17
ХОТИМ СКАЗАТЬ
THE BEST UPGRADE 2014
Прежде чем окончательно вступить в новый, 2015 год, редакция Национального Банковского Журнала (NBJ) приняла решение, которое кому-то может показаться спорным, а кому-то – как мы надеемся – интересным и нестандартным, – выпустить 13-й номер журнала и собрать под его обложкой лучшие статьи и интервью, увидевшие свет в прошедшем, 2014 году. Почему наш выбор пал именно на 2014 год? Потому что прошедшие 12 месяцев вобрали в себя столько событий и перемен, что хватило бы на 10, а то и на 15 лет. И еще потому, что мы абсолютно уверены: в 2014 году сформировались тенденции, которые на протяжении еще долгого периода будут определять развитие ситуации как в промышленности и экономике, так и на валютном рынке и в национальной банковской системе. А это значит, что актуальными и востребованными будут те идеи и наблюдения, которые высказывали эксперты в статьях и интервью, опубликованных в различных номерах NBJ за 2014 год. Согласитесь, было бы странно, если бы, составляя 13-й номер за 2014 год, мы ограничились только рамками разделов «Банки и бизнес», «Actual» или «Upgrade». Ведь перемены коснулись самых разных вопросов: регулирования и надзора за банковским сектором, высоких технологий, создания национальной системы платежных карт, деятельности рейтинговых агентств. И даже тех вопросов, которые всегда воспринимались как далекие от банковской журналистики, например импортозамещения в промышленности, развития нефтегазовой отрасли. Что тут поделаешь: когда экономика страны по тем или иным причинам начинает перестраиваться, невозможно ограничить этот процесс узкими рамками, особенно если это происходит в такой великой и сложной стране, как Российская Федерация. Также мы хотим отметить, что впервые вывели под отдельную обложку раздел «Upgrade», сделав его практически самостоятельным изданием. Это связано по меньшей мере с двумя причинами. Во-первых, в современном неспокойном мире информационные технологии и все решения, базирующиеся на них, приобретают особое значение. В зависимости от отношения к ним, от уровня их развития они могут стать как фактором риска для страны, так и мощным оружием в ее руках. И во-вторых, мы заметили, что в раздел «Upgrade» было написано за год ничуть не меньше материалов, чем в наши бизнесовые разделы – «Банки и бизнес» и «Actual». А раз так, то было бы несправедливым не сделать Upgrade отдельным и уже вполне состоявшимся журналом! Мы надеемся, уважаемые читатели, подписчики и партнеры NBJ, что 13-й выпуск нашего журнала за 2014 год будет для вас не только интересным, но и полезным, что на протяжении 2015 года вы нет-нет да и перечитаете интервью и статьи, опубликованные в NBJ в сложном, но таком интересном, 2014 году!
Елена ЕЛИСЕЕНКОВА, генеральный директор NBJ Анастасия СКОГОРЕВА, главный редактор NBJ
Н А Ц И О НАЛЬНЫ Й БАНКОВСК ИЙ ЖУРНА Л
upgrade the best publications 2014
1
хотим сказать ................................................................... 1
ЯНВАРЬ
С. КУРОЧКИН (Связь-Банк): «У каждого банка есть свои особенности бизнес-процессов, поэтому готовый рецепт для обеспечения их безопасности со стороны получить невозможно» ....................................14
С. КАЧУРА (БИНБАНК): «ИТ-директора должны перерасти роль исполнителей и дорасти до роли партнеров, помогающих развивать бизнес банка» ................ 4
Ю. ГРИБАНОВ (ЮНИТ-Оргтехника): «Глобализация неизбежна, как и аутсорсинг» ........................ 17
МАРТ Ю. БОГДАНОВ (банк «Центр-инвест»): «Своим примером наш банк подтверждает, что решения SAP для банковского сектора подходят устойчивым, динамично развивающимся финансово-кредитным организациям»....... 6
А. АКИНЬШИН (компания «Адаптивные технологии»): «PassportVision – это целая инфраструктура, предназначенная для скоростного, качественного и автоматического распознавания данных» ....................................... 8
Против лома есть приемы: как защитить от посягательств систему «Клиент-банк»? .......................... 20
О. ФЕДОРОВ (Оксиджен Софтвер): «Необходимо брать на вооружение и использовать решения, которые если не полностью исключат возможность утечек данных, то хотя бы радикально снизят этот риск» ....................... 22
АПРЕЛЬ
ФЕВРАЛЬ
А. ЗАТУЛОВСКИЙ (Нордеа Банк): «ИТ дает оценку той или иной работе, после чего бизнес расставляет задачи по степени значимости, а ИТ информирует бизнес о своих ресурсах» ............ 24
С. ГРУЗДЕВ (Аладдин Р.Д.): «Безопасная работа с системами дистанционного банковского обслуживания» ...........................10 Кредитные учреждения должны не только внедрять новые технологии ДБО, но и успевать рассказывать о них клиентам ............................................ 12
2
upgrade the best publications 2014
МАЙ CRM: привлечь и удержать платежеспособных клиентов ....... 27
НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К И Й Ж У Р Н А Л
СОДЕРЖАНИЕ
THE BEST UPGRADE 2014
М. ЖИРНОВСКИЙ (Alcatel-Lucent): «На сегодняшний день для банковского сектора и российской экономики в целом жизненно важной стала задача повышения эффективности бизнеса и снижения непроизводственных расходов» ....................................... 28
ОКТЯБРЬ Главные критерии при выборе поставщика решения в сфере ЦОД – надежность, безопасность, репутация на рынке ......... 40
ИЮНЬ Мобильный банкинг повышает лояльность клиентов, сокращает расходы на обслуживание и расширяет каналы продаж ........31
М. ПУСТОВОЙ (ОТП Банк): «Ситуация способствует повышению эффективности и использованию улучшенных практик в сфере проектного и процессного управления» ......... 32
Ю. АМИРИДИ (Intersoft Lab): «Хранилище данных: когда банку необходима промышленная система» ..............41 Мобильные сервисы – реальный ответ на потребности рынка ..................................................... 42
НОЯБРЬ Импортозамещение ИТ в банках: гром еще не грянул, креститься рано, но задумываться о последствиях самое время ............ 44
ИЮЛЬ
ДЕКАБРЬ
Прямой эффект от инвестиций в СЭД связан с экономией средств на расходные материалы и оплату рабочего времени сотрудников ............................ 34
Лучшие ИТ-партнеры для банков ...................................... 46
АВГУСТ
Требования к системам автоматизации банковской розницы: максимальная надежность, скорость работы, масштабируемость .......................................................... 53
Выполнение всех стандартов и нормативов по ИБ – дело непростое, но необходимое, если банк хочет сохранить свою репутацию ...................................... 36
СЕНТЯБРЬ Управлять правами доступа к информации – значит управлять рисками инсайда ................................... 38
Н А Ц И О НАЛЬНЫ Й БАНКОВСК ИЙ ЖУРНА Л
upgrade the best publications 2014
3
THE BEST UPGRADE 2014
№ 1 (116) JANUARY 2014
БИНБАНК: отказ от моновендорности и узости задач С. КАЧУРА: «ИТ-директора должны перерасти роль исполнителей и дорасти до роли партнеров, помогающих развивать бизнес банка» беседовала
Анастасия Скогорева
Как меняются функциональность и задачи руководителей ИТ-блоков в банках в новых условиях развития бизнеса? Какие проекты реализовал в течение последних трех лет БИНБАНК, какие планирует реализовать в дальнейшем? Каких критериев придерживается руководитель ИТ-блока финансово-кредитной организации при выборе того или иного технологического решения и подрядчика? На эти и другие вопросы ответил в интервью NBJ член правления, руководитель блока операционного и ИТ-сопровождения БИНБАНКа Сергей КАЧУРА. NBJ: Сергей, Вы стали руководителем блока операционного и ИТ-сопровождения в БИНБАНКе три года назад. Достаточно интересно название Вашей должности: почему оно такое сложное, а не просто CIO, как в большинстве банков? С. КАЧУРА: Наименование моей должности отражает саму сущность перемен, происходящих на нашем банковском рынке. Я глубоко убежден, что CIO как класс отмирают. ИТ-директоров в том формате, в каком они присутствовали на 4
upgrade the best publications 2014
рынке последние 15–20 лет, становится все меньше. Причина проста: у бизнеса сейчас совсем иные интересы, и в текущих условиях выживут только те CIO, которые сумеют трансформировать и себя, и возглавляемые ими блоки в центр по инновациям. Посмотрите вокруг: изменилась сама система распределения ролей в банке. Раньше руководители бизнеса приходили к главным «айтишникам» в банках и говорили им: сделай то или это. ИТ-директора были своего рода безгласными исполнителями воли свыше. Теперь лично я вижу свою задачу в совсем ином: отслеживать тенденции на рынке и подсказывать своим заказчикам наиболее оптимальные и технологические способы решения бизнес-задач. То есть ИТ-директора должны перерасти роль исполнителей и дорасти до роли партнеров, помогающих развивать бизнес банка. NBJ: До прихода в БИНБАНК Вы работали в целом ряде финансово-кредитных организаций, правда, в совсем других направлениях бизнеса. Почему Ваш выбор пал именно на ИТ? Это как-то связано с осознанием той роли, которую информационные технологии стали играть в жизни банков? С. КАЧУРА: Ирония судьбы в том, что у меня, в отличие от подавляющего большинства ИТ-директоров в других банках, нет технического образования. ИТ – та самая отрасль, где большинство сотрудников говорят на никому не понятном «птичьем языке». В результате возникают трудности перевода: топ-менеджеры и собственники не могут понять, почему им предлагают купить то или иное решение, вложить средства в перестройку той или иной информационной системы. При этом на совершенствование ИТ выделяются огромные бюджеты, численность
сотрудников ИТ-департаментов может достигать 5–10% от общей численности персонала. А руководство при этом до конца не осознает, на что тратятся деньги, какова эффективность проектов. NBJ: И тут им на помощь приходите Вы? С. КАЧУРА: Да. Фактически я объясняю им очень сложные вещи на доступном языке: что такое фронтальное решение, что такое CRM, чем операционный CRM отличается от аналитического CRM. Осознанно стараюсь при этом не углубляться в излишние технические подробности, так как это утомляет людей, далеких от ИТ, и сбивает их с толку. Стараюсь изложить суть, и мне это удается сделать, потому что я на протяжении многих лет выступал в качестве заказчика ИТ-решений. Так что мне посчастливилось побывать по обе стороны баррикады. NBJ: Расскажите о значимых ИТ-проектах, которые БИНБАНКу удалось реализовать. С. КАЧУРА: Я бы начал свой ответ с констатации следующего факта: самым значимым проектом я считаю то, что мы объединили функции ИТ и operations. Еще во время своей работы в других банковских организациях я пришел к выводу: внутренний ресурс оптимизации операционной деятельности без привлечения ИТ исчерпаем. Иными словами, невозможно на протяжении трех-пяти лет ежегодно повышать на 30% эффективность операционной деятельности без использования новых информационных технологий. NBJ: Обычно банки реализуют одновременно несколько масштабных ИТпроектов. БИНБАНК придерживается той же политики? НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К И Й Ж У Р Н А Л
№ 1 (116) JANUARY 2014
THE BEST UPGRADE 2014
С. КАЧУРА: Да. При этом у нас в банке создан институт проектного управления, что позволяет регулировать процессы внедрения новых решений или систем. Ключевой принцип, которого придерживается этот институт, – мы не занимаемся ИТ-проектами в чистом виде.
жалась активность продавцов банковских продуктов, поскольку им приходилось работать в различных системах, частично даже нерусифицированных.
NBJ: Поясните…
С. КАЧУРА: Да. Естественно, в отличие от бизнес-стратегии, она не рассчитана до 2020 года: мы прекрасно понимаем, что динамика изменений в ИТ совершенно иная, поэтому загадывать вперед больше чем на три года не имеет смысла. Поэтому мы приняли стратегию, охватывающую период с 2013 по 2015 год.
С. КАЧУРА: Не занимаемся исключительно инфраструктурными проектами. ИТ-проекты не висят в воздухе. Я свято верю в то, что ИТ – не отдельная вещь, а помощник для бизнеса. Поэтому в рамках стратегии развития банка, действующей на период до 2020 года, мы определили бизнес-области, в которых в ближайшие три года будет наблюдаться наибольшая активность. Мы проанализировали нашу ИТ-архитектуру, причем не столько с точки зрения ее инфраструктуры, сколько с точки зрения бизнес-приложений. Выводы не слишком нас порадовали: 52 ИТ-системы, три автоматизированные банковские системы, работающие одновременно, и при этом фактическое отсутствие централизованных систем как класса. NBJ: 52 ИТ-системы – и все самописные? С. КАЧУРА: Нет, разные: есть те, которые банк приобрел у внешних поставщиков, есть самописные. Проблема в том, что каждая команда пыталась привнести в ИТ-архитектуру банка что-то свое, в результате возникло то, что на рынке принято называть «зоопарком систем». NBJ: Но обычно после внедрения новой системы старая либо ликвидируется, либо отмирает за ненадобностью? С. КАЧУРА: Так бывает далеко не всегда. К тому же скорость отмирания обычно невысока, так что на протяжении достаточно длительного периода старые и новые системы могут сосуществовать. Ни к чему хорошему это не приводит. Наглядный пример: на «фронте» у операционистов было установлено порядка 11 систем, при этом не одну из них нельзя было считать в полной мере адаптированной для сотрудников, отвечающих в банке за продажи. Как результат, сниН А Ц И О НАЛЬНЫ Й БАНКОВСК ИЙ ЖУРНА Л
NBJ: Увидев все это, Вы, очевидно, разработали новую ИТ-стратегию?
NBJ: И стали ее реализовывать? С. КАЧУРА: Точно. Мы спроектировали целевую ИТ-архитектуру, наложили ее на текущее состояние дел и отранжировали существовавшие на тот момент ИТ-системы по трем категориям: системы, полностью соответствующие целевой ИТ-архитектуре; системы, нуждающиеся в дополнительном анализе и уточнении их бизнес-ценности; системы, которые однозначно должны быть выведены из эксплуатации. NBJ: Со второй и третьей категориями все понятно, но неужели нашлись такие системы, которые полностью соответствовали целевой ИТ-архитектуре и не нуждались в доработке? С. КАЧУРА: Да. Конечно, их было немного, но все же они нашлись. Правда, при этом нами были обнаружены и белые пятна: например, ни одна из используемых на тот момент банком систем не могла претендовать на роль ИТ-системы для интернет-банкинга. NBJ: Наверное, неприятно было констатировать это. С. КАЧУРА: Это не вопрос ощущений, а вопрос понимания. Мы осознали, где у нас провалы, и расписали меры, которые необходимо принять для их ликвидации, на три года. Сделать все необходимое за год-два было априори невозможно: банк активно развивался, и такое количество одномоментных изменений могло поставить под вопрос
не только эффективность его дальнейшего развития, но и непрерывность его деятельности. Поэтому было принято решение двигаться к цели постепенно, решая задачи в зависимости от их ценности для бизнеса. NBJ: Обычно говорят, что успех такого рода проектов зависит от того, насколько слаженно работают команда вендора и команда банка. С. КАЧУРА: Совершенно верно. В нашем случае эта работа была поставлена на высшем уровне. Мы перенесли основной функционал АБС (расчетнокассовое обслуживание, сопровождение кредитных продуктов, систему безналичных расчетов, финмониторинг и обязательную оперативную отчетность) на новую систему. NBJ: Удалось полностью избежать таких рисков, как компрометация данных и их потеря? С. КАЧУРА: Да. Причем вызов был не только в самом масштабе миграции, но и в том, что АБС, которую банк использовал до этого, была разработкой того же самого вендора. Она была в чистом виде «проводочной», не централизованной. Это приводило к тому, что каждый филиал, по сути, имел свою версию данной системы, и объем локальных доработок различался. Это тоже пришлось учитывать при осуществлении миграции. NBJ: Вы были недовольны той системой и тем не менее согласились сотрудничать с тем же вендором? С. КАЧУРА: Так дело было не в том, что компания продала нам заведомо неэффективный продукт, а в том, что данная система устарела, при этом требования к ней со стороны бизнеса намного возросли. Система, которую мы выбрали в 2012 году в качестве целевой, была решением совершенно иного класса. И здесь, кстати сказать, мы столкнулись с еще одной задачей: перечень атрибутов, которые надо было загрузить в новую систему, был значительно больше, чем набор атрибутов, содержащийся в источнике, то есть в старой АБС. upgrade the best publications 2014
5
THE BEST UPGRADE 2014
№ 1 (116) JANUARY 2014
Банк «Центр-инвест» и компания SAP: новый этап сотрудничества Ю. БОГДАНОВ: «Своим примером «Центр-инвест» подтверждает, что решения SAP для банковского сектора подходят устойчивым, динамично развивающимся финансово-кредитным организациям» беседовала
Анастасия Скогорева
Банк «Центр-инвест» объявил о новом этапе сотрудничества с компанией SAP. После успешного построения централизованного корпоративного хранилища данных на платформе SAP BW, внедрения систем SAP Human Capital Management и SAP Process Integration финансово-кредитная организация, являющаяся крупнейшим региональным банком юга России, готова к внедрению банковских решений от SAP AG. Заместитель председателя правления банка «Центр-инвест» Юрий БОГДАНОВ рассказал в интервью NBJ о том, почему в качестве целевого решения для автоматизации основной деятельности банк выбрал именно решение SAP, какими критериями руководствовался при этом и какой эффект «Центр-инвест» надеется получить от внедрения продукта SAP Banking Services. NBJ: Расскажите, пожалуйста, о сути проекта, который банк «Центр-инвест» реализует совместно с компанией SAP. 6
upgrade the best publications 2014
Ю. БОГДАНОВ: Наше сотрудничество с компанией SAP является долгосрочным (с 2006 года). Совет директоров банка принял стратегическое решение о замене монолитной автоматизированной банковской системы на отдельные модули систем, интегрированных между собой и развивающихся в масштабах другого порядка. В соответствии с международными стандартами был проведен тендер, детально изучены предложения 16 различных поставщиков автоматизированных банковских систем, российских и зарубежных, и в итоге выбраны решения компании SAP. Была разработана долгосрочная программа проектов, вошедшая в стратегию развития банка и предусматривающая внедрение комплекса систем SAP, как базовых (интеграционная шина SAP PI и хранилище данных SAP BW), так и прикладных (SAP HCM и модули системы SAP для банковской функциональности). NBJ: Почему выбрали именно SAP? Какие, с Вашей точки зрения, преимущества может получить банк в случае внедрения решения SAP Banking Services? И чем не устраивала работающая в тот момент система? Ю. БОГДАНОВ: Важным фактором, определившим выбор банком «Центр-инвест» решений компании SAP, стал богатый набор функциональных и продуктовых настроек в системах SAP. Широкие возможности для конфигурирования системы обеспечивают гибкость и оперативность в формировании предложений клиентам, позволяя конструировать новые, ранее не предлагавшиеся в России продукты и услуги. Это же свойство выгодно отличает системы SAP от собственных ИТ-разработок банков, где
есть только та функциональность, которая стала необходимостью вчера. Иными словами, плюс, на который может рассчитывать банк, внедривший решение SAP для банковской функциональности, и на который рассчитываем мы, – сокращение time-to-market (времени вывода на рынок новых финансовых продуктов или версий уже имеющихся продуктов). У компании SAP есть результаты исследований, а у банка «Центр-инвест» – подтвержденные примеры собственной практики, свидетельствующие о том, насколько улучшается этот показатель после внедрения решений SAP. Другими результатами внедрения систем SAP, как показывает опыт, являются упрощение и удешевление процессов в бэк-офисе банка. Упрощается учет продуктов, которые кредитная организация предлагает своим клиентам, за счет стандартизации технологических операций и процедур бухгалтерского учета. Здесь важно понимать, что речь идет не столько о сокращении числа продуктов, сколько о совершенствовании их учета. Банк может предлагать диверсифицированную продуктовую линейку и расширять ее в соответствии со своей стратегией, но времени на проведение бухгалтерских операций потребуется меньше. Ядро самостоятельно разработанной и используемой в банке АБС создавалось в условиях отсутствия широкополосных каналов связи между офисами кредитной организации, соответственно, система децентрализована. Требующие постоянной доработки модули АБС, не содержащие специфику банка, были заменены на модули современных систем внешних поставщиков. Но даже когда в нашем распоряжении есть работающая АБС и с помощью НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К И Й Ж У Р Н А Л
№ 1 (116) JANUARY 2014
SAP BW решены вопросы централизации отчетности, очевидно, что настанет момент, когда на место самописной системы необходимо будет поставить промышленный, масштабируемый, отказоустойчивый продукт. И эту задачу необходимо решать поступательно, заранее, не дожидаясь того момента, когда собственная автоматизированная банковская система начнет давать сбои или станет бутылочным горлышком с точки зрения производительности бизнес-процессов. В итоге результатом внедрения решений компании SAP с банковской функциональностью станет улучшение качества клиентского сервиса банка, поскольку сейчас уровень банковского сервиса зависит не только от того, насколько быстро кредитная организация готова обслужить клиента, но и от того, готова ли она предлагать ему и другим своим клиентам новые продукты и услуги для ведения бизнеса сегодня и завтра. NBJ: Несколько лет назад SAP выпустил новую банковскую платформу. Удалось ли Вам познакомиться с этим решением? Ю. БОГДАНОВ: Да. В 2012 году компания SAP пересмотрела концепцию подхода к выводу своего ключевого решения для банковского сектора SAP Banking Services на российский рынок. Своим клиентам, в первую очередь банку «Центр-инвест», компания SAP презентовала новую идеологию построения решения для транзакционных и учетных задач и адаптации его под требования регуляторов. Транзакционное решение SAP (компоненты по управлению счетами, депозитами) при адаптации остается неизменным, потому что, как показывает опыт внедрений, оно во многом устраивает бизнес-пользователей. А за решение вопросов, связанных с автоматизацией бухгалтерских операций в соответствии с различными стандартами (РСБУ, МСФО), отвечает новый, развиваемый и поддерживаемый компанией SAP специализированный модуль бухгалтерского учета в продукте SAP Bank Analyzer. При таком архитектурном подходе основная функциональность продуктовой системы не страдает от частых изменений регуляторных треН А Ц И О НАЛЬНЫ Й БАНКОВСК ИЙ ЖУРНА Л
THE BEST UPGRADE 2014
бований, поскольку необходимые изменения вносятся, как правило, в учетную часть. После решения вопроса с архитектурой и подходом к локализации продукта компания SAP привлекла банки к определению и согласованию локализационных требований, затем к тестированию уже локализованной функциональности. NBJ: Как банк «Центр-инвест» отнесся к этой новой идеологии? Ю. БОГДАНОВ: Положительно. Мы возобновили сотрудничество с компанией SAP в области банковской функциональности: банк принял непосредственное и очень активное участие в адаптации решения для российского рынка, в формировании требований к платежной и вкладной функциональности, в согласовании сценариев тестирования системы SAP Banking Services 8.0. К моменту выхода этого релиза (30 августа 2013 года) банк уже провел тестирование локализованной функциональности предложенного решения. NBJ: Что показали результаты этого тестирования? Ю. БОГДАНОВ: Главный вывод, к которому мы пришли, – идеологически и архитектурно решение устраивает банк, о чем он объявил в официальном отчете о тестировании. Конечно, были сформулированы замечания и предложения, с учетом которых компания SAP вносит изменения в релиз и готовит новые поставки. Банк готовится к интеграции решения в существующую программно-аппаратную архитектуру информационной системы. Говоря о нашем предыдущем опыте сотрудничества с компанией SAP и о новом этапе этого сотрудничества, я хотел бы отметить следующий принципиально важный момент: если раньше ответственность за качество локализации была распределена между офисами компании SAP в разных странах и разделена с субподрядчиками, то сейчас эту ответственность несет головной офис компании SAP AG. То есть данный проект координируется непосредственно из штаб-квартиры SAP AG в Германии. Сотрудники SAP AG неоднократно по-
сещали банк для проведения сессий по тестированию и согласованию доработок – мы уверены в их высокой компетенции. Важно отметить, что большинство технических работ выполняет российская команда – и это правильно, так как формируется ключевая компетенция для последующего развития системы. При таком подходе у банка-заказчика возникает ощущение совсем иного уровня сотрудничества, когда есть понимание ответственности компании SAP AG за успешное появление локализованного продукта. NBJ: Как Вы считаете, будет ли предлагаемое решение интересным для других российских банков, если да, то для каких по размеру активов и профилю деятельности финансово-кредитных организаций? Ю. БОГДАНОВ: Наше сотрудничество с компанией SAP разрушает миф о том, что услуги SAP доступны только для титанов российского банковского рынка. NBJ: Но при этом решения SAP априори являются недешевыми, а средние по размеру активов банки обычно не так свободны в средствах, как лидеры нашего банковского рынка. Ю. БОГДАНОВ: Если учитывать все требуемые поставщиками АБС платежи, то предложения компании SAP на данный момент находятся в одном ценовом сегменте с предложениями ведущих российских разработчиков. Кроме того, когда речь идет о внедрении нового решения, всегда неизбежно возникает вопрос соотношения цены и качества предлагаемого продукта. Иными словами, когда мы представляли совету директоров предложения компанийвендоров и интеграторов, то учитывали не только количество средств, которые придется потратить на приобретение, внедрение и экплуатацию того или иного решения, но и потенциальный экономический эффект от внедрения. И я должен сказать, что в этом свете предложение SAP выглядит очень привлекательно для универсальной кредитной организации любого уровня: система SAP Banking Services способна стать платформой для развития широкого спектра услуг банка. upgrade the best publications 2014
7
THE BEST UPGRADE 2014
Паспорт, мы тебя знаем! А. АКИНЬШИН: «PassportVision – это целая инфраструктура, предназначенная для скоростного, качественного и автоматического распознавания данных» беседовала
Софья Мороз
NBJ: А в чем заключается конкретная выгода от использования PassportVision? А. АКИНЬШИН: Прежде всего, наш продукт существенно экономит время сотрудников. Оператору больше не нужно вручную вносить все паспортные данные клиента в компьютер, что ощутимо ускоряет обслуживание и сокращает очереди. Кроме того, снижается процент ошибок из-за человеческого фактора. История знает очень много печальных примеров, когда у людей возникали проблемы из-за того, что оператор неправильно внес паспортные данные в систему.
