ИТОГИ 2018 ГОДА
Что нам с вами удалось сделать в 2018 году? Немало. Часть проектов удалось запустить, часть пилотировать, часть подготовить в виде концепции. Перечислю.
Биометрическая идентификация. Cложный проект. Велись большие дискуссии: как это делать, нужно ли это в принципе, насколько банки готовы... Что на сегодня? 95 банков начали cбор биометрических данных, 4 тыс. отделений подключено, но контрольные закупки, которые мы провели, показали, что далеко не все хорошо, как в процессе съема биометрии, так и при ее использовании как услуги.
Что нам не понравилось по итогам 2018 года? Во-первых, банки отчитались формально – процедура съема биометрии не была отработана. Во-вторых, мы увидели медленное взаимодействие систем банков с системами ЕБС и ЕСИА. Причины – в том числе и объективные, например, системы Минкомсвязи не готовы оперативно реагировать на запросы. В-третьих, банки очень медленно внедряют требования Банка России к информационной безопасности.
Собственно, биометрическая идентификация как национальный проект – это одна из первых систем, требующих иного подхода к ИБ. И требования, которые мы с коллегами из ФСБ и ФСТЭК выработали, признаю, очень сложные. Но мы понимали, если мы создаем столь масштабную и сложную национальную инфраструктуру, то, безусловно, должны обеспечить конфиденциальность и корректную обработку данных. Поэтому была проведена большая работа по разъяснению банкам, что и как делать. Надеюсь, 2019-й станет годом, когда банки завершат все процедуры по ИБ.
Система быстрых платежей. Мы не первая страна, где есть такой национальный проект, но с точки зрения эффективности для потребителя впереди нас только Швеция, Англия и Сингапур. За прошлый год мы сделали платформу, состоящую из двух частей – НСПК и ЦБ, и провели ее тестирование.
Мастерчейн. На сегодняшний день это единственная технология, которую мы сертифицируем с коллегами из ФСБ. Распределенные реестры признаны перспективными именно для банковских операций. Правда, к нам уже обратились и страховые компании, чтобы работать на платформе Мастерчейн, но мы не торопимся, нам важно идеально выстроить и отладить все процессы, причем с точки зрения клиента. Просто внедрить новые решения без изменения процесса или без создания нового процесса невозможно.
Финансовый маркетплейс. Это один из проектов, который позволяет повысить конкурентоспособность на рынке банковских продуктов и услуг. Понятно, он не заменит другие маркетплейсы, ноу нас была идея сделать площадку, где маленькие и средние банки смогут конкурировать с большими. В конце 2018 года мы подготовили законопроект по бизнес-процессам, а в 2019-м планируем сделать пилот и провести ряд операций.
Цифровой профиль. Объявлен одним из приоритетных проектов программы «Цифровая экономика РФ», и в этом году ему будет уделено соответствующее внимание.
ПЛАНЫ НА 2019-Й
В 2019 году мы не стали начинать новых проектов, так как считаем, что нужно быть последовательными и полноценно завершить то, что начато (Рис. 1).
По биометрии мы ожидаем, что к середине года 60% отделений всех банков будет подключено, и требования по информационной безопасности будут ими выполнены. Начнется активное развитие удаленных услуг, которые мы считаем основой этой платформы.
По быстрым платежам. Двенадцать банков уже в пилоте, начали операции В2В и Ме2Ме, и в 2019 году мы выходим с ними в промышленную эксплуатацию.
Мастерчейн. Платформа опробована, крупнейшие банки пилотировали ее по электронным закладным, цифровым банковским гарантиям и гарантиям аккредетивов, и она постепенно выходит в пром. Основной вопрос сейчас с Росреестром, который со своей стороны должен автоматизировать часть операций, чтобы N2N процессы проходили бесшовно для клиентов.
Финансовый маркетплейс. Тут завершается подготовка технологических и правовых условий и начинается запуск платформы непосредственно с банками.
Цифровой профиль. Осенью планируем опробовать его прототип с рядом банков.
