ИТ в банках 2016
Поговорив с ИТ-компаниями, занимающимися созданием и внедрением различных решений для российской финансовой сферы, TAdviser определил тренды, которые оказывают непосредственное влияние на развитие отечественного рынка банковской информатизации. Среди них – новые подходы к защите данных, новые средства идентификации клиентов и интеграции банковских систем. Участники обзора также высказались о перспективах использования технологии блокчейн в российском банковском секторе и направлениях развития мобильных и интернет-банков.
В обсуждении принял участие Алексей Забродин, заместитель генерального директора по технической деятельности компании INLINE Technologies.
Tadviser.ru: Какие новые подходы к защите данных сегодня появились на рынке?Алексей Забродин: Сегодня наработаны методы и инструментарий борьбы с техническим взломом, эксплойтами, DoS- и DDoS-атаками. Почти все кредитные учреждения имеют соответствующие средства противодействия. Поэтому злоумышленники все чаще снова стали использовать методы социальной инженерии, и сейчас на новом витке развивается борьба с этими методами, которые действуют на невнимании человека и его откровенном обмане. Мошенники изучают процессы банка, поведение его сотрудников, «поведение» систем и подделываются под них, имитируя реальные ситуации. Тем самым они подменяют клиенту банк, а банку – клиента.
Этим так называемым фродовским операциям противодействует класс систем, позволяющих выявлять мошеннические действия и, более того, по характеру запросов конкретного клиента предполагать, что операция может быть фродовской. Огромное, просто колоссальное количество операций клиентов осуществляется в дистанционном обслуживании, мобильном банкинге. Ручным способом выявить злонамеренные действия невозможно. Это работа антифрод-систем, которые постоянно должны совершенствовать свои сценарии, накапливать набор знаний потенциальных подозрительных действий.
Такие системы есть, они применяются, но, на мой взгляд, они должны выходить на иной уровень. Банки создают эти системы, пытаются поддерживать, но их ценность не в наличии самого инструмента, а в его постоянном и своевременном пополнении тем или иным набором знаний, или так называемых сигнатур, мошеннических действий.
Ключевые слова здесь «своевременное пополнение», потому что, если банк не обновил базу знаний о подозрительных наборах операций или пропустил какие-то из них, их нельзя будет автоматически распознать.
Теперь давайте представим, что подобной базой знаний о случившихся и потенциальных злонамеренных действиях пользуется не один банк, а например, сотня. Таким образом, в одном месте реализованная и разобранная ситуация становится доступной к распознаванию или обнаружению для всех пользующихся системой учреждений. Это уже можно назвать облачными системами, где сервис один на много пользователей. Подобные вещи, конечно, будут развиваться очень активно, потому что в одиночку справиться со злонамеренными действиями изощренных и технически подготовленных злоумышленников достаточно сложно, особенно банкам, которые не обладают большими ИТ-бюджетами.
Отдельная, еще более сложная вещь – это злонамеренные действия сотрудников банка. Они опасны тем, что сотрудник имеет очень много полномочий в системе, его работа – это, собственно, работа с автоматизированными системами банка, он здесь свой. И вот выявить, что именно этот сотрудник по намерению либо ошибке делает не так или, возможно, это и не он вовсе, – задача довольно сложная.
Здесь точно так же нужно задуматься о накоплении знаний, и будет очень полезно, если они аккумулируются в централизованной системе, к которой разные банки будут обращаться. Подобные вещи, на мой взгляд, будут очень востребованы и будут развиваться достаточно активно, потому что, чем сложнее системы (а они сейчас достигли высоких порогов сложности), тем труднее выявлять в них злонамеренные действия.
Алексей Забродин: Будут развиваться средства не совсем традиционной аутентификации и идентификации клиентов. Здесь очень много можно сделать с точки зрения биометрии. Например, когда клиент входит в отделение банка или звонит в кол-центр, его уже можно идентифицировать. Видеокамера на входе может его распознать. И если у него на счете лежит хорошая сумма, не надо ему даже возможности давать встать в очередь, а надо встретить и проводить в VIP-зал. Конечно, мошенники могут загримироваться, но манеру говорить подделать значительно сложнее. Поэтому почему бы распознавать не только внешность, но и голос? Естественно, с помощью аналитических систем: систему обмануть сложнее, чем человека в этом случае.
Алексей Забродин: Исторически сложившееся стремление банков развивать собственные ИТ-инструменты привело к тому, что ими было накоплено множество систем, возможно даже, с отличным функционалом. Однако они, как правило, хороши каждая в своей части, а в совокупности – при обслуживании клиента – так и остаются отдельными системами с разными идентификаторами тех или иных объектов одного клиента.
В результате может сложится ситуация, при которой расчетные операции клиента находятся в одной системе, кредитная история – во второй, операции по картам – в третьей, а вся информация о нем – в CRM-системе.
Это все, конечно, должно измениться, и технологии к этому подошли вплотную. Думаю, в ближайшие годы банки сосредоточатся именно на интеграции собственных систем.
Алексей Забродин: Очень модная тема. Но вопрос очень сложный, в первую очередь с точки зрения международного и российского законодательства. И его надо глубоко прорабатывать, потому что это смена парадигмы. И здесь все зависит исключительно от регулятора, а Центробанк РФ, как мы понимаем, интегрирован в мировое финансовое и юридическое пространство.
По-моему, на ближайшее время перспектив у технологии нет, просто потому, что никто не готов к ее применению. Это с одной стороны. С другой – существуют технологические ограничения. Она требует колоссальных вычислительных мощностей, на много больших тех, которые сейчас использует банковский сектор. Это совершенно другая технология с точки зрения обработки данных – очень тяжелая и ресурсоемкая. Конечно, алгоритмы модернизируются, появилось много новшеств в этой технологии, облегчающих ее использование. Но только когда видоизменится юридическая основа, когда сама технология «созреет», а мы, как государство или, может быть даже, как человечество, будем готовы принять абсолютно иные принципы взаиморасчетов, можно будет говорить о перспективах использования блокчейна. Пока рановато.
Алексей Забродин: Здесь, видимо, дальнейшего серьезного роста не будет. Российские банки уже довольно далеко продвинулись по сравнению с европейскими и американскими, где эта область очень консервативна. Но двигаться дальше все равно надо. И движение, скорее всего, будет в сторону интеграции с потребительскими приложениями.
Например, почему бы приложению на гаджете не интегрироваться с приложениями подписок прессы, периодических платежей за аренду программного обеспечения и т. д.? Так, чтобы это происходило, с одной стороны, безопасно, с другой – очень просто. Сейчас существует много механизмов, конечно, но пока они не унифицированы и работают, мягко скажем, не с самым высоким качеством. Нет ни унифицированных платежных платформ, ни полноценной интеграции с банковскими приложениями. Пока не достигли. Но это явный тренд – на почти полностью автоматизированные процессы платежей, облегчение проведение операций. Не надо клиенту мешать платить деньги. Пусть он платит везде и всегда, удобно и легко. Параллельно с этим, безусловно, безопасность. Ведь чем больше процессов осуществляется автоматически, тем больше внимания надо уделять проверке этих автоматических и полуавтоматических действий.