Сразу несколько крупных проектов связанных с безопасностью в банковской сфере планирует реализовать в ближайшее время белорусская компания «Софтклаб». Предприятие, которое в республике называют «банковский EPAM» стоит у истоков всех технологических инноваций в сфере банковских технологий последних лет. Причем не только в Беларуси, но и далеко за ее пределами. О том, как «Софтклаб» удается удерживать баланс между инновациями и безопасностью Digital Report рассказал заместитель генерального директора по информационной безопасности компании Владимир Анищенко.
Насколько учитываются аспекты информационной безопасности при разработке решений вашей компании?
Аспекты защиты информации учитываются у нас в трёх измерениях. Это, во-первых: собственная или внутренняя безопасность, под которой подразумеваются безопасные производственные процессы разработки программного обеспечения. Во-вторых, это безопасные продукты, что означает встраивание или использование в наших продуктах общесистемных механизмов обеспечения информационной безопасности или специализированных, например: криптографических средств защиты. И наконец, в-третьих: мы предоставляем сервисы безопасности, то есть предлагаем консалтинговые услуги по внедрению, сертификации и аттестации безопасных процессов обработки банковской информации.
Можно сказать, что в последнее время акцент на безопасности решений становится все больше?
Да, это справедливо, и объясняется тем, что у нас в стране практически создана современная нормативно-правовая и техническая база регулирования в области технической защиты информации, а также завершено формирование инфраструктуры информационной безопасности для предоставления электронных услуг: внедрены и функционируют стандартизованная защищенная среда информационного взаимодействия – Общегосударственная автоматизированная информационная система (ОАИС) и национальная платформа для реализации доверенных электронных сервисов — Государственная система управления открытыми ключами (ГосСУОК). И сегодня происходит самый болезненный этап интеграции с указанными системами, требующий повышенного внимания, привлечения опытных специалистов и дополнительных инвестиций – стадия практической реализации в каждой организации требований по защите данных, определяемых законодательством как информация ограниченного распространения: будь то персональные данные или информация, составляющая коммерческую, профессиональную, банковскую и другую охраняемую тайну.
Ваша компания занимается разработкой мобильных приложений для банковского сектора. Можно назвать приложения, которые банки в конечном счете предлагают своим клиентам — максимально безопасными?
До лета текущего года на белорусском рынке отсутствовали программные решения поддержки полнофункционального сервиса для банковских продуктов с использованием мобильных устройств, в первую очередь, из-за невозможности обеспечить доступ в банковские системы и персональные разделы клиентов при помощи электронной цифровой подписи. Наша компания в партнерстве с рядом разработчиков и производителей криптографических средств защиты информации в настоящее время завершает проекты по подготовке внедрения инновационных программных решений по поддержке всего многообразия банковских услуг с использованием мобильных устройств. При этом будет обеспечен доступ в банковские системы с использованием новейших аппаратно-программных сервисов информационной безопасности, основанных на применении сертифицированной белорусской криптографии.
Почему в части мобильного банковского ПО для клиентов нет никаких инновационных и прорывных решений? Например, почему в Беларуси не идут работы по созданию платформы аналогичной Apple Pay?
Мы надеемся, говоря о мобильном банкинге, что такое прорывное решение всё-таки станет продаваться в Беларуси к концу года. В завершаемых нами разработках мобильных приложений как клиент, так и работник банка смогут получить полный набор инструментов для работы с банковскими системами. Инновационной особенностью реализованной технологии мобильного доступа является соответствие требованиям белорусских регуляторов по безопасной передаче данных, надежная аутентификация клиентов банка (юридических и физических лиц), а также сотрудников банка, и поддержка их работы с электронной цифровой подписью для обеспечения юридически значимого электронного документооборота. Реализованный подход позволяет преодолеть сложности разработок и сертификации решений в области информационной безопасности, обусловленные многообразием мобильных платформ, быстрой сменой аппаратного и программного обеспечения, отсутствием уверенности в преемственности версий.
Суть предлагаемого подхода заключается в использовании платежных банковских карточек или смарт-карт и ридера для iPad/iPhone на платформе iOS — или аналогичных решений для платформ Android, Windows, Linux, Mac OS, которые позволят клиентам и сотрудникам банка получить возможность использовать ЭЦП в банковских мобильных приложениях. Клиент и работник банка получат внешний отчуждаемый сертифицированный криптографический модуль на платежной банковской карточке, который будет использовать в различных приложениях для обеспечения безопасности путем выработки ЭЦП в банковских продуктах и услугах при доступе как с использованием мобильных устройств, так и с рабочей станции.
Что касается Apple Pay – то для создания аналогичного сервиса необходимы достаточно большие инвестиции. А кто в Беларуси будет их делать, если у нас до сих пор 50% людей снимают деньги в банкомате, как только начисляется зарплата?
Поэтому мы будем ждать новинок и инноваций от международных корпораций и уже тут стараться приземлять их на белорусское законодательство и особенности ведения банковского бизнеса.
Заинтересованы ли игроки на белорусском рынке (заказчики) в инновационном подходе к созданию программных продуктов или превалирует классический подход, интерес к проверенным схемам?
Инновации мирового уровня, которые родились бы у нас, мне неизвестны. Основные инвесторы на рынке IT сегодня – это банки. А там действительно превалирует классический подход, по которому прежде чем что-то сделать – надо 100 раз убедиться, что это будет работать. Поэтому у нас если и появляются новинки – то это, как правило, то, что на западе прошли уже 5-10 лет назад.
