CNews: Сергей, какие технологические тенденции наиболее актуальны для банковской сферы?
Сергей Шерстобитов: Банковская сфера традиционно находится в авангарде, претендуя на технологическое лидерство. Можно констатировать, что почти все технологии Gartner Hype Cycle for Emerging Technologies активно изучаются и тестируются. А наиболее зрелые — внедряются банками и другими организациями кредитно-финансовой сферы.
Драйверами продуктовых инноваций в этой отрасли сейчас являются такие технологии, как машинное обучение, анализ больших массивов данных, углубленная аналитика, искусственный интеллект, интернет вещей, блокчейн, робо-эдвайзинг. На их основе разрабатываются принципиально новые решения и сервисы.
Технологии не несут ценности сами по себе, их необходимо наполнить бизнес-смыслом, чтобы конвертировать в конкурентные преимущества. Очень важно помнить, что для ИБ-служб банков происходящие изменения несут новые вызовы — цифровизация ожидаемо влечет увеличение масштабов киберпреступности. Кроме того, для инноваций требуется трансформация — изменение архитектуры систем, внедрение средств защиты для обеспечения киберустойчивости и информационной безопасности, развитие мобильных технологий и удаленного доступа.
CNews: Можно ли говорить о том, что какие-то из перечисленных технологий вышли на первые роли, а какие — напротив — не оправдали себя и отошли в прошлое?
Сергей Шерстобитов: С уверенностью можно говорить об успешности для большинства игроков банковского сектора проектов, связанных с большими данными. Конечно, не все технологии «выстреливают». Еще предстоит доказать свою эффективность иммерсивным технологиям — дополненной и виртуальной реальности. В ближайшем будущем 5G может фундаментально повлиять на форматы взаимодействия с клиентами и изменить пользовательский опыт.
Но я бы не говорил о том, что что-то уходит в прошлое, иногда технологии ждут «своего момента». Приведу показательный пример из ИБ-отрасли. Более 10 лет назад осуществлялись попытки вывода на рынок так называемых honeypot — ловушек, позволяющих детектировать активность хакеров после проникновения в вашу инфраструктуру. Тогда они остались невостребованными рынком, но сегодня deception technology (развитие идеи тех самых honeypot) — достаточно востребованный класс решений, потому что рост производительности и технологии виртуализации позволили сделать этот продукт очень гибким, а изменившийся ландшафт угроз (на первый план вышли целенаправленные и сложнодетектируемые атаки) резко повысили актуальность данной технологии.
CNews: Если детализировать значение больших данных и завязанных на них искусственном интеллекте и машинном обучении для финансового сектора, можно ли сказать, что эти технологии стали основой банковской трансформации?
Сергей Шерстобитов: Можно сказать больше: что эти технологии изменили нашу с вами жизнь. Они используются в банках практически повсеместно. Сегодня профиль клиента анализируется моделями, которые принимают решение о благонадежности, улавливают малейшие изменения в поведении, подбирают вам индивидуальные предложения. Очень часто эти технологии также используются для анализа продуктовой линейки и ее адаптации под потребности клиентов, выявляют мошеннические операции и кибератаки на инфраструктуру банка.
Основой банковской трансформации я бы назвал более широкий ландшафт технологий и изменившиеся благодаря им паттерны поведения клиентов. Сначала появились технологии, которые позволили создать каналы постоянного взаимодействия с клиентом и принципиально изменить качество этого взаимодействия. Большая часть операций совершается посредством мобильных приложений, которые позволяют автоматически собирать огромные массивы данных, как непосредственно относящихся к операции, так и сопутствующих, предоставляющих большие возможности для дальнейшего анализа, совершенствования и повышения безопасности продуктов. Это потребовало существенной модернизации бизнес-процессов банков и задействования новых технологий, таких, как машинное обучение.
CNews: Еще одна актуальная для банковской сферы история — social mining. Как основанные на этой технологии решения меняют банки и страховые компании?
Сергей Шерстобитов: Мы уже живем в эпоху гиперперсонализации. Сегодня каждый бизнес стремится как можно лучше знать своих клиентов и понимать природу их решений. Банковский продукт развивается и становится значительно шире традиционного предложения. По сути, это уже маркетплейс с предложениями под каждый этап жизни клиента.
Технологии Social Mining позволяют еще больше сблизиться с клиентом. Анализ истории поведения пользователя в сети, выявление наиболее посещаемых ресурсов, время их посещения, интересующие тематики контента и так далее. Вся эта информация дает возможность значительно уточнить портрет пользователя сети и восстановить недостающие данные о нем. И соответственно, предложить продукт, наиболее подходящий под интересы конкретного пользователя. Происходящее порождает большое внимание к приватности клиентских данных. Бизнесу, клиентам и регуляторам еще предстоит найти разумный баланс в этом вопросе.
CNews: К слову о приватности: как вы считаете, какие законодательные инициативы сказываются на защите данных в финансовом секторе? Какие из них облегчают стоящую перед бизнесом задачу, а какие — усложняют?
Сергей Шерстобитов: Я уже не раз отмечал активную позицию регулятора — Банка России — в финансовом секторе. За последнее время появилось множество требований, регламентирующих вопросы ИБ как в кредитных организациях, так и в не кредитных. Это положения 683, 684 и, естественно, основополагающий ГОСТ ЦБ, на основе которого, по сути, предлагается выстраивать всю систему обеспечения информационной безопасности.
