластиковых карт и сервисов ДБО Абсолют Банка Алексей Перов отмечает, что при выборе решения учитываются и сроки внедрения проекта, и трудоемкость интеграции с текущей АБС, и возможность его взаимодействия с операционными системами. Принципиальное значение имеет условие дальнейшего взаимодействия с разработчиком. «Решение для мобильного банкинга должно предоставлять клиентам максимальное количество услуг. Важна удобная навигация для пользователей, скорость работы сервиса. Необходимо учитывать и возможность кастомизации приложения», – уверен заместитель начальника отдела по разработке и внедрению продуктов Банка ИТБ Никита Шелестов. При выборе решения для мобильного банкинга специалисты МОСКОВСКОГО КРЕДИТНОГО БАНКА руководствовались следующими принципами: удобство, информативность, оперативность и безопасность для клиентов при осуществлении платежей и других операций. СЛОЖНОСТИ НЕИЗБЕЖНЫ, НО ПРЕОДОЛИМЫ Конечно, при реализации подобных проектов возникают проблемы. Но, как подчеркивают эксперты, пути и способы их решения уже известны. По мнению начальника управления развития технологий дистанционных сервисов и продаж ХКФ Банка Ильи Боровова, главные проблемы – это долгие сроки обновления версий мобильного банка, отсутствие интеграции с интернетбанком, недостаточный уровень безопасности, неудобство для регулярных операций клиентов. Начальник управления депозитных и комиссионных продуктов МОСКОВ-
СКОГО КРЕДИТНОГО БАНКА Наталья Розенберг считает, что в работе мобильного банкинга основная трудность – скорость развития технологий. «Как правило, крупные компании, выпускающие новые мобильные устройства, постоянно совершенствуют операционные системы, что неизбежно приводит к гонке технологий. Разработки мобильных приложений быстро устаревают, однако не в части функционала, а в части совместимости с конкретными устройствами. В результате банки сталкиваются с необходимостью смены и расширения набора функций, поддерживаемых приложением», – разъясняет эксперт. С точки зрения Алены Балашовой (РОСАВТОБАНК), одна из важных проблем – достаточно высокая стоимость разработки и последующего сопровождения таких приложений. Это становится серьезным препятствием на пути к технологичности для небольших коммерческих организаций. Более того, компаний, разрабатывающих подобные приложения, на российском рынке немного, выбирать не приходится – это серьезная проблема для банков, которые задумались о разработке мобильных приложений. «В отличие от классического ДБО внедрение мобильных сервисов – очень трудоемкий процесс: требуется продублировать один и тот же функционал для различных платформ гаджетов. Сегодня наиболее распространенными являются Google Android и Apple iOS. А при увеличении рыночной доли другой платформы банку, чтобы оставаться технологичным, необходимо будет разрабатывать еще одно приложение как минимум с таким же функционалом», – констатирует Никита Шелестов (Банк ИТБ). По мнению специалистов, другой проблемой, с которой сталкиваются финансово-кредитные организации, является безопасность работы пользователя. НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К ИЙ Ж У РН А Л июнь 2014
МОБИЛЬНЫЙ БАНКИНГ
Наталья Розенберг (МОСКОВСКИЙ КРЕДИТНЫЙ БАНК) рассказывает: «Для гарантии конфиденциальности данных банки используют различные способы подтверждения операций: SMSкоды, коды со скретч-карт, электронную цифровую подпись и даже криптокалькуляторы – устройства, которые генерируют коды для подтверждения операций. Вместе с тем мы всегда придерживаемся строгого принципа: уровень защищенности не должен расти за счет удобства, а многофункциональность не должна идти вразрез с правилами безопасности. Именно поэтому, разрабатывая способы верификации платежа, мы стараемся создать сбалансированное решение, сочетающее удобство и безопасность». Алексей Перов (Абсолют Банк) отмечает, что усиление безопасности лежит в двух плоскостях: технической и функциональной. «С технической стороны могут быть использованы дополнительные устройства аутентификации, так на-
UPGRADE
зываемые смарт-карты и токены. В ближайшем будущем эти устройства будут внедрены в стандартные SIM-карты операторов мобильной связи. С функциональной стороны можно ограничивать спектр продуктовой линейки в зависимости от уровня риска, вводить лимиты на совершение операций, причем одни могут быть неизменны, а другие могут корректироваться после личного обращения клиента в банк», – делится опытом специалист. Решение ХКФ Банка идентифицирует не только клиента, но и гаджеты, с которых осуществляются платежи. Для безопасности транзакции используется информация из трех независимых физических источников, а также применяются технологии, защищающие клиентов от вирусов и мошенников. Алена Балашова (РОСАВТОБАНК) утверждает: «Соблюдение мер безопасности и совершенствование антивирусных программ для смартфонов и план-
шетов способны обеспечить нужный уровень защиты клиентов. Особый интерес вызывает новейшая разработка европейских банков – система подтверждения операций с помощью отпечатка пальца клиента». «Тема безопасности важна как для клиента, так и для кредитной организации. В случае с мобильными приложениями вопрос безопасности решается проще, так как мы знаем устройство пользователя. Только его пропажа может привести к мошенничеству. Мы понимаем, что зона ответственности клиента – не передавать пароль кому-либо. Таких случаев в нашей практике не было. Мы используем систему антифрод-мониторинга, которая позволяет нам надежно хранить деньги клиента», – резюмирует Алгирдас Шакманас (Промсвязьбанк). Эксперты подчеркивают необходимость координации усилий банков, направленных на повышение уровня финансовой грамотности клиентов.
МНЕНИЕ ЭКСПЕРТА
Александр КИРЕЕВ, директор департамента систем электронного банковского обслуживания R-Style Softlab Мобильные решения призваны обеспечить удобный и безопасный канал обслуживания для клиентов, которым банковские услуги нужны здесь и сейчас. С точки зрения ИТ мобильные приложения, построенные на одной платформе с интернетбанкингом или фронт-офисом, создают единое информационное пространство. В результате банк без дополнительных затрат предоставляет своим клиентам единый набор услуг и сервисов во всех каналах обслуживания. При внедрении мобильного приложения необходимо учитывать, что для удобной навигации пользователей требуется полная переработка экранных форм и полей ввода реквизитов и данных. ИТ-компании уделяют юзабилити и дизайну особое внимание и предлагают банкам решения, максимально адаптированные для мобильного сообщества. июнь 2014 НАЦИ О НАЛЬНЫЙ БА НК ОВСК ИЙ ЖУРНА Л
Вместе с тем размещение мобильного приложения для скачивания в специализированных источниках – Apple Store, Google Play, Windows Market – требует прохождения процедур верификации. Специалисты ИТ-компаний помогают своим коллегам из банков успешно их выполнить. Определенные сложности создает и разнообразие мобильных платформ. Производители девайсов постоянно совершенствуют стандартные возможности мобильных платформ. В результате работа приложений на различных устройствах может отличаться. Для обеспечения корректного функционирования приложения ИТ-компании проводят тестирование на всех современных версиях устройств. Отмечу, вендоры готовы предложить банкам не только мобильное приложение, но и законченный продукт: от концепции и архитектуры до реализации на популярных платформах и индивидуального дизайна. Особое внимание разработчики уделяют вопросам безопасности в мобильных приложениях. Эффективную защиту обеспечивают решения с использованием криптографии. Однако встроенные криптосредства не соответствуют требованиям российского законодательства. К счастью, ведущие отечественные разработчики данных систем не так давно представили решения для мобильных устройств в соответствии с ГОСТ и сертификатом ФСБ. Компания R-Style Softlab одна из первых на рынке внедрила в мобильные приложения криптографию, которая удовлетворяет требования ГОСТ. upgrade
91
UPGRADE
АВТОМАТИЗАЦИЯ
Будьте как дома CRM-система позволяет банку быть внимательным к каждому клиенту и оставаться на плаву в период экономической нестабильности текст
Анна Кислицына
Для любой коммерческой компании, включая банк, эффективное взаимодействие с клиентами является главным фактором, обеспечивающим успешность и рост. Подобные отношения можно условно разделить на привлечение, удержание потребителей тех или иных услуг и развитие взаимодействия с ними. Первое традиционно более трудоемко, об этом скажут в отделе продаж любой организации. Второе и третье, возможно, требует не столько физических и материальных затрат, сколько умения поддерживать диалог на позитивной волне, владения навыками дипломатии. В условиях снижения темпов экономического роста (2013 год оказался одним из самых неудачных для российской экономики за последние годы) 92
upgrade
актуальность приобретает профессиональный инструментарий, предназначенный для продуктивного выстраивания отношений между банком и его клиентами. Речь идет о системе Customer Relationship Management (CRM). Она представляет собой программное обеспечение, созданное с целью упорядочивания и фиксации историй взаимодействия с клиентом. Ее главная задача – укрепление, оптимизация и совершенствование взаимоотношений между клиентом и банком. На фоне современной конкуренции поддержание связи со старым клиентом оправданно в большей степени, чем привлечение новых людей, поэтому внедрение CRM-системы является экономически выгодным шагом для кредитной организации. Философия управления взаимоотношениями с клиентами предпола-
гает сосредоточенность именно на их потребностях. Если новинку, представленную компанией, конкуренты могут быстро заимствовать, то индивидуальный подход к потребителю услуги – с большим трудом: скопировать его не так просто, как продукт, предназначенный для продажи. С чисто технической точки зрения CRM – это комплекс программ, позволяющих ответственным за взаимодействие структурам эффективнее общаться друг с другом. Речь идет, например, об отделах продаж, рекламы и маркетинга. Самое главное: система управления взаимоотношениями с клиентами позволяет контролировать коммуникации с потребителями услуг через средства и способы общения, например телефон или Интернет. Принципиально важный момент: работа с CRM-системой должна производиться с помощью интернет-браузера, НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К ИЙ Ж У РН А Л июнь 2014
АВТОМАТИЗАЦИЯ
UPGRADE
что позволяет клиенту пользоваться услугами банка удаленно, из любой части земного шара. Несколько компаний с мировым именем занимаются разработкой качественных CRM-систем: SAP, Oracle, Microsoft. Между тем существуют и альтернативные продукты от других разработчиков ПО, позволяющих той или иной компании обладать функционалом CRM-системы бесплатно. CRM решает массу задач, от которых зависит надежное взаимодействие между финорганизацией и клиентом: упорядочение всего цикла продаж продукта и контроль за ним, расширение перечня каналов предоставления услуги, совершенствование маркетинговой политики организации, формирование клиентских баз, ознакомление с которыми могло бы дать полную картину взаимоотношений с тем или иным клиентом, положительное воз-
действие на лояльность потребителя, улучшение качества обслуживания. Система управления взаимоотношениями с клиентами предназначена скорее для крупных компаний, что объясняется просто: при высоких оборотах и большом количестве клиентов сложно сохранить индивидуальный подход к каждому. Именно здесь необходима CRM-система, отвечающая за автоматизацию всех процессов, происходящих между организацией и потребителем. По этой причине CRM стала востребована банками, фармацевтическими компаниями, мобильными операторами – крупными серьезными бизнес-игроками. Можно выделить немало преимуществ, которые обеспечивает CRMсистема. За счет увеличения доли автоматизированных процессов снижается спрос на однообразную механическую работу сотрудников, как следствие, сводится к минимуму вероятность ошибки.
