Вопросы эффективного электронного взаимодействия участников российского финансового рынка на базе бесшовной СД, законодательные аспекты организации такого взаимодействия, актуальные проблемы обеспечения информационной безопасности финансовых рынков и других критически сфер – обо всем этом в интервью главному редактору журнала Connect Алексею Воронину рассказал Андрей Курило, руководитель экспертной группы Департамента сбора и обработки отчетности некредитных финансовых организаций Банка России, секретарь Межведомственной рабочей группы по развитию электронного взаимодействия на финансовом рынке и преодолению факторов, препятствующих развитию этого взаимодействия.
– Андрей Петрович, какова роль Банка России как регулятора в контексте применения информационных технологий участниками российского финансового рынка?
– С одной стороны, нельзя сказать, что Банк России выступает регулятором в части развития информационных технологий. ЦБ РФ не навязывает участникам финансового рынка определенные ИТ-решения – они используют самые различные продукты. Вместе с тем, информационные системы и решения должны отвечать общим для всех требованиям Банка России по обеспечению информационной безопасности. Одна из целей такого подхода – сохранение конкурентной среды, необходимость предоставления кредитным организациям свободы выбора в части производителей ИТ. С другой стороны, на рынке представлены ИТ-решения различной степени эффективности, и порой возникают дискуссионные площадки, на которых вопросы применения ИТ обсуждаются, в частности, с участием представителей Центрального Банка.
– То есть руководство в виде ненавязчивых рекомендаций…
– Можно и так сказать, но не только это. Подталкивать коммерческую среду к использованию тех или иных информационных технологий, конечно, нужно. И одно из направлений деятельности Банка России в этом контексте – перевод взаимодействия между субъектами, регуляторами и клиентами финансовых рынков в электронную форму, или, в других терминах, – «цифровизация», «диждитализация» взаимодействия. Это подразумевает, в частности, переход к стандартным формам документов, стандартизованным методам, протоколам электронного взаимодействия, что, конечно, требует регулирующего влияния Банка России.
– На какой стадии находится сейчас работа по налаживанию электронного взаимодействия участников финансового рынка?
– Сначала немного предыстории. Около полутора лет назад с такой инициативой вышли на руководство ЦБ представители Сбербанка, ВТБ, «ВТБ-Страхование», «Альфа-Банка» и ряда других ключевых игроков банковского и страхового рынков, которые начали испытывать серьезные трудности в функционировании механизма взаимодействия, который во многом остается бумажным. Существующие у участников рынка системы электронного документооборота носят сегодня локальный характер. В результате, чтобы реализовать сквозной процесс документооборота, документы проходят через несколько СЭД, причем на стыках систем – в бумажном виде. Таким образом, на стыках возникают, по терминологии специалистов, бумажные «швы», которые сводят на нет все преимущества электронного документооборота. Организация бесшовного взаимодействия участников финансового рынка на базе СЭД – большая проблема и одна из важных задач Банка России, которая была поставлена перед рабочей группой по созданию в Москве Международного финансового центра. Экспертами этой группы было проведено исследование российского финансового рынка, на базе которого был подготовлен доклад «Барьеры на пути электронного взаимодействия на финансовых рынках» (можно ознакомиться на сайте Банка России).
– Что это за барьеры и как их можно снять?
– Очень важный барьер – правовой. Существует масса юридических препятствий на пути цифровизации финансовых рынков, и первое из них – отсутствие закона об электронном взаимодействии. В ходе исследования выяснилось, что в течение последних десяти лет российская юридическая мысль шла по пути строительства законодательства по созданию технологии электронной подписи. Эта проблема сегодня уже решена, но возникла следующая. Основная проблема заключается в отсутствии норм, соответствующего правового механизма для использования информационных технологий для реализации полноценного электронного документооборота и на его базе – взаимодействия участников финансовых рынков. В частности, имеются в виду такие аспекты организации электронного документооборота, как определение понятий «подлинник электронного документа», «копия ЭД», «статус ЭД» и др. До сих пор не все понимают, что такое электронная подпись и что она дает документу. Гражданский кодекс РФ приравнял электронную подпись к ручной, сделал аналогом, хотя электронная подпись – это другой инструмент, действующий иначе. Признать электронный документ, подписанный ЭЦП, равным по юридической значимости бумажному, подписанному обыкновенной ручной подписью, можно только тогда, когда подпись проверена соответствующими техническими средствами. И этот момент проверки ЭЦП возникает снова и снова – каждый раз, когда надо убедиться в юридической значимости электронного документа и законности вытекания соответствующих юридических последствий.
