Банковский бизнес с момента возобновления в новейшей истории России, т. е. с начала 90-х гг. прошлого века, стал одним из передовых в плане внедрения информационных технологий и по сию пору таковым остается. Карл Сумманен, вице-президент ВТБ, обсудил в беседе с главным редактором журнала Connect Алексеем Ворониным прошлое, настоящее и будущее ИТ-поддержки банковского бизнеса в России и в мире.
− Карл Тайстович, прежде чем перейти к вопросам ИТ-поддержки банковского бизнеса, хотелось бы начать с общих аспектов информационных технологий, в развитии которых за последние семь-десять лет произошли серьезные изменения: облачные технологии, мобильность и другие инновации получают все большее распространение. Как вы оцениваете эти изменения? Безотносительно к банковской специфике…
− Если говорить именно о революционных изменениях в ИТ, то они начались не десять лет назад, а раньше − с появлением Интернета и глобальной доступности информационных систем, когда стал технически возможен переход к удаленному обслуживанию клиентов. И это произошло еще в 1990-е гг. Из того, что произошло относительно недавно и что, на мой взгляд, действительно может революционно изменить пространство информационных технологий, − это появление интеллектуальных мобильных устройств, которые создают принципиальную возможность для ведения бизнеса − любого, не только банковского − в электронном, цифровом виде. Другие принципиально важные изменения, не имеющие сугубо «ИT-шного» характера, − это появление криптографии на симметричных ключах, понятие электронно-цифровой подписи (ЭЦП), что дало принципиальную возможность организовывать юридически значимый электронный документооборот, и соответствующее законодательство, которое тоже было принято не десять лет назад, а раньше.
− А ЦОД как место максимальной концентрации ИT-систем – разве не революционный этап?
− Это не революционные изменения, а эволюционные. В мировой практике центры обработки данных развиваются давно. Это у нас, в России, они стали распространяться относительно недавно. Произошло это, видимо, в результате того, что снизилась маржа, и акцент в деятельности банков сместился с получения большей прибыли на меньшую себестоимость. Банки стали переходить к централизации любых ресурсов, что, в свою очередь, потянуло за собой централизацию ИТ на базе центров обработки данных. Технически ЦОД можно было создавать и раньше, но это, как мы знаем, достаточно дорогое удовольствие, и 20 лет назад его создание не имело смысла для многофилиального банка, филиалы которого были автоматизированы независимо − банк нормально работал с территориально распределенной ИС.
− А в какой степени повлияла на развитие ЦОД такая техническая составляющая, как повышение качества телекоммуникаций?
− Создала техническую возможность. Например, десять лет назад решение вопроса обеспечения коммуникаций с удаленным филиалом было творческой задачей. Требовалось найти хорошего поставщика телекоммуникационного решения, обеспечить резервирование на базе другой сети – физически другой. В то время это было довольно трудно, сегодня же банки относительно легко решают проблему тройного резервирования − основной поставщик, резервный и третий канал – Интернет. Это уже рутинная задача.
− Банковская сфера − традиционно одна из самых высокотехнологичных и даже инновационных в плане применения современных ИT. Как эволюционировали банковские информационные системы и ИТ-инфраструктура в последние годы? Наблюдаются ли кардинальные изменения на отдельных направлениях?
− Если вспомнить историю развития банковских информационных систем в России, то все начиналось с систем ведения «главной книги», т. е. бухгалтерии и учета. Таким образом, акцент в автоматизации российского банковского дела изначально был сделан на требованиях регуляторов, а не на сделках. Затем началось постепенное изменение парадигмы внедрения информационных систем в банковской сфере: бухгалтерия стала уходить на второй план, на первый же вышли такие понятия, как «сделка» и «операция». Именно в течение последних десяти лет у всех российских банков с точки зрения автоматизации было заметно движение в сторону операционно-сделочной модели, т. е. банки стали поворачиваться лицом к бизнесу. Первичным становится бизнес, а не требования регуляторов.
− Увидел ли банковский бизнес серьезное изменение роли ИТ? Верно ли утверждение, что ИТ стали фактически базисом для работы банка?
− Пожалуй, верно, и тому есть две причины. Во-первых, банковский бизнес – это бизнес по обработке информации, точнее, специального вида информации, имеющего отношение к банковским сделкам и финансам. Во-вторых, у банков стали появляться конкуренты небанковские, такие как Google и прочие интернет-компании, которые развиваются в сторону банкинга, имея уже готовую – мощную, современную − технологическую структуру. Будущее за цифровым миром, и если говорить о некой будущей целевой модели банкинга − это дистанционный цифровой банкинг, в котором физические взаимодействия между банком и клиентом достаточно редки. В области физического контакта остается, наверное, только работа с наличными, все остальное в цифровом мире, включая заключение договоров, может происходить дистанционно.