Индивидуальный подход позволяет выделить из массы клиентов наиболее перспективных и вести по отношению к ним целенаправленную политику. Длительное использование системы управления взаимоотношениями с клиентами способствует установлению высокой планки обслуживания, определенных стандартов поведения с клиентом. Кроме того, CRM делает более рациональной и упорядоченной работу персонала компании. Помимо своих неоспоримых плюсов – простоты в эксплуатации, надежности, многофункциональности – CRM способна выступать конкурентным преимуществом в борьбе за новых лояльных потребителей. Система управления взаимоотношениями с клиентами может оставить на плаву банк в период общего экономического спада и снижения темпов роста кредитования. Это отчетливо проявилось еще в декабре 2013 года.
МНЕНИЕ ЭКСПЕРТА
Юрий ВОСТРИКОВ, директор по развитию бизнеса Microsoft Dynamics CRM компании НОРБИТ С развитием рынка финансовых услуг российские банки все чаще сталкиваются с такими проблемами, как увеличение числа требований клиентов, сокращение прибылей и рост издержек. В связи с этим большое количество банков запускает проекты по внедрению или развитию CRM-систем для привлечения новых клиентов и развития отношений с уже существующими, для чего используется операционный и аналитический CRM. Так как деятельность банков во многом зависит от скорости и качества оказываемых услуг, то автоматизация процессов продаж, обслуживания и выполнения маркетинговых активностей становится одной из первоочередных задач. Инфраструктура кредитной организации сложна, зачастую сотруднику при работе с клиентом одновременно приходится работать в нескольких системах. В таких условиях сложно говорить об эффективности и скорости обслуживания клиентов, от которых напрямую зависит прибыль банка. июнь 2014 НАЦИ О НАЛЬНЫЙ БА НК ОВСК ИЙ ЖУРНА Л
Операционный CRM на базе платформы Microsoft Dynamics CRM 2013 позволяет консолидировать разрозненную информацию о клиентах и создавать единый интерфейс для работы с ней – единое окно. В результате сотрудники фронт-офисов, call-центров смогут работать в единой системе, что в значительной степени повысит оперативность обслуживания клиентов. Также операционный CRM часто используется для автоматизации бизнес-процессов фронтофисов, к которым могут относиться дополнительные офисы, call-центры и различные точки продаж. Система Microsoft Dynamics CRM 2013 позволяет фиксировать каждый момент взаимодействия с клиентом, а накопленную историю взаимодействия можно использовать для планирования и выполнения более эффективных кампаний через удобные каналы коммуникаций. Основываясь на экспертном опыте компании НОРБИТ в банковской сфере, можно сказать, что внедрение CRM в банке требует глобальной актуализации философии и стратегии бизнеса. В первую очередь это пересмотр бизнес-процессов, реструктуризация ИT-ландшафта и проработка интеграционных схем для создания комплексного информационного контура и обмена данными между системами. В целом внедрение операционного CRM способствует росту продаж и улучшению качества сервиса, поскольку сотрудники имеют быстрый доступ ко всей необходимой информации, актуальным предложениям для клиента, что позволяет им эффективнее выстраивать процесс взаимодействия с клиентом. upgrade
93
UPGRADE
ДОКУМЕНТООБОРОТ
Архивы: значение сложно переоценить Новейшие технологии обеспечат надежную защиту конфиденциальной информации в архивах банков текст
Гузель Куликова
Специфика бизнеса кредитных организаций предусматривает большой объем оборота и хранения документации как на бумажных, так и на электронных носителях. Банки обязаны обеспечить сохранность бухгалтерских отчетов по хозяйственной деятельности организации, а также расчетно-платежных документов своих клиентов. Архив банка – ценный актив, который нуждается в профессиональной и аккуратной организации. Высокий уровень регулирующего воздействия государства, постоянное внимание контролирующих органов, конфиденциальность данных сформировали у специалистов архивных служб финансовых институтов особые способы решения проблем, возникающих при работе с документами. Любой российский банк при организации хранения документов непременно руководствуется законом об архивном деле и прочими нормативными актами, регламентирующими правила работы с документами финансовых институтов. Ответственность за соблюдение установленного порядка хранения документов возлагается на руководителей и главных бухгалтеров банка. Так, статья 27 Федерального закона от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации», именуемая «Ответственность за нарушение законодательства об архивном деле в РФ», гласит: «Юридические лица, а также должностные лица и граждане, виновные в нарушении законодательства об архивном деле в Российской Федерации, несут гражданско-правовую, административную и уголовную ответственность, установленную законодательством РФ». Архивы кредитных организаций давно перестали быть техническим участком, входящим в хозяйственный отдел. Недооценка их значения в современных условиях, недальновидная эко94
upgrade
номия приводят к негативным последствиям, а зачастую к серьезным финансовым потерям. Поэтому документы банков, которые дорожат своей репутацией, хранятся в архивах с многоуровневой системой доступа, а уничтожение информации на бумажных носителях осуществляется на специализированном оборудовании в присутствии работников кредитной организации. Конечно, такой подход подразумевает необходимость инвестирования значительных средств в информационную безопасность, ведь конфиденциальные сведения о клиентах – лакомый кусок для злоумышленников. Эксперты отрасли подчеркивают, что Банк России проводит жесткую политику в сфере сохранности материальных носителей персональных данных, исключающих несанкционированный доступ к ним с момента создания документов до их уничтожения. В марте 2014 года ЦБ обратил внимание банков на необходимость усилить контроль за соблюдением требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Банкам было рекомендовано актуализировать внутренние документы, определяющие: порядок хранения и уничтожения документов, в том числе на бумажных носителях, содержащих персональные данные клиентов; персональную ответственность работников кредитных организаций, осуществляющих непосредственную обработку персональных данных, за сохранение и обеспечение конфиденциальности информации, накопленной в процессе обслуживания клиентов; условия, обеспечивающие конфиденциальность и сохранность материальных носителей персональных данных и исключающие несанкционированный доступ к ним с момента создания этих документов до истечения сроков их хранения, до уничтожения.
Об этом говорится в письме за подписью первого зампреда Центробанка Алексея Симановского, направленном в коммерческие кредитные организации. Несоблюдение требований повлечет проверку регулятора. Эксперты убеждены, беспокойство регулятора объяснимо: даже крупнейшие банки допускали утечку персональных данных клиентов. В этом случае Банк России не преувеличивает масштаб проблемы, а усиление мер и ответственности не сильно обременит кредитные организации. В качестве аргумента наблюдатели приводят данные, полученные по итогам исследования аналитического центра InfoWatch. В России в 2013 году было зарегистрировано 109 случаев публичной утечки персональных данных, что в 2,2 раза выше аналогичного показателя предыдущего года. В результате всех этих инцидентов скомпрометировано 3,1 млн записей. Основным каналом утечек по-прежнему остается бумажная документация. Аналитики прогнозируют: число таких инцидентов в банковской сфере увеличится. Специалисты убеждены: для решения проблемы банкам необходимо использовать инновационные разработки, позволяющие предотвращать нарушения, связанные со злонамеренными или неосторожными действиями рядовых сотрудников. Конечно, затраты на создание специально оборудованных помещений для хранения документов по карману далеко не всем кредитным организациям. Для решения проблемы эксперты рекомендуют сотрудничать с крупными аутсорсинговыми компаниями, предоставляющими данные услуги. Такое взаимодействие позволит банкам сэкономить средства, а главное, обеспечит удобную систему защиты и хранения информации на различных носителях. НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К ИЙ Ж У РН А Л июнь 2014
ТЕХНОЛОГИИ
UPGRADE
Открытость миру Сохраним природу вместе – с бумагой в «облака» от «ОСГ Рекордз Менеджмент» текст
специалисты компании «ОСГ Рекордз Менеджмент» под руководством генерального директора Залины Канаметовой
Охрана окружающей среды – важнейший вопрос, сегодня он затрагивает каждого. Новое тысячелетие принесло человечеству прогрессивные технологии, которые мы применяем ежедневно. Но мало людей задумываются о последствиях нецелесообразного использования природных ресурсов. Инициативы, которые проявили некоммерческие организации, повлияли на решение правительства плотнее заняться вопросом экологии. Таким образом, на данный момент мы, как граждане социально ориентированного государства, обязаны заботиться о мире, в котором живем. Компании, давно существующие на рынке, понимают целесообразность внедрения экологичных технологий, которые помогают сохранять окружающую среду и повышают эффективность работы сотрудников, их лояльность и мотивацию. «ОСГ Рекордз Менеджмент» занимается архивным делом в России уже 16 лет. «Безбумажный офис, или с бумагой в «облака»: соблазнительные решения для бизнеса» – концепция каждого офиса ОСГ во всех регионах присутствия. Эту концепцию компания внедряет своим клиентам, повышая их конкурентоспособность, развивая и поддерживая социальную ответственность. Именно благодаря ей лучшие компании рынка выбирают передовые решения «ОСГ Рекордз Менеджмент». июнь 2014 НАЦИ О НАЛЬНЫЙ БА НК ОВСК ИЙ ЖУРНА Л
ВЗГЛЯНЕМ НА СИТУАЦИЮ С ИСТОРИЧЕСКОГО РАКУРСА На самом деле внедрение решений, направленных на сохранение окружающей среды, началось с момента вхождения ОСГ на российский рынок, а именно 16 лет назад. Руководство компании уже тогда задумалось о правильном позиционировании компании и ее социальной ответственности перед обществом. Концепция трех Архивов, которую разработали специалисты ОСГ, направлена на оптимизацию бизнес-процессов таким образом, что сотрудникам компании для работы требуется только ноутбук и доступ к Интернету. Главный офис ОСГ представляет собой открытое и светлое пространство без шкафов и тумб. На столах отсутствует бумага, сотрудники избегают печати документов, пользуясь электронным архивом. Такой концепт офиса назвали «безбумажным, или с бумагой в «облака». Клиенты, которые посещают офисы ОСГ, часто удивляются тому, что видят. Ведь они все привыкли к загруженным бумагами столам и шкафам, набитым делами и папками. ВЫБИРАЯ ОСГ, ВЫБИРАЕМ БУДУЩЕЕ Концепция трех Архивов включает в себя i-Archive – архив бумажных документов, e-Archive – электронный архив документов, IT-Archive – резервное копирование данных. Подключив e-Archive, вы получаете доступ к любому документу всегда, легко и просто находите документ любой давности. Также е-Архив – это возможность передать и обработать файлы одним щелчком мыши. Вы забудете о том, как пользоваться принтером и начнете работать с удовольствием. Электронный архив воплотит ваши мечты в реальность, офис «с бумагой в «облака» освободит место, и вы вздохнете полной грудью, а использование современных достижений техники позволит максимально оптимизиро-
вать рабочий процесс и быть в гармонии с собой и природой. Важно отметить значимость правильного уничтожения бумажных документов. В ОСГ перед тем как отправить документы на уничтожение, сотрудники компании проводят подготовку к уничтожению. Почему это важно? Если вы отправите на уничтожение документы в пластиковой папке, их просто утилизируют, без отправки на вторичную переработку. Всегда помните об этом. Ведь из переработанной бумаги можно получить новый продукт, который в дальнейшем можно использовать, сохраняя лес. Специалисты ОСГ осведомлены об этом факте и вынимают бумажные документы из файлов и пластиковых папок. Каждый сотрудник компании чувствует, что спасает одно маленькое дерево. Благодаря корпоративной культуре и социальной ответственности ОСГ выигрывают все: государство, общество, бизнес. По словам генерального директора «ОСГ Россия» Залины Канаметовой, главный девиз ОСГ – это открытость. «Мы открыты клиентам, мы открыты новым технологиям, мы открыты миру, в котором живем. Наша задача заключается в предоставлении лучшего сервиса, удовлетворяющего высокие требования сегодняшнего мира. Вдвойне приятно, что мы изначально поддерживали экологичные решения и внедряли их в свои бизнес-процессы. Сегодня мы с гордостью подтверждаем, что за 16 лет мы своими руками спасли маленький лес», – подчеркивает Залина Канаметова. На правах рекламы http://www.osgrm.ru/ 8 (495) 363-60-50 8 (800) 200-10-10
upgrade
95
UPGRADE
ЦЕНТРЫ ОБРАБОТКИ ДАННЫХ
Linxdatacenter – банковская Мекка в сегменте ЦОД Е. КУКАНОВА: «Сохранить и приумножить!» – это не только слоган финансового сектора, но и прямая задача поставщика услуг ЦОД в отношении бизнеса своих клиентов» беседовала
Анастасия Скогорева
Хранение и обработка информации – неотъемлемая часть работы любого банка, поэтому все финансово-кредитные организации так или иначе решают эту проблему ежедневно. Одни предпочитают строить собственные дата-центры, другие прибегают к аутсорсингу. О том, какой из этих подходов является предпочтительным, о критериях выбора поставщика услуг и о деятельности компании Linxdatacenter рассказала в интервью NBJ региональный управляющий директор Linxdatacenter в Санкт-Петербурге Екатерина КУКАНОВА.
