ЦБ хочет регулировать IT-аутсорсинг банками

Ответственность за сохранность данных и их защиту должны нести не только банки, но и подрядчики, согласны эксперты
Для регулирования возможен комплекс критериев, например опыт и квалификация команды, наличие реальных (а не на бумаге) функций и ролей / Getty Images

ЦБ планирует регулировать аутсорсинг в банках, когда они отдают часть своих обязанностей сторонним IT-компаниям. «Рисками аутсорсинга надо управлять. У нас финансовые институты часто заказывают программные продукты у сторонних компаний – здесь нужно следить за качеством продукта, за финансовыми рисками самих аутсорсеров таким образом, чтобы не создать риски непосредственно для самих участников», – сообщила журналистам первый заместитель председателя Банка России Ксения Юдаева 1 декабря.

В финансовом секторе широко распространена практика найма внешних компаний, отмечается в новом докладе ЦБ о финансовой стабильности. В основном организации запрашивают IT-услуги и облачные сервисы для резервного копирования, обработки и хранения данных, разработки и сопровождения ПО, технического обслуживания программно-аппаратных средств и сопровождения сетевой инфраструктуры. ЦБ прорабатывает подходы в отношении обеспечения функционирования аутсорсинга, распределения функций и ответственности за него подразделений банка, говорится в докладе.

Еще одним аспектом регулирования аутсорсинга является информация, содержащая банковскую тайну, рассказал директор департамента информационной безопасности ЦБ Вадим Уваров журналистам в кулуарах форума Antifraud Russia 2022. По его словам, необходимо принять все меры, чтобы та информация, с которой работают потенциальные IT-компании, была защищена. Сейчас ЦБ обсуждает идею с Минфином, Минцифры, Росфинмониторингом и ФСБ. «Ведомости» направили запросы в эти ведомства.

Пока же ЦБ советует финансовым институтам обеспечить надлежащий учет и управление рисками при работе со сторонними компаниями. В частности, стоит предусмотреть подходы к стресс-тестированию операционного риска в случае сбоев в работе поставщиков и порядку восстановления деятельности после таких событий. Также надо учитывать страновой аспект риска и заменять иностранных недружественных поставщиков на компании из России и дружественных стран.

Аутсорсинг IT-решений потенциально повышает эффективность деятельности финансовой организации, в том числе при отсутствии или нехватке собственных ресурсов и компетенций. Но такая практика включает и риски, пишет ЦБ. Особенно если банки нанимают иностранных поставщиков (из недружественных государств тоже) или российские компании, которые, в свою очередь, также передают выполнение отдельных функций иностранцам или зависят от зарубежных технологических и программных решений.

Технологические риски банков резко выросли весной, когда многие зарубежные технологические компании покинули российский рынок. Для финансового сектора проблемой стал уход Oracle (управление базами данных), Cisco (сетевое оборудование), IBM (серверы, ПО), Intel и AMD (процессоры), SAP, Microsoft, Adobe (ПО), Diebold Nixdorf и NCR (банкоматы), говорится в обзоре ЦБ. Трудности возникли у тех финансовых организаций, которые использовали зарубежное оборудование и ПО.

Необходимость назрела

Поправки в законодательство в части банковской и иной тайны финансовых организаций – давно назревшая необходимость, говорит советник гендиректора Positive Technologies Артем Сычев, который ранее курировал Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России (ФинЦЕРТ). По его словам, отсутствие урегулированных на законодательном уровне правил обмена информацией препятствует развитию аутсорсинговых услуг в сфере IT и безопасности в финансовом секторе. Ответственность за сохранность данных и их защиту должны в полной мере нести не только банки, но и подрядчики, уверен Сычев.

У ЦБ есть стандарт, описывающий обеспечение информационной безопасности в банковской сфере, но он носит рекомендательный характер, напоминает эксперт центра продуктов Dozor «РТК-Солар» Руслан Добрынин. Поэтому кредитные организации действуют по своему усмотрению: кто-то пользуется сторонними услугами в полном объеме, остальные опасаются передавать провайдеру услуг для обработки данные, содержащие банковскую тайну.

Серьезные и квалифицированные аутсорсинговые компании сами заинтересованы в умеренном регулировании рынка, говорит руководитель центра мониторинга и реагирования на инциденты информационной безопасности Jet CSIRT компании «Инфосистемы джет» Алексей Мальнев.

Для регулирования возможен комплекс критериев, говорит он: опыт и квалификация команды, наличие реальных (а не на бумаге) функций и ролей, необходимые лицензии на деятельность, соответствие отраслевым стандартам и наличие соглашений с профильными регуляторами.

Вероятно, данные будут делиться на категории по уровню критичности и к каждой категории будут применяться особые правила, предполагает Добрынин. Также сервис-провайдеры должны будут аккредитовываться в ЦБ РФ и нести установленную ответственность за сохранность данных. Вполне вероятно, что для критичных данных будет предусмотрено обязательное резервирование, продолжает он. И также будет требование об обязательном обезличивании данных перед отправкой на обработку в стороннюю организацию, говорит Добрынин.

Но не все видят необходимость в регулировании этого вопроса. По закону ответственность за обращение с данными несет именно банк, вследствие чего он в первую очередь сам заинтересован в обеспечении безопасности своих данных, отмечает вице-президент и директор департамента архитектуры, интеграционных и процессинговых сервисов «ФК Открытие» Андрей Залманов. Поэтому неясно, что может дать регулирование в части усиления такой безопасности, заключил он.