Сегодня банки сталкиваются с задачей повышения эффективности работы своих ИТ-систем. Они совершенствуют их, производят «тонкую» настройку, пытаются сегментировать клиентов на группы и более целенаправленно предлагать им те или иные банковские услуги. В Беларуси есть четкое понимание, что от эффективности работы ИТ-систем зависит и успешность банков. Конкуренция в банковском секторе усилилась. Наряду с поиском новых клиентов важно также не потерять нынешних ключевых заказчиков, не допустить их перехода к конкурентам. Поэтому банкам важно хорошо знать и понимать своих клиентов. Соответственно, особое внимание заказчиками уделяется ERP, CRM-системам, системам планирования и бюджетирования, бизнес-аналитики. Конечно, это серьезные и недешевые системы, но в текущих условиях банки стараются находить средства на их внедрение.
Вы видите смысл в масштабном переходе банков Беларуси на использование чиповых карт? В чем он, на ваш взгляд, заключается?
Чиповая карта – более безопасный инструмент. Поэтому смысл огромный. Еще в ноябре 2013 года Национальный банк Республики Беларусь анонсировал решение перейти в стране на выпуск пластиковых карт с чипом. И с 1 июля 2015 года белорусские банки в обязательном порядке выпускают как минимум совмещенные карты: с магнитной полосой и чипом. По данным белорусского регулятора на сегодняшний день приблизительно около 20% находящихся в обращении карточек в стране — с чипом, который обеспечивает сопровождение каждой операции уникальным криптографически формируемым кодом, реализуя принцип двухфакторной аутентификации при безналичных расчетах. Безусловно, эта инициатива повышает безопасность, но для платежей в Интернет не имеет значения какая карточка с чипом или без. При оплате в сети помогают дополнительные механизмы защиты: коды 3D-Secure, СМС-информирование, таблица сессионных кодов для подтверждения операции, установление лимитов на транзакции.
Какие проблемы с информационной безопасностью актуальны для Беларуси сегодня, какие проблемы будут актуальны в скором времени?
Беларусь – относительно небольшая страна и несмотря на развитую программную индустрию, правда, ориентированную прежде всего на зарубежные страны, не обладает достаточно ёмким рынком, чтобы ведущие мировые производители были заинтересованы тратить ресурсы на сертификацию их продуктов на соответствие требованиям национального технического регламента на средства защиты информации. Если оставить в стороне вопрос криптографических средств защиты, так как Беларусь, что неплохо, обладает собственной оригинальной нормативной базой в этой области, актуальным для страны сегодня является подготовка соглашения о признании сертификатов на продукты информационной безопасности в рамках Евразийского экономического союза (объединяет 5 стран). А завтра будет актуальным вступление в Соглашение о взаимном признании сертификатов, объединяющего 25 наиболее развитых в ИКТ сфере стран, на основе международного, но локализованного в Беларуси, стандарта Общие критерии безопасности информационных технологий.
Насколько требования к банковским и финансовым продуктам отличаются если говорить о России, Беларуси и США?
Требования формирует рынок и чем более он развит, тем более высокие требования. Приведу пример – в Беларуси только 2 банка предлагают кредитную карту с грейс-периодом, в России – это стандарт отрасли, без этого свойства лучше даже не заикаться о том, что у тебя есть кредитная карта.
В Беларуси с трудом идет проникновение премиальных продуктов. Например, анонсированное уже больше года назад одним из банков появление премиальной платежной системы American Express так и не состоялось – цена входа в систему не покрывается потенциальными доходами.
Бизнес-аналитика, обеспечение персонализации и мобильности услуг — эти основные требования к финансовым и банковским продуктам сегодня популярны как в западных, так и восточных странах. И эта популярность вызвана не только активной рекламой соответствующих решений. Такие продукты уже сейчас могут реально помочь банковскому бизнесу. И для этого следует эти решения правильно внедрять и готовить компетентный персонал, который будет их правильно использовать. Например, в странах Западной Европы и США системы бизнес-аналитики уже несколько лет дают реальные результаты.
Насколько банковский и финансовый сектор готов к автоматизации внутренних процессов. Известно, что раньше к автоматизации относились осторожно из-за дороговизны и информационной безопасности.
Сегодня изменяется как экономика Беларуси в целом, так и рынок банковских услуг, сами банки и используемые ими технологии внутренней автоматизации. Все это влияет на банковский и финансовый ИТ-сектор, причем не в каких-то нескольких отдельно взятых сегментах, а комплексно. В целом в части внедрения централизованных банковских систем перевооружение белорусских банков уже произошло. Большинство банков работает в централизованном режиме, предлагая одинаковый сервис своим клиентам, независимо от места их нахождения. Везде есть доступ ко всем продуктам и услугам банков.
Но в остальном – еще непочатый край работы. Тонны бумаги, которые ежедневно расходуются банками должны уйти в цифру – и деревья сохраним и эффективность процессов повысим существенно.
- Like
- Digg
- Del
- Tumblr
- VKontakte
- Flattr
- Buffer
- Love This
- Odnoklassniki
- Meneame
- Blogger
- Amazon
- Yahoo Mail
- Gmail
- AOL
- Newsvine
- HackerNews
- Evernote
- MySpace
- Mail.ru
- Viadeo
- Line
- Comments
- Yummly
- SMS
- Viber
- Telegram
- Subscribe
- Skype
- Facebook Messenger
- Kakao
- LiveJournal
- Yammer
- Edgar
- Fintel
- Mix
- Instapaper
- Copy Link