ет деятельность под двумя брендами – Linxtelecom и Linxdatacenter. По названиям можно судить и о специфике бизнеса: Linxtelecom – это направление телеком, а Linxdatacenter – направление бизнеса дата-центров и облачных услуг. В далеком, 2000 году компания начинала как телеком-оператор под брендом Linxtelecom. Сейчас мы являемся одним из крупных телеком-операторов в мире, особенно в европейской части и странах Балтии, где у нас своя наземная и подводная оптика. Бизнес стал активно развиваться, и мы практически сразу инвестировали в покупку дата-центров в Таллине и Москве. В 2011 году мы завершили строительство и запустили в эксплуатацию еще два собственных дата-центра – в Варшаве и Санкт-Петербурге. Дата-центр в СанктПетербурге – крупнейший проект в регионе, победивший в номинации «Мега-датацентр» в Лондоне. Причем это мегапроект не только по размеру стойко-мест, но и по скорости их заполнения. За два года работы дата-центра клиенты уже заняли более 60% стойко-мест. В следующем году у нас очередной юбилей – 15 лет работы на рынке телеком и ЦОД, что положительно отличает нас от других дата-центров на рынке. Только большой опыт управления ЦОД может свести человеческий фактор, который по статистике является причиной всех даунтаймов, к нулю.
NBJ: Екатерина, расскажите, пожалуйста, о компании Linxdatacenter, об основных направлениях ее деятельности, о том, как зарождался и формировался ее бизнес.
NBJ: Какие компании являются вашими клиентами? Чем обусловлен тот факт, что они предпочитают сотрудничать именно с Linxdatacenter?
Е. КУКАНОВА: Linxdatacenter – часть группы компаний Linx, которая осуществля-
Е. КУКАНОВА: Наш клиент – это бизнес, у которого на первом месте стоит непре-
96
upgrade
рывность предоставления услуг своим заказчикам, для которых важна безопасность размещенного оборудования и надежная репутация поставщика ЦОД. В основном речь идет, конечно, о крупных российских и международных корпорациях по большей части из финансового сектора экономики. Чтобы не быть голословной, приведу следующую цифру: около 60% финансовых организаций, работающих в Санкт-Петербурге и Ленинградской области, размещают свои мощности в нашем дата-центре. К сожалению, мало кого из них могу назвать из-за политики конфиденциальности, но, посетив наш ЦОД, увидите высокотехнологичные системы контроля и управления доступом рядом со стойками заказчиков. Почему они выбрали Linxdatacenter? Непрерывность сервисов, безопасность, 14-летняя репутация надежного партнера, возможность реализации любых сложных проектов на базе нашей комплексной инфраструктуры. Например, для одного из банков мы реализовали проект по размещению его продакшноборудования в Санкт-Петербурге, резервного – в Москве, девелоперского окружения – в нашем «облаке». Для другой кредитной организации после печальных событий на Украине, когда с доступностью офиса и сервисов там возникли проблемы, мы создали центр восстановления деятельности (Disaster Recovery Center) в Санкт-Петербурге. Тенденцией последнего времени является то, что потенциальные заказчики требуют в обязательном порядке предоставить им информацию о составе учредителей (вплоть до процента участия каждого из них в капитале). Это вполне объяснимо, если учесть, что сейчас во всем мире идет борьба с офшорным бизнесом. НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К ИЙ Ж У РН А Л июнь 2014
ЦЕНТРЫ ОБРАБОТКИ ДАННЫХ
Бизнес Linxdatacenter полностью прозрачный и понятный. Мы следуем антикоррупционной политике нашего бизнеса и гордимся своей репутацией. NBJ: Банки, наверное, уделяют очень большое внимание вопросам безопасности? Е. КУКАНОВА: Безусловно, но при этом для них важна не только безопасность инфраструктуры, предложенной поставщиком услуг, но и безопасность самого поставщика. Как я уже отметила, они очень внимательно смотрят на репутацию партнера, отслеживают историю его сотрудничества с другими клиентами, запрашивают рекомендации крупных заказчиков. NBJ: Как известно, в соответствии со стандартом по Uptime Institute существуют разные категории надежности ЦОД. Какой из прописанных в этом стандарте категорий соответствует Санкт-Петербургский датацентр компании Linxdatacenter? Е. КУКАНОВА: Наши ЦОД соответствуют категории надежности Tier 3. Это означает, что имеется возможность проведения плановых работ без остановки работы датацентра – все инженерные системы ЦОД и телеком-сеть зарезервированы. На практике такой уровень является максимальным для российских ЦОД, он свидетельствует о том, что риски выхода дата-центра из строя практически сведены к нулю. NBJ: Вы наверняка отслеживаете тенденции на рынке дата-центров. По Вашим оценкам, что сейчас предпочитают российские банки – строить свои дата-центры или арендовать мощности в чужих? Е. КУКАНОВА: Сейчас я наблюдаю явную тенденцию компаний, в том числе и государственных, к аутсорсингу мощностей в коммерческих ЦОД. Руководители и собственники финансово-кредитных организаций понимают, что размещать критические сервисы на своих мощностях небезопасно, так как есть риски проникновения к оборудованию собственного персонала, не связанного с ИТ, и риски невысокой степени надежности своих ЦОД. Даже банки, не испытывающие дефицита свободных средств, склоняются к варианту аутсорсинга. Можно, конечно, инвестировать большие средства и построить свой датаиюнь 2014 НАЦИ О НАЛЬНЫЙ БА НК ОВСК ИЙ ЖУРНА Л
UPGRADE
центр, но, чтобы качественно управлять им, необходим опыт. А для банков такое управление не является профильной деятельностью – им неизбежно приходится нанимать для этого дополнительных сотрудников, то есть вкладывать в поддержку работы своего дата-центра все новые и новые средства. Довольно частые явления при этом – либо простой свободных площадей при создании резерва на будущее, либо сворачивание части бизнеса или проекта, либо негибкость бизнеса при неожиданном отсутствии свободных мощностей. Мы постоянно наблюдаем следующую ситуацию: создали новый продукт или услугу – надо срочно запускать на рынок, а вот технически быстро не получается – надо и оборудование закупить, и место подготовить (хорошо, если оно есть), и пр. В итоге много времени руководитель уделяет вопросам своего ЦОД, ждет оборудование – время идет, капитальные затраты растут. В случае аутсорсинга срок запуска продукта минимизирован, руководители сосредоточены больше на вопросах доходности и своих профильных интересах на рынке. NBJ: Итак, аутсорсинг в данной сфере и экономичнее, и надежнее? Е. КУКАНОВА: Да. Делая этот вывод, мы опираемся не на теоретические выкладки – практика показывает, что гораздо лучше выбрать надежного партнера. Чтобы банк впоследствии был удовлетворен качеством оказываемых услуг, он должен очень серьезно подойти к самому процессу выбора подрядчика. Кстати, должна отметить, что подход, предусматривающий аренду мощностей во внешнем дата-центре, становится характерным не только для банков, но и для государственных организаций. В последние годы у нас появилось несколько таких крупных заказчиков. NBJ: В настоящее время возник даже специальный термин «облачный ЦОД», что вполне логично: интерес к облачным технологиям стабильно растет. С чем, по Вашему мнению, связан этот рост? Е. КУКАНОВА: С «облаками» все обстоит не так просто. С одной стороны, специалисты отдают себе отчет в том, что «облака» дают возможность гибко
управлять имеющимися ИТ-ресурсами – такое управление, в свою очередь, повышает конкурентоспособность компании. Если проиллюстрировать это на примере банка, то он, благодаря использованию данной технологии, может быстро запустить на рынок новый продукт и так же быстро убрать его, если продукт по какой-то причине не будет пользоваться спросом. С другой стороны, проблема в том, что на сегодняшний день далеко не все заказчики понимают, какой ресурс «облаков» им необходим и т.д. Здесь мы приходим им на помощь уже не как поставщик услуг дата-центра, а как консультант, который имеет огромный опыт работы в этой сфере. NBJ: Банки интересуются такой услугой, как облачный ЦОД? Е. КУКАНОВА: Надо учитывать, что существуют законодательные ограничения по выносу части банковских сервисов в «облака». Поэтому интерес к новым технологиям со стороны финансовокредитных организаций, конечно, присутствует, но им приходится выполнять требования законодательства, согласно которым в «облако» выносятся, как правило, не все приложения. NBJ: Каким Вы видите будущее Linxdatacenter? Планирует ли компания расширять свою продуктовую линейку, спектр оказываемых услуг? Е. КУКАНОВА: Наши дата-центры можно назвать финансовой долиной или банковской Меккой в сегменте ЦОД, подобно Сколково, но в финансовом секторе. Наша задача – сохранить и приумножить как бизнес заказчиков, так и свой. Мы всегда идем в ногу с рынком и бизнесом заказчика, поэтому наша цель – поддержать высокую скорость развития бизнеса наших клиентов, скорость Big Data, а это «облака» и новые продукты в данном направлении, расширение собственных мощностей. В 2014 году компания приняла участие в Международном экономическом форуме в Санкт-Петербурге – это новые горизонты нашего бизнеса. Мы также получили сертификат по информационной безопасности ISO 27001 и будем продолжать работать в данном направлении, так как безопасность – это основа нашего бизнеса для заказчиков. upgrade
97
UPGRADE
БЕЗОПАСНОСТЬ
Биометрия не роскошь Биометрические технологии завоевывают рынок текст
Анна Кислицына
Природные данные человека давно и эффективно используются мировым банковским сообществом с целью идентификации личности. ДНК, ладонь, сетчатка глаза, голос, лицо стали эффективной заменой токенов, систем ввода паролей и смарт-карт. Средства биометрической идентификации разнообразны, более того, они могут быть использованы в разных целях. МНОГОЛИКАЯ БИОМЕТРИЯ В середине нулевых Япония ввела в действие 80 тыс. банкоматов и других устройств, оснащенных биометрическими технологиями. Данный опыт успешно переняли в Польше: на сегодняшний день в стране функционируют около двух тысяч банкоматов фирмы Hitachi со сканерами отпечатков пальцев, которые демонстрируют эффективность без процедуры ввода ПИН-кода. Пример японцев также вдохновил Бразилию и Турцию. Первая по популярности тройка биометрических технологий – распознавание по отпечаткам пальцев, радужной оболочке глаза и геометрии лица. 98
upgrade