Проблема автоматизации документооборота стоит достаточно остро. Одно из актуальных направлений – распознавание данных с удостоверений личности. Именно эту задачу решает программный продукт PassportVision от компании «Адаптивные технологии». Чем конкретно эта программа может помочь банкам, рассказал в интервью NBJ ведущий разработчик проекта Андрей АКИНЬШИН. NBJ: Андрей, расскажите, что представляет из себя PassportVision? А. АКИНЬШИН: PassportVision – это комплекс программных продуктов, позволяющий автоматизировать распознавание данных с различных документов. Выглядит это следующим образом. К вам приходит клиент и предъявляет паспорт. Вы кладете паспорт в сканер, нажимаете кнопку, выполняется сканирование, а через секунду готовые, распознанные данные уже находятся в системе. 8
upgrade the best publications 2014
NBJ: Неужели вы можете распознать данные с любого документа абсолютно точно? А. АКИНЬШИН: Абсолютной точности вам не даст ни одна программа, слишком уж небрежно делают у нас документы. Существуют паспорта, на которых даже человеку будет трудно прочитать все данные. Поэтому после распознавания мы показываем специальное окно с результатами для ручной проверки. Все подозрительные места помечены красным, а интерфейс спроектирован так, что проверка занимает в среднем секунды две. Таким образом, человеческие ошибки сводятся к минимуму. В качестве бонуса мы проводим ряд проверок документа и предупреждаем пользователя, если что-то не так. Например, можно узнать, является ли паспорт просроченным или числится ли он в базе украденных паспортов. Стоит отметить, что PassportVision является самообучаемым: если пользователь поправил допущенную при рас-
познавании ошибку, то сведения об этом сохраняются, чтобы в дальнейшем качество распознавания стало лучше. NBJ: А разве на рынке нет подобных решений? А. АКИНЬШИН: Решения есть, но, на наш взгляд, они недостаточно хороши. Прежде всего, PassportVision – это скорость. Если вы обрабатываете большой поток документов на сервере, то это необходимо делать крайне быстро. Мы разрабатываем отдельные версии алгоритмов распознавания для каждого документа, что позволяет снизить время работы. Кроме того, специализированные алгоритмы позволяют существенно поднять уровень качества, ведь они учитывают семантические связи между полями документа. А еще ядро PassportVision является кроссплатформенным. Некоторые из наших клиентов принципиально хотят работать с Linuxсерверами – и мы даем им такую возможность. NBJ: Каждый банк использует определенное ПО для обработки клиентских данных. Скажите, насколько трудоемко интегрировать ваш продукт с уже существующими бизнес-процессами? А. АКИНЬШИН: Это достаточно легко. Мы предоставляем различные редакции программы, чтобы каждый мог выбрать подходящее для себя решение. Например, если вам нужны паспортные данные для вставки в Word-документ, то с помощью PassportVision Office вы можете создать шаблон документа, который будет заполнен нужной информацией после одного нажатия кнопки. НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К И Й Ж У Р Н А Л
THE BEST UPGRADE 2014
NBJ: Скажите, а есть ли какие-то требования к сканерам, с которыми работает PassportVision? А. АКИНЬШИН: Мы поддерживаем большое количество различных сканирующих устройств и протоколов сканирования. Пользователю вообще не нужно
познавания данных. Мы предоставляем пользователям ряд редакций, которые позволяют провести интеграцию с любым сторонним ПО. Среди прочих стоит выделить редакцию для разработчиков PassportVision SDK. Данная кроссплатформенная библиотека позволит использовать все функции PassportVision из различных программных средств. И это не только распознавание – PassportVision имеет ряд плагинов, которые умеют проверять и верифицировать результаты, работать со всевозможными сканерами, обрабатывать результаты распознавания с помощью универсального API и многое другое. Индивидуальный подход к каждому типу документа позволяет достичь высоких показателей качества и скорости. Все это дает возможность сократить издержки на обслуживание клиентов и свести к минимуму ошибки при обработке персональных данных.
задумываться о сканерах, даже если они специализированные: PassportVision сам найдет все доступные сканеры и правильно сформирует запрос к выбранному устройству. Физические возможности используются по максимуму: например, если качества обычной картинки недостаточно для хорошего распознавания, а сканер поддерживает инфракрасный режим, то программа автоматически запросит дополнительное изображение для уточнения результатов. NBJ: Получается, что PassportVision – это не просто очередная утилита для распознавания текста с картинки. Не могли бы Вы подвести итог: что включает в себя ваш продукт? А. АКИНЬШИН: PassportVision – это целая инфраструктура, предназначенная для скоростного и качественного рас-
реклама
ВЕРНЫЙ НАВИГАТОР
СЕМЬ ПРИЧИН ПОДПИСАТЬСЯ НА NBJ:
1. 2. 3. 4.
надо быть в курсе того, что происходит. NBJ дает самую полную и объективную панораму жизни банковского сообщества;
надо знать, чем «дышат» другие отрасли экономики, ведь банки не могут существовать в пустоте. NBJ информирует своих читателей по самому широкому спектру вопросов и проблем;
надо знать, что будет завтра, чтобы совершить правильный выбор сегодня. В этом вам помогут самые авторитетные эксперты рынка, чьи статьи, интервью и комментарии NBJ публикует на постоянной основе;
надо знать, что происходит у конкурентов: мы учимся не только на ошибках, но и на достижениях друг друга. В NBJ вы всегда сможете прочитать эксклюзивные интервью с первыми лицами банковского сообщества, с руководителями ведущих финансово-кредитных институтов;
Н А Ц И О НАЛЬНЫ Й БАНКОВСК ИЙ ЖУРНА Л
5. 6.
надо всегда идти вперед, но при этом внимательно изучать уроки прошлого. Только в NBJ – две эксклюзивные рубрики: «Уроки истории» и «Взлеты и падения»;
надо уметь использовать достижения науки и техники на благо своего банка. В NBJ – специальная рубрика Upgrade, знакомящая вас с новыми решениями и успешными внедрениями в сфере высоких технологий;
И НАКОНЕЦ,
7.
надо подписаться просто потому, что на NBJ уже подписаны руководители и топменеджеры всех ведущих банков, инвестиционных компаний, государственных структур. Присоединяйтесь к сообществу читателей и авторов NBJ!
Подписка через редакцию – тел.: (495) 221 88 15 e-mail: vishnikina@nbj.ru
РЕКОМЕНДУЕМАЯ СТОИМОСТЬ ПОДПИСКИ НА НАЦИОНАЛЬНЫЙ БАНКОВСКИЙ ЖУРНАЛ НА 2015 г.: Для Москвы и регионов 3 месяца
6 месяцев
12 месяцев
3000 руб.
6000 руб.
12000 руб.
Цены включают стоимость доставки.
upgrade the best publications 2014
ПОДПИСКА 2015
Если вы работаете с каким-то специфическим ПО, то PassportVision Adaptive сможет встроиться в любое стороннее приложение и вставить данные в нужные места. Если у вас есть программное обеспечение собственной разработки, то вам подойдет PassportVision SDK. Это библиотека для разработчиков с очень богатым API, которая позволяет получить детализированные результаты распознавания для последующей обработки. Продукт можно использовать в самых разных программных средах: от C# и C++ до Java и 1С.
9
THE BEST UPGRADE 2014
№ 2 (117) FEBRUARY 2014
Безопасная работа с системами дистанционного банковского обслуживания текст
Сергей Груздев, генеральный директор компании «Аладдин Р.Д.»
Подавляющая часть банков имеет в своем арсенале системы дистанционного банковского обслуживания. При этом многие кредитные организации нередко делают ставку на удаленное обслуживание клиентов, считая интернет-банкинг непременным фактором конкурентоспособности и уровня развития предоставляемых сервисов. Наряду с развитием систем ДБО растет и степень подготовки киберпреступников, действия которых направлены на кражу средств с банковских счетов пользователей удаленных сервисов. При современном характере угроз привычная всем пара «логин – пароль» уже не может обеспечить требуемый уровень безопасности. Учитывая, что большинство пользователей работают с системами ДБО из недоверенной среды, наиболее безопасным, удобным и надежным способом подтвержде10
upgrade the best publications 2014
ния совершаемых платежей является использование ЭП, аппаратно реализованной на смарт-карте или USB-токене с неизвлекаемым закрытым ключом. В 2013 году компания «Аладдин Р.Д.» вывела на рынок новую линейку смарт-карт, USB- и Secure MicroSD-токенов JaCarta для строгой аутентификации и квалифицированной электронной подписи, которая стала основой для новой технологической платформы. Линейка JaCarta выполнена на новейших смарт-карточных чипах Secure by design (сконструированы как безопасные и для целей обеспечения безопасности), которые имеют встроенную защиту от клонирования, взлома и других специальных атак (что крайне важно при создании средств строгой аутентификации и ЭП), соответствуют международному профилю безопасности Smart Card Protection Profile, прошли сертификацию CAST и EMVCo, а также
поддерживают полный набор западной и сертифицированной отечественной криптографии. Еще одна особенность продуктов JaCarta – поддержка на всех современных платформах Windows, Mac OS X, а также на мобильных устройствах на базе Apple iOS, Android, Windows 8. Кроме того, JaCarta является единственным средством, сертифицированным для платформы Linux (все сертифицированные в России дистрибутивы). Компания представляет на рынке два семейства продуктов – JaCarta PKI, которая предназначена для строгой двух- и трехфакторной аутентификации пользователей в корпоративных и государственных системах, и JaCarta ГОСТ, служащая для обеспечения юридической значимости действий пользователей при работе с различными электронными сервисами, в том числе с системами ДБО. В декабре 2013 года продукты семейства JaCarta ГОСТ были сертифицированы ФСБ России, что дает возможность использовать изделия для реализации функций строгой аутентификации и усиленной квалифицированной электронной подписи (создание ключа электронной подписи, создание ключа проверки электронной подписи, автоматическое создание и проверка электронной подписи) в соответствии с Федеральным законом от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи». JaCarta уже используется в ряде проектов: в ноябре 2013 года компания iSimpleLab с помощью продуктов «Аладдин Р.Д.» обеспечила безопасность системы ДБО для юридических лиц – клиентов Крайинвестбанка. Для удобного использования интернет-банка на мобильных платформах внедрено приложение iSimple СЕО. Приложение разработано на основе решения НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К И Й Ж У Р Н А Л
№ 2 (117) FEBRUARY 2014
JC-Mobile, служащего для интеграции электронных ключей JaCarta в системы, функционирующие на платформах Apple iOS. Решение реализует полноценный высокоуровневый интерфейс на iOS для работы как со смарт-картами и российской криптографией, так и с инфраструктурой открытых ключей (PKI) и удостоверяющими центрами, аккредитованными в соответствии с ФЗ № 63. Приложение предоставляет возможность получения оперативной информации о состоянии счетов, просмотра выписок, а также подписи как отдельных, так и групп электронных документов при помощи планшета или смартфона. Еще одним проектом, реализуемым с помощью решений на базе продуктов JaCarta, стал InterBank Mobile, разработанный компанией R-Style Softlab. Система позволяет внедрить в банке информационный и платежный сервисы для корпоративных клиентов, предоставляющие пользователям кроме оперативного отслеживания счетов через приложения для планшетов и смартфонов надежный и удобный инструмент для осуществления платежей. В то же время клиенты банков, как правило, работают с системами ДБО из недоверенной среды, что подразумевает расширение спектра угроз, например подмену подписываемых платежных поручений или перехват управления. Повысить уровень доверия к среде, в которой работает пользователь, можно
Н А Ц И О НАЛЬНЫ Й БАНКОВСК ИЙ ЖУРНА Л
THE BEST UPGRADE 2014
с помощью ряда различных мер – установка антивирусного ПО, поддержка антивирусных баз в актуальном состоянии, установка и корректная настройка межсетевого экрана, корректная настройка процессов обновления системного и прикладного ПО, установка аппаратного модуля доверенной загрузки. Однако реализация комплекса таких мер дорога и неудобна для пользователей. Более того, несмотря на некоторое снижение рисков безопасности, указанные меры, как правило, не могут обеспечить приемлемый уровень безопасности при работе пользователей через Интернет. Антивирусное ПО не может дать гарантий отсутствия вредоносного ПО, а клиентский ПК и операционная система могут иметь закладки. Для защиты от подмены подписываемых документов были изобретены ридеры токенов с функцией визуализации (отображения и подтверждения подписываемых данных). Но при их использовании сохраняется риск того, что разметка передаваемых на визуализацию данных будет сбита вредоносным ПО, устройство отобразит не те данные и подписан будет подмененный документ. Более того, обычные устройства визуализации не защищают от перехвата PIN-кода токена, что создает угрозу перехвата управления токеном. Проанализировав большинство предлагаемых на рынке решений, компания «Аладдин Р.Д.» совместно с Vasco разработала «Антифрод-терминал» – реше-
ние, основанное на понимании того, что невозможно обеспечить на 100% защиту от перехвата управления и подмены платежных поручений в недоверенной среде на ПК пользователя при условии применения только устройств визуализации. «Антифрод-терминал» представляет собой не просто устройство визуализации, он состоит из совокупности взаимодополняющих технологий, позволяющих при их одновременном использовании обеспечить реальную безопасность работы с электронной подписью в недоверенной среде. Преимущества: аппаратно реализованная ЭП с неизвлекаемым ключом; визуализация и подтверждение подписываемых данных на доверенном «Антифрод-терминале»; технология SWYX (Sign What You eXecuted), реализуемая «Антифрод-терминалом» на клиентском ПК; аутентификация «Антифрод-терминала» на сервере ДБО; проверка сервером ДБО действительности намерений пользователя подписать присланный на исполнение документ; безопасный ввод PIN-кода и защита от перехвата управления. Таким образом, совокупность технологий, реализованных с помощью «Антифрод-терминала» и линейки продуктов JaCarta, позволяют обеспечить максимальный уровень безопасности для работы с электронной подписью в недоверенной среде, предоставляя гибкие возможности для реализации различных сценариев работы.
upgrade the best publications 2014
11
THE BEST UPGRADE 2014
№ 2 (117) FEBRUARY 2014
Будущее за удобными приложениями Кредитные учреждения должны не только внедрять новые технологии ДБО, но и успевать рассказывать о них клиентам
Современные технологии – онлайнплатежи, электронные деньги, различные платежные системы, платежи через интернет-банкинг или через мобильный банкинг – дают людям возможность осуществлять финансовые операции в дистанционном режиме, не выходя из дома. Активность клиентов банков в пользовании ДБО зависит от того, сумеют ли кредитные учреждения внедрить по-настоящему понятные и комфортные в применении приложения и донести соответствующую информацию до конечных потребителей. Как показывают социологические опросы, электронные финансовые услуги становятся достаточно привычным явлением в нашей стране. Агентство Markswebb Rank & Report провело исследование и выяснило предпочтения россиян – активных пользователей Интернета в сфере дистанционных финансовых услуг. 68,7% респондентов, или 19,4 млн человек, отметили, что используют хотя бы один из сервисов дистанционного банковского обслуживания – интернет-банк, мобильный банк или СМС-банк. Больше половины из этих людей отметили, что используют как 12
upgrade the best publications 2014
минимум два разных типа сервисов ДБО (например, интернет-банк и мобильный банк). А каждый четвертый – сразу три типа сервисов ДБО. Интернет-банком для физических лиц пользуется 54,6% российской интернет-аудитории, или 15,4 млн человек, мобильным банком – 38% (10,8 млн человек), интернет-банком на мобильном устройстве – 5,9 млн человек, электронным кошельком на мобильном устройстве – 4,8 млн. Отметим, что в агентстве считают суточную аудиторию Интернета в России равной порядка 28 млн пользователей. Интернет-банкинг является популярным финансовым сервисом в российском Интернете. Три четверти всех пользователей интернет-банков отметили, что используют систему Сбербанка. Второе и третье место по популярности занимают, соответственно, «АльфаКлик» Альфа-Банка и «Телебанк» ВТБ24, уступая аудитории «Сбербанк Онлайн» в пять раз. В среднем около 20% пользователей интернет-банков начали обращаться к ним в течение года. Около половины заходят в интернет-банк раз в неделю или чаще. Исследователи выявили очень интересный факт: среди десяти популярных интернет-банков отсутствуют системы столь значимых розничных игроков, как Росбанк, Банк Москвы, Россельхозбанк, Газпромбанк. Это в целом может свидетельствовать как об особенностях клиентской базы кредитных учреждений, прежде всего о ее консервативности, так и о качестве дистанционных сервисов. В десятке наиболее популярных интернетбанков оказались сервисы некрупных ТКС Банка и Связного Банка. Это означает, что их ставка на онлайн-обслуживание розничных клиентов себя в данном аспекте оправдывает, систе-
мы достаточно удобны, клиенты в этом убедились на практике и потому активно ими пользуются. 56,6% интернет-аудитории в России указали, что у них есть хотя бы один электронный кошелек. Меньше половины пользователей электронных кошельков за месяц совершили хотя бы одну платежную операцию с помощью этого инструмента – оплачивали покупки в интернет-магазине, услуги мобильной связи, доступ в Интернет, штрафы, налоги или проводили иные платежи в государственный бюджет, а также совершали переводы. Возрастная структура аудитории, совершающей платежи, переводы и иные денежные операции онлайн, в целом не очень зависит от конкретного используемого инструмента. Исследователи отметили лишь, что интернет-банком и мобильным банком чаще всего пользуются клиенты в возрасте от 25 до 34 лет. По информации Markswebb Rank & Report, люди, применяющие любые инструменты онлайн-платежей, имеют больший доход, чем средний интернетпользователь. При этом среди плательщиков, пользующихся мобильным банком, в полтора раза выше доля людей с доходом свыше 50 тыс. рублей по сравнению с аналогичной долей среди всех интернет-пользователей. Что касается географии, то исследование вполне предсказуемо выявило, что мобильным банком гораздо чаще пользуются жители крупнейших городов: на долю городов-миллионников (включая Москву и Санкт-Петербург) здесь приходится ровно 50%. Для сравнения: среди всех интернет-пользователей жители городов-миллионников составляют менее 45%. 6,6 млн человек совершают за месяц хотя бы одну платежную операцию онлайн с мобильного НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К И Й Ж У Р Н А Л
№ 2 (117) FEBRUARY 2014
устройства – это 33,6% от общего числа онлайн-плательщиков. Вместе с тем на эту статистику может повлиять объявленное российскими законодателями стремление существенно ограничить возможности электронных кошельков, позволяющих мгновенно переводить средства через Интернет без раскрытия персональных данных. Такое положение содержится в антитеррористическом пакете поправок в ряд федеральных законов, который был принят Госдумой в третьем чтении 22 апреля 2014 года. Россияне потеряли возможность расчетов с помощью анонимных электронных сервисов типа кошелек на сумму более тысячи рублей в день. Максимальный размер кошелька сокращен с 40 тыс. до 15 тыс. рублей в месяц. Данное нововведение сыграет на руку банкам, предлагающим аналогичные сервисы, но на условиях подтверждения личности пользователя. В 2014 году сняты ограничения на переводы электронных денег от юридических лиц в пользу физических лиц, увеличен максимальный размер платежа для идентифицированных и корпоративных пользователей (с 100 тыс. до 600 тыс. рублей), разрешено получение наличных с использованием неперсонифицированных предоплаченных карт. Правительство также планирует обязать отечественные магазины принимать к оплате товаров и услуг платежные карты. Соответственно, расширится круг банковских клиентов в сфере эквайринга, возрастут обороты по пластиковым картам. Всем торгово-сервисным организациям придется поставить терминалы, исключение из этого правила составят только микропредприятия, у которых выручка за предшествующий год без учета НДС не превышала 60 млн рублей. Нововведения, по мнению наблюдателей, будут способствовать развитию инновационных платежных инструментов и внесут существенный вклад в популяризацию безналичных платежей в нашей стране. Если изучить ситуацию на более продвинутых финансовых рынках, то окажется, что на них больше внимания уделяется уже не пластиковым картам, а смартфонам. Одна из международН А Ц И О НАЛЬНЫ Й БАНКОВСК ИЙ ЖУРНА Л
THE BEST UPGRADE 2014
ных компаний по производству программного обеспечения представила интересный обзор, посвященный предпочтениям пользователей смартфонов. Большинство из них заявили о желании расширить услуги мобильного банкинга, в том числе 53% клиентов дали понять, что они заинтересованы в наличии возможности делать платежи с собственного счета. 50% респондентов хотят переводить деньги с одного счета на другой с помощью смартфонов. 59% желают получать через смартфон уведомления о возможной мошеннической деятельности. В Британии будет активно развиваться покупка товаров через приложения на смартфоне. По крайней мере такие банки, как HSBC, First Direct, Nationwide, Santander и MetroBank, объявили: новое мобильное приложение Zapp будет внедрено в уже существующий мобильный банкинг и станет доступным для 18 млн их клиентов. А перечисленные финансовые учреждения обслуживают более трети банковских счетов в Великобритании. Система будет работать следующим образом. Клиенты будут иметь возможность видеть остатки средств на всех своих счетах и решать, с какого именно счета производить оплату. Когда покупатель подойдет к кассе в магазине, на его телефон будет отправлен специальный код, который в случае принятия активирует списание нужной суммы. Кроме того, клиенты смогут отсканировать код в смартфон, например, с ресторанного чека или экрана карточного терминала. Код будет содержать всю информацию о транзакции, включая цену, детали сделки и описание товара или услуги. Все данные отобразятся на экране смартфона клиента. Благодаря возможностям сенсорного экрана принять или отклонить код можно простым движением пальца. Поставщики услуги утверждают, что данная технология гораздо безопаснее, чем использование пластиковых карт, так как уникальный код прекратит свое действие ровно через три минуты после его получения клиентом. В нашей стране вопрос о том, как привлечь пользователей к тому или иному виду дистанционных услуг, стоит именно перед банками, ведь они
осуществили значительные инвестиции в соответствующую инфраструктуру. О том, как на практике убедить клиентов пользоваться ДБО, рассказали представители крупных розничных банков. Директор департамента розничного бизнеса и управления региональной сетью Росгосстрах Банка Вилен Ли сообщил, что расширение доступных опций, а также упрощение проводимых операций, создание удобного интерфейса может стать основным инструментом привлечения клиентов. «Кроме того, немаловажным преимуществом использования мобильного банка для клиента может стать сниженная комиссия за проведение банковских операций или вовсе ее отсутствие, а также бесплатное использование мобильных сервисов», – уверен специалист. Начальник управления депозитных и комиссионных продуктов МОСКОВСКОГО КРЕДИТНОГО БАНКА Наталья Розенберг считает: чтобы заинтересовать клиентов мобильным банкингом, необходимо сделать хорошее приложение, соответствующее задачам пользователей и отвечающее всем требованиям безопасности. Кроме того, привлечь клиентов помогут следующие шаги и опции: возможность совершать платежи без комиссии, подарочные и стимулирующие акции и реклама. Начальник управления развития технологий дистанционных сервисов и продаж ХКФ Банка Илья Боровов ставит на первое место информирование клиентов о новых возможностях, в том числе обучение посредством коротких видео. «Второй важный аспект – это удобство процесса подключения услуги для клиента. Мы уверены, что пользователь должен иметь возможность подключить услугу дистанционно, пройдя как формальную, так и косвенную идентификации», – поясняет эксперт. Также представители банков отмечают, что процесс аутентификации в приложении должен быть понятен любому пользователю, в том числе не обладающему широкими познаниями в области мобильного ПО. Для этого у мобильного приложения должен быть дружественный и понятный интерфейс. upgrade the best publications 2014
13
THE BEST UPGRADE 2014
№ 2 (117) FEBRUARY 2014
Информзащита собственными силами С. КУРОЧКИН: «У каждого банка есть свои особенности бизнес-процессов, поэтому готовый рецепт для обеспечения их безопасности со стороны получить невозможно» беседовала
Анастасия Скогорева осуществляется на информационные системы клиентов. Не редки случаи, когда угрозой для клиента является он сам по причине невнимательности и нежелания соблюдать рекомендации банка при пользовании, например, пластиковыми картами или интернетбанкингом. В отношении задач я бы ответил на вопрос так: целью любого бизнеса является получение прибыли, банковский бизнес не исключение. В процессе осуществления банком своей деятельности постоянно возникают риски. Поэтому мы считаем, что наша главная задача – способствовать минимизации рисков информационной безопасности, адекватно оценивать и прогнозировать их. NBJ: Начнем со злоумышленников: часто можно услышать, что они становятся все более изобретательными при проведении атак. Вы согласны с этим наблюдением?
Кто способен принести больше вреда кредитной организации: злоумышленники, осуществляющие целенаправленные атаки на информационные системы банков, или клиенты, не уделяющие внимания безопасности конфиденциальных данных? На кого должно в первую очередь полагаться финансовое учреждение, выстраивая свою систему информационной безопасности? На эти и другие вопросы ответил в интервью NBJ заместитель 14
upgrade the best publications 2014
директора департамента безопасности – начальник отдела защиты информации Связь-Банка Сергей КУРОЧКИН. NBJ: Сергей, какие угрозы с точки зрения ИБ представляют сейчас наибольшую опасность и, соответственно, какие задачи стоят перед Вами, как начальником отдела защиты информации? С. КУРОЧКИН: Если говорить об угрозах, то чаще воздействие злоумышленников
С. КУРОЧКИН: Не совсем. Крупные атаки на информационные системы банков достаточно редки. Куда чаще мы сталкиваемся с попытками завладеть денежными средствами клиентов с помощью похищенных паролей, ПИН-кодов и т.п. Этому есть разумное объяснение: готовить и осуществлять крупную атаку на инфраструктуру финансового института, на его информационные системы экономически не целесообразно. Причина проста: банк технически и организационно хорошо подготовлен к противодействию атакам, в том числе и потому, что находится под жестким контролем регулятора. Получается, что гораздо проще и экономически выгоднее воздействовать на другую НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К И Й Ж У Р Н А Л
№ 2 (117) FEBRUARY 2014
сторону – на потребителя банковских услуг, поскольку он априори является наименее защищенным звеном в этой цепочке. NBJ: Но атаки на одиночек-потребителей вряд ли могут сулить злоумышленникам большие доходы. С. КУРОЧКИН: А это та самая ситуация, когда курочка по зернышку клюет. Конечно, здесь многое зависит от того, против какого клиента проводится атака. Не стоит полагать, что страдают от действий злоумышленников исключительно физические лица. Юридические лица также не всегда отличаются дисциплинированностью при соблюдении рекомендаций по обеспечению информационной безопасности. Понятно, что атака на юрлицо может оказаться более прибыльной для мошенников, чем воздействие на клиентов-физлиц. NBJ: СМС-информирование – очень интересный вопрос, поскольку часто можно услышать жалобы банкиров, что такое информирование в нормальном режиме невозможно, потому что мобильные операторы не несут никакой ответственности за своевременную передачу сообщений. С. КУРОЧКИН: Это действительно пробел в нашем законодательстве. На мой взгляд, мобильные операторы, конечно, должны нести ответственность, если они по каким-то причинам своевременно не передали клиенту сообщение о совершенной операции. Сейчас ситуация такова: если со счета клиента утекли средства, то за это должен заплатить банк. Естественно, это не может устраивать участников банковского рынка. NBJ: В то же время можно отметить, что внимание банков к нестандартным операциям, проведенным клиентами, повышается. С. КУРОЧКИН: Да, конечно. В нашем банке внимание этому уделяется уже достаточно давно. В частности, ведется круглосуточный мониторинг операций по картам, и если оператор выявляет признаки нехарактерной операции, то он незамедлительно пытается связаться с клиентом. Н А Ц И О НАЛЬНЫ Й БАНКОВСК ИЙ ЖУРНА Л
THE BEST UPGRADE 2014
NBJ: Мы с Вами обсуждаем пока проблемы, связанные с наличием внешних угроз. Но есть и внутренние угрозы – риск утечки персональных данных клиентов или их средств в результате либо злонамеренных действий сотрудников, либо их халатности и непрофессионализма. Насколько актуальна эта проблема? С. КУРОЧКИН: Некоторые компании, специализирующиеся на противодействии утечкам информации, в своих исследованиях называют данную угрозу основной. Мне сложно оспорить или согласиться с этим по следующим причинам. С одной стороны, подобные компании заинтересованы в продвижении своей продукции, поэтому они могут преувеличивать размер бедствия. С другой – внутренние угрозы реализуются не часто, но могут принести ощутимый ущерб. Именно по данной причине внутренние угрозы не следует списывать со счетов. NBJ: Потому что они способны нанести банку больший ущерб, чем разовые хищения средств с карт клиентов? С. КУРОЧКИН: Да. Именно поэтому большое внимание уделяется разработке превентивных мер предотвращения внутренних угроз. И здесь я хочу воздать должное тем, кто писал СТО БР ИББС: в стандарте заложен верный принцип минимизации и разделения полномочий сотрудников. Реализация этого принципа позволяет серьезно снижать риск возникновения внутренних угроз в банках. NBJ: Насколько мне известно, в СТО БР ИББС также прописаны методики определения уровня информационной безопасности в банках. С какой периодичностью в вашем банке проводится оценка соответствия стандарту? С. КУРОЧКИН: Что касается оценки, то мы проводим ее так, как рекомендует стандарт – раз в три года. Предыдущую оценку соответствия стандарту мы проводили почти три года назад. NBJ: А как проводится оценка уровня защищенности в вашем банке – самосто-
ятельно или с привлечением внешних аудиторов и взломщиков? С. КУРОЧКИН: Мы полагаемся на мнение профессионалов, поэтому привлекаем внешних аудиторов из состава некоммерческого партнерства «Сообщество пользователей стандартов по информационной безопасности АБИСС». Уверен, что данный подход позволяет провести более объективную оценку состояния нашей системы информационной безопасности. NBJ: Можно ли сказать, что за последние несколько лет существенно изменился подход к ИБ? С. КУРОЧКИН: Тут есть несколько немаловажных аспектов. Если брать горизонт последних десяти лет, то нужно учитывать, что за данный период информационные технологии в своем развитии сделали далеко не один большой шаг вперед. В этой связи изменились и методики воздействия злоумышленников как на людей, так и на технические средства. Второй аспект – в 2008 году страна пережила известный кризис. Он наложил серьезный отпечаток на банки, в том числе и на Связь-Банк. Как следствие, изменился и подход к вопросам обеспечения информационной безопасности в банке. NBJ: В лучшую сторону? С. КУРОЧКИН: Да. Нашим основным акционером стала государственная корпорация. В целом внимание к вопросам обеспечения ИБ стало более пристальным. NBJ: Еще один вопрос, связанный со статусом банка: как фактически государственной кредитной организации, ей легче общаться с правоохранительными структурами по вопросам противодействия мошенничеству в сфере информационной безопасности? Не секрет, что многие банки сетуют на то, что для них подобное взаимодействие оказывается недостаточно эффективным. С. КУРОЧКИН: Это вопрос не структуры капитала или собственности, а вопрос ожиданий. Я думаю: ощущение недостаupgrade the best publications 2014
15
THE BEST UPGRADE 2014
№ 2 (117) FEBRUARY 2014
точной эффективности данного взаимодействия напрямую связано с тем, что банки ожидают от правоохранительных органов чудес оперативности. Лично я считаю: надо быть реалистом и отдавать себе отчет в том, что не каждый сотрудник МВД или ФСБ в состоянии сделать невозможное.