– В Законе об электронной подписи № 63-ФЗ этот момент не нашел отражения?
– Нет, поскольку это технологический закон о порядке применения такого инструмента, как электронная подпись. Это полезный, работающий закон, но для организации электронного документооборота его недостаточно, поскольку необходимо выстраивать правовые и организационные механизмы для его реализации.
Второй важный момент, о котором следует помнить, состоит в том, что юридически значимым является собственно содержание документа. Именно из содержания документа, а не на основании подписи или его формы следуют юридические последствия – право собственности, распоряжения имуществом и т. д. Именно поэтому международная юридическая практика в большей степени развивается в данном направлении, а в российские законы попадают различные формулировки из нормативных актов, принятых на уровне ООН или в США.
– Закон, упомянутый вами как закон об электронном документообороте, столь необходимый для рынка, существует сегодня на уровне законопроекта?
– Я являюсь сторонником принятия такого закона, который базировался бы в числе прочих уже принятых норм и положений, касающихся электронного документооборота, на Законе об электронной подписи. На рынке больше десяти лет спорадически возникают дискуссии специалистов на эту тему, но пока, к сожалению, не выработаны даже концептуальные подходы к данному документу.
– Чем, как вы предполагаете, может стать такой закон для производителей СЭД? Должны ли они будут внести коррективы в создаваемые ИТ-продукты?
– Закон, как и полагается по канонам классического права, должен просто зафиксировать уже сложившиеся существующие на рынке обычаи в части организации электронного документооборота. По факту любой разработчик СЭД самостоятельно решает проблемы его организации – создания архивов, копий документов, механизма проверки электронной подписи, организации процессинга документов в рамках организации. Закон призван, в частности, вывести разработчиков СЭД в юридически обоснованную позицию. Что касается влияния на поставщиков, то это вопрос не закона, а стандартизации протоколов, на базе которых различные СЭД могли бы бесшовно взаимодействовать между собой. Данная проблема существует, ее надо будет решать, по всей видимости, на основе системы квалифицируемой электронной подписи, создаваемой в настоящее время Министерством связи и массовых коммуникаций на базе удостоверяющих центров, которые Минкомсвязи у себя аккредитует. В случае успешной реализации этого проекта можно будет сказать, что в стране создано доверенное пространство на базе квалифицированной электронной подписи.
– Будут ли участвовать представители разработчиков СЭД в создании правового механизма при помощи нового закона?
– Да, они вошли в созданную Банком России Межведомственную рабочую группу по развитию электронного взаимодействия на финансовом рынке. Если вернуться к барьерам, существующим на пути создания полноценного электронного документооборота и взаимодействия участников финансового рынка, то следует отметить, что наше законодательство зачастую противоречиво. Например, в части сбора отчетности ведутся два архива – электронный и бумажный, но в случае возникновения конфликта между электронной и бумажной версией приоритет у бумажного архива. Это лишает Банк России возможности исключить бумагу из документооборота по сбору отчетности, что, естественно, приводит к ситуации дублирования архивов. Особенно это касается реестров кредитных и некредитных организаций, содержащих информацию об организациях, имеющих лицензию и допущенных на рынок. Процедура подготовки лицензии базируется на бумажном документообороте, в результате она занимает длительное время. Если из общей процедуры принятия решения о выдаче лицензии вычленить время, которое нужно затратить на бумажный документооборот, длительность уменьшится в два раза. Сейчас такие решения принимаются в течение четырех-шести месяцев, а надо – в течение одного-двух.
– Вы коснулись аспектов исключения бумажной составляющей из электронного документооборота между бизнесом и регулятором. А какие аспекты важны в сегменте b2b?
– Что касается взаимодействия бизнеса с бизнесом, то на каждом этапе, в каждой точке прохождения документа необходимо обеспечить доверие к нему (в том числе при помощи электронной подписи). Важный аспект организации электронного документооборота – хранение информации по сделкам, договоров, нотариально заверенной и другого рода информации. Возможно, нужно создавать центры хранения подобной информации, в которые участники рынка могли бы обращаться в целях проверки.