Рис. 1. Банк России. Финансовые технологии. План на 2019 год
О БИОМЕТРИЧЕСКОЙ ИДЕНТИФИКАЦИИ
Повторюсь, биометрия – проект очень сложный, и не только с точки зрения информационной безопасности, но и технологически. Социологический опрос показал, что клиент готов участвовать в этом проекте при условии, если процесс съема биометрии занимает пять минут. Сейчас он занимает от 10 до 25 минут в разных банках.
Я сама сдавала биометрию дважды. В одном банке мне так и не смогли ее снять, хотя и сказали на прощание, мол, идите, все хорошо, найдете себя на портале с созданной биометрией. Через три дня я себя там не нашла. Это еще одна тема: как банки должны правильно работать, чтобы у клиента не осталось негатива. А второй банк провел эту операцию успешно. Но ни в первый, ни во второй раз мне, как клиенту, эта процедура не понравилась – как-то тяжело и очень долго. Когда мы стали разбираться, оказалось, что многие шаги лишние. Банки попросту не озадачились тем, чтобы сделать этот процесс удобным для клиента.
Поэтому сейчас у нас по биометрии две задачи: сделать съем данных клиента за пять минут и внедрить требования по информационной безопасности.
На слайде (Рис. 2) представлены три варианта решений по ИБ: банки могут внедрить собственное решение по встраиванию HSM в ядро инфраструктуры, могут использовать типовое решение, которое прошло сертификацию в ФСБ, или работать над облачным решением. Третий вариант, на мой взгляд, больше актуален для малых и средних банков.
Было много вопросов по поводу получения ключей проверки КЭП. Сейчас эта проблема решена, банкам стало удобно. Другая, достаточно емкая с точки зрения инвестиций, тема – внедрения сверхзащиты каналов связи по КС3. Должна сказать, что эти требования Банка России касаются не только биометрии, защита этого канала необходима для всех видов операций.
Про мобильные приложения. Наш клиент живет в смартфонах, и в принципе ему только этот инструмент и удобен, поэтому удаленная идентификация заработает в полной мере, когда будут работать приложения на самых востребованных платформах Androidи iOS. Приложение на Андроиде уже работает, iOS прошёл сертификацию и, надеемся, с марта будет доступен.
Рис. 2. Развитие проекта Биометрическая идентификация
ЦИФРОВОЙ ПРОФИЛЬ
Несколько слово цифровом профиле (Рис. 3). Не будем путать с электронным паспортом, проект которого также запущен и обсуждается как инициатива программы «Цифровая экономик РФ».
Цифровой профиль предполагает создание реестра данных, базирующегося на информации из госисточников. Речь не о создании одного, общего хранилища всех данных, существующих в госисточниках, а о возможности по определённому ключу запросить информацию из разных источников, если клиент дал на это согласие. Самое сложное тут – создать реестр согласия. Клиент должен видеть, когда и кому он давал согласие, должен понимать технологию, как он может отозвать свое согласие и как мониторить предоставление данных о себе разным организациях и компаниям.
Эта тема безусловно связано с ОКЭП – достаточно защищенная электронная подпись у клиента должна быть. Мы рассчитываем на всё наше активное население, поэтому удобство и безопасность – условие и необходимое и достаточное. А также создание мобильного приложения, которое позволит гражданам пользоваться цифровым профилем комфортно.
В октябре прототип такого цифрового профиля будет готов, и мы представим его на суд правительства.
Рис. 3. Проект Цифровой профиль
ТРЕНДЫ В СФЕРЕ ИБ
Создавая инфраструктуру национального масштаба, мы должны быть уверены, что наши потребители и госисточники будут надежно защищены. Поэтому ни один проект по финтеху у нас не осуществляется без учета информационной безопасности. Уже на стадии предпроектной подготовки мы ориентируемся на наших граждан и контрагентов – коллег по ИБ из разных министерств и ведомств.
Тут важно понимать местоположение России в международном контексте (Рис. 4). По уровню кибербезопасности мы занимаем 23 место из 60. Этого явно недостаточно, но у нас есть все шансы подняться в тройку лидеров и потеснить Японию, Францию или Канаду. Что дает такие надежды? Не только большие проекты Банка России, хотя они безусловно играют важную роль: задают масштаб и уровень ИБ в стране. Но не менее важно и общее оживление в сфере нашей ИБ. Многие компании стали активно сотрудничать со стартапами и финтех-компаниями, причем именно для того, чтобы решения на выходе сразу имели встроенные инструменты информационной безопасности.