анализировать и правильно изложить интегратору – вот тогда и становится возможным эффективное внедрение. В противном случае – нет.
NBJ: Я так понимаю, еще одна проблема заключается в том, что нет рычагов законодательного воздействия на мошенников в сфере информационной безопасности. Иными словами, если человек украл кошелек в трамвае, то понятно, как его действия классифицируются и наказываются. А если он увел средства с карточки банковского клиента или взломал информационную базу банка?
С. КУРОЧКИН: Конечно. Одно и то же решение может на 90% подойти одному банку и гораздо в меньшей степени – другому. Поэтому практически всегда необходима адаптация системы на этапе внедрения, а вот размер этой адаптации уже зависит от того, насколько правильно и точно заказчик, то есть банк, донес до подрядчика свои пожелания.
С. КУРОЧКИН: Практика показывает, что злоумышленники в таких случаях отделываются либо штрафами, либо условными сроками. Кстати, бывает и так, что они охотно возмещают нанесенный ущерб, и тогда, как вы понимаете, исчезают основания для предъявления им претензий. NBJ: Весьма логично: ущерб они возмещают, например, одному держателю карты, а сколько они обобрали до этого – большой вопрос. С. КУРОЧКИН: Совершенно верно, поэтому в сфере информационной безопасности банкам приходится надеяться прежде всего на себя. NBJ: А на разработчиков, предлагающих различные решения в сфере ИБ? С. КУРОЧКИН: В меньшей степени. В данном случае я говорю не о качестве отдельных предложений, а о том, что у каждого банка есть свои особенности бизнес-процессов, поэтому готовый рецепт для обеспечения их безопасности со стороны получить невозможно. Кроме того, ни один специалист компании-разработчика не может знать и предугадать все потребности кредитной организации по одной простой причине – он не телепат. Информацией в полном объеме может владеть только сотрудник банка. Если он в состоянии эту информацию аккумулировать, про16
upgrade the best publications 2014
NBJ: То есть решения, предлагаемые разработчиками, априори стандартизированные?
NBJ: Но я так понимаю, Связь-Банк все же приобретает решения внешних подрядчиков. Практика самописных баз и систем окончательно ушла в прошлое? С. КУРОЧКИН: Законодательство не запрещает использование «самописок», но указывает, что разработка решений и оказание клиентам услуг с применением криптографических средств подлежит лицензированию. Банку не нужно становиться лицензиатом, у него другие задачи, поэтому выгоднее выбрать одно из предложений и внедрить разработку внешнего подрядчика. NBJ: На рынке есть разные подходы к выбору как интегратора, так и решений. Например, многие банки гордятся тем, что тот или иной продукт в сфере ИБ они внедрили первыми. Связь-Банк когданибудь выступал пионером? С. КУРОЧКИН: Пожалуй, один раз. Речь идет о внедрении системы высокоскоростного шифрования информации при передаче ее в оптических средах между строившимися тогда новыми (основным и резервным) центрами обработки данных. В некотором роде мы стали первопроходцами, установив в 2010 году на магистральных оптических каналах связи шифраторы на тот момент еще малоизвестной на российском рынке австралийской компании Senetas. Надо отметить, что в данном случае приходилось рисковать, поскольку такие системы в Рос-
сии ранее никем еще не внедрялись. Однако риск оказался оправдан: уже три года на скорости света – полет нормальный. NBJ: И все же когда выбирается решение, на что Вы в первую очередь обращаете внимание: на цену, функциональность, репутацию разработчика, другие моменты? С. КУРОЧКИН: Что касается репутации, то я бы не стал недооценивать значимость этого критерия. Немалое значение имеют наличие экспертного мнения, возможность посмотреть, как выбранные продукты зарекомендовали себя после их внедрения в других организациях. Если говорить о конкретике, то в данный момент, например, у нас в банке используются решения различных разработчиков: наша АБС построена на платформе ЦФТ, определенные продукты мы приобретали у компании BSS. NBJ: Вы предпочитаете приобретать продукцию отечественных производителей? Решения иностранных интеграторов слишком дорогие? С. КУРОЧКИН: Дело не в цене, а в том, что разработки российских производителей адаптированы к изменениям в нашем законодательстве. Практика показывает, что нет оснований надеяться на то, что в системах зарубежного производства смогут так же эффективно отслеживаться изменения в российском законодательстве и регулировании. Обычная практика такова: «западники» создают систему, а ее адаптацией под российские реалии занимаются уже их партнеры – российские компании. NBJ: Тем не менее цена решения, наверное, важна? С. КУРОЧКИН: Конечно. Но куда важнее соотношение «цена – качество». Не много радости будет, если банк приобретет дешевое решение, а потом при его внедрении и адаптации возникнут проблемы. С другой стороны, кредитнофинансовые организации должны уметь регулировать свои расходы, и здесь не имеет значения, идет ли речь о банке с государственным участием или о стопроцентно частном учреждении. НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К И Й Ж У Р Н А Л
пора понять, что аутсорсинг неизбежен для всех, и перестать сопротивляться, чтобы даже в непростых экономических условиях быть эффективной, управляемой организацией, способной оперативно меняться и совершенствоваться
Как говорил один умный и просвещенный человек, человечество – это подводная лодка. И каждая страна в ней – отсек. Россия, США, Индия, Китай, Иран, Афганистан… Какое-то далекое время назад эти отсеки были автономными, но глобализация их свинтила и пронзила электричеством, каналами связи, Интернетом, трубопроводами нефти и газа, торговлей, туризмом. В итоге автономия отсеков стала невозможной. Все это отражается на мировом хозяйстве, которое превращается в единый рынок товаров и услуг, капитала и рабочей силы, знаний и навыков
THE BEST UPGRADE 2014
Глобализация неизбежна, как и аутсорсинг текст
Юрий Грибанов, собственник компании «ЮНИТ-Оргтехника»
Интенсивность процесса глобализации в последние годы подтверждает цитата из Плана выполнения решений Всемирной встречи на высшем уровне по устойчивому развитию (Йоханнесбург, 2002 г.): «В результате глобализации внешние факторы приобретают решающее значение в определении успеха или неудачи национальных усилий». Не секрет, что за управление глобализацией мирового хозяйства ответственны транснациональные компании (ТНК), которые в свое время сами стали плодом планетарного объединения производительных сил. Именно они являются движущей силой и определяющим фактором в мировой экономике в наше время. Условия, созданные ТНК, способствовали выводу производительных сил различных профилей в отдельные компании и обеспечили появление и развитие отрасли специализированных услуг, именуемых аутсорсингом. И в этом нет ничего удивительного: силы, собранные воедино, становятся управляемыми. АУТСОРСИНГ: КТО ВЛАДЕЕТ ИНФОРМАЦИЕЙ, ТОТ ВЛАДЕЕТ СИТУАЦИЕЙ В настоящее время аутсорсинг представляет собой сформированную отрасль, которая имеет свои ответвления, свои стандарты. В ИТ-аутсорсинге пока еще со стандартами сложно, но существуют инициативные коллективы, которые над этим работают. По моим убеждениям, ориентировочно через два-три года единый для всех стандарт по ИТ-аутсорсингу все-таки будет сформирован и внедрен. Лет 10–15 назад об этом не могло быть и речи. Естественно, аутсорсинг в первую очередь эффективен при осуществлении глобального управления. Но отношение к аутсорсингу со стороны принимающей стороны всегда было неоднозначным, чаще всего мы видим крайне отрицательное отношение, потому что за время существования аутсорсинга о нем появилось множество мифов. Рассмотрим их на примере ИТ-аутсорсинга. Сразу скажу: речь идет только о высокопрофессиональном аутсорсинге, а не обо всем том, что предлагает рынок. Н А Ц И О НАЛЬНЫ Й БАНКОВСК ИЙ ЖУРНА Л
МИФ № 1: АУТСОРСИНГ – ЭТО ДЕШЕВО Многие считают, что это так, и у них соответствующие ожидания. Но, по сути, это тот же сервис, который заказчик оказывает сам себе, только более управляемый и качественный. Почему он должен быть дешевым? Это услуга, которая имеет свою цену, и она должна быть адекватна уровню ее оказания. МИФ № 2: АУТСОРСИНГ ОДНОЗНАЧНО ДЕШЕВЛЕ Тоже популярное заблуждение. У заказчика работают люди, которые имеют определенную квалификацию, функционирует оборудование, требующее соответствующего обслуживания (со всеми расходными материалами и запасными частями), действуют службы по сопровождению данных процессов. Это все стоит денег. Так почему аутсорсинг должен быть дешевле? У сервис-провайдера работают такие же люди, такие же службы. Конечно, когда ИТ-инфраструктура представляет из себя непролазное болото, в котором топнут сотни непонятных статей затрат, то да, аутсорсинг даст весомую экономию. Но в остальных случаях квалифицированный сторонний сервис будет соизмерим со стоимостью собственных затрат. МИФ № 3: ПРИ АУТСОРСИНГЕ ТЕРЯЕТСЯ ГИБКОСТЬ Если под гибкостью понимается возможность привлечь ИТ-специалиста не по прямому предназначению или в нерабочее время, то да, гибкость будет потеряна. Если же речь идет о гибкости сервисов и инфраструктуры в целом, то это, конечно, неправда. Гибкость обеспечивается формализацией процессов. МИФ № 4: ДОЛГОЕ ВНЕДРЕНИЕ Продолжительный и болезненный запуск множества аутсорсинговых проектов, к сожалению, основательно закрепил в головах руководителей уверенность в том, что внедряется услуга очень долго и муторно. На самом деле затяжное внедрение услуги – это не классическое качество аутсорсинга, а признак непрофессионализма и неготовности к работе. Оперативность
внедрения напрямую зависит от профессионального уровня сервис-провайдера, а также от степени формализации процессов запуска. МИФ № 5: НИЗКИЙ УРОВЕНЬ КВАЛИФИКАЦИИ СПЕЦИАЛИСТОВ АУТСОРСЕРА Во-первых, аутсорсеры располагают узкоспециальными сотрудниками, чей опыт очень эффективно можно консолидировать. Во-вторых, выработка этих сотрудников будет всегда выше, так как аутсорсер получает прибыль именно от их качественной работы, поэтому он в первую очередь заинтересован в эффективности и высокой производительности труда, чего не скажешь о специалистах заказчика. МИФ № 6: МЕДЛЕННАЯ РЕАКЦИЯ АУТСОРСЕРА Действительно, когда собственный ИТспециалист сидит в соседнем кабинете, его можно «пнуть», поторопить сделать что-то с оборудованием, которое сломалось, или попросить настроить почту на личном айпаде, например. Тем более если ты начальник. А как обстоят дела с остальными пользователями? Ведь на каждую тысячу сотрудников приходится всего человек 15 айтишников. Вот там-то и начинаются сроки, которые исчисляются днями и неделями. Да, при аутсорсинге «пинать» не получится, нерегламентные работы без дополнительной оплаты тоже не пройдут, появляется строгий план взаимодействия с подрядчиком, но зато будут ясные показатели и четкие сроки, независимо от местонахождения пользователя и его отношений с ИТ-специалистом. Только не стоит забывать об SLA и обязательных штрафных санкциях, применяемых при его невыполнении. МИФ № 7: С ПРИХОДОМ АУТСОРСЕРА ПОЯВЛЯЕТСЯ РИСК УТЕЧКИ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ Для пресечения утечки информации существуют соответствующие службы (подразделения по защите бизнеса или по информационной безопасности), которые отвечают за определенный доступ конкретных людей к системам. Каждая upgrade the best publications 2014
17
THE BEST UPGRADE 2014
категория сотрудников располагает ровно теми данными и возможностями их изменить, на которые даст добро одна из вышеуказанных служб. Зона ответственности специалистов аутсорсера, как правило, не затрагивает «тайные зоны» заказчика, но даже если работа ведется на грани, то здесь опять же вопрос к «безопасникам». Ну и не забываем про NDA. МИФ № 8: ВСЕ САМО БУДЕТ РАБОТАТЬ, ЗАКАЗЧИКУ ОСТАЕТСЯ ТОЛЬКО ОТДЫХАТЬ Ожидание заказчиков аутсорсинга, что, оплатив услугу, о заботах можно забыть, крайне опасно. Опасно для ИТ, для проекта, для карьеры ответственных сотрудников. Успех и эффективность аутсорсинга возможны только при заинтересованности обеих сторон и их непосредственном участии. И таких мифов еще много. Удивительно, но многие не хотят видеть реальную выгоду от аутсорсинга. А ведь если взять только верхний уровень преимуществ, которые дает комплексная услуга, можно в действительности преобразовать сложную и неуправляемую ИТ-инфраструктуру в прозрачный и эффективный механизм. Если вы уверены, что ваша ИТ-инфраструктура работает эффективно, то задайте несколько простых вопросов ИТ-директору: Сколько стоит ИТ-инфраструктура? Сколько стоит сопровождение ИТинфраструктуры в разрезе на одну единицу АРМ (автоматизированное рабочее место), на одну напечатанную страницу, сервер, порт СКС, ККМ (контрольно-кассовую машину) и т.д.? Сколько нужно времени на развертывание ИТ-инфраструктуры одного офиса? Сколько это стоит? Есть ли стандарт на сервис? Насколько формализовано взаимодействие с сервис-провайдерами? Насколько быстро и безболезненно можно сменить одного поставщика услуг на другого? Каковы показатели KPI по каждому сервису? Довольны ли пользователи? Существуют ли регламентные сроки выполнения запросов? Какие они? Сколько в месяц/год простаивает оборудование, какова его 18
upgrade the best publications 2014
доступность (процент рабочего состояния)? Где и сколько установлено техники? Каковы ее инвентарные номера и техническое состояние? Сколько нужно будет закупить ЗиП и расходных материалов в следующем месяце, сколько было закуплено в прошлом? Все ли использовано эффективно? Сколько капитальных ИТ-затрат понесет компания в следующем году? На что они пойдут? Какое количество оборудования будет закуплено, почему именно такое количество? На многие вопросы ответов вы не получите. Или получите такой ответ: «Мы соберем статистику, посчитаем и т.д.». А в итоге все затянется, забудется или в крайнем случае будет предоставлена недостоверная информация. Причина проста: в крупной организации без комплексной услуги такими данными располагать практически невозможно. А ведь это ключевая информация, располагая которой можно не поддерживать ИТ-инфраструктуру, а умело и эффективно управлять ею. Комплексная услуга обеспечивает централизацию, прогнозируемость и прозрачность затрат на сервис. Все неисчисляемое множество статей расходов становится видно в разрезе единиц оборудования и структурных единиц организации. Становится понятно, сколько стоит сопровождение и эксплуатация оборудования, ИТ-инфраструктура одного офиса, ИТ-инфраструктура в целом и, самое главное, почему она столько стоит. Значительно возрастает способность к масштабированию сервисов. С аутсорсингом не существует стихийных открытий новых офисов и торговых точек, при которых весь ИТ-персонал заказчика экстренно десантируется в зону появления объектов. Все работы ведутся по регламенту, по SLA. Договорились уведомлять подрядчика за неделю – значит через неделю ИТ-инфраструктура нового объекта будет готова. По единой цене и без потерь для бизнеса от срыва сроков. Аутсорсинг позволяет оперативно, планово и без лишних трат копировать объекты филиальных сетей заказчиков. Наши примеры: «Адидас», Русфинанс Банк, Х5 Retail Group и многие другие. Все объекты открываются в срок, бизнес заказчика не останавливается в любых регионах
ни на минуту. Все эти процессы в короткие сроки преобразуют ИТ-руководителя из хозяйственника и «рутинника» в управленца. Он получает возможность владеть всей необходимой и актуальной информацией по ИТ-инфраструктуре. А кто владеет информацией, тот владеет ситуацией, по-другому никак. ГЛОБАЛИЗАЦИЯ ИДЕТ КАК АСФАЛЬТОВЫЙ КАТОК Вернемся к глобализации. Каковы ее перспективы в проекции на аутсорсинг? Ответ на этот вопрос стоит начать с того, что происходит в экономике в целом. Очевидно, что количество игроков рынка товаров и услуг будет сильно сокращено. Мы это видим на примере банков России, чье количество, по последним данным, уменьшается на семь-десять единиц в месяц. Однозначно, непрофильные функции будут выведены у всех. В качестве примера возьмем компании нефтегазового сектора и их сервисные бизнес-единицы («РН-Информ», «ЛУКОЙЛ-ИНФОРМ», «Башнефть-Информ», «Газпром информ» и т.д.), которые являются самостоятельными юридическими лицами и претендуют на расширение своего бизнеса за пределы головных организаций (несмотря на это, на практике сервисные дочерние компании являются лишь генподрядчиками, а вся реальная работа ведется силами сторонних поставщиков услуг). В любом случае экономические и законодательные условия принудят тех, кто еще самостоятельно на это не решился, передать сторонним организациям непрофильные функции. Силы по оказанию услуг консолидируются в обособленные компании уже несколько лет. На данный момент их уже слишком много, а профессиональных организаций среди них мало. Все это на фоне глобализации приведет к тому, что крупных сервисных компаний будет немного. Например, ИТ-аутсорсеров в России будет не больше пяти-семи уже в 2016 году. Средние компании исчезнут как класс, останутся только крупные и множество мелких, региональных. Время стартапов и инсорсинга уходит. Наступает период активного аутсорсинга. В этих условиях не только поставщикам услуг, но и их заказчикам следует заранее занять свою нишу, чтобы в будущем быть на коне. Количество секторов в подводной лодке ограничено. НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К И Й Ж У Р Н А Л
THE BEST UPGRADE 2014
Несмотря на это, по-прежнему остается довольно большое количество препятствий для бурного распространения аутсорсинга. Их условно можно разделить на препятствия со стороны сервис-провайдеров и со стороны заказчиков. Со стороны сервис-провайдеров: много неэффективных компаний, не понимающих смысла аутсорсинга; большое количество разобранных на части услуг, которые аутсорсингом не являются; много провальных проектов, в том числе комплексных; сервисы не стандартизированы, подаются по-разному, порождают бардак в проектах и на рынке в целом; контракты получают вендоры с именем, но без инструментов и методик организации качественных услуг на территории РФ, результат – плохой сервис, непрозрачная услуга, дополнительные счета, ненужные аудиты, долгий запуск; контракты получают интеграторы с именем и административным ресурсом – результат как у вендоров; контракты получают инвестиционные проекты с неограниченным финансовым ресурсом, но хороший сервис нельзя организовать имея лишь деньги, результат – компанияпоставщик увеличивается, появляется множество надстроек, себестоимость катастрофически растет и близится момент, когда инвесторы начнут задавать вопросы, следовательно, себестоимость придется снижать за счет качества. Со стороны заказчиков: неверный экономический расчет и последующее заключение о дороговизне услуги; личная заинтересованность в бардаке, карманные компании-поставщики; противодействие на местах как пресечение рисков потерять рабочее место, снова карманные компании, но на этот раз региональные; боязнь сменить статус-кво и принять ответственность за решения; страх болезненного перехода на аутсорсинг; Н А Ц И О НАЛЬНЫ Й БАНКОВСК ИЙ ЖУРНА Л
боязнь «сесть на иглу» аутсорсинга; страх провального проекта; сложные требования к услуге от заказчиков, неадекватные технические задания; общее непонимание, каким должен быть аутсорсинг (одни продают не пойми что, другие это не пойми что покупают). Дополняют все вышеуказанные препятствия недобросовестная конкуренция (административный ресурс + коррупция) и крайне низкий уровень стандартизации ИТ-сервисов. Стандартизация практически отсутствует в большинстве случаев. Не нужно слушать тех, кто говорит про успешность внедрения ITIL, ITSM и т.д. Это не стандарты, а описание положительно реализованных проектов, созданное по заказу британского правительства и издаваемое его агентством. Положительные проекты были реализованы не в России, и их соответствие ИТ-сервисам той или иной британской организации не дает никаких гарантий на территории РФ. Россия – уникальная страна со своими территориальными, законодательными и ментальными особенностями. Британская теория у нас не работает, это доказано на практике: у множества богатых российских компаний, особенно ТЭК и финансового сектора, ИТ-инфраструктура находится в состоянии хаоса, хотя ИТ-боссы и их подчиненные обвешаны кучей сертификатов и дипломов, в том числе ITIL. Что делать? Несмотря на вышеуказанные препятствия, инструментов для эффективного и оперативного внедрения услуг достаточно уже сейчас. Просто к задаче надо подойти с умом и воспользоваться проверенными на практике методиками. После принятия решения о внедрении услуг сторонних поставщиков необходимо определить три группы требований: к сервису, к поставщикам и к ценовому коридору. Для начала нужно понять, какой результат нужен от сервиса, поэтому важно определить, кто из поставщиков готов за него ручаться. Это будет первым фильтром от неподходящих сервис-провайдеров. Затем из оставшихся необходимо выбрать тех, кто в действительности готов выполнить обязательства, чтобы оградить себя от рисков, связанных с теми или иными срывами в проекте. Это будет вторым фильтром.
Риски, связанные с демпингом или, наоборот, со сверхвысокими ценами устранят требования к ценовому коридору, которые формируются с учетом среднерыночной стоимости услуг. Данный подход разработан нами давно, много материалов по нему написано, и он уже используется другими участниками рынка. Несмотря на всю его правильность и эффективность, далеко не все проекты получаются успешными, так как многие сервис-провайдеры и заказчики допускают много ошибок при его использовании. Стопроцентный успех будет возможен только при наличии: заинтересованности в аутсорсинге обеих сторон, а не только поставщика услуг; максимальной формализации бизнес-процессов, в особенности детального и тщательного заполнения и соблюдения протокола запуска проекта с указанием всех необходимых мероприятий, сроков и ответственных лиц; настройки оптимального интерфейса взаимодействия и полного его соблюдения (четкое разделение зон ответственности сотрудников, имеющих отношение к проекту, отсутствие дублирующих функций, строгая ответственность и т.д.); инструментов для контроля аутсорсера (онлайн-мониторинг запросов, история обслуживания каждого устройства, регулярная отчетность и т.д.); возможности оперативной смены аутсорсера (за счет формализации процессов). В бизнесе очень важно идти в ногу со временем. А время диктует новые правила, порой очень неожиданно. Но подстроиться под грядущие обстоятельства можно уже сейчас, чтобы потом не догонять тех, кто уже перестроился. Глобализация идет как асфальтовый каток, и лучше заранее стать автострадой, чем потом быть щебенкой, песком или обочиной. Что касается аутсорсинга, то он неизбежен для всех. Пора это понять и перестать сопротивляться, чтобы даже в непростых экономических условиях быть эффективной, управляемой организацией, способной оперативно меняться и совершенствоваться. upgrade the best publications 2014
19
THE BEST UPGRADE 2014
№ 3 (118) MARCH 2014
Против лома есть приемы Как защитить от посягательств систему «Клиент-банк»? текст
Анна Кислицына
Система «Клиент-банк» представляет собой разработанный банком или сторонними вендорами онлайн-сервис или отдельный программный комплекс, который дает возможность пользователю дистанционно взаимодействовать с кредитной организацией посредством компьютера или телефона. Функциональность данного онлайн-сервиса очень заманчива для клиентов финансовых учреждений, однако она таит в себе и ряд опасностей, связанных прежде всего с уязвимостью удаленных каналов обслуживания, проще говоря, с рисками пользования Интернетом. В настоящее время существуют несколько видов атак на системы «Клиент-банк». Стоит уделить внимание самым распространенным из них. Сленговое слово «фишинг» означает получение злоумышленниками информации, которую клиент добровольно предоставляет о себе (например, номер кредитной карты, пароль и т.д.). 20
upgrade the best publications 2014
Как правило, клиенту банка направляется тщательно составленное письмо якобы от имени службы технической поддержки, содержащее просьбу о предоставлении конфиденциальных данных. Нередко подобные запросы объясняются проведением технических работ на сервере. Даже такая высокотехнологичная система, как «Клиент-банк», может быть атакована с помощью психологических приемов. Речь идет о социальной инженерии. Подобный способ имеет место, когда жертва работает в крупной компании, знать всех сотрудников которой невозможно. Этим часто пользуется взломщик: получив данные инвентаризации, злоумышленник может связаться с сотрудником фирмы от имени администратора и запросить у него пароль или иные конфиденциальные сведения. Отсутствие визуального контакта, тонкие психологические уловки зачастую не оставляют шанса вовремя распознать обман.