– Существует ли проблема форматов хранения финансовой информации?
– Информация должна храниться десятки лет, в соответствии с требованиями законодательства об авторском праве – до 100 лет. А мы наблюдаем на рынке тенденцию, когда практически все программные продукты, в том числе базы данных, появляются, существуют, а потом заменяются другими. Следовательно, не факт, что такой ИТ-инструмент, как база данных для хранения информации, работающая нормально сегодня, будет так же эффективно работать через десять лет. Глубину ретроспективы хранения данных продемонстрировали миру США, которые в свое время записали данные по составу лунного грунта на магнитные ленты. Спустя 40 лет эти ленты были восстановлены и прочитаны с помощью лентопротяжных механизмов, взятых чуть ли не из музея. А вот хранить информацию в базе данных 40 лет я бы не рискнул, потому что таких баз данных просто не существует.
– То есть разработчик БД может уйти с рынка или просто перестать ее поддерживать, перейдя на новую версию?
– Да. Переносить информацию из одной базы данных в другую, возможно, другого формата, – процедура непростая.
– Реально ли создать государственную СУБД для хранения информации, которая бы гарантированно поддерживалась госфинансированием?
– Я сторонник отечественных ИТ-продуктов, но создание любой СУБД – достаточно сложная задача. Требуется обеспечить ее высокую надежность в эксплуатации, а на рынке известны примеры, когда даже так называемые промышленные СУБД известных разработчиков, имеющие миллионы копий по всему миру, сбоили. Нужно очень осторожно подходить к этому вопросу. Целесообразно работать с СУБД высокой надежности, которые себя хорошо зарекомендовали на рынке и в государственном секторе.
– Андрей Петрович, в чем специфика регулирования эффективного использования ИТ для расчетов в различных сегментах финансового рынка?
– Специфика регулирования консолидируется в двух областях – на бизнес-уровне (технология взаимодействия между участниками) и в части информационной безопасности. Если вернуться к упомянутому докладу о барьерах на пути СЭД, то помимо правового барьера нами были выделены ментальные проблемы восприятия новых технологий, технологические (возникающие по причинам отсутствия протоколов взаимодействия, несовпадения форматов документов и т. д.), препятствия в плане обеспечения кибербезопасности и борьбы с мошенничеством и, наконец, проблемы идентификации участников финансовых рынков. Последняя проблема, кстати говоря, – тяжелейшая, возможно, самая главная из перечисленных, потому что до настоящего времени механизмы идентификации более-менее отработаны в реальном мире, а в цифровом отработанных практик идентификации пока не существует. Данный доклад был представлен Председателю Банка России Эльвире Набиуллиной, на основании ее распоряжения и была создана Межведомственная рабочая группа, которую возглавил Сергей Швецов, первый заместитель Председателя Банка России, заместитель – Ольга Гончарова, директор Департамента сбора и обработки отчетности некредитных финансовых организаций Банка России. В группу вошли основные заинтересованные участники финансового рынка, вливается большое количество экспертов по разным направлениям ИТ – представители разработчиков СЭД, специалисты по ИБ, сотрудники ИТ-подразделений банков, страховых организаций и др.
– Эти эксперты работают на общественных началах?
– Да. В будущем, на этапе создания законопроекта, предполагается определенное финансирование, но небольшое. Основной мотив участия экспертов – интерес к теме организации бесшовного электронного взаимодействия участников финансового рынка. Ближайшая цель группы – создание дорожной карты, которая осенью должна быть представлена руководству Банка России, перспективная – выработка текста законопроекта по электронному документообороту.
– Как будет преодолеваться конфликт интересов между различными министерствами и ведомствами? Ведь работы в смежных областях ведутся, в частности, упомянутый вами проект создания механизма квалифицированной электронной подписи, реализуемый Минкомсвязи…
– Представители Минкомсвязи вошли в нашу рабочую группу. Что касается указанной проблемы, то она решаемая. Рабочая группа Банка России не ставит себе цель подменить кого-то кем-то, одни реализуемые программы другими. Координация общих усилий, организация содействия процессу, повышение его качества – вот основные задачи группы.
– Какого экономического эффекта можно ожидать от внедрения бесшовной системы электронного документооборота – с точки зрения функционирования финансового рынка?