Большую часть рынка биометрических технологий занимают сервисы, основанные на распознавании отпечатков пальцев. Их востребованность обусловлена относительно невысокой стоимостью, а также детальной проработкой криминалистами. Для правоохранительных органов многих стран биометрия по отпечаткам пальцев по сей день остается актуальной. Данный вид идентификации предполагает анализ структуры папиллярных узоров на пальцах рук человека. Отсканированные устройством показатели конвертируются в цифровой код за одну-три секунды, после чего перемещаются в базу данных. С одной стороны, малейшее физическое повреждение способно прервать процесс проверки, с другой – больше ни одна из биометрических методик не предполагает наличия такого количества взаимозаменяемых объектов для аутентификации. Биометрические технологии, в основе которых лежит сканирование отпечатков пальцев, могут серьезно усовершенствовать работу банка: выявить случаи использования поддельных документов недобросовестными заемщиками, улучшить качество кредитного портфеля, ми-
нимизировать бумажную волокиту за счет доскональной идентификации личности клиента, сделать более продуктивным сотрудничество с органами правопорядка. Задаче идентификации личности по лицу отвечает целое семейство разработок из США, Германии, России и других стран мира. Абсолютно все сервисы, несмотря на отличия друг от друга, устанавливают сходство по чертам лица и форме головы человека. В ряде случаев разработчики выпускают одновременно программное обеспечение, сканеры и серверы, иногда только ПО, способное работать в связке с обычной камерой. В процессе аутентификации по лицу выделяются губы, нос, глаза и очертания бровей человека, после высчитывается расстояние между ними и выстраивается трехмерная матрица. При этом, хоть и не всегда, учитываются погрешности: вероятность наклона головы, поворота лица, изменения мимики. Главный плюс данного метода состоит в отсутствии необходимости контакта со специальным оборудованием, впрочем, дороговизна разработок в данной области не позволяет им полноценно конкурировать с идентификацией по отпечаткам пальцев. Менее популярным, но все же достаточно разработанным является метод идентификации человека по радужной оболочке глаза. Бесспорным лидером по производству сканеров данной категории является компания Iridian Technologies. Процесс распознавания по радужной оболочке происходит путем захвата изображения глаза и дальнейшего сравнения его вычислителем с хранящейся в базе данных информацией. В России данная система апробирована лишь несколькими банковскими отделениями по обслуживанию клиентов премиум-сегмента. В перспективе она может быть использована кредитными организациями, делающими ставку на развитие банкоматных сетей и интернет-банкинга. НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К ИЙ Ж У РН А Л июнь 2014
БЕЗОПАСНОСТЬ
UPGRADE
Не следует путать идентификацию по радужной оболочке с распознаванием по сетчатке глаза. В последнем случае распознается сеть кровеносных сосудов глазного дна, на которое направляется луч света. После этого происходит сканирование особой камерой. С уверенностью можно назвать перспективным способ биометрической идентификации по голосу. Разработчики наперебой говорят о его надежности и удобстве. В основе метода – уникальность голоса отдельно взятого человека, невозможность его подделки. Данные исследования компании Biometrics Research Group Inc., посвященного голосовой биометрии, показали возрастающую популярность разработок
в данной области – их рынок продолжает расти. По оценкам экспертов, к 2015 году выручка от продажи решений для распознавания голоса должна достигнуть 2,5 млрд долларов. Голосовая биометрия особенно удобна для call-центров, так как позволяет идентифицировать человека на расстоянии, не прибегая к использованию специальных устройств – распознавание проходит с помощью телефона или другого снабженного микрофоном устройства. Указанный тип аутентификации может удачно дополнить распознавание по лицу – сочетание двух технологий позволит обезопасить операции, производящиеся, в частности, с помощью интернет-банкинга.
Возможно применение двух типов голосовой идентификации: при одном содержание произносимого клиентом текста неважно – это может быть произвольный набор слов, в процессе второго должен озвучиваться определенный звуковой пароль. В обоих случаях происходит сличение образца голоса из базы данных с непосредственно записываемым. Голосовая биометрия идеально подходит для использования в кредитных организациях, с ее помощью можно предотвращать кредитное мошенничество, вовремя находя в базе данных образцы голосов недобросовестных заемщиков. Первой финансовой компанией, применившей метод голосовой биометрии при идентификации в call-центре,
МНЕНИЕ ЭКСПЕРТА
Алексей САБАНОВ, заместитель генерального директора компании «Аладдин Р.Д.»
В последнее время биометрия стала трендом во многих отраслях бизнеса. Это неудивительно, поскольку внедрение биометрических технологий становится доступным по цене. Современные системы биометрической идентификации способны обеспечить удостоверение личности человека, используя свойственные только ему одному характеристики (отпечатки пальцев, радужную оболочку глаза, голос и т.д.), с приемлемыми величинами ошибок первого и второго рода. Поскольку отпечаток пальца у каждого человека уникален, его можно использовать для идентификации в PKIсистемах. Биометрический параметр можно применять совместно с интеллектуальной смарт-картой и ПИН-кодом для обеспечения двух- или трехфакторной аутентификации. Решение, построенное с использованием биометрической идентификации, максимально комфортно для пользователя, а время, необходимое для сканирования отпечатка, не превышает секунды. Современные сканеры невозможно обмануть, предъявляя муляж или оттиск. Как это может помочь кредитно-финансовым организациям при обеспечении защиты данных или проводимых операций? Рассмотрим несколько вариантов использования биометрии в банках, реализуемой при помощи аппаратных устройств (смарт-карт и USB-токенов).
июнь 2014 НАЦИ О НАЛЬНЫЙ БА НК ОВСК ИЙ ЖУРНА Л
Прежде всего биометрия может быть использована при создании решений для клиентов. Цель – подтверждение принадлежности ключевого носителя (смарт-карты или USBтокена) пользователю. Приведу простой пример, с которым, к сожалению, в последнее время все чаще сталкиваются банки. В офис кредитной организации приходит злоумышленник с поддельным паспортом подлинного клиента с целью снятия денежных средств со счета, при этом сотрудники банка принимают мошенника за реального потребителя (фото в паспорте оказывается схожим и не вызывает подозрений). Операция завершена, денежные средства списаны, счет пуст. Как защитить клиента от подобных действий злоумышленников? На мой взгляд, использование отпечатка пальца для идентификации пользователя может стать средством, снижающим риски реализации подобных атак. Второй сферой применения смарт-карт (в комплекте со специальным биометрическим карт-ридером) и USB-токенов с функциями биометрической идентификации является их использование для сотрудников банка. Известны два сценария. Первый: зачастую специалисты передают свои средства аутентификации коллегам, что строго запрещено политикой безопасности (так называемый человеческий фактор невыполнения требований безопасности). При использовании смарт-карты, доступ к данным которой дополнительно защищен биоидентификацией, сотрудник банка не может выполнить то или иное действие не от своего лица. Второй сценарий. В мировой практике уже давно и успешно применяется технология идентификации личности по отпечатку пальца для разблокирования токена (например, в случае превышения попыток неверного ввода ПИН-кода). Такая практика может быть использована внутри банка. Этот сценарий входит в число рекомендованных процедур стандарта FIPS PUB 201-2 Personal Identity Verification (PIV) of Federal Employees and Contractors. March 2011.
upgrade
99
UPGRADE
БЕЗОПАСНОСТЬ
стала Barclays Wealth and Investment Management. К более редким видам биометрии можно отнести сканирование кровеносных сосудов ладони, на которое сделали ставку компании Hitachi и Fujitsu, метод, основанный на распознавании ДНК, теплограмму лица, верификацию подписи, способ идентификации по геометрии ладони. С КОГО БРАТЬ ПРИМЕР С 2012 года в японском Ogaki Kyoritsu Bank функционирует биометрическая платежная система, позволяющая снимать деньги в банкомате без пластиковой карты – достаточно поднести руку к сканеру, ввести ПИН-код и дату рождения. Идентификация по глазу повсеместно распространена в США, с ее помощью клиенты многих банков и пользователи банкоматов беспрепятственно получают доступ к своим средствам. Также американцы имеют возможность оплачивать
100
upgrade
покупки в магазинах, проходя процедуру идентификации по рисунку вен ладони. Российский Лето Банк еще в 2013 году протестировал систему биометрической идентификации по отпечаткам пальцев в нескольких городах, где работают отделения организации. Банк планировал оснастить специальными устройствами свою банкоматную сеть – для максимального удобства клиентов. В апреле 2013 года ХКФ Банку совместно с правоохранительными органами удалось задержать шестерых граждан, подозреваемых в мошенничестве. Это произошло благодаря биометрической системе, основанной на сравнении фотографий потенциального заемщика и предоставленной им информации с базой данных банка, в которой содержатся сведения более чем о десяти миллионах клиентов. «Наш банк обладает уникальной на российском рынке биометрической системой, которая постоянно совершенствуется. В марте 2013 года мы
оптимизировали процессы сопоставления фотографий, сегментировав базу данных по регионам. Благодаря этому мы смогли значительно увеличить точность идентификации мошенников», – пояснили эксперты по управлению рисками ХКФ Банка. В Фора-Банке биометрические технологии используются отделом кадров: сотрудники кредитной организации ежедневно проходят процедуру сканирования, после чего полученная информация анализируется HR-службой. Биометрические технологии в состоянии повлиять на внутреннюю информационную безопасность финорганизации, минимизировать случаи инсайда. В отличие от токенов, смарт-карт и паролей биометрические данные не могут быть утеряны клиентом банка или целенаправленно переданы злоумышленнику, что делает их незаменимыми в деле укрепления информационной безопасности.
НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К ИЙ Ж У РН А Л июнь 2014
UPGRADE
БЕЗОПАСНОСТЬ
Защита от мошенничества в сфере банковских платежных операций беседовала
Софья Мороз
Проблема мошенничества актуальна для любой организации финансового сектора, и розничные банки не являются исключением. С развитием информационных технологий активно формируются новые каналы взаимодействия с клиентом, появляются новые типы операций и способы их проведения. Наряду с этим становится проще пользоваться банковскими услугами и подключать их. С другой стороны, такое упрощение нередко приводит к повышению вероятности финансовых и имиджевых потерь кредитных организаций. Отсюда и главный вопрос: как эффективно усилить контроль над рисками, сохранив при этом удобство и доступность сервисов? На этот и другие вопросы NBJ ответил эксперт компании Wincor Nixdorf Игорь КОРОЛЕВ. NBJ: Расскажите о масштабах мошенничества в сфере платежных операций. Какие мировые тенденции видит ваша компания? И. КОРОЛЕВ: Если говорить о масштабах, то ежегодные мировые объемы потерь от фрода составляют десятки миллиар102
upgrade
дов долларов. При этом есть ощущение, что не все хотят официально признавать наличие мошеннических операций, а тем более афишировать конкретные цифры потерь. Так что реальные объемы, на наш взгляд, могут быть еще больше. Если говорить о средствах защиты, то их можно условно разделить на клиентские (мы называем это первой линией) и серверные (вторая линия). Клиентские – защита банкоматного программного обеспечения от кибератак, установка антискиммеров. В случае с интернет-банком это, например, рекомендации устанавливать антивирус и требование использовать длинный и сложный пароль. Разумеется, данные средства срабатывают не всегда. Применяется и вторая линия защиты: одноразовые пароли, лимиты, ограничения на проведение операций в особых случаях и прочее. Наше решение – IRIS Fraud Prevention – представляет последнюю линию обороны, то есть срабатывает тогда, когда предыдущие барьеры оказались малоэффективными. Здесь стоит отметить одно фундаментальное наблюдение: какие бы средства защиты ни придумывались, рано или поздно их взламывают злоумышленники. В 70-х годах, когда изобрели банковские карты, магнитная полоса и ПИН-код считались абсолютной защитой. Тогда и не задумывались, что комуто придет в голову поставить накладку на вход картридера банкомата и камеру, подглядывающую за вами, когда вы вводите ПИН-код. Однако прошло десять лет, и технология успешно применяется мошенниками на практике. Сегодня мы наблюдаем колоссальный прогресс в этом направлении. Отличить современные скимминговые накладки от оригинальных сейчас могут только специалисты, которые ежедневно работают с банкоматами и представляют, как распознать подделку. Со временем производители банкоматов разработа-
ли технологии, генерирующие защитное электромагнитное поле вокруг входа картридера, чтобы ложная накладка вместо сигнала считывала шум. Так, сдвоенный операционный усилитель позволяет одной из головок скиммера, которая читает полосу карты, получать вместе с сигналом шум, а вторая генерирует только шум. В комплексе эти меры защиты позволяют бороться с противоправными действиями. Вы говорите, что клиенты научились прикрывать ввод ПИН-кода ладонью? И на это есть ответ – вместо камеры мошенники устанавливают тепловизор и распознают ПИН-код по остаточному свечению на металлических кнопках. Поэтому главная и постоянная проблема – злоумышленники непрерывно адаптируют свои разработки к новым средствам защиты. То есть научились мы, например, бороться с каким-то определенным видом фрода, а преступники или взломали эту защиту, или уже придумали новый вид фрода. Очень характерный случай произошел в свое время в Австралии. Там решили, что чиповые карты – это «серебряная пуля». Запретили магнитную полосу, обязали всех выпускать и принимать к оплате только «чип». Результат: мошенничество с магнитной полосой почти исчезло, при этом в другой области – CNP, или Card Not Present – возросло так, что общий объем потерь по стране увеличился в два раза. Мошенники перестали снимать наличные, стали совершать покупки через дистанционные каналы. Соответственно, современному банку или платежному провайдеру необходимо не только обеспечить себе защиту от текущих мошеннических схем, но и иметь решение, которое позволит оперативно реагировать на новые противоправные вызовы. Это, кстати, один из базовых принципов, на которых основано наше решение. Более того, нередко случается, что банк открывает новые каналы взаимодействия с клиентом. НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К ИЙ Ж У РН А Л июнь 2014
БЕЗОПАСНОСТЬ
Все знают, в последние годы наблюдается активное развитие мобильного банкинга, виртуальных карт и электронных кошельков, а в интернет-банке разнообразие возможных операций растет ежедневно. Наше решение учитывает потребность в адаптации к постоянному развитию сервисов, появлению новых каналов и типов транзакций. Любой эксперт по безопасности в курсе, что нельзя просто так взять и настроить антифрод-систему таким образом, чтобы она закрыла все риски на долгие годы. Желательно иметь максимальную гибкость решений, которые позволяют выявлять изменения в платежной экосистеме банка. Поэтому, во-первых, мы не привязываемся к каким-то конкретным каналам, а работаем со всеми возможными вариантами. Во-вторых, при появлении новых мошеннических схем наши разработки позволяют вносить изменения в логику решения, что называется, на лету. NBJ: Расскажите о сути вашего метода. Каким образом вы отделяете мошеннические операции от тех, что совершили сами клиенты? И. КОРОЛЕВ: При использовании нашей системы обработка любой операции, будь то перевод средств, оплата услуг, выдача наличных, проходит следующим образом. Соответствующая банковская авторизационная система сначала отправляет все данные по этой операции в систему IRIS. Она, в свою очередь, на основании специального свода правил выдает рекомендацию о дальнейших действиях: одобрить операцию, отклонить и отправить на расследование, заблокировать карту или счет и т.д. Возможность использования различных вариантов рекомендаций для разных каналов помогает дополнительно сократить расходы наших клиентов. Например, в интернет-банкинге, помимо вариантов «отклонить» или «одобрить», можно ввести вариант «выслать одноразовый пароль на телефон и запросить его». Это обеспечивает дополнительную экономию на SMS-сообщениях. Очевидно, что злоумышленник, получив доступ к интернет-банку клиента, не станет совершать оплату услуг ЖКХ для своей июнь 2014 НАЦИ О НАЛЬНЫЙ БА НК ОВСК ИЙ ЖУРНА Л
UPGRADE
МНЕНИЕ ЭКСПЕРТА
Антон КУРАНДА, начальник службы безопасности QIWI
Используя решение IRIS, мы смогли проанализировать номинал банкнот, используемых при оплате через терминалы QIWI, и проследить весь денежный путь через Visa QIWI Wallet. Таким образом мы предотвратили мошенничество, не прекращая прием банкнот и не обновляя приемники банкнот на десятках тысяч терминалов. Это означает, что 60 миллионов пользователей QIWI смогли продолжить оплачивать свои счета за коммунальные услуги, погашать кредиты и совершать другие регулярные платежи.
жертвы. Обработка полученных данных происходит не только по сумме операций, а более тонко – на основании поведенческого анализа. NBJ: Вы рассказали о системе правил. Вы предоставляете эти правила на основе мирового опыта или банку необходимо создавать их самостоятельно, исходя из собственной практики? И. КОРОЛЕВ: Думаю, стоит пояснить, почему мы используем именно правила, более того, только правила. Традиционно задача выявления фрода решается применением аналитических инструментов на базе теории нейронных сетей или экспертных систем на базе правил. Оба метода имеют свои недостатки, приводящие в конечном итоге к снижению эффективности. Минусы нейронных сетей выражаются в вычислительной избыточности, долгом
периоде обучения, непрозрачности алгоритма вычисления результата и других проблемах. При использовании правил, наоборот, исчезают недостатки нейронных сетей, но вместе с ними и их главное преимущество – самообучение. Значит, правила должны постоянно кем-то придумываться. В нашей системе применяется другое решение: так называемая гибридная логика, являющаяся по сути комбинацией нечеткой логики. Перехват мошеннических операций происходит на основе правил, что избавляет нас от недостатков нейронных сетей. Правила позволяют операторам установить причины блокировки мошеннических транзакций. Главным преимуществом гибридной логики является возможность самообучения, то есть автоматического создания правил на основе исторических данных о мошеннических транзакциях. Система самостоятельно выявляет закономерности мошеннических схем и создает набор правил вида «если…, то…». Правило, которое генерируется системой может выглядеть так: если за последние 24 часа совершена покупка в интерет-магазине США на сумму не более 2 долларов, а покупки в Мексике по магнитной полосе сегодня превысили 500 долларов, то эта операция является мошеннической. 24 часа, США, 2 и 500 долларов – это результат работы алгоритмов нечеткой логики. Система подбирает такие диапазоны величин, которые обеспечивают максимальную эффективность. Другим важным моментом является то, что изменять, удалять и добавлять правила можно без остановки системы. На обслуживание модели уходит всего лишь около получаса в день. Правила, утратившие свою эффективность, удаляются, а правила, описывающие новые мошеннические схемы, добавляются. Это позволяет, во-первых, не тратить много сил на обслуживание, а во-вторых, быть, что называется, всегда начеку. В результате создается непрерывный процесс. NBJ: Было бы интересно узнать эффективность решения с точки зрения бизнеса. Вы можете привести некоторые цифры? upgrade
103
UPGRADE
БЕЗОПАСНОСТЬ
CПРАВКА
Систему предотвращения мошенничества IRIS 5 компании IRIS Analytics используют более 650 коммерческих банков, процессинговых центров и платежных шлюзов в мире, включая такие как Sparkasse (Германия), Comdata (США), Click and Buy (Великобритания). IRIS Analytics и Wincor Nixdorf сотрудничают в области обеспечения решений по безопасности платежных сервисов с 2010 года. Wincor Nixdorf является официальным торговым представителем IRIS Analytics по всему миру. Поставками системы на территории России занимается ООО «Винкор Никсдорф».