Рис. 4. Тренды в сфере информационной безопасности
И это, кстати, мировой тренд. Недавно я была на большой финтех-конференции в Париже, и вот что бросилось в глаза. Многие проекты представлялись со сцены не одним, как обычно, ответственным лицом, а несколькими: инициатором проекта, исполнителем и представителем по информационной безопасности, которая теперь изначально является частью общего процесса. Эту тенденцию я увидела и на Уральском форуме.
Следующее. Если посмотреть, как фокусируется безопасность по секторам, то на удивление почти поровну: 36% сетевая безопасность, 30% безопасность приложений и 34% безопасность данных. При этом в кулуарах международных форумов говорят в основном о том, насколько сложно обеспечивать безопасность именно в части данных, потому что в разных странах действуют разные законодательства. Не все шишки ещё набиты. Большой вопрос: что есть персональные данные, а что – не персональные? Что считать доступными данными, обезличенными и т.д. Дискуссия не угасает, и какого-то правила, которое мы с вами могли бы взять и применить, нет. Нам придётся пройти этот путь вместе со всеми, и очень быстро.
Интересный тренд по мотивам злоумышленников (Рис. 5). По международным источникам они 45% времени тратят на получение данных, а 33% на финансовую выгоду. Тут, конечно, натяжка. На самом деле, данные они получают для финансовой выгоды, цель одна – так или иначе получить деньги с клиента или компании, но то, что это делается через данные – весьма симптоматично.
Рис. 5. Тренды в сфере информационной безопасности, продолжение
Пугает тренд по утечке записей, это к вопросу о защите данных. С 2012 года цифра тут выросла в шесть раз, и это мягкий вариант, есть источники, где эти цифры гораздо больше.
Организация мишени атак. Интернет-порталы, понятно, самая большая, доступная и потому главная мишень – 32,3%. Банки занимают второе место – почти 20%.Почему всего 20%? Интерес к банкам, как к источнику наживы, традиционно огромный, но исторически они защищены лучше, чем другие организации и компании, в них сложнее проникнуть, и преступники это знают. С другой стороны, банки, как бы хорошо они ни защищались, всегда будут под прицелом, внимания злоумышленников им не избежать никогда.
ПОДВОДЯ ИТОГИ
Ключевая мысль следующая. Когда мы делаем масштабные проекты, то с точки зрения информационной безопасности должны максимально использовать унифицированные решения. Почему? Чтобы избежать ненужного усложнения и нагромождения. Например, в биометрии мы сначала использовали один спектр решений, а в цифровом профиле принципиально другой, хотя по модели угроз они схожи. И получается, мы нагружали участников рынка неоправданными затратами. Вывод очевиден: везде, где это возможно, мы должны искать общее решение совместно с коллегами по информационной безопасности банков. Безусловно кастомизированные под какие-то конкретные случаи решения возможны, но не нагружая индустрию непомерными требованиями.
На примере биометрии и цифрового профиля мы такой подход идеологически заложили, и тут требования по информационной безопасности теперь максимально синхронизированы. Такой же подход к системе быстрых платежей и в финансовом маркетплейсе.
Но распределенные реестры – новый зверь. Тут нет типовых решений, которые мы могли бы просто взять и встроить, поэтому тут мы с коллегами из ФСБ и ФСТЭК проходим свой собственный путь. Я думаю, что этот опыт поможет нам и в дальнейшем. Другие проекты, основанные на распределенных реестрах, могут строиться на этих наработках.
Чего Банк России ждёт от коллег по информационной безопасности? Конструктивности и гибкости. Понятно, что ИБ всегда нацелена именно на безопасность, то есть там, где встает вопрос: «Можно или нельзя?» – лучше «нельзя», а там, где «можно», давайте сделаем так сложно, чтобы всё равно было «нельзя». Теперь эта парадигма изменилась. Теперь мы должны находить те решения, которые дадут нам возможность быстро развивать проект, при этом, решая и задачу по безопасности.
Автор: Ольга Скоробогатова, первый заместитель председателя Банка России