– Финансовый рынок должен почувствовать себя значительно лучше после создания единого бесшовного пространства электронного документооборота. Должны возрасти присутствующий на нем объем финансовых средств, измениться структура обращающихся денег (они должны стать «длиннее», т. е. размещаться на более длительные сроки), увеличиться количество и доступность услуг, предоставляемых компаниям и гражданам (что приведет к большему насыщению средствами). Вот в таких чисто экономических показателях мы надеемся в перспективе оценить результаты наших усилий. Конечная цель – улучшение структуры и качества финансовых рынков в стране.
– А каковы макропоказатели самой СЭД будущего?
– Они чисто «айтишного» плана – обеспеченность средствами ЭЦП, дистанционного банковского обслуживания, высокая скорость обработки и прохождения документов и т. д.
– Обратимся к вопросам обеспечения информационной безопасности. Какие новые специфические угрозы в связи с цифровизацией финансовых рынков возникают?
– Здесь хотелось бы обратить внимание на следующий важный момент. Новые угрозы возникают сегодня не только из-за «цифровизации», но и по другим причинам, в частности, в силу событий в мире, о которых мы все хорошо осведомлены. Меняется сама структура угроз: хакерские, DDos-атаки все чаще становятся хорошо подготовленными, спланированными и направленными на определенные, критически важные для государства информационные системы и структуры, в том числе финансовые. Еще не так давно атаки на финансовую систему рассматривались, как правило, в контексте мошенничества, сейчас ситуация изменилась. Соответственно меняются и агенты атак – раньше мы их рассматривали как кибермошенников, сегодня уже можно говорить о привлечении к кибератакам гораздо более мощных ресурсов и квалифицированных специалистов, что требует совершенно другого реагирования на них и повышения уровня информационной безопасности критически важных систем.
– То есть у кибератак появилась политическая составляющая?
– Да. И эта составляющая начинает их в высокой степени модулировать, даже определять. С другой стороны, киберпреступность в целях мошенничества никуда не делась, и это хорошо видно на примере платежных систем, где циркулирует информация по деньгам, при помощи которой ими можно завладеть. Платежные системы по-прежнему регулярно становятся объектами прямых атак. Поэтому в рамках Межведомственной группы создана подгруппа по киберпреступности, которая будет заниматься этими вопросами.
– Насколько велики масштабы финансового мошенничества на российских рынках?
– Статистики такой не ведется. Если судить на основании того, что становится известно общественности, в частности на основании сообщений МВД, то их количество и объем не переходят порога, когда они становятся болезненными, критичными для финансовой системы страны. Что касается бытового уровня: да, подделываются страховые полисы, фабрикуются страховые случаи – все это распространенные явления, с которыми нужно бороться. Один из способов – улучшение информационного взаимодействия участников финансового рынка. В частности, игроки страхового рынка должны иметь в своем распоряжении доверенную базу данных, при помощи которой можно проверять сведения, вызывающие подозрения.
– Что можно сказать о возможностях отечественных разработчиков в плане импортозамещения? В контексте сложившейся международной ситуации…
– Есть болезненные в этом контексте проблемы, связанные, в частности, с использованием производительных магистральных маршрутизаторов и суперкомпьютеров, и их предстоит решать.
– Ваша оценка дальнейших перспектив использования ИТ на российских финансовых рынках. Какие сферы еще не охвачены ИТ?
– Некоторые ниши действительно еще не охвачены автоматизацией, остаются архаичными, в частности, механизмы, связанные с голосованием акционеров по большому количеству продаваемых ценных бумаг. Между тем в мире есть примеры стран, где решения на базе ИТ в данной сфере эффективно работают (например, в Турции). Вопросы идентификации участников финансовых рынков с учетом требований FATF должны быть решены независимо от того, как будет складываться политическая ситуация. Мы должны использовать на ММВБ механизм идентификации, сходный с тем, что используется на Лондонской бирже, близкие к западным решения – хотя бы просто исходя из удобства работы на нашем рынке западных клиентов, чтобы они могли эффективно переходить с рынка на рынок.
Таким образом, деятельность по улучшению электронного взаимодействия участников финансового рынка носит очень серьезный характер. Если нам удастся улучшить взаимодействие, ускорить его, повысить оперативность, снять бумажные барьеры, это послужит общим целям, которые мы все преследуем. Участники финансового рынка это понимают, потому именно они выступили инициаторами работы в данном направлении.