Такие компании, как Google, имеют все для того, чтобы вести бизнес в цифровом мире, и сейчас в поисках ниши для заработка денег начинают двигаться в сторону банковских операций. Это очень опасный конкурент, потому что Google уже находится в технологическом будущем, а банки − пока в технологическом «сегодня». Если они не будут предпринимать усилий по развитию ИТ, с тем чтобы не дать себя вытеснить с поля финансовых операций, для них наступят тяжелые времена. ИТ является не просто основой, а сутью банковского бизнеса, поэтому банки вынуждены двигаться в сторону сетевого, дистанционного, цифрового бизнеса, и своими ближайшими конкурентами мы видим компании, работающие в цифровой, интернет-среде.
Пока российские банки чувствуют себя более-менее защищенно, потому что Центральный банк достаточно жестко регулирует порядок выдачи лицензий. Требования Банка России во многом исходят из наличия у банка физической инфраструктуры, физического присутствия на рынке. Интернет-компании выполнить данные требования регулятора рынка пока не могут, но как только регулирование будет изменено в сторону смещения центра тяжести на цифровые методы ведения бизнеса, у интернет-компаний тут же возникнет существенное преимущество перед традиционными банками.
− Ситуация серьезная. Поговорим еще об одном очень важном факторе − об информационной безопасности как необходимой составляющей дистанционного банковского обслуживания. Долгое время среди специалистов бытовало мнение, что все системы ДБО «дырявые», они не способны обеспечить безопасность проведения операций. Безопасного решения у поставщиков систем ДБО не было, потому что его создание дорого, и даже когда оно создано, это будет не очень удобно для работы клиентов. Насколько это соответствовало действительности тогда и соответствует сейчас? По-прежнему ли самое слабое звено систем ДБО – это клиент?
− И соглашусь, и не соглашусь. Утверждение, что до сих пор безопасных систем дистанционного банковского обслуживания на рынке не существует, действительности абсолютно не соответствует. На мой взгляд, все современные системы ДБО, созданные компаниями, которые профессионально работают на рынке (я не говорю про самописные ДБО), практически стопроцентно безопасны при условии правильного использования. Второй момент, с которым я соглашусь: слабое звено – это человек, работающий в системе, причем не на стороне банка, а на стороне клиента. К сожалению, пока не удалось создать средства «защиты от дурака» и, возможно, никогда не удастся. Наш клиент отличается редкой степенью разгильдяйства. Конечно, в других странах это явление тоже распространено, но у нас оно наиболее ярко выражено. Даже если клиенту многократно объяснили, что на компьютере, с которого совершается вход в банковскую систему, все должно соответствовать определенным правилам, что с него нельзя «лазать» по разным сайтам в Интернете, что должен быть установлен антивирус с обновленными базами, доступ к этому компьютеру внутри компании необходимо ограничить, а пароли и ключи нельзя раздавать всем подряд, − все бесполезно. Внутренняя дисциплина в наших компаниях, к сожалению, настолько низка, что на компьютере для дистанционного доступа к банковскому счету может быть приклеена бумажка, на которой написаны логин и пароль для входа в систему, ключи для подписи платежных документов передаются сотрудниками друг другу, именно с этого компьютера заходят в Интернет, антивирус обновляли два года назад, так что компьютер кишит вирусами, а вирусы «дохнут» от того, что их там слишком много.
− Как исправить ситуацию?
− Менталитет изменить трудно. Единственный способ, которым можно обеспечить правильное поведение пользователей, − это осознание ими персональной ответственности. Когда у руководства компании и конкретных людей, работающих с системой, есть понимание, что их информационная (читай – финансовая) безопасность находится в их руках и, если деньги будут украдены, они будут наказаны, в таком случае начинает работать механизм безопасности на стороне клиентов. Осложняющий фактор − наше сегодняшнее законодательство, конкретно – статья 9-я Закона № 161-ФЗ, которая всю ответственность за случаи мошенничества переложила на банки. Физическое лицо имеет право отказаться от проведенной операции, даже не уведомляя банк о компрометации ключей и других средств защиты системы дистанционного доступа, а банк обязан вернуть клиенту деньги. При этом банк обязан доказать, что клиент нарушил правила пользования системой, что практически невозможно, потому что у банка нет полномочий прийти к клиенту, обследовать компьютер и определить, нарушались правила или не нарушались. В данном случае создана ситуация абсолютной безопасности на стороне клиента, что, на мой взгляд, категорически противоречит финансовой безопасности дистанционного проведения банковских операций. Недобросовестный клиент может прибегать к прямому мошенничеству, переводя свои деньги родственникам, самому себе, а потом приходить в банк и требовать их назад − на том основании, что он якобы не проводил эту операцию.
− Внутренняя платежная система банка: что можно считать ее базисом с точки зрения информационных технологий? На каких принципах она строится? Что заставляет банки создавать внутренние ПС?
