IТ-рынок опасается роста затрат на обработку сведений с банковской тайной

Обсуждаемый в Госдуме законопроект, который позволит банкам передавать на аутсорсинг разработку IT-решений и хранить данные с банковской тайной в облачных сервисах, может «существенно увеличить издержки» IТ-компаний малого и среднего звена и «подорвать конкуренцию на рынке в пользу больших игроков». Об этом говорится в письме Российской ассоциации электронных коммуникаций, АРПП «Отечественный софт» и Ассоциации предприятий компьютерных и информационных технологий (АПКИТ), направленном 2 февраля главе комитета Госдумы по финансовому рынку Анатолию Аксакову («Справедливая Россия»). «Ведомости» видели копию документа, его подлинность подтвердили исполнительный директор АПКИТ Николай Комлев и представитель АРПП «Отечественный софт».

Законопроект был внесен в Госдуму в июле 2023 г. группой депутатов во главе с Аксаковым и несколькими сенаторами, среди которых зампред Совета Федерации Николай Журавлев. Проект также наделяет Банк России полномочиями по установлению обязательных требований как к порядку привлечения поставщиков услуг по предоставлению IТ-сервисов в указанных формах, так и непосредственно к их информационным системам. В конце ноября 2023 г. законопроект был принят в первом чтении (подробнее о документе см. «Ведомости» от 15 ноября).

Текущая версия законопроекта создает правовую неопределенность, утверждают авторы письма. Например, она обязывает всех IТ-провайдеров получать лицензию ФСТЭК вне зависимости от факта передачи им банковской тайны. Получение лицензии на техническую защиту конфиденциальной информации может занимать до нескольких месяцев и стоить 1,5–2 млн руб., предупреждают авторы письма. Это увеличит регуляторную нагрузку: необходимо будет периодически проходить проверку выполнения лицензионных требований, говорится в письме. Рост издержек IТ-провайдеров ассоциации оценили как «порядка 15 млн руб. на юрлицо в год».

В то же время нарушение требований о лицензировании влечет приостановление деятельности на срок до 90 суток, а также конфискацию произведенного продукта и средств производства, пишут участники рынка. В штат компании необходимо оформить примерно трех квалифицированных сотрудников информационной безопасности. Сейчас на рынке дефицит таких специалистов и их наем потребует существенных дополнительных расходов, указывают авторы обращения.

Аксаков заявил «Ведомостям», что письмо получил, но еще не ознакомился с ним. «Раньше вопрос передачи персональных данных (ПД) вступал в противоречие с действующим законодательством, в том числе с интересами клиентов кредитных и финансовых институтов. Мы запросили потенциальных участников этого рынка, предложили им высказать свои соображения насчет предложенных мер. Будем учитывать их опасения. Я думаю, что у нас еще будет серьезный разговор в комитете, прежде чем будет приниматься решение», – прокомментировал депутат.

Оценочно, для IТ-компании среднего размера затраты на поддержание статуса лицензиата ФСТЭК составляют 15 млн руб., сумма складывается из затрат на выполнение требований службы, объясняет собеседник в одной из IТ-компаний. Например, ФСТЭК определяет требования к штатной численности, образованию и стажу сотрудников, объясняет собеседник. Помимо того, компаниям необходимо нести расходы на обучение и переподготовку кадров, на определенные виды ПО, на соблюдение требований к помещениям, на разработку и ведение значительного объема документации.

Отрасль также рассчитывает на доработку ряда пунктов законопроекта, указывают авторы письма. Участники АРПП «Отечественный софт» считают важным при введении нового регулирования получить гарантии того, что независимые отечественные компании – разработчики ПО и ПАК будут иметь равные возможности доступа к оказанию IТ-услуг в финсекторе наряду с собственными IТ-компаниями банков и страховых компаний, пояснил позицию ассоциации ее исполнительный директор Ренат Лашин.

Представитель ЦБ заявил, что по результатам согласования с заинтересованными сторонами редакция законопроекта доработана и направлена в Госдуму для подготовки ко второму чтению. Какие конкретно изменения были внесены в документ, он не уточнил.

В целом IТ-отрасль положительно относится к законопроекту, допускающему возможность IT-аутсорсинга для финансовых организаций. ​​Законопроект позволяет передавать IT на аутсорсинг, а не обязывает это делать, обращает внимание ведущий инженер CorpSoft24 Михаил Сергеев.

Но технический директор Selectel Кирилл Малеванов указывает, что «для размещения информации с банковской тайной будет необходимо пройти сертификацию всей инфраструктуры провайдера, что является довольно ресурсозатратным процессом». По словам генерального директора «Комфортела» Дмитрия Петрова, необходимость получения лицензии ФСТЭК будет барьером для слабых игроков рынка, но вряд ли станет отсечкой для основных участников рынка облачных услуг, которые и так имеют сертификаты силовых ведомств на работу с ПД граждан.

Требования законопроекта повлекут за собой рост издержек заказчиков IТ-услуг и программных решений, предупреждают авторы письма. У многих провайдеров уже есть готовая инфраструктура для оказания облачных услуг, поэтому передача на аутсорсинг в перспективе выглядит дешевле строительства инфраструктуры с нуля и хранения данных у провайдера, успокаивает Сергеев.

«Провайдеры будут вынуждены поднимать цены, чтобы компенсировать расходы на перестройку производственных процессов. Возможный рост составит от 5 до 10% от стоимости контракта», – следует из письма ассоциаций. Кроме того, положения законодательной новеллы в текущем виде чреваты риском утечек «больших данных» и ПД, а также перекладыванием полной ответственности на IТ-провайдера, считают авторы обращения.

Законодательно возлагать ответственность только на провайдера некорректно, так как его контрагент также участвует в процессе обработки данных, утечки могут произойти и со стороны финансовой организации, рассуждает начальник отдела информационных технологий ООО «Газинформсервис» Сергей Коловангин. Должны быть определены границы ответственности на уровне законодательства, считает он. Можно привлечь к взаимодействию между банками и провайдерами облачных услуг страховые компании для обработки возможных рисков и их последствий, добавил эксперт.

ВТБ уже давно и активно использует инфраструктуру сторонних облачных сервисов, но только там, где речь не идет о какой-либо работе с ПД, а также сведениями, составляющими банковскую тайну, заверил представитель банка. Возможное снятие ограничений позитивно повлияет на расширение возможностей использования мощностей облачной инфраструктуры, добавил он.

Сбербанк, Альфа-банк, «Тинькофф банк» и Райффайзенбанк не ответили на запросы «Ведомостей».