На фоне всех этих инициатив больше всего мне импонирует последовательная и взвешенная позиция Банка России в вопросах информационной безопасности — осуществляется поступательное движение в сторону риск-ориентированного подхода. В настоящее время активно ведутся работы по рассмотрению рисков ИБ в составе операционных рисков, что должно качественно повысить уровень информационной безопасности в финансовом секторе в целом. Существуют различные форматы обсуждения ключевых инициатив: профильный комитет, отраслевые конференции (например, Уральский банковский форум) и другие. При таком подходе инициативы учитывают интересы бизнеса и создаются условия для органичного повышения уровня зрелости всей экосистемы — финансового сектора, интеграторов, производителей.
Главная ценность для бизнеса — наличие понятных правил, возможность прогнозировать свою деятельность в сфере информационной безопасности и участие в выработке принимаемых решений. Помогает ли это бизнесу? Вопрос горизонта. Для большинства представителей финансового сектора это укладывается в стратегию и позволяет с большей уверенностью смотреть в будущее.
CNews: А если смотреть со стороны клиентов — ведь в России не принято доверять финансовым организациям вообще, и банкам — в частности. Есть мнение, что связано это, в первую очередь, с низким уровнем безопасности и периодическими крупными утечками. Какие решения применяют банки, чтобы снизить риски?
Сергей Шерстобитов: Не соглашусь. Рост популярности онлайн- и мобильного банкинга доказывает обратное. Исторически в России отрасль формировалась уже в цифровую эпоху, перенимая лучшие практики из-за рубежа. Благодаря активному развитию инноваций в финансовых организациях в последние годы, у российской банковской системы есть шансы стать одной из самых передовых с точки зрения цифровизации.
В 2018 году Россия вошла в топ-5 стран Европы по развитию цифрового банкинга. Мобильные приложения российских банков имеют сейчас в полтора-два раза больше функций, чем аналогичные приложения ведущих банков Европы. Аналитики McKinsey в исследовании «Инновации в России — неисчерпаемый источник роста» уже называют российскую банковскую систему одной из самых передовых в мире.
В плане информационной безопасности банки были и остаются самым оснащенным и защищенным сектором экономики. Именно они являются первыми потребителями новых технологий и решений ИБ, для них ценность информационной безопасности очевидна. Арсенал применяемых технологий очень широкий — банки уделяют много внимания безопасности своей инфраструктуры, данных, приложений и все активнее переходят к использованию решений для проактивной защиты, реагируя на ранних стадиях развития кибератаки.
Все технологии, о которых мы говорили выше, являются не только вызовом для ИБ банков, они постепенно входят в арсенал профильных подразделений. Например, машинное обучение достаточно эффективно помогает детектировать аномалии в трафике или работе пользователей, дополненная и виртуальная реальность тестируется рядом компаний в центрах мониторинга и реагирования на киберугрозы. Вообще, сейчас многие банки инвестируют в автоматизацию процессов ИБ. При сегодняшней стоимости специалистов, вопрос операционной эффективности структур ИБ для компаний становится все более актуальным.
CNews: Да, но вместе с тем жители России, судя по всему, не очень доверились биометрии в банках. Скажите, действительно ли биометрическая идентификация будет панацеей от взломов? Или возможна подделка этих данных?
Сергей Шерстобитов: Любые новые технологии должны пройти испытание временем. Фактов взлома единой биометрической системы (ЕБС) нет, но это не дает никаких гарантий в будущем. Публично доступны инструменты, которые могут эмулировать голос или даже заменить в видео одно лицо на другое, причем для этого достаточно всего несколько фото и пара кликов мышкой. Достижения в области машинного обучения не всегда применяются во благо. При использовании биометрии важно понимать один принципиальный момент — если кому-то удастся скомпрометировать данные клиента, он уже не сможет их поменять.
CNews: Принимает ли Angara Technologies Group участие в разработке профильных решений?
Сергей Шерстобитов: Нет, это не наш бизнес. Вместе с тем, мы, как системный интегратор, готовы участвовать в проектах по внедрению этих технологий, предоставляя заказчику доступ к оптимальному для него технологическому стеку и нашей экспертизе в области информационной безопасности и интеграции различных решений.
CNews: Возвращаясь к автоматизации ИБ: речь идет, в том числе, и о антифрод-системах? В последнее время они становятся все более «могущественными».
Сергей Шерстобитов: Действительно, сегодня они все чаще оказываются в зоне ответственности ИБ-подразделений. Это обусловлено тем, что большая часть бизнес-процессов завязана на технологиях, а они, в свою очередь, позволяют эффективно собирать необходимую информацию для идентификации подозрительных и мошеннических операций. Безусловно, эффективность данного направления более очевидна руководству и, соответственно, добавляет веса ИБ-подразделениям, повышая их значимость для бизнеса.
CNews: Вы упоминали мобильные банковские приложения. Насколько хорошо они защищены?
Сергей Шерстобитов: И банки, и страховые компании уже давно активно инвестируют в мобильные приложения. Сегодня это наиболее удобный канал для связи с клиентом. Неудивительно, что ответственные участники рынка уделяют большое внимание безопасности этого канала. Но было бы некорректно говорить исключительно о защите мобильных приложений, потому что защищаемый стек гораздо шире — сами приложения, веб-сервисы, API, системы обработки данных, системы принятия решений и так далее.
CNews: Почему банки отказываются от смс в пользу push-уведомлений?
Сергей Шерстобитов: Все очень просто — это ненадежный способ подтверждения транзакции. NIST в своих документах еще в 2016 году рекомендовал воздержаться от использования аутентификации на основе SMS-сообщений — документ называется Digital Authentication Guideline (DAG). Уже тогда было понятно, что в этой технологии существуют активно эксплуатируемые уязвимости.
Интервью опубликовано в CNews.ru в обзоре "ИТ в банках и страховых компаниях 2019"