Вирусные атаки – один из самых старых и распространенных способов посягательства на чужой компьютер. В целях кражи денег с банковского счета вирусная программа способна похищать конфиденциальную информацию пользователя (в том числе пароли к интернет-банку), шпионить за клиентом, накапливая и передавая важные данные злоумышленникам. Также вирусная программа способна перенаправлять пользователя на подложные сайты, созданные мошенниками. Распространенный вид вирусов, разработанных и используемых для этих целей, – различные модификации троянов. Один из самых сложных незаконных способов доступа к системе «Клиентбанк» осуществляется с помощью ложного DNS-сервера (Dummy DNS Server). Это становится возможным, когда настройки сети проводятся в автоматическом режиме. При этом компьютер, включаемый в сеть, делает запрос через отправку широковещательного пакета, пытаясь выяснить, кто выступит в качестве его DNSсервера. Последний ищется для того, чтобы компьютер мог отправлять ему DNS-запросы. Широковещательные запросы могут перехватываться злоумышленниками, которые имеют физический доступ к сети. При этом взломщик выдает свой компьютер за DNS-сервер и получает возможность направлять ничего не подозревающего пользователя по необходимому маршруту. Система «Клиент-банк» может быть взломана с помощью установки шпионского программного обеспечения на смартфон или компьютер, при этом ПО тщательно маскируется под реальное приложение банка. Пользователь вводит в приложение-клон пароль, который перехватывается злоумышленником. Риску в данном случае подвергаются как постоянный, так и разовые пароли, высылаемые с помощью СМСНА Ц ИО НА Л Ь НЫ Й Б А НК О В С К И Й Ж У Р Н А Л
№ 3 (118) MARCH 2014
сообщений. Интерфейс шпионского программного обеспечения практически неотличим от оригинального банковского. Существуют как элементарные, так и довольно сложные рекомендации, знание которых поможет уберечь пользователя от взлома системы «Клиент-банк». Нужно избегать передачи конфиденциальной информации третьим лицам. Важно помнить, что администратор не должен запрашивать у вас пароль – у него есть возможность получить доступ к системе без посторонней помощи. Выписанные на бумагу данные авторизации в системе «Клиент-банк» должны быть надежно спрятаны. Желательно не допускать к сети посторонних лиц. Вице-президент Уральского банка реконструкции и развития Юрий Миронов предостерегает: «Нельзя забывать о том, что в 99% случаев атаки совершаются не на ПО интернет-банка, а на рабочие места пользователей, на их персональные компьютеры. Банк постоянно заботится о своих клиентах в данном направлении. Продолжая эту работу, УБРиР предоставляет новое программное решение, позволяющее безопасно работать в интернет-банке. Мы учитываем, что рабочие места пользователей могут быть уязвимы, и помогаем клиентам сделать их безопасными». Выбирая антивирусное программное обеспечение, следует обращать внимание не только на широко известные продукты, такие как Eset NOD32, антивирус Касперского, Dr.Web. По словам экспертов, весьма эффективно использование разработок, которые способны проверять реестр. Речь идет о таких антивирусах, как Spybot, Ad-Aware, XSpy. Использование системы «Клиентбанк» иногда предполагает наличие у клиента цифрового криптографического ключа для генерации электронноцифровой подписи, который нередко помещается на внешний носитель. Как правило, банки предлагают устройства eToken, Rutoken или Touch Memory. Необходимо оставлять их в компьютере пока совершается банковская операция. В противном случае может произойти так называемая компрометация ключа (доступ к нему получает третье, недобросовестное лицо). Н А Ц И О НАЛЬНЫ Й БАНКОВСК ИЙ ЖУРНА Л
THE BEST UPGRADE 2014
В целях безопасности операций, проводимых через систему «Клиент-банк», на компьютере должен быть установлен межсетевой экран (брандмауэр, фаервол), который будет препятствовать атакам вирусов и шпионских ПО через незанятые порты. Важно соблюдать осторожность при работе с системой «Клиент-банк» на компьютерах общего пользования – взаимодействовать с программой только через режим просмотра. Наиболее прогрессивным на сегодняшний день методом борьбы со взломом системы «Клиент-банк» является генерирование одноразовых паролей. Каждый сеанс входа в систему и проведения операции сопровождается отправкой сообщения с новой комбинацией символов. Существуют заранее сгенерированные одноразовые пароли, их в большом количестве помещают на материальный носитель, после чего передают в пользование клиенту. При необходимости с очередного пароля стирается защитное покрытие (если речь идет о карте) либо вскрывается ПИН-конверт, после чего данные вводятся для авторизации в системе. Так как те же самые пароли хранятся на сервере банка, клиент беспрепятственно пользуется услугами организации дистанционно. Динамически генерируемые пароли, в отличие от заранее сгенерированных, высылаются клиенту непосредственно перед входом в систему «Клиент-банк». Каналы отправки могут варьироваться: почта, мобильный телефон, банкомат в равной степени выполняют функцию передачи сообщения от банка пользователю. Подобный способ исключает вероятность потери карты или конверта с паролем, но делает данные более уязвимыми: информация может быть украдена. Эксперты ХКФ Банка отдают предпочтение динамически генерируемым паролям: «Для обеспечения надлежащего уровня безопасности используется виртуальная клавиатура и специальные проверочные символы (CAPTCHA). Для совершения операций в интернет-банке используется несколько уровней идентификации, каждая операция совершается с помощью отдельного СМС-кода. Клиенты могут самостоятельно на-
страивать уровень безопасности. У них есть возможность установить вход в интернет-банк по одноразовому паролю, не допуская вероятности получения информации по своим счетам третьими лицами». В наши дни также используются устройства, предназначенные для генерирования паролей для входа в систему «Клиент-банк». Они, как правило, невелики по размеру и просты в применении. Одноразовый пароль генерируется при нажатии специальной клавиши. Пароль активен не более одной минуты, его создание не зависит от Интернета, а само устройство привязано к своему владельцу, благодаря чему вероятность атаки злоумышленника сводится к минимуму. Предупредить совершение преступления легче, чем его раскрыть. Как поступают банки в случаях, когда кражи все-таки происходят? Имеет место целый комплекс мер, помогающих раскрыть преступление. «Если такое событие все же произойдет (кража денег у клиента – прим. ред.), и клиент обратится в банк с информацией о том, что его средства были похищены со счета, или человек обнаружит попытку несанкционированного доступа к его счету в интернет-банке, или банковская антифродовая система выявит попытку мошенничества, то мы незамедлительно блокируем доступ к счетам клиента через интернет-банк и связываемся с банком-получателем для блокировки денежных средств», – комментирует Юрий Миронов (УБРиР). После этого проводится индивидуальная работа с клиентом, предоставляются материалы служебного расследования по факту инцидента. При необходимости эксперты банка помогают пострадавшему от действий злоумышленников клиенту подготовить заявления в правоохранительные органы, в судебные инстанции, исковое заявление о возврате похищенных средств. Эксперты банков признают: идеального способа защиты от посягательств злоумышленников на средства банковских клиентов на сегодняшний день не существует. В значительной степени сотрудникам отделов безопасности кредитных организаций помогает сочетание тех или иных современных методов. upgrade the best publications 2014
21
THE BEST UPGRADE 2014
«Мобильный криминалист» – орудие борьбы со злоумышленниками О. ФЕДОРОВ: «Необходимо брать на вооружение и использовать решения, которые если не полностью исключат возможность утечек данных, то хотя бы радикально снизят этот риск» беседовала
Анастасия Скогорева
Злоупотребление информацией, составляющей коммерческую тайну, ее хищение и нецелевое использование, к сожалению, нередкие явления в жизни банковских организаций не только в России, но и за рубежом. Еще большее сожаление вызывает тот факт, что подобные инциденты службы безопасности финансово-кредитных организаций вынуждены расследовать, что называется, уже по факту. Между тем есть решение, способное предотвращать совершение должностных преступлений. О том, что оно из себя представляет, рассказал в интервью NBJ генеральный директор ЗАО «Оксиджен Софтвер» Олег ФЕДОРОВ. NBJ: Олег, расскажите, пожалуйста, немного о компании «Оксиджен Софтвер»: когда она была создана, какие направления деятельности были определены как приоритетные для нее в момент создания? О. ФЕДОРОВ: Мы считаем датой рождения нашей компании 29 февраля 2000 года – день, когда состоялась первая продажа нашего продукта. Тогда речь 22
upgrade the best publications 2014
шла о решении, позволяющем управлять данными в мобильных телефонах, в частности отсылать СМС-сообщения с компьютера. В какой-то момент мы узнали, что ее начали использовать для извлечения информации из мобильных устройств и предоставления ее в судах в качестве доказательства. Затем наступил 2008 год, и наши продажи упали буквально до нулевой отметки. Команда «Оксиджен Софтвер» приняла тогда решение отказаться от продвижения первого продукта и сосредоточиться на разработке программы «Мобильный криминалист», предназначенной для правоохранительных органов и компаний, которым надо следить за своими сотрудниками в рамках предотвращения утечек критически важной информации. Соответственно, мы на протяжении уже шести лет продолжаем работу над ней и над несколькими приложениями к ней. NBJ: То есть, если я правильно понимаю, использование разработанной «Оксиджен Софтвер» программы позволяет доставать из телефонов имеющуюся там информацию, например о звонках, которые совершал сотрудник? О. ФЕДОРОВ: Не только имеющуюся, но и ту, которая была из него удалена. И даже это еще не все: мы выстраиваем мощную аналитику, позволяющую сразу создать графики связей пользователей мобильными устройствами. То есть пользователи нашей программы избавляются от необходимости «шерстить» все приложения в телефоне, просматривать все отправленные СМС-сообщения и т.д. Сразу можно провести фильтрацию и найти нужную информацию.
NBJ: Очевидно, для чего банкам может понадобиться подобная программа: действительно, и утечки критически важной информации, и ее нецелевое использование могут обернуться для них как колоссальными финансовыми потерями, так и репутационным ущербом. Но здесь неумолимо возникает вопрос: позволительно ли «рыться» в мобильниках наемных работников? О. ФЕДОРОВ: Насколько нам известно, многие банки вносят соответствующие пункты в трудовые соглашения, которые они подписывают со своими сотрудниками. Следовательно, тот факт, что телефоны могут быть изъяты в любой момент в рамках проведения расследования или в качестве некоей превентивной меры, для людей не является сюрпризом. Более того, если в банке используется концепция BYOD, то часто в рамках подобных договоров сотрудников обязуют давать согласие на проверку своих личных телефонов. Тут в конечном итоге все зависит от того, насколько серьезно конкретный банк относится к сохранности данных и к обеспечению собственной безопасности. NBJ: Наш журнал часто пишет о различных средствах и решениях по обеспечению ИБ, однако, честно признаемся, о программах, аналогичных вашей, нам пока писать не приходилось. О. ФЕДОРОВ: Это неудивительно, если учесть, что банки пока отдают предпочтение решениям, которые носят не превентивный, а реагирующий на инцидент характер. То есть утечка информации уже произошла, и все, что может сделать после этого служба безопасности, – установить виновных, используя те или иные НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К И Й Ж У Р Н А Л
THE BEST UPGRADE 2014
решения. Однако практика показывает, что злоумышленник обычно начинает проявлять подозрительную активность еще до совершения должностного преступления. При первых же признаках можно изъять у него мобильный телефон, снять с него информацию, выявить цепочку подозрительных контактов и предотвратить утечку.
Young и PricewaterhouseCoopers в силу тех причин, о которых мы с Вами говорили выше: для них очень важное значение имеет сохранность и конфиденциальность имеющейся информации, поскольку в случае утечек под вопросом могут оказаться не только их доходы и репутация, но и доходы и репутация компаний, которые им доверяют.
ежегодно почти удваиваются. А это как нельзя лучше свидетельствует, с одной стороны, об эффективности решения «Оксиджен Софтвер», а с другой, о том, что российские компании – как банки, так и некредитные организации – начали осознавать, какую роль играет в жизни соблюдение принципов и стандартов информационной безопасности.
NBJ: Не секрет, что российские банки во многих сферах – и вопросы информационной безопасности здесь не исключение – привыкли равняться на своих более опытных зарубежных коллег. А иностранные финансовые организации используют аналогичные решения в своей деятельности?
NBJ: Предположим, наши банки пока еще только созревают, чтобы последовать в данном вопросе примеру западных коллег. Но, может, Вы назовете небанковские компании, которые уже являются вашими клиентами?
NBJ: Наверное, это становится ясно именно сейчас, когда в экономике страны сложилась такая непростая ситуация. Банкиры признают, что риски утечек информации в подобных условиях резко возрастают.
О. ФЕДОРОВ: Это довольно сложно, поскольку мы являемся производителями, а не дистрибьюторами нашего софта. Стандартная практика: мы производим программу и утилиты к ней и продаем ее системным интеграторам, а они предлагают «Мобильный криминалист» своим клиентам. Единственное, что я могу сказать, – продажи нашего решения
О. ФЕДОРОВ: Совершенно верно. Реактивных мер, то есть расследований, проводимых по факту совершения должностных преступлений, становится недостаточно. Необходимо брать на вооружение и использовать решения, которые если не полностью исключат возможность утечек, то хотя бы радикально снизят этот риск.
О. ФЕДОРОВ: Да, причем должен сказать, довольно давно уже используют. Чтобы не быть голословным, приведу в пример одного из лидеров американского банковского рынка – Bank of America Merrill Lynch. Аналогичными программами пользуются аудиторские фирмы Ernst &
n 2.1
ersio
site v
www.
.ru ОБЗОРЫ СЕМИНАРОВ И БАНКОВСКИХ МЕРОПРИЯТИЙ ПОЛНАЯ ВЕРСИЯ ЖУРНАЛА
О АТН Л ЕСП
НОВОСТИ БАНКОВ, КОМПАНИЙ
Б
НБЖ – НАСТОЯЩАЯ БАНКОВСКАЯ ЖИЗНЬ! Н А Ц И О НАЛЬНЫ Й БАНКОВСК ИЙ ЖУРНА Л
upgrade the best publications 2014
23
THE BEST UPGRADE 2014
№ 4 (119) APRIL 2014
Если есть доверие – люди работают эффективнее А. ЗАТУЛОВСКИЙ: «ИТ дает оценку той или иной работе, после чего бизнес расставляет задачи по степени значимости. ИТ информирует бизнес о своих ресурсах, а определение приоритетов позволяет использовать их наиболее эффективно» беседовала
Анна Кислицына
Как выстраивается взаимодействие ИТ-подразделения и бизнес-департаментов в Нордеа Банке? Какие наиболее значимые проекты реализованы финансово-кредитной организацией за последнее время и каковы планы банка по совершенствованию своей ИТ-составляющей? В чем главные проблемы с подбором персонала? На эти и другие вопросы ответил в интервью NBJ ИТ-директор Нордеа Банка Аркадий ЗАТУЛОВСКИЙ. NBJ: Аркадий Ефимович, расскажите, пожалуйста, о последних наиболее важных для Нордеа Банка ИТ-проектах. А. ЗАТУЛОВСКИЙ: С начала января 2013 года мы перевели головной офис на новую АБС и сделали это настолько мягко, что уже 15 января банк сдавал отчетность по новой системе без затруднений. В том же году мы внедрили кредитный конвейер в сфере авто- и потреби24
upgrade the best publications 2014
тельского кредитования, работающий на новой версии Siebel. Мы не просто перешли на новую версию – по сути, имел место полный реинжиниринг старой системы, который дал серьезный эффект. Теперь мы имеем автоматизированную систему, которая интегрирована со многими другими, например со скорингом. В результате примерно на 70% сократилось количество заявок, отправляемых на ручную обработку риск-аналитикам, что резко уменьшило себестоимость кредитов и ускорило процессы. Проект продолжается по сей день: сейчас мы работаем над автоматизацией рассмотрения заявок на кредитные карты, потом приступим к ипотеке. Один из самых значимых проектов связан с переходом группы Nordea на использование новой методологии при расчете взвешенных по риску активов (RWA) своей российской «дочки» – Нордеа Банка. Для реализации этого проекта мы провели подготовку и расчет данных российского подразделения Nordea по методикам, согласованным со шведским регулятором. Для этого мы должны были привести ИТ-системы в состояние, соответствующее требованиям регулятора, собрать сведения для отчетности в группу по новому расчету. Результаты проекта были очень высоко оценены руководством группы Nordea. Следующий проект, которым мы занимались, – создание общебанковского хранилища данных. Это стратегический для банка проект. Мы реализуем его этапами на протяжении нескольких лет. Каждый этап способствует усовершенствованию и управленческой, и МСФОотчетности. Речь идет в первую очередь
о блоке репортинга, который мы готовим для группы Nordea. В 2014 году завершилась основная фаза проекта. Два года назад мы завершили один очень интересный проект: мы внедрили систему мониторинга интеграционных решений. Сопровождением интеграционной шины в банке занимается небольшое количество людей. Мы максимально консолидировали не только логи самой шины, но и логи бизнес-систем, которые соединяются через шину с системой мониторинга. При любой проблеме последняя не просто сообщает, что есть сложность, но и показывает ее причину. Интеграционное решение – очень сложный механизм, который может сбоить. Очень важно как можно быстрее установить причину сбоя, чтобы не просто устранить его, но и не допустить его повторений в будущем. Еще один инновационный проект нашего банка называется SWIFTNet – разработка системы ДБО абсолютно нового типа. SWIFTNet создается для конкретного клиента. Предполагается, что между банком и клиентом не будет системы «Клиент-банк». Все платежи будут направляться через SWIFT, через нее же поступать в банки-партнеры, которые будут обрабатывать платежи и распределять по своим банковским системам. Это абсолютно инновационная идея, ее выдвинул сам клиент. Такое бывает крайне редко. Кроме того, речь идет о внутренней разработке банка. NBJ: Раз уж речь зашла о ДБО, задам уточняющий вопрос: Нордеа Банк реализует еще какие-либо проекты в этом направлении? НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К И Й Ж У Р Н А Л
№ 4 (119) APRIL 2014
А. ЗАТУЛОВСКИЙ: Да, у нас реализуются проекты по всем направлениям ДБО, в частности по системам «Клиент-банк» для юридических и физических лиц. В конце 2013 года мы предложили нашим клиентам мобильные приложения для пользования онлайн-банкингом через смартфоны. Работы по усовершенствованию дистанционного обслуживания активно продолжаются и в текущем году. ДБО – в настоящий момент очень актуальная тема. По статистике 2013 года 92% всех платежей приходили к нам в электронном виде. NBJ: Скажите, пожалуйста, насколько эффективно взаимодействуют бизнес- и ИТподразделения банка? Как изменились требования бизнес-департаментов к ИТ в последнее время? А. ЗАТУЛОВСКИЙ: Мы уделяем очень много внимания взаимодействию бизнес- и ИТ-подразделений банка. Два года назад мы провели цикл мероприятий, направленных на сглаживание углов в общении ИТ и бизнеса. В частности, мы внедрили новый механизм управления ресурсами ИТ, основанный на адаптированной модели группы Nordea. Суть механизма в следующем: для каждого бизнес-блока создается комитет по управлению ИТресурсами и выделяются отдельные аккаунт-менеджеры от ИТ. Раз в месяц проходит собрание комитета, где рассматриваются все заявки на доработки ИТ по данному блоку. Основная цель – обозначить приоритеты. ИТ дает оценку той или иной работе, после чего бизнес расставляет задачи по степени значимости. При этом ИТ информирует бизнес о своих ресурсах, а определение приоритетов позволяет использовать их наиболее эффективно. Аутсорсинг также входит в сферу ответственности таких комитетов. Еще одна цель данного механизма – постоянная совместная работа людей из ИТ и бизнес-подразделений, благодаря которой они быстрее находят общий язык, начинают больше доверять друг другу. Если есть доверие – люди работают эффективнее. Кроме того, в банке налажен процесс оценки уровня удовлетворенности внутренних клиентов, при котором различные подразделения оцениваются Н А Ц И О НАЛЬНЫ Й БАНКОВСК ИЙ ЖУРНА Л
THE BEST UPGRADE 2014
своими внутренними заказчиками. Мы получаем обратную связь, после анализа замечаний и предложений мы совершенствуем бизнес-процессы, особенно это касается сопровождения. NBJ: Каким образом в Нордеа Банке решается проблема безопасности информации, в том числе персональных данных клиентов? Имеется в виду защита и от инсайдеров, и от внешних посягательств. А. ЗАТУЛОВСКИЙ: Безопасности персональных данных мы уделяем максимум внимания. Каких-либо инцидентов, связанных с хищением конфиденциальной информации, в банке не происходит. NBJ: В последнее время многие кредитные организации задумались о более качественных ЦОД. Рассматриваются ли Нордеа Банком проекты по улучшению качества ЦОД, или есть планы по строительству собственного? А. ЗАТУЛОВСКИЙ: Действительно, мы строим собственный ЦОД. До этого мы внимательно изучали рынок, сравнивали строительство с арендой площадей, но в итоге склонились в сторону строительства. Запуск ЦОД ожидается в середине текущего года. Мы рассчитываем на то, что он резко повысит ИТ-устойчивость банка, даст нам возможность развиваться дальше. Мы очень внимательно следим за всеми мировыми трендами с точки зрения развития ИТ-инфраструктуры. Например, виртуализация в нашем случае уже практически дошла до своего логического конца. Системы, которые остались невиртуализированными, не нуждаются в этом, так как не демонстрируют положительного эффекта при виртуализации. Сегодня на рынке появляется масса интересных технологий, которые позволяют нам совершенствовать инфраструктуру с целью снижения расходов на нее. NBJ: Пользуетесь ли облачными технологиями? А. ЗАТУЛОВСКИЙ: Пока мы широко не используем облачный сервис, поскольку этот вопрос напрямую касается защиты
персональных данных. Нет сомнений в том, что мы начнем пользоваться «облаками» через несколько лет, как и все банки. Но сейчас, как мне кажется, еще не наступила зрелость провайдеров, не созданы необходимые юридические условия. NBJ: Как Вы оцениваете степень автоматизации процесса принятия решений о выдаче кредитов в Нордеа Банке? Потребовалась ли какая-то корректировка в связи с кризисом и ростом количества проблемных розничных кредитов? А. ЗАТУЛОВСКИЙ: Расскажу подробнее о проекте по запуску кредитного конвейера на платформе Siebel. Процессы, внедрение которых уже состоялось, демонстрируют радикальные изменения степени автоматизации. Кредитные конвейеры интегрируются, с одной стороны, с БКИ, с другой – со скоринговыми системами, системами маршрутизации заявки. Кроме того, мы интегрировали кредитный конвейер с банковской системой. У нас не предусмотрены ручные операции для одобренных заявок: через шину они попадают в АБС – все происходит c высокой степенью автоматизации. При этом важно понимать, что степень автоматизации зачастую определяется не только возможностями ИТ – это во многом вопрос бизнеса: готов ли бизнес передавать какие-то процессы на уровень систем. Наша цель – прийти к минимальному количеству ручного труда в банковских процессах при том же минимальном уровне рисков. Хотел бы напомнить: наш банк практически не работает с необеспеченными кредитами, у нас консервативная модель оценки рисков, мы работаем в ее рамках. NBJ: С какими проблемами приходится сталкиваться департаменту информационных технологий Нордеа Банка и лично Вам как руководителю? А. ЗАТУЛОВСКИЙ: В первую очередь с нехваткой человеческих ресурсов. Количество изменений в структуре ИТ огромно, велико число проектов, реализуемых бизнесом – и нам зачастую не хватает людей. На рынке сегодня дефицит квалифицированных специалистов. upgrade the best publications 2014
25
THE BEST UPGRADE 2014
Это большая проблема практически для любого ИТ-директора. Второй вопрос, требующий большого внимания, – взаимодействие ИТи бизнес-подразделений. Налаживание коммуникаций отнимает массу ресурсов у ИТ-менеджмента. Мы находимся в критической точке: информационные технологии стремительно меняют мир, изменяется отношение к ним людей, которые их используют. Последние 15 лет ИТ выступали лишь некой поддержкой для бизнеса. Сегодня они становятся самостоятельным видом бизнеса либо его драйвером. Это приводит к изменению взглядов, взаимоотношений, самооценки людей. По сути, мы сейчас находимся в процессе революции, это процесс непростой, но интересный. Мы уже сделали очень много на этом пути. Еще много предстоит сделать. Я надеюсь, со временем мы дойдем до определенного этапа во взаимоотношениях, что освободит ресурсы ИТ-специалистов, которые смогут решать насущные и актуальные вопросы. Формирование ИТ-бюджета – всегда непростой вопрос для любого ИТдиректора. Группа Nordea уже несколько лет проводит политику, направленную на неувеличение расходов. Естественно, это вызов для всего менеджмента банка, включая меня, потому что перед нами неминуемо возникает вопрос: как обеспечить все потребности? Это непросто: бизнес развивается, ему нужны инвестиции, но мы справляемся с задачей. NBJ: То есть динамика расходов на ИТ остается относительно ровной? А. ЗАТУЛОВСКИЙ: ИТ-расходы увеличиваются незначительно, при этом наши ИТсистемы развиваются достаточно бурно. NBJ: Сравните российские и западные ИТ-компании по стилю и качеству работы. А. ЗАТУЛОВСКИЙ: Вероятно, мое сравнение будет не вполне объективным, так как мы не работаем на постоянной основе с западными ИТ-компаниями. Мне очень нравится фраза «Нет компании – есть люди», потому что любое взаимодействие компаний – это в первую очередь общение людей. От того, как 26
upgrade the best publications 2014
№ 4 (119) APRIL 2014
выстроится это общение, зависит общий результат. Именно люди могут сделать взаимодействие максимально плодотворным для обеих сторон или сильно усложнить сотрудничество. При этом если в компании налажены внутренние бизнеспроцессы – это, как правило, является серьезной гарантией того, что компания эффективно исполняет свои обязательства. Поэтому при выборе ИТ-аутсорсера мы всегда внимательно смотрим на внутренние процессы компании. Относительно компетенций: я абсолютно уверен в том, что разницы между зарубежными и российскими компаниями не существует. Хорошие специалисты, как и плохие, есть везде, поэтому сравнивать их не вижу смысла. Мы достаточно придирчиво относимся к аутсорсерам на внутреннем рынке, но при этом есть компании, с которыми мы поддерживаем давнее взаимовыгодное сотрудничество. При реализации ИТ-проектов нередко возникают пограничные ситуации, при которых не совсем понятно, кто прав, а кто виноват. В данном случае важно не смотреть на сиюминутные выгоды, а мыслить стратегически, тогда найдется ожидаемый компромисс: где-то уступим мы, где-то – нам. Если компания нацелена только на то, чтобы заработать на нас, то это разовый проект – больше мы не будем с ней сотрудничать. В совместной работе важна схожесть менталитетов; взаимопонимание – это рабочая норма, а не какие-то сверхожидания. В ходе общения с представителями западной компании, менталитет которых резко отличается от российского, разногласия неизбежны. В данном случае большое количество сил нужно потратить на то, чтобы прийти к общему знаменателю. С этой точки зрения работа с иностранной компанией – серьезный риск. У меня есть подобный опыт работы, я могу с уверенностью сказать, что это действительно сложно. Правда, менеджмент в западных компаниях работает пока еще чуть лучше: многолетний опыт ведения бизнеса приучил людей к серьезным вещам. NBJ: Можно ли из Ваших слов сделать вывод о том, что ситуация с ИТ-кадрами в России стабильна?