И. КОРОЛЕВ: Специалистов, особенно топменеджмент, в первую очередь интересует вопрос окупаемости инвестиций. При принятии решения об использовании какой-либо системы интересно, какие средства придется вложить в ее внедрение и дальнейшую эксплуатацию, а главное – в какие сроки можно будет возместить затраты. Двумя основными денежными метриками эффективности систем противодействия мошенничеству являются так называемый процент попаданий и коэффициент ложных срабатываний. Первый отвечает за прямую экономию: сколько фрода удалось предотвратить и тем самым сократить прямые потери. Второй – за экономию лишних расходов на обработку ошибочно заблокированных операций, ведь по каждому такому случаю придется по крайней мере позвонить клиенту и уточнить, сам он совершал транзакцию или же имеет место мошенничество. Телефонный центр, как известно, тоже не бесплатно работает, среднюю стоимость подобных звонков рассчитать относительно просто. В таком популярном сегменте обслуживания, как банковские карты, мы блокируем 60–75% фрода, при этом генерируются до трех ложных срабатываний на одну выявленную мошенническую операцию. Однако и здесь есть крайне интересный момент. Гибридная логика позволяет задавать ключевые характеристики работы модели. Генератор правил 104
upgrade
создает модель, эффективность которой максимально приближена к заданной форме. Конечный потребитель системы вправе самостоятельно решить, что важнее: максимально отсекать мошенничество, минимизировать ложные срабатывания или все в совокупности. Возможность баланса между показателями эффективности крайне важна для бизнеса. В США, например, в среднем на одного совершеннолетнего жителя приходится пять банковских карт, и почти все они кредитные. Американским банкам необходимо максимально ограничить поток фродовых операций. Клиент понимает, что если карта заблокирована по ошибке – ничего страшного, у него в кошельке еще четыре «пластика». Так что американские пользователи нашего решения поставили рекорд: 86% случаев посягательства. Возьмем другой пример – Францию. Там уже 1,2 карты на человека, и почти всегда они дебетовые. В такой ситуации банк, ошибочно блокируя операцию, фактически ограничивает клиенту доступ к его же собственным средствам. Логично, что во Франции мы имеем рекордный показатель коэффициента ложных срабатываний – 0,65 к 1. NBJ: Будет ли работать ваше решение на конкретном портфолио транзакций? Наверняка банки перед внедрением желают получить некие гарантии. И. КОРОЛЕВ: Да, такая возможность есть. При наличии серьезных намерений мы проводим так называемый слепой тест. Мы берем архивные данные с пометками о том, какие операции действительно были мошенническими, строим модель и проверяем ее уже на других материалах, без отметок. Дальнейшее сравнение наших отметок и реальных данных позволяет получить абсолютно ясную для бизнеса картину: сколько средств надо вложить в систему и сколько она позволит сэкономить. NBJ: Хотелось бы узнать и об опыте внедрения вашего решения, интересных проектах. И. КОРОЛЕВ: В большинстве случаев мы не имеем права разглашать имя клиен-
та, так называемый white label product. Решением IRIS пользуется 90% рынка Западной Европы. Именно это и послужило причиной экспансии в другие страны. В России в течение полугода мы успели внедрить решение в двух компаниях, одна из которых – QIWI. Наверное, можно было бы самому рассказать о результатах этих проектов, но мне кажется, что это лучше меня сделают участники процесса. Так, по словам профессора, доктора наук, управляющего директора и основателя компании IRIS Analytics Константина фон Альтрока, представителям группы QIWI было необходимо решение по безопасности, способное анализировать миллиарды финансовых транзакций и десятки миллиардов статусных сообщений за год. Это решение, как подчеркивает фон Альтрок, нужно было реализовать в самые короткие сроки. Процесс тестирования и внедрения IRIS во все сервисы QIWI занял рекордные пять недель. Это решение включает все известные модели фрод-мониторинга и специальные фильтры, разработанные с учетом специфики бизнеса QIWI. Внедрение в QIWI весьма интересно с совершенно разных точек зрения. Решение используется буквально во всех каналах взаимодействия с клиентом: платежи, переводы, электронные деньги, эмиссия и эквайринг карт. Универсальность разработки иллюстрирует применение IRIS для решения нестандартных задач, таких как определение фактов воровства терминалов оплаты, внесения поддельных банкнот, использования электронных кошельков для оплаты противозаконных услуг или продукции. Помимо анализа транзакций, IRIS проверяет и другие процессы. Например, по определенным признакам можно понять, регистрируется электронный кошелек с мошенническими целями или нет. Такие кошельки массово оформляются злоумышленниками для запутывания следов. Средства, собранные на исходном кошельке, перебрасываются на несколько десятков или сотен других, а затем обналичиваются. Таким образом, IRIS не только ограничивает подобные активности, но и не дает им возникнуть еще при процессе регистрации. НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К ИЙ Ж У РН А Л июнь 2014
Семь причин, по которым вам нужно подписаться на NBJ 1. Надо быть в курсе того, что происходит. NBJ дает самую полную и объективную панораму жизни банковского сообщества. 2. Надо знать, чем «дышат» другие отрасли экономики – ведь банки не могут существовать в пустоте. NBJ информирует своих читателей по самому широкому спектру вопросов и проблем. 3. Надо знать, что будет завтра, чтобы совершить правильный выбор сегодня. В этом вам помогут самые авторитетные эксперты рынка, чьи статьи, интервью и комментарии NBJ публикует на постоянной основе. 4. Надо знать, что происходит у конкурентов: ведь мы учимся не только на ошибках, но и на достижениях друг друга. В NBJ вы всегда сможете прочитать эксклюзивные интервью с первыми лицами банковского сообщества, с руководителями ведущих финансово-кредитных институтов. 5. Надо всегда идти вперед, но при этом внимательно изучать уроки прошлого. Только в NBJ – две эксклюзивные рубрики: «Уроки истории» и «Взлеты и падения». 6. Надо уметь использовать достижения науки и техники на благо своего банка. В NBJ – специальная рубрика «Upgrade», знакомящая вас с новыми решениями и успешными внедрениями в сфере высоких технологий.
Фото: PHOTOXPRESS
реклама
ПОДПИСКА
Верный навигатор
2014
Подписку на Национальный Банковский Журнал можно оформить как в России, так и в странах ближнего и дальнего зарубежья
По вопросам подписки обращайтесь в редакцию: тел.: (495) 221 88 15 (Анастасия Вишникина) e-mail: vishnikina@nbj.ru РЕКОМЕНДУЕМАЯ СТОИМОСТЬ ПОДПИСКИ НА НАЦИОНАЛЬНЫЙ БАНКОВСКИЙ ЖУРНАЛ НА 2014 г.: 3 месяца
Для Москвы и регионов
3000 руб.
6 месяцев
Годовая подписка (12 номеров)
6000 руб. 12000 руб.
Цены включают стоимость доставки
Подписка на почте (принимается в любом почтовом отделении связи): по каталогу агентства «Роспечать»
индексы 84487,
по каталогу «Пресса России»
индекс 11191
по каталогу «Почта России» (МАП)
индекс 24344
83317
И наконец
7. Надо подписаться просто потому, что на NBJ уже подписаны руководители и топ-менеджеры всех ведущих банков, инвестиционных компаний, государственных структур. Присоединяйтесь к сообществу читателей и авторов NBJ!
UPGRADE
БЕЗОПАСНОСТЬ
Европейский подход к защите интернет-платежей текст
Евгений Миронов, ведущий аналитик ООО «УЦСБ», QSA
1. ПО ДАННЫМ ЕЦБ В ЕВРОПЕ ФИКСИРУЕТСЯ ОКОЛО 25 ТЫСЯЧ МОШЕННИЧЕСКИХ ОПЕРАЦИЙ С ИСПОЛЬЗОВАНИЕМ ПЛАТЕЖНЫХ КАРТ В ДЕНЬ. УЩЕРБ СОСТАВЛЯЕТ В СРЕДНЕМ 3,5 МЛН ЕВРО ЕЖЕДНЕВНО.
Европейский центральный банк опубликовал рекомендации по обеспечению безопасности и руководство по оценке защищенности интернет-платежей. С 1 февраля 2015 года ужесточаются требования к кредитным организациям еврозоны по осуществлению интернетплатежей. В дополнение к требованиям стандарта PCI DSS банки будут осуществлять строгую аутентификацию владельцев платежных карт при оплате через Интернет. В России, как и во всем мире, большую популярность набирают дистанционные виды обслуживания. Различают несколько видов платежей через Всемирную сеть: ■ по картам в интернет-магазинах; ■ с использованием интернет-банкинга; ■ с помощью электронных денежных средств. В нашей стране сфера интернет-платежей регулируется Положением Банка России от 9.06.2012 № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств…», Стандартом ЦБ РФ СТО БР ИББС-1.0-2010 «Обеспечение информационной безопасности организаций банковской системы РФ», а также рядом писем Банка России, требования которых вошли в опубликованный в мае 106
upgrade
2014 года проект указания «О внесении изменений в Положение Банка России от 9 июня 2012 года № 382-П». Тем не менее вопросу обеспечения безопасности интернет-платежей с использованием платежных карт уделено крайне мало внимания. С 2008 года Европейский центральный банк (ЕЦБ) ведет статистическое наблюдение за карточными платежными системами, в том числе за количеством и объемом мошеннических транзакций в государствах – участниках Евросоюза и странах еврозоны (www.ecb.europa.eu). Ежегодно фиксируется прирост количества и объемов мошенничеств при дистанционном обслуживании. Вместе с тем учитывая ежегодное увеличение на 15–20% объемов операций, совершаемых через сеть Интернет, эксперты прогнозируют и рост киберпреступности. 2. ПО ДАННЫМ ЕЦБ В 2012 ГОДУ ЗАФИКСИРОВАНО 9,1 МЛН СЛУЧАЕВ МОШЕННИЧЕСТВ С ИСПОЛЬЗОВАНИЕМ ПЛАТЕЖНЫХ КАРТ НА ОБЩУЮ СУММУ 1,33 МЛРД ЕВРО. Европейский совет по обеспечению безопасности розничных платежей (European Forum on the Security of Retail Payments, SecuRe Pay) для защиты от мошеннических транзакций через Интернет разработал документ Recommendations for the security of internet payments (далее – рекомендации ЕЦБ, www.ecb.eu). Рекомендации ЕЦБ распространяются на всех поставщиков и операторов платежных интернет-услуг. В рекомендациях определены минимальные требования для следующих платежных сервисов: ■ операции с использованием платежных карт, в том числе виртуальных,
через Интернет, регистрация платежных карт в электронных кошельках; ■ перевод денежных средств через Интернет; ■ создание и изменение электронных платежных поручений; ■ перевод электронных денежных средств между двумя счетами через Интернет. 3. ПО ДАННЫМ ЕЦБ 60% МОШЕННИЧЕСКИХ ТРАНЗАКЦИЙ ПРОИСХОДЯТ ПРИ ДИСТАНЦИОННОМ ОБСЛУЖИВАНИИ. КОЛИЧЕСТВО МОШЕННИЧЕСТВ В ЭТОМ СЕГМЕНТЕ ЗА 2012 ГОД ВЫРОСЛО НА 21%, РАЗМЕР УЩЕРБА ЗА ГОД ДОСТИГ 794 МЛН ЕВРО. Рекомендации ЕЦБ основаны на регулярной оценке рисков, связанных с интернет-платежами; строгой аутентификации клиента при создании интернет-платежа и доступе к конфиденциальной платежной информации (информации, с использованием которой может быть совершено мошенничество); авторизации и мониторинге транзакций и систем; повышении осведомленности и обучении клиентов вопросам безопасного использования систем интернет-платежей. Рекомендации ЕЦБ включают требования по управлению информационной безопасностью; оценке рисков; контролю и уведомлению об инцидентах; обработке рисков; отслеживаемости транзакций; первичной идентификации и информированию клиента; строгой аутентификации клиента; регистрации и предоставлению средств аутентификации и/или программного обеспечения клиенту; ограничению количества попыток аутентификации, прекращению сессии, допустимого времени аутентификации; контролю транзакций; защите конфиденциальных платежных данных; обучению и взаимодействию с клиентом; установке ограничений и уведомлению клиента; доступу клиентов к информации о статусе платежей и их выполнении. НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К ИЙ Ж У РН А Л июнь 2014
БЕЗОПАСНОСТЬ
В 2014 году SecuRe Pay разработал руководство по оценке защищенности интернет-платежей (Assessment guide for the security of internet payments, www.ecb.europa.eu), которое детализирует рекомендации ЕЦБ. 4. В ДОПОЛНЕНИЕ К ТРЕБОВАНИЯМ PCI DSS ПО ЗАЩИТЕ ДАННЫХ ВЛАДЕЛЬЦЕВ КАРТ С 1 ФЕВРАЛЯ 2015 ГОДА ЕВРОПЕЙСКИЕ ЭМИТЕНТЫ И ЭКВАЙЕРЫ ПЛАТЕЖНЫХ КАРТ, ПРЕДПРИЯТИЯ ЭЛЕКТРОННОЙ КОММЕРЦИИ И ПОСТАВЩИКИ УСЛУГ ЭЛЕКТРОННОГО КОШЕЛЬКА БУДУТ ОБЯЗАНЫ СОБЛЮДАТЬ РЕКОМЕНДАЦИИ ЕЦБ. Особый интерес представляют требования по строгой аутентификации клиентов, поскольку эти предписания не имеют аналогов в нормативных документах Банка России. Согласно рекомендациям Европейского центрального банка использование строгой аутентификации требуется в следующих случаях: ■ авторизация интернет-платежа; ■ создание и изменение электронных платежных поручений; ■ создание и изменение клиентом белых списков получателей платежа; ■ получение доступа или изменение конфиденциальных данных аутентификации. Строгую аутентификацию допустимо не использовать по результатам оценки рисков для следующих операций: ■ платежи доверенным получателям, включенным в белые списки клиента; ■ переводы между двумя счетами клиента, открытыми у одного поставщика платежных услуг; ■ переводы в рамках одного поставщика платежных услуг, определенные по результатам оценки рисков; ■ небольшие платежи (до 500 евро, по решению участника Евросоюза). Система строгой аутентификации должна отвечать следующим требованиям: 1. использование двух или более независимых факторов аутентификации, например «знание», «владение», «свойство» пользователя; 2. применение признанных открытых стандартов при реализации функций безопасности; июнь 2014 НАЦИ О НАЛЬНЫЙ БА НК ОВСК ИЙ ЖУРНА Л