− Собственные расчетные системы мотивирует создавать чисто экономический фактор − дороговизна расчетных сервисов ЦБ. По информации, которую я видел в открытых источниках, до семи раз платежные услуги Банка России дороже, чем услуги, например, Центрального банка Казахстана. Если бы существовала внешняя национальная расчетная система, которую банки могли бы использовать для своих целей, не платя за это больших денег, возможно, многие банки, особенно маленькие и средние, пошли бы по пути использования этого внешнего платежного сервиса, а не создавали собственные внутренние. В основе платежной системы лежит выделенный компонент – специальная расчетная подсистема, в функции которой входит поддержка процессов, связанных с обработкой платежных документов, расчетами между банком и его филиалами либо между банками, входящими в группу, внутри которой ведутся активные расчеты.
− В рамках внутренней платежной системы информация циркулирует на больших расстояниях. Насколько критичны надежность, пропускная способность телекоммуникационных каналов? И что собой представляет сегодня телекоммуникационная инфраструктура крупного банка?
− Абсолютно критична. Одной из особенностей цифрового бизнеса вообще и банковского в частности является постоянная доступность сервисов, в банковском случае − платежных. Еще вчера банк мог прекратить работу на какое-то время (полчаса, час), и это не было катастрофой для клиента, сегодня это абсолютно неприемлемая ситуация. Среда ведения бизнеса такова, что конкуренты предлагают услуги в режиме «нон-стоп» с проведением операций в реальном времени или в близком к реальному. Без надежной телекоммуникационной инфраструктуры обеспечить непрерывность бизнеса невозможно, поэтому телекоммуникации должны обеспечивать уровень доступности 99,99999999. Средства обеспечения непрерывности известны – резервирование, высокая пропускная способность каналов, чтобы обеспечить ведение бизнеса, в том числе и в пиковые моменты, когда по каким-то причинам трафик возрастает. Ведь трафик в течение дня неоднороден, пиковая нагрузка по отношению к среднему значению может быть в три-пять раз выше.
− А состав информации, которая циркулирует по телекоммуникационным каналам, сегодня отличается от того, что было десять лет назад? Насколько активно используется банками система видеоконференцсвязи?
− Отличается и довольно существенно. Видеоконференции – это один из способов организации и оптимизации коллективной деятельности, когда сотрудники банка, находясь на различных территориальных площадках (в частности, это могут быть группы сотрудников, расположенные в регионе с более низким уровнем зарплат), работают как единая команда. Даже в пределах Москвы, с точки зрения эффективности использования рабочего времени, выгоднее не ездить по городу, а работать посредством систем видеоконференцсвязи, что мы, в общем-то, достаточно часто делаем.
− Насколько актуальны проблемы информационной безопасности телекоммуникационных каналов? Как они защищаются?
− Большой проблемы я здесь не вижу – решения для обеспечения безопасности на рынке есть (средства шифрации, создания VPN-сетей и др.), и если в банке имеются грамотные технические специалисты, такая задача вполне решаема. Это гораздо менее критичный фактор, чем проблема клиента как слабого звена, о которой мы говорили.
− В начале нашей беседы вы отметили, что интеллектуальные мобильные устройства можно считать революционным явлением на рынке ИТ. Насколько используются сегодня мобильные технологии и устройства клиентами банка − юридическими лицами? Для каких задач?
− Не скажу, что использование мобильных устройств для обслуживания юридических лиц стало массовым, пока происходит постепенное смещение в эту сторону. Мобильное обслуживание не является технической проблемой − технически банки уже могут обеспечить клиентам, желающим работать мобильно, все необходимые условия. Скорее, это инерция, связанная с корпоративной культурой самих российских компаний. У нас пока не так много компаний, руководство и сотрудники которых готовы и хотят работать мобильно. Допускаю, что в этом не всегда есть необходимость. Мир, в котором никто не ездит на работу, выполняя свои служебные функции на дому, − это иллюзия. По крайней мере, пока люди еще ездят на работу, и основные служебные функции выполняются на рабочем месте, в офисе. Есть отдельные категории сотрудников, для которых мобильность принципиально важна, – те, кто работает «в поле». Данная категория уже обеспечена всеми необходимыми средствами.
− А руководство компаний?
− Руководство в режиме мобильности, безусловно, работает больше, чем рядовые сотрудники. Со стороны руководителей есть потребность иметь постоянный доступ к информации, желание вмешиваться в ход деятельности компании дистанционно, в любое время и из любого места. Технические возможности для обеспечения мобильной работы руководства уже имеются и у банков, и у небанковских компаний.
− Проблема только в отсутствии корпоративной культуры удаленной мобильной работы?