А. ЗАТУЛОВСКИЙ: Увы, нет: кадров не хватает. Вузы в меру своих возможностей дают выпускникам техническое образование, но не прививают им элементарных навыков общения. Скажу честно, это просто катастрофа. Мы получили поколение гаджетов, которому проще коммуницировать онлайн, нежели лично. Молодые люди зачастую просто не умеют разговаривать друг с другом, приходится учить их общаться вживую, а не слать письма по электронной почте. В России плохо обучают навыкам менеджмента, преподают лишь его основы. Странно, но многие не понимают, что управленец не просто начальник, получающий при этом больше других, а прежде всего он несет колоссальную личную ответственность. Говорить о том, что рынок труда в ИТ-сфере находится в хорошем состоянии, я не буду. Возьмем любой серьезный банк в разрезе информационных технологий: огромное количество людей переучивается. Причем речь идет о приобретении не только рабочих компетенций, но и всевозможных soft skills. С другой стороны, нельзя сказать, что рынок совсем слабый. Москва еще в состоянии привлекать молодых людей. Тут нельзя не упомянуть хорошую тенденцию: многие компании серьезно занялись созданием центров разработки в регионах и предоставляют услуги аутсорсинга, не перевозя людей в Москву. Появились технологии удаленной работы, создающие дополнительные рабочие места на периферии. При этом цены на такие аутсорсинговые услуги достаточно конкурентоспособные. Имеет место явный тренд, который будет развиваться. Это справедливо, потому что весьма сложно держать в Москве большую команду разработки. NBJ: Расскажите, пожалуйста, о планах Вашего департамента. А. ЗАТУЛОВСКИЙ: Я не знаю ни одного своего коллеги, который сказал бы: «В этом году я буду меньше работать». Я сам не отношусь к таковым. Портфель проектов Нордеа Банка велик, в 2015 году нам не придется скучать. НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К И Й Ж У Р Н А Л
№ 5 (120) MAY 2014
THE BEST UPGRADE 2014
CRM: привлечь и удержать платежеспособных клиентов Технология аккумулирует как финансовую, так и поведенческую информацию о клиентах, что позволяет банкам увеличивать свои продажи текст
Гузель Куликова
CRM-решения направлены на укрепление и развитие взаимоотношений организации со своими клиентами. Использование системы позволяет собирать данные о потребительских предпочтениях и ожиданиях клиентов, что, в свою очередь, учитывается при разработке новых банковских продуктов и услуг. В результате CRM дает возможность более эффективно осуществлять кросспродажи, своевременно предлагать клиенту нужный ему продукт, а значит, повышать доходы банка. CRM КАК ДРАЙВЕР ПРОДАЖ Кредитные организации имеют несколько каналов общения с клиентами, CRMсистема обеспечивает их интеграцию. Технология позволяет сотрудникам банка обрабатывать входящие телефонные звонки (как с использованием контакт-центра, так и без него), сервисные обращения, создавать единый профиль клиента, в котором доступна контактная информация и сведения по всем оформленным сделкам. «Говоря о значении операционного CRM в бизнесе кредитной организации, прежде всего хочется обратить внимание на то, что он позволяет стандартизировать работу сотрудников в точках контактов с клиентами. В розничном банке все процессы массовые, и качество работы обеспечивается в первую очередь за счет единообразия этих процессов. CRM-система позволяет индивидуально настраивать их в зависимости от разных типов клиентов, минимизируя или вовсе упраздняя бумажные инструкции. Упрощается и процесс обучения сотрудников, в результате чего при выполнении своей работы они допускают меньше ошибок и больше сосредоточены на клиенте – на сервисе и продажах. CRM-система автоматически формирует отчеты об этапах работы с клиентом, так называемые «воронки продаж». Сравнение этих «воронок», сформированных Н А Ц И О НАЛЬНЫ Й БАНКОВСК ИЙ ЖУРНА Л
в разных точках контактов, позволяет выявлять наиболее эффективные процессы и распространять лучшие практики на весь бизнес», – рассказывает руководитель направления по управлению взаимоотношениями с клиентами банка «Ренессанс Кредит» Татьяна Гайдай. Эксперт отмечает, правильно внедренный операционный CRM обеспечивает фиксацию всех коммуникаций банка с клиентом: индивидуальных – в точках продаж, массовых – в рамках прямых маркетинговых кампаний. Эта информация позволяет получить полное понимание того, как происходит взаимодействие кредитной организации с потребителем, что играет важную роль в процессе выстраивания лояльных партнерских отношений с клиентом. По мнению специалистов, технология позволяет автоматизировать процесс рассмотрения кредитных заявок и, как результат, снижать затраты на принятие кредитных решений. Вместе с тем CRM минимизирует влияние человеческого фактора в таком важном для банка процессе, как одобрение выдачи кредита. ГЛАВНЫЙ КРИТЕРИЙ – БИЗНЕС-ЗАДАЧИ БАНКА Эксперты подчеркивают, что в зависимости от направлений бизнеса – ипотека, потребительские кредиты, депозиты – растут требования к формату и функционалу CRM-систем. Тут стоит обратить внимание на то, что использование облачных технологий может быть косвенно ограничено требованиями законодательства РФ о защите персональных данных. Есть также платформы, которые можно не только применить к взаимоотношениям с клиентами, но и автоматизировать с их помощью ряд других внутрибанковских бизнес-процессов, технологически похожих на процессы вза-
имодействия с клиентами. Учитывая все упомянутые факторы, а также важность CRM для банковского бизнеса, иногда стоит поручить выбор платформы независимым экспертам», – делится опытом Татьяна Гайдай (банк «Ренессанс Кредит»). Начальник управления фронтальных систем Нордеа Банка Сергей Жирнов рассказывает: «Во-первых, подумайте о задачах, которые вы хотите возложить на CRM-систему. Если это начальные задачи, такие как наведение порядка в клиентской базе, учет контактов с клиентами, то подойдут легкие системы со сравнительно простой функциональностью, возможно, в облачном исполнении. Если же система приобретается на вырост, чтобы реализовать на ней еще и многочисленные бизнес-процессы обработки клиентских данных, то нужны технологии со встроенными инструментами реализации workflow, ролевой модели доступа пользователей и прочими свойствами крупных промышленных CRM. Именно на таком подходе построена наша CRM-система, что позволяет развивать ее функциональность, не сталкиваясь с инструментальными ограничениями. Во-вторых, обратите внимание на ту экосистему, которая есть вокруг каждой конкретной платформы (я имею в виду репутацию вендора); компетенции компаний-партнеров, внедряющих систему; наличие квалифицированных кадров, которых можно пригласить к себе в штат; опыт других организаций, внедривших систему. Все они могут помочь профессиональным советом в нелегком деле внедрения CRM-системы». Однако специалисты обращают внимание на то, что, учитывая назначение CRM в банке, правильнее говорить не о росте числа клиентов за счет внедрения системы (на этот рост влияют и другие факторы), а о повышении эффективности кредитного процесса. upgrade the best publications 2014
27
THE BEST UPGRADE 2014
Как повысить эффективность с помощью ИТ На сегодняшний день для банковского сектора и российской экономики в целом жизненно важной стала задача повышения эффективности бизнеса и снижения непроизводственных расходов текст
Максим Жирновский, руководитель направления «Сервисные платформы и приложения» группы технической поддержки продаж Alcatel-Lucent в России и СНГ
Помочь здесь могут современные информационные и коммуникационные технологии. Однако перед ИТ-отделами также стоят непростые задачи поддержания высокой надежности и развития систем в условиях ограниченного бюджета. Задачи эти выполнимы, но требуют активного привлечения передовых технологий, а также новых подходов к построению и эксплуатации сетей. Поговорим об этом подробнее, представив в качестве примера продукты и решения Alcatel-Lucent. ОТ УПАТС К УНИФИЦИРОВАННЫМ КОММУНИКАЦИЯМ Крупные корпорации, включая банки, традиционно используют для телефонной связи УПАТС (учрежденческопроизводственные автоматические телефонные станции). По мере развития компании и ее филиальной сети число установленных УПАТС растет и структура их соединений усложняется. Крупные банки, имеющие разветвленную территориальную инфраструктуру, обычно эксплуатируют несколько сетей УПАТС, сформированных, например, по территориальному признаку или по типу оборудования. Такое решение имеет целый ряд существенных недостатков: отсутствие централизованного контроля расходов на услуги связи и единого корпоративного телефонного справочника, высокие затраты на пропуск корпоративного трафика через операторские сети, необходимость технического обслуживания множества УПАТС, сложное и дорогостоящее расширение емкости и т.д. 28
upgrade the best publications 2014
Отдельно следует сказать о том, что сеть УПАТС, как правило, применялась только для обеспечения голосовой (телефонной) связи. Параллельно формировалась система центров обработки вызовов, система видео-конференц-связи (ВКС) и т.д. В результате получалась сложная и негибкая система, которую трудно модернизировать, что особенно остро проявляется в процессах, связанных со слияниями или поглощениями других компаний. А бизнес требует внедрения новых сервисов и приложений, причем без увеличения бюджета. Инструменты для управления взаимоотношениями с клиентами (CRM), социальные сети, специализированное ПО для отделов кадров (HR) – эти и другие решения нуждаются в интеграции с коммуникационными сервисами, однако данный процесс серьезно затруднен в традиционной модели. В такой среде пользователь может переключиться с одного типа коммуникационной сессии на другой (например, с телефонной на ВКС) только разорвав одну сессию и инициировав другую. Вряд ли это будет способствовать продуктивной работе. Подобные проблемы в свое время стояли и перед операторами связи. Они вынуждены были строить и поддерживать одну телефонную сеть общего пользования (ТфОП) для фиксированной телефонной связи, другую для мобильной связи, третью для широкополосного доступа в Интернет. Для упрощения конвергенции этих сетей и повышения эффективности предостав-
ления сервисов была инициирована разработка технологии IMS. Сегодня она может помочь и корпоративным заказчикам. Поскольку IMS изначально разрабатывалась как платформа для предоставления коммуникационных услуг операторами связи, она имеет такие важные для банковского сектора свойства, как высокая масштабируемость, качество обслуживания, надежность оборудования. «Вызрев» на операторском «поле», решения IMS стали предлагаться и для поддержки меньшего числа пользователей, но с более развитыми функциональными возможностями, что сделало их привлекательными для корпоративного сектора. Технология IMS ориентирована на перенос всех коммуникаций в корпоративную IP-сеть, при этом она обеспечивает подключение любых типов абонентских устройств. Единое управление всеми коммуникационными сеансами обеспечивает скоординированную работу всех сервисов, а также простоту расширения системы, добавления новых приложений и интеграции с бизнес-процессами. Использование решений IMS дает целый ряд возможностей для снижения затрат и повышения эффективности коммуникационной системы. ■ Полный или частичный отказ от аренды выделенных каналов у операторов связи: вместо подключения УПАТС к ТфОП по выделенным (ISDN PRI) каналам используется транковое подключение к IP-сети по протоколу SIP. НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К И Й Ж У Р Н А Л
THE BEST UPGRADE 2014
■ Снижение расходов на оплату услуг связи: направление внутренних, местных, междугородных и международных вызовов через корпоративную IP-сеть, а не через ТфОП. ■ Сокращение числа УПАТС: все телефонные системы подключаются напрямую к ядру IMS, сеть УПАТС становится плоской, а значит, промежуточные (транзитные) станции становятся ненужными. Кроме того, в малых офисах все необходимые коммуникационные услуги могут предоставлять установленные в центре серверы, например IMS Voice Application Server. ■ Трансформация уровня доступа: банки смогут перейти от дорогих системных телефонов УПАТС к типовым SIP-телефонам или программным SIP-клиентам. ■ Сокращение расходов на мобильную связь: SIP-клиент на мобильном
Н А Ц И О НАЛЬНЫ Й БАНКОВСК ИЙ ЖУРНА Л
устройстве, при нахождении последнего в зоне действия корпоративной сети Wi-Fi, автоматически направляет исходящие вызовы и получает входящие через корпоративную сеть, а не через сеть мобильной связи. ■ Переход к унифицированным коммуникациям: IMS поддерживает сервис голосовых конференций, видеосвязи и другие компоненты унифицированных коммуникаций, что позволяет снизить затраты на дополнительное оборудование и/или услуги. ■ Снижение расходов на техподдержку: система IMS строится на базе стандартных серверов, обслуживать которые дешевле, чем специализированное оборудование УПАТС. Типовые SIP-терминалы также не требуют высоких расходов на поддержку.
■ Сокращение затрат на перенос, добавление, изменение оборудования офисов за счет централизации решения и отказа от подключения к ТфОП. Важным преимуществом предлагаемого решения является его открытость. Серверы IMS предоставляют стандартные интерфейсы API, что позволяет интегрировать коммуникационные сервисы с используемыми банками ИТ-системами, например с корпоративным порталом, системами CRM и поддержки пользователей банкоматов. Корпоративные коммуникационные системы на базе IMS уже внедрены компанией Alcatel-Lucent в ряде крупных компаний, в частности в одном из крупнейших мировых банков, имеющем рыночную капитализацию более 50 млрд долларов и более 200 тыс. постоянных сотрудников. В качестве
upgrade the best publications 2014
29
THE BEST UPGRADE 2014
возможного решения для модернизации своей сети связи банк рассматривал как традиционные УПАТС, так и систему IMS. Выбор был сделан в пользу последней. За счет внедрения IMS банк планирует сэкономить за трехлетний период порядка 90 млн долларов, из них около 40 млн долларов только за счет упрощения архитектуры корпоративной сети. Значительно сократятся и расходы на обслуживание сети. Если при использовании иерархической сети УПАТС эти расходы составляют в среднем 11 долларов на абонента в месяц, то при эксплуатации резервированного ядра IMS – 1,5 доллара. ПРОГРАММИРУЕМОСТЬ – КЛЮЧ К ЭФФЕКТИВНОСТИ Один из главных способов повышения эффективности ИКТ и бизнеса в целом – внедрение виртуализации и облачных технологий. Однако если вычислительные системы (серверы) уже оснащены зрелыми инструментами виртуализации, то традиционные сети зачастую тормозят переход к облачным моделям. Судите сами: развертывание виртуальной машины сегодня полностью автоматизировано и занимает считанные минуты, а ее подключение к сети часто выполняется вручную и требует не только привлечения квалифицированного (высокооплачиваемого) специалиста, но и длительного прохождения различных формальных процедур, в том числе относящихся к службе безопасности. В результате значительно снижается общая эффективность ИТ-комплекса или центра обработки данных (ЦОД). «Подтянуть» сети до «облаков» могут новые технологии программно-конфигурируемых сетей (SDN). Используя решение SDN, владелец облачной инфраструктуры может представить свою сеть как набор абстракций и согласованно управлять ею как единым комплексом, а не как набором отдельных устройств. AlcatelLucent представляет одно из наиболее эффективных решений SDN – платформу виртуализованных сервисов Virtualized Services Platform (VSP), 30
upgrade the best publications 2014
разработанную ее дочерней компанией Nuage Networks. Это решение успешно внедрено на сетях ведущих международных банков и финансовых организаций. Платформа Nuage Networks VSP полностью автоматизирует существующую сеть ЦОД, позволяя выделить защищенные сетевые ресурсы для каждого филиала или группы пользователей, при этом время настройки сети измеряется секундами, а не днями. Она может работать совместно со всеми популярными вариантами облачного ПО (включая VMware, Openstack, Cloudstack) и поверх любого сетевого оборудования – не только самой Alcatel-Lucent, но и других производителей. В составе решения имеется специальный шлюз для интеграции с традиционными (невиртуализованными) устройствами. Это особенно важно для банков, которые имеют достаточно много невиртуализованных систем. Такое комплексное решение позволит воспользоваться преимуществами автоматизации и контроля для всей виртуализованной и невиртуализованной инфраструктуры. Технологии SDN затрагивают не только ЦОД. Nuage Networks и для территориально распределенных сетей предлагает решение VSP, которое позволяет строить программно-конфигурируемые сети VPN (SD-VPN). Такие VPN предусматривают автоматическое внедрение сетевых сервисов, динамические подключения и использование открытого и недорогого оборудования, устанавливаемого у заказчика (CPE). Устройства CPE программируются внешним контроллером сетевых сервисов, который взаимодействует с другими контроллерами для формирования масштабируемой федерации VPN. Программно-конфигурируемые сети могут дополнять традиционные сети VPN, например, на базе MPLS, используемые сегодня многими крупными компаниями. Так, высокопроизводительные соединения MPLS VPN можно поддерживать на уровне региональных офисов и ЦОД, а новые соединения SD-VPN использовать для быстрой организации соединений с филиалами.
КАК СВЯЗАТЬ ДАТА-ЦЕНТРЫ Финансовые учреждения уделяют пристальное внимание надежности своих ИТ-систем. Каким бы надежным и отказоустойчивым ни был один ЦОД, чтобы обезопасить себя от различных природных и техногенных катаклизмов, необходимо катастрофоустойчивое решение, то есть два (или более) территориально распределенных ЦОД. Здесь встает вопрос об организации высокопроизводительной, надежной и безопасной связи между ними. Такое решение – Data Centre interconnect (DCi) – эффективно строить на базе оборудования оптического DWDM-транспорта Alcatel-Lucent 1830 Photonic Service Switch (PSS). Это оборудование позволяет передавать множество стогигабитных потоков на расстояние до 3 200 км. В эти потоки может быть уложено необходимое число каналов Ethernet, Fibre Channel, Infiniband, что обеспечит взаимодействие всех установленных в ЦОД систем, включая системы хранения данных и мэйнфреймы. Решение DCi предлагает передовые технологии обеспечения безопасности соединений. Шифрование данных выполняется на лету, в реальном времени на физическом уровне (L1). Кроме того, оборудование 1830 PSS поддерживает множество возможностей контроля, в том числе выявление физического внедрения в оптическую линию. Решение DCi успешно используется в нескольких европейских банках для безопасной связи штаб-квартиры и филиалов, а также для обеспечения высокопроизводительных каналов связи между банковскими ЦОД, предназначенными для резервного копирования данных. Из приведенных выше примеров видно, что предлагаемые Alcatel-Lucent инновационные подходы к построению и развитию коммуникационных сетей и сервисов позволяют эффективно решать стоящие перед банковскими структурами задачи даже в условиях крайне ограниченных бюджетов. Повысив эффективность своих ИКТ-систем, компания получает конкурентные преимущества, чтобы с честью пройти непростой экономический период и стать сильнее и успешнее. НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К И Й Ж У Р Н А Л
№ 6 (121) JUNE 2014
THE BEST UPGRADE 2014
Расчеты уходят в девайсы Мобильный банкинг повышает лояльность клиентов, сокращает расходы на обслуживание и расширяет каналы продаж текст
Гузель Куликова
Преимущество мобильного банкинга очевидно: проведение электронных транзакций обходится дешевле. Однако высокие затраты на разработку приложений становятся преградой для внедрения технологии в небольших кредитных организациях. ЛЕГКОСТЬ ИНТЕГРАЦИИ КАК ГЛАВНЫЙ КРИТЕРИЙ У нас все меньше свободного времени, и мы не хотим тратить его на поездку в банк. Для осуществления платежей и переводов мы все чаще используем гаджеты. Банки учитывают эти тенденции и предлагают своим клиентам полнофункциональные приложения для смартфонов и планшетов. Какими критериями руководствуются кредитные организации при выборе решения для мобильного банкинга? «В первую очередь заказчик обращает внимание на функционал, который может предложить разработчик. Причем уже на этапе переговоров оцениваются как действующие опции приложения, так и планы его развития и доработки под потребности банка в будущем. Большое значение имеет и возможность легкой интеграции с другими системами организации. Важную роль играет вопрос соотношения цены и качества приложения», – комментирует ведущий специалист отдела сопровождения клиентов РОСАВТОБАНКа Алена Балашова. Промсвязьбанк обновил приложение: изменен дизайн и полностью переделана программа навигации. «Решение было создано специалистами банка. Мы отталкивались прежде всего от потребностей клиентов и старались превзойти их ожидания. При разработке мы придавали большое значение простоте и удобству работы пользователей в приложении», – Н А Ц И О НАЛЬНЫ Й БАНКОВСК ИЙ ЖУРНА Л
рассказывает директор департамента электронного бизнеса Промсвязьбанка Алгирдас Шакманас. Начальник отдела пластиковых карт и сервисов ДБО Абсолют Банка Алексей Перов отмечает, что при выборе решения учитываются и сроки внедрения проекта, и трудоемкость интеграции с текущей АБС, и возможность его взаимодействия с операционными системами. Принципиальное значение имеет условие дальнейшего взаимодействия с разработчиком. «Решение для мобильного банкинга должно предоставлять клиентам максимальное количество услуг. Важна удобная навигация для пользователей, скорость работы сервиса. Необходимо учитывать и возможность кастомизации приложения», – уверен заместитель начальника отдела по разработке и внедрению продуктов Банка ИТБ Никита Шелестов. При выборе решения для мобильного банкинга специалисты МОСКОВСКОГО КРЕДИТНОГО БАНКА руководствовались следующими принципами: удобство, информативность, оперативность и безопасность для клиентов при осуществлении платежей и других операций. СЛОЖНОСТИ НЕИЗБЕЖНЫ, НО ПРЕОДОЛИМЫ Конечно, при реализации подобных проектов возникают проблемы. Но, как подчеркивают эксперты, пути и способы их решения уже известны. По мнению начальника управления развития технологий дистанционных сервисов и продаж ХКФ Банка Ильи Боровова, главные проблемы – это долгие сроки обновления версий мобильного банка, отсутствие интеграции с интернетбанком, недостаточный уровень безопасности, неудобство для регулярных операций клиентов.