UPGRADE
3. использование защищенных устройств для генерации одноразовых стойких и независимых паролей; 4. использование независимых каналов связи для создания платежа и для получения или генерации одноразового пароля при применении многофункциональных устройств; 5. обеспечение приемлемой вероятности ошибок при аутентификации; 6. компрометация одного из элементов аутентификации не должна ослаблять стойкость других элементов; 7. проведение аутентификации после ввода пользователем всех аутентификационных данных; в случае неправильной аутентификации пользователю не сообщается ошибочный элемент; 8. использование кодов аутентификации однократно и для совершения только определенных операций; 9. невозможность воспроизвести или сделать рабочую копию элемента аутентификации даже в случае обладания им (за исключением «свойства»), невозможность украсть конфиденциальную аутентификационную информацию через Интернет; 10. обеспечение конфиденциальности аутентификационных данных с момента их генерации до проверки сервером аутентификации; 11. сертификация или независимая оценка соответствия уровня защищенности устройств аутентификации с проведением теста на проникновение (при использовании факторов «владение» или «свойство»); 12. регулярная оценка защищенности системы строгой аутентификации (например, с использованием тестов на проникновение). 5. С 1 НОЯБРЯ 2014 ГОДА РОССИЙСКИЕ ОПЕРАТОРЫ ЭЛЕКТРОННЫХ ДЕНЕЖНЫХ СРЕДСТВ ДОЛЖНЫ БУДУТ ОБЕСПЕЧИТЬ УПРОЩЕННУЮ ИДЕНТИФИКАЦИЮ КЛИЕНТА С ИСПОЛЬЗОВАНИЕМ ЕДИНОЙ СИСТЕМЫ ИДЕНТИФИКАЦИИ И АУТЕНТИФИКАЦИИ (ЕСИА). Многие системы ДБО российских производителей уже поддерживают строгую аутентификацию или нуждаются в незначительной доработке. Проведение тестов на проникновение потребует от банков наличия в штате
6. ТЕХНОЛОГИЯ 3-D SECURE РАЗРАБОТАНА КОМПАНИЕЙ VISА. ОНА ПОЗВОЛЯЕТ ЭМИТЕНТУ ПЛАТЕЖНОЙ КАРТЫ АУТЕНТИФИЦИРОВАТЬ ЕЕ ВЛАДЕЛЬЦА ПРИ СОВЕРШЕНИИ ПОКУПКИ ЧЕРЕЗ ИНТЕРНЕТ. ТЕХНОЛОГИЯ ОСНОВАНА НА ВЗАИМОДЕЙСТВИИ ТРЕХ ДОМЕНОВ (ДОМЕНОВ ЭКВАЙЕРА, ЭМИТЕНТА И ДОМЕНА, ОБЕСПЕЧИВАЮЩЕГО ИХ ВЗАИМОДЕЙСТВИЕ). АУТЕНТИФИКАЦИЯ ВЫПОЛНЯЕТСЯ НА ОСНОВЕ ПОСТОЯННОГО ИЛИ ОДНОРАЗОВОГО ПАРОЛЯ. соответствующего квалифицированного персонала либо привлечения сторонних организаций. Сертификация устройств генерации одноразовых паролей или биометрических считывателей может занять много времени. Практически единственным решением для строгой аутентификации интернет-платежей с использованием платежных карт является технология 3-D Secure, разработанная компанией Visa, в сочетании с одноразовыми паролями. В заключение необходимо отметить, что для эффективной борьбы с киберпреступностью нужно применять новые решения и повышать эффективность существующих защитных мер. Строгая аутентификация является одним из условий обеспечения безопасности интернет-платежей. Российским банкам следует активнее внедрять системы строгой аутентификации, а также обязать работающих с ними поставщиков платежных услуг и торгово-сервисные предприятия поддерживать эти технологии. Не следует забывать, что для защиты интернет-платежей должен быть реализован комплексный подход к обеспечению информационной безопасности, учитывающий требования Банка России, стандартов PCI DSS и современные международные практики. 7. УРАЛЬСКИЙ ЦЕНТР СИСТЕМ БЕЗОПАСНОСТИ ОБЛАДАЕТ СТАТУСОМ QSA (QUALIFIED SECURITY ASSESSORS) И ВНЕСЕН В РЕЕСТР ОРГАНИЗАЦИЙ, ИМЕЮЩИХ ПРАВО ПРОВОДИТЬ ВНЕШНЮЮ ОЦЕНКУ СООТВЕТСТВИЯ ТРЕБОВАНИЯМ СТАНДАРТА PCI DSS. ОФИЦИАЛЬНЫЙ ПЕРЕЧЕНЬ КОМПАНИЙ, НАДЕЛЕННЫХ ТАКИМИ ПОЛНОМОЧИЯМИ, РАЗМЕЩЕН САЙТЕ СОВЕТА ПО СТАНДАРТАМ БЕЗОПАСНОСТИ ИНДУСТРИИ ПЛАТЕЖНЫХ СИСТЕМ (PCI SSC). upgrade
107
НОВОСТИ КОМПАНИЙ
КОМПАНИЯ «АЛАДДИН Р.Д.» РАЗРАБОТАЛА «ЭЛЕКТРОННОЕ УДОСТОВЕРЕНИЕ» ДЛЯ КОРПОРАТИВНЫХ И СОЦИАЛЬНЫХ ПРОЕКТОВ
«Аладдин Р.Д.», ведущий российский разработчик решений для обеспечения информационной безопасности, объявляет о запуске нового решения для корпоративных и социальных проектов под названием «Электронное удостоверение», объединяющего функциональность нескольких карт и пропусков. Решение представляет собой универсальную смарт-карту JaСarta, способную объединить в себе функции пропуска на территорию организации или в помещения, средства доступа в информационные системы компании, персонального средства ЭП, а также платежной или зарплатной карты. На карту также может быть нанесена фотография, ФИО, дата рождения и СНИЛС сотрудника, что обеспечивает дополнительное удобство при ее использовании. Одной из ключевых задач решения является повышение уровня безопасности внутренних ИТ-ресурсов организации, которое достигается за счет использования двух- или трехфакторной аутентификации при доступе к информационным системам. Электронное удостоверение также может выступать в роли персонального средства ЭП с неизвлекаемым ключом ЭП и сертифицированным программным интерфейсом для визуализации подписываемого документа, что позволяет обеспечить юридическую значимость электронного документооборота компании в соответствии со всеми требованиями ФЗ № 63. DEVICELOCK ENDPOINT DLP SUITE ПРЕДОТВРАТИЛ УТЕЧКУ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ ИЗ «РСХБ УПРАВЛЕНИЕ АКТИВАМИ»
ООО «РСХБ Управление Активами» – управляющая компания, осуществляющая с 2012 года деятельность по управлению ценными бумагами и имеющая лицензии на осуществление деятельности по управлению инвестиционными фондами, паевыми инвестиционными фондами и НПФ. В настоящее время размер активов под управлением компании превышает 15 млрд рублей. «РСХБ Управление Активами» входит в ТОП-5 крупнейших рос108
upgrade
сийских управляющих компаний по объему средств корпоративных клиентов на конец III квартала 2013 года. Концепция ИБ ООО «РСХБ Управление Активами» представляет собой официально принятую руководством систему взглядов на проблему обеспечения безопасности информации. Стратегия в части противодействия угрозам в информационной сфере заключается в сбалансированном применении защитных мер различной природы: от мер на уровне бизнеса до специализированных мер информационной безопасности, основанных на оценке рисков ИБ. В числе средств, применяемых для достижения заданной стратегии информационной безопасности, используется программный комплекс DeviceLock Endpoint DLP Suite. Решение о вводе в эксплуатацию системы DeviceLock в ООО «РСХБ Управление Активами» было принято на основании опыта многолетней успешной эксплуатации DLP-системы в головной организации. «В целях широкого исследования возможностей DeviceLock и их применимости в условиях инфраструктуры компании было решено провести приемочные испытания в рамках одного из ключевых подразделений. Сотрудники отдела ИТ довольно быстро развернули серверную часть для централизованного сбора журналов аудита и теневого копирования, установили агентскую часть на компьютерах сотрудников выбранного подразделения. В течение недели мы проводили различные эксперименты с настройками, задавали различные DLP-политики и, в частности, исследовали возможности подсистемы событийного протоколирования в DeviceLock. Возможности продукта произвели хорошее впечатление, и система была оставлена в заданном состоянии с включенным режимом протоколирования на несколько недель», – рассказывает начальник отдела ИТ ООО «РСХБ Управление Активами» Александр Смыков. «Почти перед окончанием периода тестовой эксплуатации выяснилось, что увольняется руководитель подразделения, в котором проходило испытание DeviceLock. Проверка журналов теневого копирования по данному сотруднику показала, что на съемном носителе, где обычно были безобидные домашние файлы, появилось также несколько конфиденциальных документов. О данном инциденте безопасности незамедлительно было извещено руководство
компании и приняты соответствующие меры. Таким образом, тестовая эксплуатация предотвратила утечку данных компании», – заключает генеральный директор ООО «РСХБ Управление Активами» Владимир Мальханов. КОМПАНИЯ BSS ПРЕДСТАВЛЯЕТ НОВОЕ ПОКОЛЕНИЕ СИСТЕМЫ «FRAUD-АНАЛИЗ» V. 3.0
BSS объявляет о выпуске нового поколения решения «FRAUD-Анализ» v. 3.0, предназначенного для предотвращения мошенничества в системах ДБО. Решение учитывает мировой опыт применения антимошеннических систем, опыт эксплуатации в банках РФ и ближнего зарубежья. В новой версии реализован инновационный механизм выявления мошенничества за счет объединения критериев в правила и настройки условий срабатывания правил. Разработаны новые критерии поиска мошеннических платежей, механизм экспорта и импорта правил. Повышена наглядность визуализации срабатывания критериев и правил. Улучшены пользовательские механизмы настройки и управления системой. «Комплексное антимошенническое решение BSS эффективно противостоит актуальным угрозам мошенничества в системах ДБО, – подчеркнул руководитель направления развития антифрод-решений BSS Андрей Хохлов. – Новый механизм правил значительно повышает точность срабатывания и гибкость настройки системы в соответствии со спецификой работы каждого банка». ЗАКЛЮЧЕН БЕССРОЧНЫЙ ДОГОВОР С МОСКОВСКИМ ФИНАНСОВО-ЮРИДИЧЕСКИМ УНИВЕРСИТЕТОМ
Компания «ИНВЕРСИЯ» и Московский финансово-юридический университет (МФЮА) начали сотрудничество в части прохождения практики студентами вторых и последующих курсов. Данное сотрудничество позволит студентам факультета информационных технологий во время учебных, производственных и преддипломных практик осознанно определить свои интересы, возможности и способности в ИТ-сфере, понять реальные механизмы деятельности крупной ИТ-компании,
НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К ИЙ Ж У РН А Л июнь 2014
НОВОСТИ КОМПАНИЙ
выбрать дальнейшее направление деятельности после окончания вуза. Целью совместной работы для Московского финансово-юридического университета является возможность обеспечить высокое качество подготовки ИТспециалистов в сфере банковских технологий. Для компании такое сотрудничество в первую очередь направлено на поиск и подготовку специалистов, умеющих использовать представляемый ЦАБС «БАНК 21 ВЕК» инструментарий, необходимый для автоматизации банковских технологий. В зависимости от специализации предполагается подготовка как кадров по внедрению и сопровождению ЦАБС, так и разработчиков. ИНФОРМАЦИЯ АКБ «РОССИЙСКИЙ КАПИТАЛ» ПОД ЗАЩИТОЙ DEVICELOCK
АКБ «РОССИЙСКИЙ КАПИТАЛ» установил программный комплекс DeviceLock – средство контроля доступа к устройствам для приема, передачи и обработки данных. Решение банка «РОССИЙСКИЙ КАПИТАЛ» использовать DeviceLock было при-
состояния системы информационных ресурсов и выполняет требования стандарта Банка России СТО БР ИББС-1.0-2010, в том числе в части оценки состояния системы информационной безопасности. Об основных задачах, стоящих перед департаментом защиты бизнеса АКБ «РОССИЙСКИЙ КАПИТАЛ», рассказывает директор департамента Алексей Комиренко: «Отсутствие контроля информации, передаваемой через устройства и порты ввода-вывода на рабочих станциях банка, является одной из самых актуальных проблем с точки зрения обеспечения ИБ. Соответственно, поиск решения этой проблемы подтолкнул управление информационной безопасности банка к выбору и внедрению необходимого средства защиты, которым стал DeviceLock по причине его надежности и многофункциональности. В тоже время DeviceLock – простое в освоении и настройке средство защиты, полностью отвечающее требованиям банка и выполняющее весь ряд поставленных перед программным комплексом задач». Простота настройки позволила в достаточно короткие сроки ввести систему в эксплуатацию. Кроме того, в банке были своевременно решены соответствующие организационные процедуры, регламентирующие работу с системой DeviceLock. Таким образом, внедрение системы DeviceLock стало еще одним шагом на пути повышения уровня информационной безопасности кредитной организации.