− Не только. Почему мир не может перейти полностью к цифровому бизнесу? Почему в плане цифровизации нашей жизни и бизнеса наблюдается состояние «полубеременности»? До сих пор не решены системные проблемы – например, проблема кражи личности: если мобильное устройство со всеми паролями попало в руки злоумышленника, он может выдать себя за добросовестного владельца. И в подобной ситуации ни банк, ни любая другая компания, которая обслуживает клиента дистанционно, отличить злоумышленника от клиента не способна в принципе. Строго говоря, в этом случае ответственность, на мой взгляд, должен нести клиент.
− Решаема ли в принципе проблема кражи личности, появления «цифрового двойника» человека?
− Полностью данная проблема не решаема, причем не только в цифровом мире, но и в физическом. Выдать себя за другого человека можно и сегодня – например, изготовить паспорт, который будет идентичен паспорту реального гражданина, но с фотографией другого человека. И если мошенник с таким паспортом придет в банк, скорее всего, он будет обслужен, потому что у банка нет технической возможности в этом случае отличить мошенника от клиента. Несмотря на это, банковский бизнес идет и будет идти. Та же ситуация и в цифровом мире: если появятся технические средства, которые обеспечивают достаточный уровень безопасности, принимая за постулат невозможность обеспечения абсолютной безопасности, тогда цифровой бизнес будет расти очень быстро.
− Вопрос общего характера: какие инновационные подходы к построению ИТ-инфраструктуры находят сегодня применение в практике российских банков?
− На повестке дня стоит аутсорсинг, в том числе и ИТ-инфраструктуры. «Взлетит» эта тенденция или не «взлетит», зависит от того, как будет развиваться российская банковская система. Если развитие пойдет по пути сокращения количества банков, их агрегации в несколько крупных банков, шансов на аутсорсинг будет меньше, потому что крупному банку проще создать собственную ИТ-инфраструктуру. Если будет сохраняться достаточное количество небольших и средних банков, в этом случае будут предпосылки для того, чтобы продолжалось движение в сторону аутсорсинга и, в частности, облачных технологий.
− Что можно сказать о банковских ЦОД? Что сейчас предпочитают банки: строить собственные или арендовать мощности?
− Крупные банки строят свои ЦОД: это достаточно выгодно и в финансовом плане, и в плане гибкости и управляемости, когда банк не зависит от третьей стороны. Для небольших и средних банков, на мой взгляд, более правильное решение − использование ЦОД, которые предоставляют профессиональные провайдеры.
− Ваш прогноз: что станет с ИТ-поддержкой банковского бизнеса в ближней и отдаленной перспективе? Может быть, появится новый симбиоз информационных технологий и бизнеса?
− Поскольку конкуренция на всех рынках будет ужесточаться, а маржа снижаться, то банки будут вынуждены искать новые модели своего функционирования. Я думаю, что развитие пойдет по тому же пути, по которому шло человечество с момента своего появления, − разделение труда и специализация. Банки будут все больше избавляться от непрофильных, небанковских функций, в том числе от собственной ИТ-поддержки. Ведь ИТ – не банковская функция, это среда, без которой банки не могут существовать. Полагаю, будет наблюдаться движение в сторону аутсорсинга, когда значительную часть ИТ-функций банки будут передавать сторонним компаниям, которые являются специалистами именно в сфере информационных технологий. Это касается и использования ЦОД, и разработки банковских продуктов, технологий. Банки будут все больше внедрять и использовать в работе стандартные продукты, предлагаемые на рынке профессиональными вендорами, причем продукты, ориентированные не только на банки, но и на другие компании, обслуживающие клиентов. Я думаю, тенденция «бурления» в области развития ИТ, когда многочисленные компании создают большое количество разнообразных ИТ-решений, которое мы сейчас наблюдаем, в перспективе сменится тенденцией консолидации, когда на рынке будет несколько компаний, разрабатывающих крупные решения, используемые многими.
Следующее направление, которое мне кажется правильным, − не знаю, реализуется ли оно, но уверен, что его реализация была бы полезной, − это создание национальной и наднациональной технологической инфраструктуры платежной системы в целях организации сквозного прохождения платежей и расчетов. Есть вещи, которые должны делаться не каждым банком по отдельности, а на уровне государства, а то и межгосударственных образований, что мы и наблюдаем в случае Евросоюза (SEPA и др.).
В России определенные компоненты инфраструктуры также должны строиться на федеральном уровне, а может быть, и на уровне наднациональных образований (ЕврАзЭС, Таможенный союз) и т. п. Кредитовые трансферты, электронные сервисы необходимо создавать на национальном уровне. Когда этим начинают заниматься отдельные банки, это неэффективно и с экономической точки зрения, и с технологической. Появляется множество сходных платежных сервисов, в операционном плане не совместимых, а клиент − пользователь сервисов не получает главного − возможности использования глобальных, в масштабе государства, платежных сервисов.