Начальник управления депозитных и комиссионных продуктов МОСКОВСКОГО КРЕДИТНОГО БАНКА Наталья Розенберг считает, что в работе мобильного банкинга основная трудность – скорость развития технологий. «Как правило, крупные компании, выпускающие новые мобильные устройства, постоянно совершенствуют операционные системы, что неизбежно приводит к гонке технологий. Разработки мобильных приложений быстро устаревают, однако не в части функционала, а в части совместимости с конкретными устройствами. В результате банки сталкиваются с необходимостью смены и расширения набора функций, поддерживаемых приложением», – разъясняет эксперт. С точки зрения Алены Балашовой (РОСАВТОБАНК), одна из важных проблем – достаточно высокая стоимость разработки и последующего сопровождения таких приложений. Это становится серьезным препятствием на пути к технологичности для небольших коммерческих организаций. Более того, компаний, разрабатывающих подобные приложения, на российском рынке немного, выбирать не приходится – это серьезная проблема для банков, которые задумались о разработке мобильных приложений. «В отличие от классического ДБО внедрение мобильных сервисов – очень трудоемкий процесс: требуется продублировать один и тот же функционал для различных платформ гаджетов. Наиболее распространенными являются Google Android и Apple iOS. А при увеличении рыночной доли другой платформы банку, чтобы оставаться технологичным, необходимо будет разрабатывать еще одно приложение как минимум с таким же функционалом», – констатирует Никита Шелестов (Банк ИТБ). upgrade the best publications 2014
31
THE BEST UPGRADE 2014
№ 6 (121) JUNE 2014
ОТП Банк: догоняя и перегоняя ИТ-тренды М. ПУСТОВОЙ: «Ситуация способствует повышению эффективности, использованию улучшенных практик в сфере проектного и процессного управления, различного рода инструментов, ИТ-решений для автоматизации» беседовала
Анна Кислицына
Дочерний банк венгерской OTP Group входит в сотню самых надежных кредитных организаций России. Не секрет, что в нашу эпоху надежность компании во многом обусловлена степенью развития ИТ. Директор дивизиона операционного управления ОТП Банка Максим ПУСТОВОЙ рассказал NBJ о том, как привлечь новых клиентов с помощью ДБО, сделать ИТ-знания доступными для всех сотрудников банка и чем может быть полезна нехватка ИТ-кадров. NBJ: Максим, расскажите, пожалуйста, каких результатов в области ИТ-проектов достиг ОТП Банк. В банке планировался переход на новую АБС. Состоялся ли он? 32
upgrade the best publications 2014
М. ПУСТОВОЙ: Относительно проекта по внедрению АБС: он движется по заранее намеченному плану. Мы развернули новую банковскую систему во всех филиалах организации, включая головной офис. Таким образом, весь банк теперь работает на единой АБС. Старая система была переведена в режим резервного использования. Мы рассчитываем перевести на новую АБС все продукты ОТП Банка, связанные с POS-кредитованием. Сделав данный шаг, мы полностью завершим программу внедрения новой автоматизированной банковской системы. Пока все продвигается по плану. Внедрение единой АБС – ключевая инициатива дивизиона операционного
управления ОТП Банка, но не единственная. На первый план выходят проекты и задачи, носящие исключительно «бизнесовый» характер. Они связаны с возможностью дополнительных кросспродаж, как исходящих, так и входящих, и требуют внедрения отдельного комплекса решений. Исходящие и входящие кросс-продажи свидетельствуют о развитии банковской индустрии в Российской Федерации. Мы хотим следовать тренду и, возможно, опережать его. Нами запущены проекты по построению отдельных бизнеснаправлений, связанных с кросспродажами. Еще одно масштабное направление деятельности дивизиона связано с проектом, который мы называем «Знание – в массы». В нем отразилось желание технически подкованных специалистов поделиться накопленными за долгие годы знаниями со всеми сотрудниками банка. Мы располагаем объемным централизованным хранилищем данных, которое развивали не один год. Оно использовалось небольшим количеством специалистов и лишь для некоторых рабочих операций (составление отчетов, аналитика), а могло бы быть полезным более широкому кругу сотрудников. Для популяризации знаний было необходимо соответствующее их описание и легкий, понятный и удобный инструментарий. Проект «Знание – в массы» является частью другой, более крупной инициативы – Data governance, призванной разработать подход к управлению знаниями в организации, обеспечить удобный инструментарий для получения их всеми сотрудниками. НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К И Й Ж У Р Н А Л
№ 6 (121) JUNE 2014
NBJ: Что в конечном счете будет представлять собой проект «Знание – в массы»? В чем он воплотится? Это будет специальное ПО? М. ПУСТОВОЙ: Проект воплотится в двух составляющих. Первая – депозитарий знаний, которыми мы располагаем. Они представляют собой витрины данных, а также сведения из нашего централизованного хранилища. Простое открытие доступа к нему неэффективно: необходим слой данных, который транслировал бы ключевые знания по основным единицам информации в банке (о клиентах, продажах, элементах их эффективности). Для того чтобы сотрудники могли начать ими пользоваться, витрины нужно описать на понятном языке. Описание нужно определенным образом разместить, обеспечить его соответствие той или иной витрине. Важно убедиться в том, что налажен механизм обновления, синхронизации. Таким образом, пользователь получит некий инструмент, приложение, в котором сможет видеть описание и детали всех витрин данных: на каких алгоритмах они построены, какую информацию можно извлечь из той или иной витрины – список опций будет состоять из сотен позиций. Вторая составляющая, которой будет располагать пользователь, – это инструмент, определенное программное обеспечение. Оно позволит использовать визуализированную среду построения отчетов и аналитики на данных, описанных в депозитарии, без технических знаний и языков программирования. Обе составляющие требуют от нас определенных усилий: создания депозитария, выбора правильного инструмента, а также технической возможности использовать его. Возвращаясь к теме бизнес-проектов, стоит упомянуть об активном развитии направления онлайн-продаж. Многие банки еще в 2012 году погрузились в данную сферу деятельности, при этом известны примеры, когда такое необдуманное рвение привело к проблемам и последующему отказу от активного привлечения клиентов через онлайнканал. У нас по-прежнему существует понимание перспективности данного Н А Ц И О НАЛЬНЫ Й БАНКОВСК ИЙ ЖУРНА Л
THE BEST UPGRADE 2014
вида обслуживания, но к этому прибавились новые подходы в работе, богатый инструментарий, свежие бизнес-стратегии, позволяющие его развивать. Мы собираемся сделать акцент на привлечении через онлайн-каналы. За этим стоят определенные бизнес-планы, новая команда. Мы располагаем технологическими решениями, которые внедряем с целью существенного увеличения доли привлечений через онлайнканал и улучшения конвертации. НАШ ПРИНЦИП – СОБЛЮДЕНИЕ БАЛАНСА МЕЖДУ УДОБСТВОМ КЛИЕНТА И ЕГО БЕЗОПАСНОСТЬЮ NBJ: Насколько сложно поддерживать безопасность ДБО? М. ПУСТОВОЙ: Способы защиты информации во многих банках типизированы. Одни ограничиваются рассылкой СМСсообщений с временными паролями, другие выпускают скретч-карты и secureтокены. Мы придерживаемся более или менее стандартного подхода, безопасность которого обеспечивает минимальный уровень защиты, – использования разовых паролей при входе в систему. Наш принцип – соблюдение баланса между удобством клиента и его безопасностью. С ноу-хау в сфере безопасности ДБО мы ведем себя осторожно: порой они негативно влияют на опыт клиента, могут оказаться слишком сложными для него. Каждый банк выбирает для себя определенный порог, ниже или выше которого не идет, иначе это может сказаться либо на безопасности, либо на удобстве клиента. NBJ: Как вы боретесь с инсайдом и внешними посягательствами на персональные данные клиентов? М. ПУСТОВОЙ: Внутри банка существует четкое разделение функций между дивизионом операционного управления и дирекцией безопасности. Последняя следует всем требованиям закона, установленным для контроля над персональными данными и защиты информации. Внедрение любой новой системы в банке проходит обязательный аудит
на информационную безопасность, а также отдельный анализ на предмет следования требованиям по защите персональных данных. Мы не можем обойти установленные дирекцией безопасности правила в угоду скорости или функциональности. NBJ: Опыт OTP Group по-прежнему помогает вам в борьбе за информационную безопасность? М. ПУСТОВОЙ: Стандарты Венгрии напрямую на нас не распространяются, хотя мы действительно используем опыт иностранных коллег по внедрению ИТпрактик, тем или иным образом направленных на защиту персональных данных. Сами же решения выбираются нами в России. NBJ: Какому ЦОД вы отдали предпочтение: собственному, коммерческому или облачному? М. ПУСТОВОЙ: Не буду высказывать свое личное мнение на этот счет – расскажу о модели, которую применяет ОТП Банк. Мы располагаем собственным ЦОД, который функционирует не первый год. Наш подход имеет как плюсы, так и минусы. Мы всерьез рассматриваем предложения крупных ИТ-компаний по использованию внешних площадок для обеспечения так называемого дополнительного элемента гибкости. Потребность в резервном дисковом пространстве и процессорных мощностях возникла из-за большого количества проектов. Мы готовы быть потребителями фактически облачной услуги, оплачивать ее при необходимости для того, чтобы в любой момент обеспечивать себе дополнительную емкость в неограниченном объеме. Одна из ИТ-компаний с мировым именем, услугами которой мы воспользовались, предоставляет свои дата-центры, мощности в модели on demand, используя облачный сервис. Вероятно, это не прямой ответ на вопрос о ЦОД, но последний нередко рассматривается в качестве площадки, которая предоставляет банку определенные мощностные ресурсы, дисковое пространство для хранения информации. upgrade the best publications 2014
33
THE BEST UPGRADE 2014
№ 7 (122) JULY 2014
СЭД окупается за год Прямой эффект от инвестиций в СЭД связан с экономией средств на расходные материалы и оплату рабочего времени сотрудников текст
Гузель Куликова
По мнению специалистов финансовой отрасли, электронный документооборот поможет навести порядок в активах банков, оптимизировать временные затраты сотрудников, снизить риски потери данных, а руководители кредитных организаций получат возможность контролировать ход выполнения принятых управленческих решений и оценивать достигнутые результаты. ЭФФЕКТИВНОСТЬ СЛОЖНО ПЕРЕОЦЕНИТЬ В ходе исследования, проведенного Национальной ассоциацией инноваций и развития информационных технологий, было выявлено, что в зависимости от оборота компании общие потери от применения бумажного документооборота составляют от 4,5 до 14 млн рублей в год. В целом потери российской экономики, связанные с отказом коммерческих организаций от внедрения электронного документооборота, были оценены в 900 млрд рублей ежегодно. О необходимости СЭД в работе кредитных организаций и удобстве кейсового подхода все чаще говорят специалисты отрасли. «Системы межкорпоративного документооборота активно развиваются, поскольку количество документов, которыми приходится обмениваться банкам, растет в геометрической прогрессии. К примеру, банки, подключенные к системе электронного документооборота ФССП, обмениваются с судебными приставами информацией о счетах и остатках на них, это позволяет кредитным организациям снизить риски невозврата ссуд и ускорить процесс принятия решения о выдаче. Только к данной системе подключены 27 круп34
upgrade the best publications 2014
ных и средних российских финансовых институтов, включая банки Финансовой группы «Лайф», – комментирует заместитель начальника управления сопровождения корпоративных информационных систем Пробизнесбанка Георгий Долгих. По мнению специалиста, основные преимущества внедрения систем межкорпоративного документооборота – значительное сокращение сроков обработки документов и связанное с этим снижение неоперационных затрат. Кроме того, заметно уменьшается количество ошибок, совершаемых из-за человеческого фактора, то есть документы застрахованы от потери, соответственно, производительность сотрудников повышается. «Говоря об автоматизации межбанковского документооборота, обмена документами с другими организациями, стоит упомянуть ряд таких законодательных актов, как Федеральный закон от 27.06.2011 № 162-ФЗ, который предписывал внести изменения в закон № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», в Постановление Правительства РФ от 08.09.2010 № 697 «О единой системе межведомственного электронного взаимодействия» (вместе с Положением «О единой системе межведомственного электронного взаимодействия»). Есть и другие акты, которые подталкивают банковский сектор к более широкому применению информационных технологий, к переходу на безбумажный документооборот. Можно говорить, что банки постепенно будут переходить на новые методы и технологии работы с документами и информацией. Однако будет правильно, если в реализации таких сложных проектов
будут задействованы компании, являющиеся флагманами в области разработки СЭД», – убеждена вице-президент Ринвестбанка Елена Романченко. СЭД обеспечивает высокую эффективность при работе с документами, считает заместитель начальника управления документационного обеспечения РосЕвроБанка Анастасия Черкесова. «Система гарантирует сохранность и доступность документов с одновременным оперативным выполнением всех действий по их обработке и распространению. СЭД позволяет ускорить поиск необходимой информации и обеспечить возможность отслеживания этапов выполнения бизнес-процессов. Таким образом, система делает документоориентированные процессы в кредитной организации абсолютно прозрачными и контролируемыми для руководства. Вместе с тем СЭД позволяет специалистам банка, включая сотрудников филиальной и региональной сети, в любой момент времени без больших трудозатрат оперативно получить необходимые документы и нужную информацию», – говорит эксперт. СЕМЬ РАЗ ОТМЕРЬ, ОДИН РАЗ ОТРЕЖЬ! Система автоматизации документооборота – достаточно сложный механизм, и его применение сопряжено с рядом трудностей организационного, экономического и технического характера. Первые связаны с человеческим фактором – недостаточной мотивацией сотрудников к работе в новой системе, низким уровнем технических знаний, а нередко с ошибочным определением задач при внедрении решения. С какими наиболее значимыми проблемами, связанными с реализацией системы ЭДО НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К И Й Ж У Р Н А Л
№ 7 (122) JULY 2014
в корпоративной информационной среде, столкнулись специалисты российских финансовых институтов? «Практика показывает, что даже в крупных банках для автоматизации схожих процессов часто применяются информационные системы разного класса, разработанные на разных программных платформах, которые не только сложно поддерживать, но иногда невозможно интегрировать, что отчасти может объяснять обособленное их использование. Также стоит отметить, далеко не во всех кредитных организациях уделяется должное внимание перспективам применения средств автоматизации в области работы с документами», – говорит Елена Романченко (Ринвестбанк). Однако такое положение дел, по мнению эксперта, может быть связано не столько с непониманием руководства банков выгоды от применения информационных систем в работе, сколько с довольно высокой стоимостью владения системами, отсутствием внятной стратегии в области информационных технологий, политики по делопроизводству, а также с нехваткой или недостаточной подготовкой персонала, в компетенции которого входят вопросы выбора, внедрения и поддержки программных комплексов. «При внедрении системы ЭДО, мы, конечно, сталкивались с проблемами. Одна из основных сложностей связана с персоналом: при реализации чего-то нового люди, привыкшие все делать на бумаге, зачастую отторгают изменения, особенно ярко это проявляется при интеграции новых банков группы. Со временем отрицание проходит, и те, кто был против, просят автоматизировать другие процессы. Еще одна сложность – большое количество источников интеграции. Каждая сторонняя система интегрировалась в СЭД так, как ей было удобно. В результате интеграционных взаимодействий стало настолько много, что ими практически невозможно было управлять. На помощь пришли два проекта, реализуемых в ФГ «Лайф» и направленных на упорядочивание этих процессов: MDM (система управления справочниками) и Enterprise Service Bus», – делится опытом Георгий Долгих (Пробизнесбанк). Н А Ц И О НАЛЬНЫ Й БАНКОВСК ИЙ ЖУРНА Л
THE BEST UPGRADE 2014
ВЫГОДА ОЧЕВИДНА СЭД окупается за год работы в компании. К такому выводу пришли эксперты «КОРУС Консалтинг», проанализировав 15 крупных российских проектов по внедрению СЭД. Опрошенные специалисты банковской отрасли соглашаются с этими данными. «Мы проводили оценку финансовой составляющей при расширении функциональности, используемой СЭД, а именно после запуска проекта по внедрению электронной подписи (ЭП) в СЭД. В результате реализации проекта общая экономия составила порядка шести миллионов рублей. В расчет принимались затраты на бумагу и расходные материалы для печатающих устройств, а также стоимость рабочего времени, которое затрачивалось на сбор «живых» подписей сотрудников на документах. Однако снижение финансовых затрат – не главная выгода от внедрения СЭД. Основное внимание стоит обратить на улучшение контроля за бизнес-процессами», – констатирует заместитель директора департамента информационных технологий СвязьБанка Сергей Поляков. Так что же представляет собой система межкорпоративного финансового учетного документооборота в российских банках? «Переход с бумажного документооборота на электронный – это естественный процесс, который продиктован требованием времени, современным развитием бизнеса. Наш банк еще в 2002 году начал активный поиск программы, позволяющей решать задачи общего документооборота. Наши специалисты внимательно изучили все предложения. В результате остановились на автоматизированной системе электронного документооборота и делопроизводства, которая выгодно отличалась на фоне представленных на рынке услуг», – рассказывает начальник отдела документационного обеспечения Татфондбанка Ирина Гусева. Программа, представленная для делопроизводства, позволила финансово-кредитной организации обеспечить автоматизацию следующих видов деятельности во всех структурных подраз-
делениях (независимо от территориальной удаленности): регистрацию входящих, исходящих, внутренних и организационно-распорядительных документов; работу с архивом документов; контроль исполнительской дисциплины, подготовку справок и отчетов; подготовку, согласование и визирование проектов документов, поиск однотипных документов; ведение базы официальных документов организации; формирование документов в дела; управление доступом (возможность разграничения доступа к информации). Вместе с тем введение системы позволяет своевременно обрабатывать входящую и исходящую корреспонденцию, организовывать базу локальных нормативных документов с разграничением доступа, эффективно распределять документопотоки, проводить своевременный контроль исполнения поручений, повышать исполнительскую дисциплину. Специалисты отмечают, что правильно выстроенная СЭД ускоряет принятие, доставку управленческих решений, делает процессы прозрачными и более контролируемыми, усиливая тем самым конкурентоспособность банка. «Благодаря внедрению СЭД Финансовой группе «Лайф» удалось реализовать порядка тысячи внутрикорпоративных и межкорпоративных процессов электронного документооборота. Сегодня в разных банках ФГ «Лайф» эти процессы идентичны, что дает возможность с минимальными затратами вносить в них изменения. Единообразие процессов позволяет легко интегрировать новых участников в группу: процесс интеграции занимает всего месяц», – делится опытом Георгий Долгих (Пробизнесбанк). Рынок банковских услуг активно развивается, а деятельность финансово-кредитных организаций становится сложной и диверсифицированной. Наблюдатели подчеркивают, внедрение СЭД повысит оперативность, качество принятия управленческих решений за счет более адекватного отражения реальной ситуации в управленческой модели. upgrade the best publications 2014
35
THE BEST UPGRADE 2014
№ 8 (123) AUGUST 2014
Игра стоит свеч текст
Анна Кислицына
Многие эксперты в области банковской информационной безопасности отмечают тенденцию последних лет, связанную с ужесточением законодательных требований как чисто технического, так и организационного характера. В 2012 году вышло Положение Центрального банка № 382-П, обязывающее каждую кредитную организацию иметь службу информационной безопасности, появилась и масса других предписаний: по мониторингу инцидентов, разработке внутренних регламентов, установке антивирусных программ, ведению отчетности, консультированию клиентов по вопросам информационной безопасности. Кому из банков по плечу выполнение всех обязательных и рекомендуемых требований? ПРИВЫЧКА – ВТОРАЯ НАТУРА Доскональное следование всем регуляторным и законодательным нормам может повлечь за собой серьезные финансовые последствия для небольших кредитных организаций: расходы на приобретение специализированных технических средств, оплату работы нанятого персонала при определенном стечении обстоятельств могут превысить прибыль финорганизации. Можно ли избежать этого? Существуют ли доступные решения и недорогие проекты, способные обеспечить информационную безопасность в банках? 36
upgrade the best publications 2014
Заместитель начальника департамента экономической безопасности Запсибкомбанка Андрей Чавыкин считает вопрос цены ИБ сугубо индивидуальным: «Необходимо четкое понимание, что, от кого и как необходимо защищать. В совокупности с рисками, массивом защищаемой информации, моделями угроз и разновидностью нарушителя вы сможете определить приемлемый уровень защиты, а в зависимости от этого будет формироваться стоимость защиты. На первоначальном этапе готовые решения для достижения первоочередных целей есть, но информационная безопасность обеспечивается комплексом непрерывных мероприятий, которые могут совершенствоваться бесконечно и влиять на стоимость тех или иных проектов». «Из доступных решений самым простым видится аутсорсинг инфраструктуры и отдельных бизнес-процессов для организации соответствия банка стандарту», – делится своей точкой зрения начальник управления собственного процессинга БФА Банка Александр Васильев. Начальник службы информационной безопасности банка «КредитМосква» Николай Беляков убежден в том, что необходимости соблюдать все стандарты нет. «Менеджеру информационной безопасности стоит задаться вопросом: «Так ли нужно реализовывать абсолютно все стандарты?» Ответ любого профессиона-
ла – нет. Реализация всех стандартов – болезненный путь в никуда, – считает специалист. – В первую очередь стандарты следует разделить на две группы. Первая – это стандарты, которые фактически нельзя так называть, так как это требования, обязательные к исполнению, например PCI DSS. К этой же категории следует отнести требования регуляторов, утвержденные на законодательном уровне. Эта группа небольшая, тем не менее она создает наибольшие трудности в реализации. Вторая группа – остальные стандарты, которые вбирают в себя лучшие практики, наработанные всем миром в вашей области деятельности». Рассказывая о доступных решениях для информационной безопасности, директор карточного процессинга РУССЛАВБАНКа Александр Богдасаров упоминает стандарт PCI DSS. «Как и в любом деле, к прохождению процедуры PCI DSS необходим дифференцированный подход. К примеру, если банк проводит не более 300 тысяч транзакций в год и не подключен напрямую к международным платежным системам (работает через сторонний процессинг), в соответствии с требованиями PCI DSS, ему достаточно периодически самостоятельно проводить оценку путем заполнения так называемого листа самооценки (Self Assessment Questionnaire, SAQ). В этом случае затраты на сертификацию крайне малы», – подчеркивает специалист. Международный стандарт PCI DSS (Payment Card Industry Data Security Standard) призван уравновешивать интересы банков и их клиентов. Разработчиками PCI DSS – перечня требований к обеспечению безопасности платежей – в свое время выступили компании American Express, Discover, JCB, MasterCard и Visa. Продукт появился в России и странах СНГ в 2006 году. Стандарт представляет собой список требований (как общего характера, так и технологических) к информационной безопасности данных пластиковых карт. Они объединены в 12 разделов, соблюдение требований по каждому из них проверяется контрольной картой, она же позвоНА Ц ИО НА Л Ь НЫ Й Б А НК О В С К И Й Ж У Р Н А Л
№ 8 (123) AUGUST 2014
ляет переходить от одной части стандарта к другой. С технической точки зрения PCI DSS представлен серверами и сетевыми устройствами, которые обслуживаются специально обученными сотрудниками. Компания раз в год должна подтверждать свое соответствие стандарту. Александр Васильев (БФА Банк) считает, что соответствовать стандарту безопасности данных банковских карт необходимо постоянно, не только перед процедурой аудита. «К сожалению, не всегда верно трактуется прямая взаимосвязь между соответствием стандарту безопасности и минимизацией финансовых потерь организации, отсюда странное отношение к стандарту как к чему-то отдаленному и необязательному, – констатирует эксперт. – Формально сертификат, подтверждающий соответствие PCI DSS, является актуальным только на момент прохождения аудита и не гарантирует соответствие инфраструктуры и ПО стандарту PCI DSS после того, как аудитор покинет проверяемый объект. Поэтому я бы говорил о том, что соблюдение стандарта должно стать такой же привычкой, как запирать дверь своей квартиры». С коллегой согласен Александр Богдасаров (РУССЛАВБАНК): «Прохождение процедуры соответствия международным стандартам PCI DSS должно стать правилом хорошего тона для любых организаций и финансовых институтов, хранящих, передающих или обрабатывающих данные платежных карт. При этом важно не только первичное прохождение этой процедуры, но и периодическое подтверждение соответствия, что позволяет своевременно выявлять и устранять новые угрозы и уязвимости, эффективно предотвращать утечки информации». «Лишь на первичной стадии внедрения стандарта PCI DSS возникают различного рода сложности, но после подтверждения его соответствия и постоянного поддержания соблюдение требований начинает походить на привычку мыть руки перед едой», – убежден Андрей Чавыкин (Запсибкомбанк). МНОГО ПРОБЛЕМ, НО ЕЩЕ БОЛЬШЕ ПЛЮСОВ Последняя версия стандарта PCI DSS (3.0) появилась в ноябре 2013 года и уже в феврале 2014 года была переН А Ц И О НАЛЬНЫ Й БАНКОВСК ИЙ ЖУРНА Л
THE BEST UPGRADE 2014
ведена на русский язык. Напомним, что первый официальный перевод PCI DSS на русский язык появился летом 2013 года в версии стандарта 2.0. Продукт можно считать полностью адаптированным для применения в России. Отмечают ли банки особенности и сложности процедуры внедрения стандарта в зависимости от ИТ-архитектуры банка или от других, не менее важных особенностей кредитной организации? «Требования стандарта PCI DSS, а их не менее 250, должны выполняться в полном объеме, поэтому говорить о каких-либо различиях или индивидуальном характере проектов не приходится. Есть лишь разница в архитектуре и принципах реализации стандарта в отдельно взятом банке, а также в степени готовности информационной безопасности к началу проекта», – считает Андрей Чавыкин (Запсибкомбанк). Александр Васильев (БФА Банк) выделяет особенность применения PCI DSS в отечественных банках. «Российская специфика заключается в том, что у нас достаточно молодое законодательство в сфере регулирования банковского бизнеса, поэтому некоторые процессы, описанные в стандарте, как нельзя лучше дополняют нормативную базу кредитных организаций», – поясняет специалист. Одновременно с появлением стандарта PCI DSS в России вышел закон № 152-ФЗ «О персональных данных», дающий мегарегулятору право осуществлять проверки в банках на предмет соблюдения требований по защите персональной информации. Эксперты склонны считать, что международный стандарт и нормативный акт не дублируют друг друга. «Сравнивать эти два документа не совсем корректно, – уверен Андрей Чавыкин (Запсибкомбанк). – Закон устанавливает правила высшего уровня, а стандарт требует точного исполнения четко определенных действий или требований на низшем, более глубоком уровне. Кроме того, закон № 152-ФЗ в той или иной степени предусматривает прямой контакт с субъектом персональных данных, чего нет в стандарте PCI DSS, где требования предъявляются к самим информационным системам и данным карт, защита которых не предусматривает непосредственное общение с клиентом».
Аналогичного мнения придерживается Александр Васильев (БФА Банк): «В части предмета стандарта и закона мало общего: в первом случае мы имеем набор данных платежного средства, во втором это могут быть сведения, компрометация и огласка которых могут нанести прямой или косвенный репутационный ущерб субъекту. Есть некоторое сходство в методах защиты, но различны объекты применения, отчетные органы и др.» Говоря о возможностях стандарта PCI DSS, эксперты отмечают его влияние на имидж кредитной организации. «Благодаря применению стандарта открываются возможности и способности защищать данные платежных карт клиентов, повышать общий уровень безопасности, что в конечном варианте приводит к улучшению имиджа банка и сокращению репутационных рисков, а также к увеличению количества клиентов», – комментирует Андрей Чавыкин (Запсибкомбанк). «К новым возможностям PCI DSS в первую очередь можно отнести расширение бизнеса банка в сфере безналичных платежей, так как сегодня международные платежные системы относятся к организациям, которые не используют стандарт PCI DSS, с большой осторожностью, – отмечает Александр Богдасаров (РУССЛАВБАНК). – Также наличие сертификата PCI DSS – весьма весомая имиджевая составляющая, что позволяет, например, выходить на новые, ранее недоступные рынки». Александр Васильев (БФА Банк) сделал акцент на экономической целесообразности следования PCI DSS. «Стандарт безопасности – это набор требований к защите информации. В целом данные мероприятия дают гарантию минимизации финансовых потерь и, как следствие, удешевления себестоимости проекта. Также облегчается работа с партнерами на мировом уровне», – подчеркивает эксперт. По данным исследования «Лаборатории Касперского» «Информационная безопасность бизнеса» за 2013 год, главным приоритетом российских ИТ-специалистов остается защита данных, этим озадачено более 40% компаний. К счастью, доступные решения, способные обеспечить информационную безопасность кредитных организаций, существуют. upgrade the best publications 2014
37
THE BEST UPGRADE 2014
№ 9 (124) SEPTEMBER 2014
ИБ: человеческий фактор и права человека Управлять правами доступа к информации – значит управлять рисками инсайда текст
Таисия Мартынова
Технические средства защиты информации должны идти в ногу с организационными мерами, мотивационной и даже воспитательной работой в банковском коллективе. Человеческий фактор – рассеянность, нарушение «неудобных» регламентов безопасности – если и не приведет к немедленной потере данных, то откроет инсайдерам путь к конфиденциальной информации. «ОБЛАКА» И ПЕРИМЕТРЫ Защита от внешних злоумышленников продолжает быть важной задачей специалистов по информационной безопасности банков. Но охрана периметра информационной системы кредитной организации в условиях, когда данные стали обладать свойствами сверхтекучести и сверхпроводимости благодаря новейшим телекоммуникационным технологиям, невероятно осложняется. Периметр становится размытым, проницаемым не по причине атак извне, а в связи с активным использованием сотрудниками банка электронной почты, Skype и других популярных видов электронных пейджеров, соцсе38
upgrade the best publications 2014
тей, облачных технологий хранения информации, мобильных гаджетов. Разумеется, это не только банковская проблема. В начале августа 2014 года председатель Комитета Госдумы по безопасности и противодействию коррупции Ирина Яровая сообщила СМИ, что депутаты хотят ввести уголовную ответственность для чиновников за распространение информации для служебного пользования путем пересылки через негосударственные почтовые серверы и сервисы облачного хранения данных. По мнению И. Яровой, использование указанных технологий и услуг эквивалентно выкладыванию документов в открытый доступ. Фактически пересылка информации для служебного пользования по частным каналам приравнивается к раскрытию государственной тайны с соответствующим наказанием по Уголовному кодексу РФ. Сложно оценить подобные инициативы с точки зрения эффективности, особенно в коммерческом применении. На первый взгляд они напоминают попытки высечь воду в воспитательных целях. Тотальный запрет новых средств связи и электронных технологий по-
добен самоизоляции при эпидемии гриппа: да, есть шанс избежать заражения, но путем полного выключения из общественной жизни, что современное финансово-кредитное учреждение себе позволить не может. Прогрессивные специалисты по информационной безопасности говорят о том, что защита конфиденциальных данных – это не проект, а регулярный творческий процесс сочетания организационных, юридических, технических мер, адекватных ситуации. Одним из наиболее действенных методов специалисты считают определение приоритетности уровней защиты той или иной информации и разграничения прав доступа к ней. Необходимо понять, какие данные являются для банка критичными и в каких информационных системах они обрабатываются. Вместе с этим требуется оценить, какие возможные потери, финансовые и нематериальные (например, репутационные, имиджевые), понесет банк в случае неправомерного доступа к данным, как такой доступ может быть реализован и какова вероятность осуществления того или иного способа неправомерного доступа. Только после решения задач на первом этапе становится ясно, что, где и от чего надо защищать. К примеру, высший уровень конфиденциальности традиционно имеет бухгалтерская информация, платежки и пр. Это значит, что именно на защиту подобного массива данных банк тратит больше средств. Но велики ли будут потери, если произойдет утечка платежного поручения на 500–700 рублей? А вот то, на чем кредитно-финансовые организации теряют миллиарды рублей (торговля клиентской информацией), остается практически без внимания, сетуют специалисты по ИБ. НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К И Й Ж У Р Н А Л
№ 9 (124) SEPTEMBER 2014
ПРАВА И РЕГЛАМЕНТЫ При таком аналитическом подходе к построению защиты от инсайдеров информационная безопасность из технологического проекта вырастает в инструмент экономической безопасности, который в ряду прочих нацелен на достижение бизнес-целей банка. Положим, в отношении фронт-офиса и операционистов можно установить более жесткие политики и методики: доступ к АБС возможен только после идентификации сотрудника и исключительно к определенному перечню информационных ресурсов. В современной практике принята идентификация пользователя при входе в систему по уникальной комбинации логина и пароля, путем использования карты доступа или флешки-токена. Некоторые банки считают оправданным применение достаточно дорогой технологии биометрической идентификации, обеспечивающей высокий уровень достоверности авторизации, как сотрудников, так и клиентов организации. Также производится протоколирование всех действий пользователя и применение электронной подписи в качестве аналога собственноручной для защиты содержимого электронного документа от фальсификации. Разграничение же прав доступа пользователей к электронным документам, в том числе прав на просмотр, изменение и удаление электронных документов или их вложений, определяется как на уровне баз данных, так и на уровне конкретного документа. Например, в системе электронного документооборота одна группа пользователей обладает правами редактировать определенные документы, в то время как другая – только читать или согласовывать их. Такое разграничение прав доступа имеет практическую прикладную пользу, так как позволяет осуществлять мониторинг изменений и движения документов. В зависимости от происходящих в банке изменений списки управления доступом должны часто пересматриваться. Одним из наиболее эффективных, но и дорогостоящих инструментов в части контроля за оборотом данных внутри периметра информационной системы банка являются системы защиты DLP (Data Leak Prevention). DLP-системы позволяют централизованно контролировать и блокировать USB-порты, анализировать входящий и исходящий интернет-трафиН А Ц И О НАЛЬНЫ Й БАНКОВСК ИЙ ЖУРНА Л
THE BEST UPGRADE 2014
ки и контекст электронной почты, производить поиск по ключевым словам, а также регулировать доступ к Интернету. Подобные системы сообщают ответственному лицу об опасности, если возникают признаки инсайдерской деятельности. В то же время специалистов по банковской ИБ поражает простота, с которой преодолеваются сложнейшие алгоритмы шифрования: просто передаются пароли, на столе оставляются флешки или ключи доступа. Поэтому наиболее распространены в банках внутренние нарушения, неисполнение действующих требований без умысла нанесения ущерба. Инсайдерская атака, или использование дополнительных полномочий и возможностей, предоставленных статусом сотрудника, встречается гораздо реже. Однако очевидно, что чем чаще в организации допускаются нарушения, тем легче спланировать и провести инсайдерскую атаку. Именно поэтому подразделения безопасности уделяют большое внимание профилактике и контролю за соблюдением сотрудниками установленных правил и процедур. С пресловутым человеческим фактором, по мнению экспертов, можно справиться только путем объединения уже существующих в банках систем информационной и физической безопасности. В частности, нужно четко идентифицировать объект, применять биометрическую идентификацию. Необходимо иметь информационный след – что делает конкретный специалист на протяжении рабочего времени. Это достигается с помощью видеонаблюдения, систем контроля доступа, бюро пропусков. Необходимо также определить ряд регламентов, которые мы должны отслеживать с помощью систем информационной и физической безопасности. В некоторых банках начинают отслеживать деятельность ИТ- и даже ИБ-администраторов. Такой подход, к сожалению, небезоснователен: в ряде случаев именно привилегированные пользователи осуществляли кражу конфиденциальной информации. КЛИЕНТЫ И БОССЫ Специалисты признаются, что перечисленные меры работают во фронт- и мидл-офисах. Но в бизнесовых, продающих подразделениях и в отношении руководства кредитной организации их
применить сложно не столько в силу привилегий начальства или субординации, сколько из-за вреда, который стандартные механизмы защиты будут наносить эффективности бизнеса. Также велика вероятность того, что требования безопасности, тормозящие развитие, будут просто игнорироваться. В то же время мобильные устройства менеджеров в командировках и руководителей вписаны в корпоративную архитектуру информационной системы и представляют собой кладезь конфиденциальных, ценных данных. Получается, что ИБ-системы банка зачастую не контролируют информацию, которой обладают его сотрудники. Утечки происходят все чаще и чаще. В связи с этим специалисты по ИБ призывают осознать, что наибольшую опасность для банковского бизнеса представляют не утечки любой информации, а неуправляемый оборот наиболее ценных данных за пределами отстроенного защищенного контура. Задача современных систем банковских ИБ должна ставиться так: выявить критически важную информацию и обеспечить контроль ее перемещения вне зависимости от того, где она находится физически, поскольку возможна как случайная утеря, так и преднамеренная кража внешнего носителя или ноутбука с целью получения доступа к конфиденциальным сведениям. Когда мы говорим о бизнес-деятельности банка, то в круг вопросов обеспечения информационной безопасности надо включать и угрозы, связанные с клиентами. Нередко, осуществляя обмен информацией с клиентами в электронном виде, кредитные организации фиксируют на стороне клиента заражения вредоносным ПО. Естественно, это представляет потенциальную угрозу информационным системам банка, и одним лишь написанием регламентов данную проблему не решить – ее надо рассматривать в более широком смысле. Информационная безопасность финансовых институтов должна обеспечиваться отработкой неких сервисов безопасности, которые предоставляются как внутри банка, так и его клиентам. Потому что риски, которые несут в банк клиенты, не менее серьезны, чем риски, возникающие в результате злонамеренных действий кого-либо из сотрудников (инсайда) или порожденные человеческим фактором. upgrade the best publications 2014
39
THE BEST UPGRADE 2014
№ 10 (125) OСTOBER 2014
Как выбрать ЦОД Главные критерии – надежность, безопасность, репутация на рынке текст
Оксана Дяченко
Выбирая внешнего поставщика услуг ЦОД, многие организации руководствуются прежде всего соответствием уровню Tier, вопросами безопасности и защиты персональных данных, соотношениями «цена – качество» и «бренд – репутация» поставщика. Мониторинг энергопотребления, подготовленность инфраструктуры к чрезвычайным ситуациям и возможность установления партнерских взаимоотношений между клиентом и поставщиком услуг ЦОД – вот основные моменты, на которые необходимо обратить внимание при выборе дата-центра. При выборе поставщика услуг дата-центра вопрос «Где построен ЦОД – в России или за рубежом?» приобрел актуальность. В 2014 году Госдума РФ приняла закон, согласно которому все иностранные (соответственно, и отечественные) интернеткомпании должны перенести учетные записи граждан России в дата-центры, расположенные в границах РФ. Кроме того, закон предписывает делать записи, систематизацию, хранение, корректировку и иные операции с персональной информацией граждан России в базах данных, расположенных на территории нашей страны, то есть в отечественных дата-центрах. 40
upgrade the best publications 2014
С одной стороны, новый закон идет вопреки ожиданиям западных провайдеров услуг дата-центров на расширение бизнеса за счет российских клиентов. С другой – эта новость не может не радовать владельцев дата-центров, расположенных на территории нашей страны. Возможно, закон станет катализатором активности ИТ-отрасли. Например, речь может идти об удвоенном строительстве дата-центров в России. Здесь, конечно, неминуемо появятся определенные проблемы, например кадровый голод на «дата-специалистов» или же рост цен на аренду или покупку промышленных зданий для реконструкции под центр обработки данных. ВЫБОР ДАТА-ЦЕНТРА Современный банк, особенно если речь идет о крупных кредитных организациях, может нормально работать только в условиях, когда все системы обработки информации функционируют бесперебойно. Как правило, для размещения подобных систем банку необходим отказоустойчивый центр обработки данных с очень высоким уровнем безопасности. Эксперты называют различные критерии выбора поставщика услуг ЦОД.