ный для организации платежного шлюза экс-ТрансКредитБанка в составе объединенного ВТБ24. В результате проекта ВТБ24 смог осуществить крупномасштабную операцию по присоединению большого территориально распределенного банка с собственной системой расчетов. «ВТБ24 для межфилиальных расчетов на протяжении многих лет использует S.W.I.F.T.-сообщения, тогда как в
ПЛАТЕЖИ СЛИЯНИЮ НЕ ПОМЕХА: RS-PAYMENTS ОБЪЕДИНИЛА РАСЧЕТНЫЕ СИСТЕМЫ ВТБ24 И ТРАНСКРЕДИТБАНКА
нято как одна из мер по снижению рисков утечки конфиденциальной корпоративной информации и защиты персональных данных клиентов. ИТ-инфраструктура кредитной организации представляет собой разветвленную многоуровневую систему ИБ, состоящую из множества важных объектов и подсистем, обеспечивающих безопасность на серверах и рабочих станциях, и включает в себя более двух тысяч рабочих мест. Банк ежегодно проводит оценку текущего
Система RS-Payments компании R-Style Softlab была выбрана банком ВТБ24 для проведения платежей в присоединенном к нему ТрансКредитБанке. Использование данного ПО в рамках сети поглощенного банка позволило объединить платежные системы двух финансовых организаций и в момент их слияния обеспечить непрерывность платежных сервисов. Ранее RS-Payments уже использовалась в ТрансКредитБанке для выполнения транзакций с собственными филиалами и банками-корреспондентами. ВТБ24 провел анализ программного обеспечения для осуществления расчетов, установленного в обоих кредитных учреждениях, и выбрал этот продукт как предпочтитель-
июнь 2014 НАЦИ О НАЛЬНЫЙ БА НК ОВСК ИЙ ЖУРНА Л
upgrade
109
НОВОСТИ КОМПАНИЙ присоединенном ТрансКредитБанке были реализованы другие форматы обмена, – пояснил член правления, директор департамента банковских информационных технологий ВТБ24 Сергей Русанов. – Чтобы унифицировать платежный обмен ТрансКредитБанка перед присоединением к ВТБ24, мы выбрали систему RS-Payments, в которой без особых затруднений смогли реализовать все необходимые форматы и протоколы обмена». «В момент объединения банки имели не только разные АБС, но и отличные друг от друга системы платежей. Наш проект позволил гарантировать непрерывность клиентских расчетов ТрансКредитБанка при присоединении к ВТБ24, – отметил директор департамента банковского ПО RS-Bank компании R-Style Softlab Михаил Дробышевский. – Внедрение системы RS-Payments позволяет банкам обеспечить эффективный межфилиальный платежный документооборот, оперативно управлять финансовыми потоками, следить за деятельностью филиалов присоединенного банка и многое другое».
110
upgrade
ИТОГИ СЕМИНАРА «НОВЫЕ ВОЗМОЖНОСТИ ПРОЕКТА ЦАБС «БАНК 21 ВЕК»
В подмосковном пансионате «Атлас Парк Отель» «ИНВЕРСИЯ» провела традиционный выездной семинар для своих клиентов на тему «Новые возможности проекта «БАНК 21 ВЕК» и перспективы развития». В мероприятии участвовали представители как столичных, так и региональных банков: Айви Банк, Альфа-Банк, АЛЕКСАНДРОВСКИЙ, Банк БЦК-Москва, Банк Раунд, БФГ-Кредит, Внешпромбанк, Выборг-банк, ЕвроситиБанк, Инвестиционный Банк Кубани, Интеркоммерц, Крайинвестбанк, Кубанский универсальный банк, Кубань Кредит, Лайтбанк, Легион, МОРСКОЙ БАНК, МОСОБЛБАНК, Новопокровский, НКО «Премиум», ПРОМИНВЕСТБАНК, РИАБАНК, Связь-Банк (группа Внешэкономбанка), Социнвестбанк, ТКПБ, Тинькофф Кредитные Системы, банк «Уралфинанс», ЧБРР. Мероприятие было посвящено новому функционалу ЦАБС «БАНК 21 ВЕК» v. 5.94, перспективам развития системы и входящих в ее состав модулей и приложений. Для участников семинара были проведены
презентации новых продуктов и продемонстрированы расширенные возможности уже хорошо известных решений. Особый интерес у публики вызвали презентации, посвященные новым технологиям интеграции решений компании «ИНВЕРСИЯ» в информационно-аналитическое пространство банка. В докладах «CBS_BUS – новая внутренняя шина, используемая разработчиками ЦАБС «БАНК 21 ВЕК» для создания двухсторонних шлюзов со сторонними приложениями» и «Интерфейс к ЦАБС «БАНК 21 ВЕК» для внешних систем (InvoGate)» специалистами компании «ИНВЕРСИЯ» были описаны механизмы решения интеграционных задач и опыт реализации таких проектов на базе представленных технологий в Алмазэргиэнбанке, банке «РОССИЙСКИЙ КРЕДИТ», НКО «Дельта Кей», НКО «Премиум», банк «Уралфинанс», Яр-Банке и др.
НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К ИЙ Ж У РН А Л июнь 2014
Армен Арутюнов, председатель правления Альта-Банка – 14 июня
июнь 2014 НАЦИ О НАЛЬНЫЙ БА НК ОВСК ИЙ ЖУРНА Л
16 15 17 18 19 22 23
Александр Жуков, первый заместитель председателя Государственной думы – 1 июня БКС – Инвестиционный Банк – 1 июня 1989 года Владимир Киселев, председатель правления АРЕСБАНКа – 1 июня Елена Пономарева, председатель правления ГЕНБАНКа – 2 июня Андрей Языков, генеральный директор СК АИЖК – 8 июня Морган Стэнли Банк – 8 июня 2005 года Сергей Сторчак, заместитель министра финансов Российской Федерации – 8 июня Банк «АГРОПРОМКРЕДИТ» – 9 июня 1994 года Банк «АВАНГАРД» – 9 июня 1994 года Райффайзенбанк – 10 июня 1996 года ИнвестКапиталБанк – 10 июня 1993 года РОСТ БАНК – 10 июня 1994 года Олег Дрождин, генеральный директор компании «Банковские Информационные Системы» (БИС) – 11 июня Банк России – 12 июня 1860 года Валерий Гекко, председатель правления МЕТРОБАНКа – 12 июня
2014
24
14 13
12
11
10
9
8
2
1
июнь
Геннадий Крюков, председатель правления Собинбанка – 15 июня Денизбанк Москва – 15 июня 1998 года Вадим Егоров, председатель правления БайкалБанка – 16 июня Банк «ЕВРОМЕТ» – 17 июня 1994 года Юрий Чиханчин, руководитель Федеральной службы по финансовому мониторингу – 17 июня Антон Карамзин, заместитель председателя правления Сбербанка – 18 июня ЗАО «Компания «Интертраст» – 18 июня 1994 года Хоум Кредит энд Финанс Банк – 19 июня 1990 года АРЕСБАНК – 22 июня 1994 года Банк «ЗЕНИТ» – 22 июня 1995 года НОТА-Банк – 22 июня 1994 года Сергей Монин, председатель правления Райффайзенбанка – 22 июня Геннадий Барский, председатель правления Гранд Инвест Банка – 22 июня Банк «ЦентроКредит» – 23 июня 1989 года Мударис Идрисов, председатель совета директоров банка «БТА – Казань» – 23 июня Банк «Региональный кредит» – 23 июня 1992 года Ланта-Банк – 24 июня 1992 года Русский универсальный банк – 24 июня 1996 года
банковский календарь
111
июнь
акцент
27
1 июня 1989 года
9 июня 1994 года
29 28
МДМ Банк – 25 июня 1990 года Алексей Саватюгин, экс-заместитель министра финансов РФ – 25 июня БАНК «РОССИЙСКИЙ КРЕДИТ» – 26 июня 1990 года Олег Барановский, председатель правления Банка Расчетов и Сбережений – 26 июня ББР Банк – 27 июня 1994 года Банк «РОССИЯ» – 27 июня 1990 года Евгения Даутова, председатель правления банка «Спурт» – 27 июня
30
26
25
2014
Банк «Народный кредит» – 28 июня 1993 года ЕВРОФИНАНС МОСНАРБАНК – 29 июня 1993 года Юрий Аликин, председатель правления банка «Уральский финансовый дом» – 30 июня Федор Хандурин, председатель правления Курскпромбанка – 30 июня Алексей Лавров, заместитель министра финансов Российской Федерации – 30 июня Банк «ГПБ-Ипотека» – 30 июня 1993 года Валерий Чаусов, управляющий партнер компании Intersoft Lab – 30 июня
Андрей Языков, генеральный директор СК АИЖК
Сергей Сторчак, заместитель министра финансов РФ
8 июня
8 июня
9 июня 1994 года
10 июня 1994 года
Олег Дрождин, генеральный директор компании «Банковские Информационные Системы» (БИС)
Александр Мираков, председатель правления банка «ОБРАЗОВАНИЕ»
11 июня
13 июня
18 июня 1994 года
22 июня 1994 года
17 июня 1994 года
22 июня 1994 года Валерий Чаусов, управляющий партнер компании Intersoft Lab
23 июня 1989 года
112
банковский календарь
27 июня 1994 года
30 июня
НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К ИЙ Ж У РН А Л июнь 2014
реклама
НАЦИОНАЛЬНЫЙ БАНКОВСКИЙ ЖУРНАЛ
июнь
2 014
WWW.NBJ.RU
реклама