Конечно, построить универсальную шкалу непросто. Однако многие специалисты во главу угла ставят надежность, безопасность и репутацию датацентра на рынке. Поскольку в нашей стране отсутствуют индустриальные стандарты построения ЦОД, при выборе площадки для своей ИТ-инфраструктуры можно воспользоваться представленными на рынке объектами, сертифицированными по всей линейке сертификатов Uptime Institute не ниже Tier 3. Это дает определенную гарантию того, что заявляемый в договоре уровень оказания услуг будет обеспечен. Общепринятый стандарт TIA-942 включает четыре категории дата-центров, каждая из которых подразумевает широкий спектр условий, обеспечивающих надежность. И если категория Tier 4 пока не встречается в России, то соответствие дата-центра стандарту Tier 3 уже становится критерием выбора наиболее требовательных клиентов. Эксперты рекомендуют проанализировать, в какой степени выбранный ЦОД по уровню технологических решений, структуре владения, стратегии развития соответствует планам роста организации-клиента. Важный пункт при выборе дата-центра – это стоимость владения арендуемой инфраструктуры. Данный показатель неразрывно связан с ценой на электроэнергию. Если вопросы энергоэффективности не проработаны в должной степени, то организация наверняка столкнется с постоянным ростом стоимости владения. Ей придется больше платить за электроэнергию при постоянном увеличении вычислительных мощностей. Специалисты советуют также обратить внимание на следующие факторы: потребляемую мощность, системы кондиционирования и пожаротушения ЦОД, существующую клиентскую базу, предлагаемые SLA, ИБ и каналы связи. НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К И Й Ж У Р Н А Л
№ 10 (125) OСTOBER 2014
THE BEST UPGRADE 2014
Хранилище данных: когда банку необходима промышленная система текст
Юлия Амириди, заместитель генерального директора по развитию бизнеса компании Intersoft Lab
Компания Intersoft Lab занимается разработкой и внедрением систем класса BPM (Business Performance Management – управление эффективностью бизнеса) на основе хранилища данных «Контур» собственного производства. За 15 лет реализовано более 70 проектов по построению хранилищ данных (ХД) в банках России и стран СНГ. Внедрять коммерческое ХД следует, если для банка важны короткие сроки внедрения и гарантированный результат, контролируемые расходы на поддержку работоспособности, готовая платформа для наращивания BPMфункциональности. КОРОТКИЕ СРОКИ ВНЕДРЕНИЯ И ГАРАНТИРОВАННЫЙ РЕЗУЛЬТАТ Построение корпоративного ХД – сложный интеграционный проект, особенно для многофилиального территориально распределенного банка. Его реализация требует решения ряда концептуальных и технических задач, в том числе: ■ выбора технологической платформы (СУБД), определяющей производительность будущего решения, его стоимость, доступность специалистов и простоту встраивания в ИТ-инфраструктуру банка; Н А Ц И О НАЛЬНЫ Й БАНКОВСК ИЙ ЖУРНА Л
■ разработки единой модели данных, отражающей общекорпоративный взгляд на них и сглаживающей семантические противоречия их источников; ■ организации процесса сбора данных (ETL-процесса), в том числе с применением специализированного ПО (реализация влияет на сроки разработки, стоимость, скорость загрузки и простоту поддержки решения); ■ обеспечения качества данных: очистки, консолидации, выполнения бизнес-проверок, то есть всех процессов, которые гарантируют получение согласованного и достоверного набора информации для анализа и выпуска отчетности; ■ администрирования ХД: управление метаданными, правами пользователей, журнализацией и т.п. Разработка ХД с нуля – трудоемкое и рискованное мероприятие. Если преимущества промышленных систем очевидны в вопросах обеспечения оптимальной производительности, простоты подключения к источникам данных и администрирования ХД, то козырь готовых отраслевых решений – это модель данных, определяющая будущую полезность ХД для бизнеса. Риски получения долгостроя на проекте ХД практически сводятся на нет, если внедряется готовое отраслевое решение, проектная команда компетентна в создании ХД для финансовой отрасли и понимает специфику его последующего применения. Как пример упомяну проекты, выполненные Intersoft Lab в 2014 году в крупных российских банках. Так, в Новикомбанке этап развертывания ХД и сбор в него данных бухгалтерского учета занял два месяца, в Банке «Санкт-Петербург» за 2,5 месяца выполнена консолидация данных бухучета по 39 филиалам и дополнительным офисам, два месяца занял сбор кредитного и депозитного портфелей для физических и юридических лиц. В проектах применена методика быстрого внедрения ХД, обеспечивающая минимизацию сроков проекта.
КОНТРОЛИРУЕМЫЕ РАСХОДЫ НА ПОДДЕРЖКУ РАБОТОСПОСОБНОСТИ Вопрос о стоимости владения ПО актуален в текущей экономической ситуации. Работать с поставщиком ХД, коммерчески заинтересованным в его поддержке, надежнее, чем зависеть от специалистов, сопровождающих самописное решение. Говоря о поддержке, стоит акцентировать внимание на масштабируемости ХД. В идеале модель данных должна быть скроена «на вырост» и обеспечивать развивающиеся потребности бизнеса, а платформа должна поддерживать механизмы адаптации модели и настройки новых алгоритмов обработки данных. Так, в основе ХД «Контур» универсальная отраслевая банковская модель (более 4 000 сущностей), которая покрывает большинство потребностей в информации для построения отчетности банков и оценки их финансовых результатов. Платформа хранилищ данных «Контур» предоставляет единую инструментальную среду, где адаптацию модели данных и настройку управленческих методик могут вести банковские специалисты. Это снижает затраты на поддержку и делает процесс разработки методологии адаптивным. ГОТОВАЯ ПЛАТФОРМА ДЛЯ НАРАЩИВАНИЯ BPM-ФУНКЦИОНАЛЬНОСТИ ХД – фундамент для полнофункциональной BPM-системы, источник согласованных данных для подготовки управленческой и регуляторной отчетности, управления прибыльностью бизнеса и рисками. Архитектура BPM-системы от компании Intersoft Lab включает приложения «Отчетность для Банка России», «Управленческая отчетность», «Аллокации», «Трансфертное управление ресурсами» и др. Внедрять приложения можно поэтапно. Они несут в себе методики, основанные на лучших практиках управления в банках, и снабжены инструментами для их адаптации. upgrade the best publications 2014
41
THE BEST UPGRADE 2014
№ 10 (125) OСTOBER 2014
Планшетный банкинг набирает популярность Мобильные сервисы – реальный ответ на потребности рынка текст
Оксана Дяченко
Планшетные решения для онлайнбанкинга можно назвать новой ступенью в развитии систем дистанционного банковского обслуживания, благодаря которым взаимодействие банков со своими клиентами становится более удобным и оперативным. Активное распространение мобильных финансовых инструментов и бизнес-приложений может привести к тому, что именно планшеты станут основной альтернативой персональным компьютерам и ноутбукам, опередив смартфоны в сегменте профессиональных гаджетов. Неслучайно для описания этого явления был создан новый термин – tablet banking, планшетный банкинг. Мобильный банкинг – одно из основных активно развивающихся направлений ИТ в финансовой сфере. Во всем мире сервисами мобильного банкинга пользуются около 800 млн человек. Такие данные приводятся в новом исследовании Juniper Research. По прогнозам компании, к 2019 году эта цифра достигнет 1,75 млрд человек. В различных странах в последние годы наблюдался чрезвычайно высокий спрос на разнообразные мобильные устройства. Это, в свою очередь, привело к стремительному развитию технологий мобильного банкинга. Например, Bank of America сообщал о том, что число его клиентов, пользующихся банковскими сервисами с мобильного телефона, превзошло количество клиентов, использующих для доступа к банковским услугам систему онлайнбанкинга с ПК. Согласно информации Juniper Research почти 100% проанализированных исследователями банков предлагают своим клиентам услуги мобильного банкинга (на базе СМС, браузера или мобильных приложений), а также системы интернет-банкинга. При этом кредитные организации разрабатывают специ42
upgrade the best publications 2014
альные приложения хотя бы для одной из известных мобильных платформ. TABLET BANKING РАСТЕТ БЫСТРЫМИ ТЕМПАМИ Все преимущества, которыми обладают мобильные устройства и планшеты по сравнению с персональными компьютерами в сфере онлайн-банкинга, ясны и понятны. Возникает вопрос – какое место занимают планшеты внутри самого мобильного банкинга? Планшеты станут самым популярным инструментом онлайн-банкинга уже через несколько лет, оставив позади себя прочие мобильные устройства, отмечают эксперты международной исследовательской компании Forrester Research. В то время как применение мобильного банкинга в Европе будет стремительно расти – с 42 млн пользователей в 2013 году до 99 млн в 2018 году, использование мобильного банкинга с помощью планшетов будет увеличиваться в два раза быстрее – с 19 млн пользователей в 2013 году до 115 млн в 2018 году, сообщается в исследовании Forrester Research. Среди основных причин такого активного роста интереса к онлайн-банкингу в его планшетной версии эксперты отмечают увеличение численности самих пользователей планшетов, доступность скачиваемых банковских приложений для планшетов, уверенность пользователей в безопасности применения онлайнбанкинга. В нашей стране планшетные ПК также проникают в повседневную жизнь, поэтому tablet banking имеет хорошие перспективы развития. Согласно информации сотовых ретейлеров объемы продаж планшетных компьютеров в России растут в разы. И это неудивительно, ведь многие новые пользователи пропускают этап использования стационарного компьютера – начинают сразу с планшетов и смартфонов. С ростом объема продаж планшетов, конечно, будет развиваться
и tablet banking в розничном сегменте. Планшеты могут стать незаменимыми и для бизнеса, особенно если речь идет о небольших предприятиях. ПРИЛОЖЕНИЯ ДЛЯ ПЛАНШЕТОВ Эксперты утверждают, что при хороших перспективах развития мобильного банкинга специальные приложения для планшетных компьютеров остаются сравнительно нечастым явлением – в основном только крупные российские банки предлагают своим клиентам приложения-банкинги для планшетов iPad. Специальные приложения для планшетов на базе ОС Android на российском рынке за единичными исключениями фактически отсутствуют, отмечается в исследовании Tablet Banking Rank 2013. На «андроидный» планшет клиенты банков могут установить обычный смартфонный мобильный банк. Однако здесь есть один недостаток – интерфейс таких приложений не использует возможности большого экрана планшетов. Эксперты констатируют: банки в целом стремятся поддерживать одинаковый уровень приложений для всех платформ, не создавая каких-либо преимуществ пользователям отдельных устройств. Разница между приложениями одного банка, как правило, является следствием небольших задержек между выходами новых версий приложений на разных платформах. Общий уровень эффективности приложений для iPad в среднем выше, чем для iPhone и Android, говорится в Tablet Banking Rank 2013. Аналитики объясняют это тем, что приложения для iPad разрабатывают преимущественно те кредитные организации, которые вкладывают значительные средства в дистанционные сервисы и показывают лучшие результаты на всех платформах мобильного банкинга. Ведущие разработчики систем ДБО на российском рынке говорят, что сущеНА Ц ИО НА Л Ь НЫ Й Б А НК О В С К И Й Ж У Р Н А Л
№ 10 (125) OСTOBER 2014
ственным толчком для развития систем онлайн-банкинга на планшетах и смартфонах стало появление на рынке технологий формирования полноценной электронной подписи на мобильных устройствах. Теперь компании-разработчики могут предлагать кредитным организациям решения, которые позволяют корпоративным клиентам банков управлять счетами своих организаций с возможностью поддержки юридически значимого документооборота с планшетов на платформах Android и iOS. На рынке существуют готовые решения для разработки мобильных приложений от крупных вендоров, с помощью которых можно обеспечить портируемость (переносимость, англ. portability) кода приложения для разных операционных систем. Эксперты также отмечают, что развивается направление, связанное с разработкой мобильных приложений на HTML5. Их преимущества заключаются в том, что они просты в реализации и их технология понятна многим разработчикам. РОССИЙСКИЕ БАНКИ В ТРЕНДЕ Крупные западные кредитные организации уже начали активно внедрять приложения для банкинга на планшетах. Citi представил свое приложение Citibank для планшетов iPad практически во всем мире – в Азиатско-Тихоокеанском регионе, Латинской Америке и Европе. В заявлении компании сообщалось, что внедрение приложения именно для планшетов указывает на то, что Citi воспринимает планшеты как отдельный канал обслуживания клиентов. В отличие от мобильного банковского приложения для смартфонов, приложение Citi iPad включает в себя функции, специально разработанные для расширенного экрана, в том числе графики и отображение информации о счете пользователя. Конечно, даже крупнейшие российские банки не могут похвастаться такими масштабами внедрений, однако и они идут в общемировом тренде мобильного банкинга. Уже ряд финансово-кредитных организаций объявили о запуске новых приложений для мобильного, в том числе планшетного, банкинга. Так, Альфа-Банк сообщил, что мобильный банкинг для юридических лиц и индивидуальных предпринимателей Н А Ц И О НАЛЬНЫ Й БАНКОВСК ИЙ ЖУРНА Л
THE BEST UPGRADE 2014
«Альфа-Бизнес Мобайл» стал теперь доступен и на планшетах. С помощью приложения «Альфа-Бизнес Мобайл», загруженного на смартфон или планшет, клиенты кредитной организации, подключенные к интернет-банку «Альфа-Бизнес Онлайн», могут совершать переводы и платежи по подписанным в интернет-банке шаблонам, просматривать остатки на счетах и получать выписки по операциям. Кроме того, «Альфа-Бизнес Мобайл» предоставляет корпоративным клиентам банка информационные и геолокационные сервисы. В обновленной версии для планшетов пользователи «Альфа-Бизнес Мобайл» смогут получить выписки за любой период времени, просмотреть планируемые поступления, а также ленту исходящих платежей. «С момента создания мобильного приложения для смартфонов мы занимались разработкой его расширенной, планшетной версии. Работая с вопросами и предложениями наших клиентов, мы понимали, что это решение ожидаемо и будет востребовано. Банковские мобильные сервисы уже не экзотика, а реальный ответ на потребности рынка, который с каждым днем становится все мобильнее. Наша задача – соответствовать этим потребностям: быть впереди рынка, участвовать в его формировании», – отмечает начальник управления развития корпоративных электронных каналов Альфа-Банка Вадим Белопольский. Банк «Авангард» выпустил обновленную версию мобильного приложения для устройств на Android. Основным отличием новой версии от предыдущей является интерфейс, созданный специально для планшетных компьютеров. При этом интерфейс приложения для смартфонов остался неизменным. При загрузке программа автоматически определяет, является ли устройство планшетом, и настраивает соответствующий интерфейс. Главная особенность нового дизайна заключается в том, что в нем учитывается увеличенный размер экрана планшета по сравнению со смартфоном. Это позволяет отображать больше информации в пределах одного поля. Так, навигационное меню, которое ранее выводилось пользователем только
при необходимости, теперь закреплено на экране постоянно, а основная часть экрана содержит расширенные данные и дополнительные элементы. При этом в приложении сохранены все возможности: привычные вкладки, удобное пролистывание, масштабирование и т.п. Функционал новой версии мобильного приложения также отвечает необходимым требованиям: клиент банка может сформировать любое платежное поручение, в том числе налоговый или бюджетный платеж. В ближайшее время банк планирует запустить аналогичную обновленную версию для мобильных устройств, работающих на платформе iOS. МОСКОВСКИЙ КРЕДИТНЫЙ БАНК (МКБ) в 2014 году объявил о выпуске планшетной версии приложения «Мобильный банкинг», доступной в AppStore. Данное решение обеспечивает полноценный доступ к банковским операциям и продуктам. Теперь клиенты МКБ могут самостоятельно совершать все банковские операции при помощи бесплатного мобильного приложения: перевод денежных средств между счетами и картами, оплату услуг и штрафов, проверку баланса и многое другое. Промсвязьбанк запустил бесплатное приложение PSB On-Line Mobile для корпоративных клиентов и клиентов малого и среднего бизнеса. Приложение доступно на мобильных телефонах и планшетах, работающих на платформах Android и iOS. В банке сообщают, что с помощью PSB On-Line Mobile клиенты могут просматривать информацию о проведенных по счетам организации операциях, отслеживать статусы документов, созданных в интернет-банке PSB On-Line, своевременно получать уведомления по ним, а также следить за сообщениями банка. В дальнейшем предполагается расширить функционал приложения платежным сервисом. Как мы можем убедиться, российские банки действительно стараются не отставать в данном вопросе от своих западных коллег. И это объективная реальность: клиенты, независимо от страны, в которой они проживают, предъявляют высокие требования к качеству получаемых сервисов, в том числе сервисов, связанных с дистанционным банковским обслуживанием. upgrade the best publications 2014
43
THE BEST UPGRADE 2014
№ 11 (126) NOVEMBER 2014
В ожидании грозы Импортозамещение ИТ в банках: гром еще не грянул, креститься рано, но задумываться о последствиях самое время текст
Таисия Мартынова
Замена импортных средств автоматизации отечественными разработками в банках – дело долгое, дорогое, в некоторых случаях попросту невозможное, а в иных организациях было бы бессмысленным, если бы не угрозы санкций. На что рассчитывать российскому банкиру: санкции «выстрелят» или грозу пронесет мимо? Иными словами, не пора ли не просто задуматься о переходе на ИТ-решения отечественных компаний, а сделать определенные, вполне конкретные шаги в данном направлении? САМОЦЕНЗУРА НА ВСЯКИЙ СЛУЧАЙ Представители банковского бизнеса сходятся во мнении, что до сих пор российские кредитные организации еще не столкнулись с масштабными проблемами в сфере информационных технологий, которые могут последовать в связи с применением санкций со стороны европейской и американской управленческой машины. Как высказался по этому поводу начальник департамента информационных технологий Росэнергобанка Леонид Белышков, сейчас кредитные организации находятся в стадии анализа рынка и ожидания. Что будет дальше и как глубоко этот процесс затронет российские банки, покажет время. Пока реальных проявлений санкций немного, больше разговоров, констатирует эксперт. Член правления Банка Москвы Сергей Меднов развивает эту мысль: «Известны лишь единичные случаи применения полномасштабных санкций к нескольким игрокам, попавшим в черные списки. Однако эти пока немногочисленные кредитные организации не могут закупать любую необходимую технику и сервис в европейских и американских компаниях, в связи с чем встает вопрос о технологическом импортозамещении и о способах противостояния подобным вызовам как в отдельных банках, так и на уровне страны в целом». 44
upgrade the best publications 2014
Выступая на круглом столе «ИТ в финансовом секторе: какие ИТ-задачи стоят перед банками в новых экономических условиях», организованном NBJ и АРБ, советник генерального директора Финансовой корпорации «Открытие» Михаил Левашов выразил общее настроение участников российского рынка: «Мы действительно работаем в новых реалиях, поэтому надо постоянно учитывать геополитические риски и с этой точки зрения решать вопрос, какие программные продукты использовать – западных или российских разработчиков». По мнению эксперта, есть и еще один вариант – собственные банковские решения, однако априори понятно, что подобная роскошь по карману лишь крупным финансово-кредитным организациям. Ведь подобные продукты потом будут требовать поддержки со стороны самих разработчиков, а это означает, что банку придется содержать весьма внушительный штат департамента или подразделения ИТ. По сути, разными словами и с разной степенью драматизма все опрошенные NBJ эксперты говорят о том, что использование импортного «железа» и софта становится риском, от которого уже нельзя просто отмахнуться. Пусть пока еще ситуация не требует немедленных действий в части реальной замены ИТ-систем, но об этом уже приходится задумываться, учитывать в планах возможные риски и делать выбор, как на них отвечать с максимальной выгодой для банка, точнее, с минимальными для него потерями. Для стороннего наблюдателя находчивость и решительность отечественных банковских ИТ-специалистов перед лицом новых угроз могла бы даже показаться забавной, если бы не печальные обстоятельства, вызвавшие этот гарибальдийский задор. Не под запись, в частном кругу, банкиры всерьез обсуждают необходимость отключения авто-
матического обновления лицензионного западного ПО, поскольку в одну прекрасную ночь может сработать «вражеская» команда (примерно как «22 июня ровно в четыре часа…»), и все информационное обеспечение банка рискует тогда «умереть» в одно мгновенье. Какие последствия в нынешней, не самой спокойной и стабильной ситуации это может иметь для репутации банка, наверное, не стоит конкретизировать. Именно поэтому, рассказывают друг другу банкиры, кредитные организации, в том числе игроки с государственным участием, проводят сейчас тщательную проверку имеющихся информационных активов и думают, на что их можно заменить во избежание риска активизации уже поставленных закладок. Однако же шутки шутками, а в бизнесе все всерьез. Управляющий директор компании «Диасофт Платформа» Константин Варов привел в пример сирийские кредитные организации, которые давно живут под гнетом санкций. «В настоящий момент в стране просто невозможно использовать западные, в первую очередь американские, решения в сфере ПО: сирийским банкам их просто не продают. С этой точки зрения надо внимательно анализировать, как они выходят из данной ситуации», – рекомендует эксперт. Как это нередко бывает, угроза наказания приводит к превентивным самоограничениям, своего рода самоцензуре: банки примеряют на себя санкции раньше, чем они вводятся в действительности. ИТ-директор Мираф-Банка Ярослав Медокс высказывает свои соображения по поводу угроз использования импортного системного ПО. «Большие компании, типа Oracle и IBM, пока не заявили, что они присоединяются к режиму санкций по отношению к своим российским партнерам, но такой риск нельзя исключать. Если это произойдет, то последствия для нашего банковского сектора НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К И Й Ж У Р Н А Л
№ 11 (126) NOVEMBER 2014
могут оказаться катастрофическими, и меня, как ИТ-директора банка, очень интересует ответ на вопрос: какие альтернативы у нас имеются? Приведу пример из жизни нашей кредитной организации. Перед нами стоит задача создать виртуальную платформу. Так вот, если до недавнего времени мы рассматривали возможность покупки для платформы программного продукта одного из лидирующих западных вендоров, то теперь мы сами для себя ввели запрет на это и рассматриваем другие варианты. Сдается мне, что мы в данном случае не одиноки», – делится своими переживаниями и выводами эксперт. В ОЧЕРЕДЬ… В связи с такими общими настроениями возникают вопросы: если замена или хотя бы подстраховка банковских ИТ является самой актуальной задачей, то каковы слабые места и преимущества российских разработок? Имели бы эти преимущества какое-то значение в глазах банкиров, если бы над российскими финансово-кредитными организациями не была занесена санкционная дубина? Сергей Меднов (Банк Москвы) считает, что самая уязвимая часть ИТ в отечественных банках – это аппаратное обеспечение. «В России данная сфера, мягко говоря, не развита, – говорит эксперт, – и даже наши партнеры из Азии
THE BEST UPGRADE 2014
не способны производить необходимое высокотехнологичное оборудование. Речь идет прежде всего о серверах Hi-End, системах хранения, системах специализированного телекоммуникационного оборудования и о целом ряде систем безопасности. Это все можно заменить на решения меньшего масштаба, что само по себе непростое и небыстрое занятие». С рынком программного обеспечения, по мнению топ-менеджера Банка Москвы, дела обстоят значительно лучше. Ведь большинство российских банков используют отечественные продукты. И хотя все они построены на основе опять же западных операционных систем, задача импортозамещения здесь относится к числу решаемых. Леонид Белышков (Росэнергобанк) уточняет, что российские разработки охватывают, как правило, верхнеуровневые приложения, в которых сотрудники банка проводят текущие внутрироссийские банковские операции. Низкоуровневое ПО (операционные системы и базы данных) импортное. Вопрос его замещения гораздо сложнее, так как на отечественном рынке практически нет разработок, удовлетворяющих банк. Именно в этом слабость российского ПО на конкурентном рынке: российские продукты нишевые, они рассчитаны на решение какой-то конкретной бизнес-задачи или закрывают отдельный участок процесса.
Причем в основе отечественных разработок, обычно лежит импортный продукт. «В России, к сожалению, нет таких ИT-компаний, которые могут создать собственную операционную систему и базу данных», – резюмирует специалист. Однако эксперт Росэнергобанка признает, что бесспорным преимуществом российских ИТ-компаний являются люди, сотрудники, их интеллектуальный ресурс. «Сейчас фактор риска, связанный с производителями импортных товаров возрос, но сами по себе санкции не являются единственной причиной выбора отечественного ПО российскими банками, – утверждает Леонид Белышков. – Предпочтение определяет рынок, ориентируясь при этом на привычные критерии – цена, качество, риски». Оценивая перспективу замены импортного ПО российскими разработками, комментаторы NBJ признавали высокую реалистичность сценария полного импортозамещения, предупреждая, что этот процесс небыстрый, так как существует много белых пятен в покрытии необходимого функционала. К тому же любой переход с системы на систему – очень ресурсоемкое и накладное мероприятие, поэтому большинство кредитных организаций ждет дальнейшего развития ситуации, в крайнем случае приостанавливая обновления систем или замораживая новые проекты.
МНЕНИЕ ЭКСПЕРТА
Константин ВАРОВ, управляющий директор компании «Диасофт Платформа»
Основные бизнес-процессы современных банков критически зависят от надежного функционирования программного обеспечения. К сожалению, в 2014 году ряду российских кредитных организаций пришлось столкнуться с отказом некоторых зарубежных поставщиков системного ПО от поддержки своих продуктов, что не осталось без внимания российских вендоров. Компания «Диасофт Платформа» оперативно инициировала проект «Бета», целью которого стало построение решений для финансового сектора и ряда других отраслей с использованием российских информационных технологий и свободного Н А Ц И О НАЛЬНЫ Й БАНКОВСК ИЙ ЖУРНА Л
программного обеспечения. Благодаря усилиям специалистов компании и ее ключевых партнеров эта задача сегодня полностью решена (ее решение ознаменовалось запуском в одном из российских банков компонентов линейки FLEXTERA на произведенной в РФ операционной системе, СУБД и сервере приложений). Быстрые темпы реализации проекта были обусловлены тем, что многие компоненты продукта не создавались с нуля, а просто адаптировались к проекту. Важно отметить, что многие из них уже имеют сертификаты ФСТЭК и ФСБ, подтверждающие их высокий уровень защищенности от несанкционированного доступа и недекларированных возможностей, а нагрузочные тесты показали высокую производительность всех компонентов не хуже, а иногда даже и лучше, чем у зарубежного ПО. На сегодняшний день задача миграции банка на новый стек приложений осуществляется в кратчайшие сроки, при этом технологии разработки позволяют кредитным организациям при желании вернуться к сотрудничеству с западными вендорами. Свобода выбора и конкурентоспособное качество продуктов – вот что могут предложить отечественному рынку ИТ-компания «Диасофт Платформа» и ее партнеры по проекту «Бета». upgrade the best publications 2014
45
THE BEST UPGRADE 2014
14 20 15
№ 12 (127) DECEMBER 2014
ЛУЧШИЕ
Олег БАРАНОВ, управляющий партнер компании «Неофлекс»
Владимир ВЕРТОГРАДОВ, коммерческий директор компании НОРБИТ
Для «Неофлекс» предшествующий юбилею компании 2014 год стал периодом развития флагманских продуктов Neoflex Reporting, Neoflex FrontOffice и закрепления лидерских позиций линейки Neoflex Adapters. Он был богат интересными проектами: крупнейший на рынке интеграционный проект на платформе Oracle SOA Suite в банке ВТБ24; тиражирование по всей дилерской сети кредитного конвейера в РН Банке (Альянс Рено-Ниссан); первый на российском рынке запуск в промышленную эксплуатацию EDM-системы Golden Source в Сбербанке; решение по управлению кредитными рисками с применением FICO Blaze Adviser в Восточном экспресс банке и т.д. Надеемся, что проверенное временем качество наших продуктов и уникальная экспертиза обеспечат успешность бизнеса «Неофлекс», несмотря на экономическую турбулентность.
Компания НОРБИТ – ведущий эксперт на рынке ИТ-консалтинга по разработке и внедрению эффективных решений для автоматизации бизнеса, в том числе CRM-систем на базе Microsoft Dynamics CRM. Наша команда сертифицированных специалистов по разработке и внедрению решений на платформе Microsoft Dynamics CRM – крупнейшая практика CRM в России и странах СНГ. НОРБИТ является четырехкратным победителем конкурса Microsoft Dynamics CRM Awards и удостоен награды в российском конкурсе среди партнеров Microsoft в номинации Microsoft Dynamics Industry: Financial Services Industry (FSI), подтвердив высочайшую экспертизу в банковской отрасли. Мы уверены, что эффективное взаимодействие с клиентами, профессионализм и упорство позволит нам добиться хороших результатов в 2015 году.
46
upgrade the best publications 2014
Андрей ГАЛКОВСКИЙ, генеральный директор R-Style Softlab В 2014 году R-Style Softlab успешно завершила несколько крупнейших внедрений в банках Российской Федерации и СНГ (Пробизнесбанк, Россельхозбанк, БМВ Банк, Евразийский банк и другие). Мы продолжаем вести масштабные интеграционные проекты в Меткомбанке и банке «ГЛОБЭКС». Выиграли тендер на разработку мультиканального ДБО, сравнимого по масштабам разве что с нашим решением для Сбербанка. Начали сотрудничество с более чем 20 новыми партнерами из ТОП-100 сегмента. Открыли два новых офиса, один из которых находится в Крыму. Усилили продажи и маркетинг. Одним словом, свой 20-летний рубеж мы прошли, как и подобает возрасту, энергично и с большой верой в успех. НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К И Й Ж У Р Н А Л
№ 12 (127) DECEMBER 2014
THE BEST UPGRADE 2014
ИT-партнеры для банков
Александр ГЛАЗКОВ, председатель совета директоров компании «Диасофт» 2014 год открыл для «Диасофт» новые горизонты. Компания стала членом международной ассоциации Banking Industry Architecture Network (BIAN), целью которой является продвижение стандартов сервис-ориентированной архитектуры (Service-Oriented Architecture, SOA) в ИТ. Кроме этого, «Диасофт» удерживает лидерские позиции в списке ведущих провайдеров передовых технологий, поднявшись на пять строк в мировом рейтинге FinTech 100, а также сохраняет место в ТОП-10 крупнейших российских разработчиков программного обеспечения (рейтинги «Эксперт РА», «Коммерсант», IBS Publishing). В 2015 году мы не собираемся останавливаться на достигнутом и будем покорять новые вершины. Н А Ц И О НАЛЬНЫ Й БАНКОВСК ИЙ ЖУРНА Л
Александр ГОЛЬЦОВ, генеральный директор АМТ-ГРУП АМТ-ГРУП в 2014 году исполнилось 20 лет, более 10 из них мы работаем с финансовыми организациями России. Юбилейный год принес нам как новых заказчиков, так и интересные проекты. Ориентируясь на потребности наших клиентов, мы разработали в 2014 году несколько новых продуктов: систему управления исходящими вызовами АМТ Campaign Manager, сервис смены ПИН-кода через IVR или системы интернет-банкинга, коллекторскую систему, а также систему распределения заявок в кредитном центре, в том числе BI-решения. Продукты оказались востребованными участниками рынка: закончены внедрения в АБ «ГПБ-Ипотека», Банке Русский Стандарт и др. Еще в нескольких банках проекты реализуются в настоящий момент.
Сергей ГРУЗДЕВ, генеральный директор компании «Аладдин Р.Д.» Несмотря на кризисные явления, наша компания продолжает работу над новыми продуктами и решениями, основанными на технологической платформе JaCarta, востребованной как в корпоративном, так и в финансовом сегментах. В 2014 году технологии «Аладдин Р.Д.» помогли iSimpleLab обеспечить надежную защиту систем ДБО для юридических лиц Углеметбанка, РосДорБанка и Крайинвестбанка. На новый уровень защиты от угроз была выведена и система ДБО Пробизнесбанка, в которой наш партнер – R-Style Softlab реализовал поддержку «Антифрод-терминала». В 2014 году совместимость линейки USB-токенов и смарт-карт JaCarta была подтверждена с системами «Интернет-Клиент-Банк» («ИНИСТ»), ПК «iBank 2» («БИФИТ») и ТЕЛЕБАНК\Enterprise («Степ Ап»). upgrade the best publications 2014
47
THE BEST UPGRADE 2014
14 20 15
№ 12 (127) DECEMBER 2014
ЛУЧШИЕ
Кирилл ДИБРОВА, директор Центра финансовых решений РДТЕХ
Олег ДРОЖДИН, генеральный директор ЗАО БИС
2014 год был непростым для РДТЕХ. Мы на себе испытали результаты действия международных санкций, выразившихся, в частности, в сокращении ИТ-бюджетов банков. Тем не менее мы представили рынку новые услуги: систему противодействия отмыванию денег и систему декларирования счетов в соответствии с требованиями FATCA. Нами выполнена первая в России поставка программно-аппаратного комплекса Big Data в банк. Завершен масштабный проект по созданию «Автоматизированной системы электронного хранилища образов кредитно-обеспечительной документации банка» в Банке Москвы. Увеличился портфель проектов по нашему флагманскому решению по построению хранилищ данных и систем отчетности. Ну и наконец, нам удалось выйти на новый для нас рынок Азербайджана.
Компания БИС в 2014 году подтвердила эффективность своей бизнес-модели, успешно реализовав ряд масштабных проектов. Наши специалисты провели полную модернизацию АБС одного из ведущих банков Казахстана – ДБ АО «Сбербанк». Мы вышли на новый уровень партнерства с Россельхозбанком и ВТБ24, внедрив современные модули по автоматизации хозяйственной деятельности и работе с депозитами юридических лиц. С 2014 года АБС QBIS обеспечивает надежную и стабильную работу в Мир Бизнес Банке и СтройКомБанке. Нам очень приятно, что в 2014 году новым партнером БИС стала НКО «УЭК», где мы приступили к внедрению основных компонентов АБС QBIS.Bank. Уверен, что в 2015 году у нашей компании будут новые успехи и достижения!
48
upgrade the best publications 2014
Евгений ЗАКРЕПИН, первый вице-президент компании «Техносерв»
На наш взгляд, готовность финансовокредитных организаций к современным вызовам зиждется на оперативном введении изменений в ИТ-системы, круглосуточной доступности инфраструктуры и анализе сведений о клиентах, чтобы быть для них ближе, понятнее и удобнее. Поэтому банкам, которые являются нашими партнерами, мы рекомендуем обратить внимание на три направления, где «Техносерв» обладает успешным опытом внедрения: автоматизацию создания тестовых сред и управления ими, зонтичный мониторинг ИТ-инфраструктуры и проекты из области Big Data, где мы готовы предложить инструменты монетизации данных о клиентах. НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К И Й Ж У Р Н А Л
№ 12 (127) DECEMBER 2014
THE BEST UPGRADE 2014
ИT-партнеры для банков
Светлана КОНЯВСКАЯ, заместитель генерального директора ЗАО «ОКБ САПР» В 2014 году ОКБ САПР исполнилось 25 лет, 20 из которых мы работаем с банками. Одни наши решения создавались с ориентацией на банковские информационные системы, а другие определили архитектуру этих систем. 2014 год мы считаем годом нашего принципиального прорыва: мы разработали новую защищенную архитектуру компьютера и создали компьютеры с этой архитектурой. Неудивительно, что одним из основных потребителей компьютеров новой архитектуры мы видим банк. Лишенные архитектурной уязвимости традиционных ПК, блокировать которую могут лишь дорогостоящие средства защиты, эти компьютеры могут стать прорывом не только для нас, но и для банковского бизнеса. 2015 год покажет! Н А Ц И О НАЛЬНЫ Й БАНКОВСК ИЙ ЖУРНА Л
Илья КОРОБОВ, генеральный директор компании INPAS
Георгий КРАВЧЕНКО, генеральный директор ГК BSS
Подводя итоги 2014 года, стоит отметить, что для всех нас он был сложным в силу понятных экономических причин. Тем не менее компания INPAS, ориентируясь на общий тренд банковского рынка по снижению издержек и увеличению показателей эффективности бизнеса, смогла предложить рынку ряд продуктов и сервисов, способных выполнить эти задачи. Одним из наиболее востребованных банками сервисов является аутсорсинг эквайринговых сетей. Компания INPAS активно инвестирует свои ресурсы в развитие данного направления. Подключение к сервису АЭС позволяет кредитной организации отказаться от непрофильной деятельности, сократить издержки и сосредоточиться на классической банковской деятельности.
2014 год для группы компаний BSS – время изменений и лидерства в сфере разработки и внедрения систем ДБО и управления финансами. Мы стали внимательнее анализировать современные и зарождающиеся технологические тренды, развиваем концепцию Digital Banking и новую, прогрессивную, единую платформу CORREQTS. Мы сделали новый, интересный мобильный банкинг, решения на стыке финансовых и государственных услуг. BSS доказала свои сильные позиции в рейтингах «Эксперт РА» и CNews Analytics и планирует активно осваивать новые сегменты рынка. Мы благодарны нашим партнерам и клиентам за надежность наших деловых отношений! Уверены: 2015 год даст немало поводов гордиться нашими успехами! upgrade the best publications 2014
49
THE BEST UPGRADE 2014
14 20 15
№ 12 (127) DECEMBER 2014
ЛУЧШИЕ
Олег КУЗЬМИН, вице-президент компании «ИНВЕРСИЯ»
Вячеслав МЕДВЕДЕВ, ведущий аналитик отдела развития ООО «Доктор Веб»
Дмитрий СЛОБОДЕНЮК, коммерческий директор ARinteg (ООО «Антивирусные решения»)
Жить и развиваться в стрессовых условиях стало для нас привычкой. Мы своим примером показываем, что даже во времена кризисов и политических потрясений можно не только выживать, но и становиться сильнее! 2014 год нам запомнится тем, что нашими клиентами стали две крымские финансово-кредитных организации – ОАО «Банк ЧБРР» и ОАО «Севастопольский Морской банк». Интересный и сложный проект по автоматизации ООО «Миг Кредит» дал нам возможности выйти на рынок активно развивающихся микрофинансовых организаций. В 2014 году в нашем списке уже более десяти новых партнеров – банков и МФО, с которыми мы начали сотрудничать!
Компания «Доктор Веб» – крупнейший российский производитель антивирусных средств защиты информации, ключевой игрок на российском рынке защитного программного обеспечения для бизнеса, госучреждений и частных пользователей. Если говорить о ближайшем будущем, то оптимизма оно не внушает. 2014 год проходил под знаком сокращения бюджетов и штатов, а последние месяцы этого года фактически перевели бизнес в режим работы при высоких рисках. На это накладывается уже не просто рост количества вредоносных программ, а их качественное изменение – теперь стремятся заражать все, что традиционно антивирусами не защищается. Реальные доходы падают, а злоумышленники тоже хотят кушать.
2014 год для ARinteg был очень плодотворным: компания усилила свои позиции на рынке информационной безопасности, реализован ряд крупных проектов по внедрению SIEM-систем, запущена на базе офиса компании демозона использования Microsoft Lync и Microsoft Office 365. Мы первыми среди российских интеграторов прошли сертификацию по файерволам нового поколения McAfee. В 2014 году реализован первый в России проект по внедрению системы защиты от атак нулевого дня Trend Micro Deep Discovery в одном из ведущих банков и проведена интеграция данного решения с другими системами безопасности с использованием SIEM. В 2014 году открыты региональные представительства в Екатеринбурге и Ереване. Теперь партнерская сеть ARinteg объединяет ряд компаний России и СНГ.
50
upgrade the best publications 2014
НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К И Й Ж У Р Н А Л
№ 12 (127) DECEMBER 2014
THE BEST UPGRADE 2014
ИT-партнеры для банков
Андрей СЫКУЛЕВ, генеральный директор компании «Синимекс»
Сергей ТИХОМИРОВ, первый заместитель генерального директора группы компаний CUSTIS
Юрий ФОКИН, директор компании ЮниСАБ
В 2014 году компания «Синимекс» присоединилась к программе Misys InFusion в качестве первого стратегического партнера по продукту FusionRisk в России. Нам удалось реализовать под ключ значимые бизнес-проекты, заказчиками которых выступили представители бизнес-департаментов банков: совместный проект «МОНАКО» с Банком ВТБ, внедрение программного комплекса сопровождения и контроля валютных операций в Газпромбанке, развитие системы Capstone CC в Райффайзенбанке и др. Чтобы создавать по-настоящему эффективные решения, выверенные функционально и технически, соответствующие потребностям клиента, мы должны выстраивать полноценную вертикаль взаимодействия с клиентами на всех необходимых уровнях.
В 2014 году мы продолжили развитие долгосрочных партнерских отношений с нашими ключевыми заказчиками в финансовой сфере – Банком России и Газпромбанком. Помимо выполнения текущих задач по расширению функционала систем автоматизации учета и отчетности, мы запустили новые этапы реализации и проекты с новыми партнерами. В 2014 году группа компаний CUSTIS завершила пилотный проект по разработке системы мониторинга бизнес-процессов и начала работу по созданию решения в области банковского казначейства. Наша компания стремится выступать для заказчиков в роли выделенного центра развития, и в 2015 году мы продолжим работу над реализацией стратегических задач наших клиентов с помощью информационных технологий.
2014 год был непростым как для страны в целом, так и для рынка банковских услуг. Да и 2015 год, по прогнозам экономистов, обещает быть сложным. В такой ситуации мы, как одна из ведущих ИТ-компаний, должны поддержать наших клиентов, предлагая им новые, современные продукты и оптимальные условия по сопровождению. Опыта для этого у нас достаточно, ведь в 2015 году ЮниСАБ отметит юбилей. 20 лет компания не просто устойчиво стоит на ногах, но и продолжает расти и развиваться. Развивается компания, развивается и наш продукт – АБС UBS.NET. В планах на 2015 год вывод на рынок мобильных приложений, расширение спектра онлайн-услуг, линейки банковской розницы и многое другое.
Н А Ц И О НАЛЬНЫ Й БАНКОВСК ИЙ ЖУРНА Л
upgrade the best publications 2014
51
THE BEST UPGRADE 2014
№ 12 (127) DECEMBER 2014
14 20 15
Андрей ФОМИЧЕВ, заместитель председателя правления ГК ЦФТ
Валерий ЧАУСОВ, управляющий партнер компании Intersoft Lab
2014 год с самого начала не обещал быть легким. Однако его итоги оказались значительно лучше предположений и ожиданий. В софтверном портфеле ЦФТ в два раза больше контрактов с новыми клиентами, чем в 2013 году, увеличилась доля банков из ТОП-50 и игроков с иностранным капиталом. В 2014 году стартовал новый, интересный проект «Платежная карта «Билайн», а к ПЦ «КартСтандарт» присоединился сотый банк. Денежные переводы «Золотая Корона» активно осваивали дальнее зарубежье, интернет-банкинг Faktura.ru совершенствовал свои сервисы и предложил банкам несколько технологических новинок. Какими бы сложными ни были времена, развитие продолжается. Впереди нас всех ожидают новые вызовы.
Более 15 лет назад Intersoft Lab стала первым российским разработчиком систем бизнес-аналитики (Business Analytics) и управления эффективностью бизнеса (Business Performance Management). В нашем активе более 200 ВРМ-проектов в банках России и СНГ. Мы создаем управленческие модели, строим хранилища данных, автоматизируем бюджетирование, управление прибыльностью, подготовку внутренней и регуляторной отчетности, помогаем в организации технологии и служб качества данных. ВРМ-платформу «Контур» испытали более ста банков, среди них ОАО «Банк «Санкт-Петербург», ОАО «АБ «РОССИЯ», Банк «Возрождение» (ОАО), Банк «Русский Стандарт» (ЗАО), АКБ «НОВИКОМБАНК», ОАО АКБ «АК БАРС», ВБРР (ОАО), ВТБ24 (ПАО).
52
upgrade the best publications 2014
Сергей ШИЛОВ, управляющий партнер компании AT Consulting Более 13 лет мы стараемся находить лучшие решения для задач, которые стоят перед кредитными организациями. Бизнес AT Consulting строится на предоставлении различных услуг в сфере автоматизации, и мы умеем реализовывать масштабные долгосрочные проекты, причем не только в благоприятные, но и в сложные для банковского рынка времена. 2014 год стал для нас временем новых возможностей, так как банки больше внимания уделяют проектам по внедрению информационных систем и меньше – инфраструктурным проектам. Мы выполнили ряд проектов для таких кредитных организаций, как Альфа-Банк, «Ренессанс Кредит», «Лето Банк», Сбербанк России, ВТБ, УРАЛСИБ, МТС-Банк, БИНБАНК, Промсвязьбанк и многие другие. НА Ц ИО НА Л Ь НЫ Й Б А НК О В С К И Й Ж У Р Н А Л
№ 12 (127) DECEMBER 2014
THE BEST UPGRADE 2014
Автоматизация банковской розницы Требования к системам: максимальная надежность, скорость работы, масштабируемость текст
Оксана Дяченко
Каждый розничный банк выбирает собственную стратегию развития, в соответствии с которой предлагает клиентам тот или иной перечень услуг и продуктов. Это определяет особенности автоматизации его розничного бизнеса. Финансово-кредитные организации предъявляют к ИТ-системам и ИТ-решениям, автоматизирующим их деятельность, достаточно высокие требования. Автоматизация деятельности розничного банка имеет свои особенности, которые обусловлены рядом факторов. Рынок банковской розницы высококонкурентный, в список лидеров может попасть только тот игрок, который максимально быстро внедряет новые продукты и услуги, оперативно реагирует на потребности рынка. Соответственно финансово-кредитной организации нужна такая информационная система, которая позволит создавать и развивать собственные продукты и услуги, работать надежно и быстро. ЗАДАЧИ АВТОМАТИЗАЦИИ Наряду с тем что автоматизация розничного бизнеса имеет в каждом банке свою специфику, существуют некие общие черты, присущие всем организациям. Во-первых, в розничном банке огромное количество операций, требующих перевода из ручного режима в автоматический, что обусловлено в том числе и необходимостью высокой скорости их обработки. Во-вторых, если игрок расширяет сеть продаж розничных услуг, перед ним возникает задача управления всеми точками продаж, формирования единого центра учета и мониторинга работ всех представительств организации. Неслучайно эксперты говорят о том, что система автоматизации розничного банка должна поддерживать увеличение точек присутствия, то есть открытие новых отделений, офисов и т.д., а также появление Н А Ц И О НАЛЬНЫ Й БАНКОВСК ИЙ ЖУРНА Л
новых каналов обслуживания, например каналов ДБО (интернет-банкинг, мобильный банкинг) и автоматических устройств (банкоматов, терминалов и т.д.). Следует подчеркнуть, что сегодня наряду с совершением кредитных и депозитных операций финансовый институт должен поддерживать операции, направленные на рост комиссионных доходов, например денежных переводов, прием платежей, сервисов по дистанционному банковскому обслуживанию. В-третьих, системы автоматизации розницы необходимы для того, чтобы исключить факты мошенничества. Среди задач по развитию розничного бизнеса можно также выделить формирование гибкой продуктовой линейки, которая варьировалась бы в зависимости от особенностей того или иного локального рынка. Банковские ИТ-специалисты говорят, что среди требований, которые организация предъявляет к ИТ-решениям по автоматизации розницы, главными являются требования максимальной надежности и доступности всех ИТ-сервисов желательно в режиме 24х7. Например, ХКФ Банк активно занимается розничным бизнесом. В финансово-кредитной организации проходит немало проектов по автоматизации. Так, весной 2014 года в ХКФ Банке автоматизировали процесс планирования маршрутов мобильных сотрудников. Внедренное решение позволило повысить эффективность работы менеджеров по развитию бизнеса банка. «Работа менеджеров по развитию бизнеса связана с постоянными разъездами и взаимодействием с партнерами. Они отвечают за объемы продаж и расширение сети точек, где предоставляются наши кредиты. Проект SPM (Sales Perfomance Management) решил сразу несколько задач, связанных с повышением эффективности работы сети. Мы
систематизировали работу наших сотрудников, вручили им удобный инструмент для выполнения поставленных задач, а также обеспечили полное управление всей сетью. Она работает четко и слаженно, как единый организм», – отметил директор департамента потребительского кредитования ХКФ Банка Александр Антоненко. Ранее в банковских офисах кредитной организации использовалось несколько разных ИТ-систем для обслуживания клиентов, что замедляло процесс, вызывало ошибки, вынуждало операционных работников изучать сразу несколько систем и не давало цельной картины о клиенте, так как каждая система содержала только часть информации. С внедрением в банке проекта по UFO (объединенный фронт-офис) все процессы по оформлению новых продуктов и услуг стандартизировали и автоматизировали, что существенно ускорило и упростило обслуживание. АВТОМАТИЗАЦИЯ КРЕДИТОВАНИЯ Для финансовых организаций очень важно использовать современные системы для управления розничным кредитным портфелем. Во многих банках внедряются или уже внедрены и работают системы управления процессами кредитования, интегрированные с большинством каналов продаж. В настоящее время банковские организации стремятся обеспечить максимальную скорость и эффективность принятия решения по выдаче кредитов, они хотят управлять качеством кредитного портфеля, контролировать риски. В области автоматизации процессов кредитования проходит немало интересных проектов. Летом 2014 года Восточный экспресс банк автоматизировал процесс регулярного пересмотра лимитов по кредитным картам с целью увеличения кредитного портфеля за счет клиентов, которые зарекомендовали себя как благонадежные заемщики. upgrade the best publications 2014
53