Сессия «Аутсорсинг информационных технологий и использование облачных сервисов» в рамках Уральского форума «Кибербезопасность в финансах — 2024» была насыщена неожиданными поворотами и дискуссиями
Такие вопросы, как правовая модель аутсорсинга и использования облачных сервисов, а также подходы к решению проблемы риска концентрации услуг IT-аутсорсинга, продолжают волновать представителей финансового сообщества. А вот представителей IT и облачных провайдеров больше беспокоят реальные перспективы развития аутсорсинга и дальнейшие шаги в этом направлении.
Все эти вопросы связаны между собой, выгодны всем, прежде всего экономически, но пока находятся на этапе юридической развилки. Об этом рассказал Владимир Чистюхин, первый заместитель председателя Банка России, выступивший модератором этой сессии.
Владимир Чистюхин (Банк России). Фото: Уральский форум
Зачем мы здесь?
Аркадий Свистунов, заместитель председателя комитета Госдумы по финансовому рынку, сразу ответил на актуальный вопрос: «Что представляет собой законопроект сейчас и что с ним происходит в Госдуме?». По словам депутата, исследование Банка России от 2023 года показало, что как IT-аутсорсинг, так и облачные вычисления уже используются 64% организаций финансового сектора. Поэтому встал не менее острый вопрос: «А зачем вообще нужен закон, если в рамках договорных отношений можно отрегулировать многие тонкости этого всего?».
Аркадий Свистунов (Госдума). Фото: Уральский форум
И Банк России, и Государственная дума, и правительство РФ сходятся сейчас на том, что процедура обработки третьими лицами финансовой информации, содержащей банковскую, страховую и другие тайны, а также персональные данные (ПДн) граждан, которые изначально не давали личного согласия на их передачу, требует рамочного регулирования.
Рамочные принципы определили лапидарный характер закона, чьи базовые нормы будут инсталлированы в иные нормативные акты, например в законы о банках и банковской деятельности, о пенсионном фонде, о страховом рынке, о рынке ценных бумаг и другие, в целях регулирования аутсорсинга. Кроме того, сразу устанавливаются принципы, которыми в дальнейшем будут руководствоваться при осуществлении подобного рода деятельности: требования к организациям, к тем, кто эти требования будет устанавливать, а также вопросы ответственности.
Законопроект принят в первом чтении, сейчас идут активные дискуссии вокруг него в преддверии второго чтения. Законодателей беспокоят некоторые тонкости, а также мнение практикующих участников финансового рынка, которое предлагается высказать в рамках данной сессии.
«Поскольку закон рамочный, большое количество норм оставлено на усмотрение регулятора и некоторых органов федеральной власти. Каково их мнение? Как сообщество расценивает законопроект: как угрозу или как новые возможности? Нужно ли прямо прописать то, что именно нельзя передавать на аутсорсинг? А другие, напротив, утверждают, что на стадии становления не стоит перегибать палку», — задал вектор обсуждения модератор.
АБР у штурвала изменений
Вице-президент Ассоциации банков России (АБР) Яна Епифанова отметила: «Вопросом аутсорсинга как вариантом снижения издержек, который одновременно поможет соответствовать высоким требованиям регуляторов в сфере IT и ИБ, АБР занимается достаточно давно. И могу подтвердить, что интерес к этой теме продолжает расти».
Яна Епифанова (АБР). Фото: Уральский форум
Однако мощной преградой на пути принятия законопроекта являются не до конца проработанные механизмы передачи третьим лицам конфиденциальной информации и механизмы комплаенса, например соблюдения ПОД/ФТ. Поэтому участники АБР находятся в плотном контакте с Росфинмониторингом и надеются на положительное решение этой проблемы. Есть и разногласия с определением круга лиц, которые подпадают под действие рассматриваемого законопроекта. Кроме того, текущая редакция Закона об IT-аутсорсинге задает рамки для возможного оказания услуг, но не дает понимания правовых механизмов митигирования рисков, присущих IT-аутсорсингу.
«Как могла бы выглядеть правовая модель аутсорсинга, если рассматривать проблему шире, чем рамочный законопроект?» — предложила подумать Яна Епифанова и представила итоги исследования АБР правовых основ организации и функционирования рынка IT-аутсорсинга в банковской сфере:
- к аутсорсеру, которому передаются защищаемые данные, должны предъявляться требования обеспечения ИБ не ниже, чем к банку;
- кредитная организация должна иметь возможность управлять рисками на стороне аутсорсера, например мониторить и контролировать основные процессы в части ИБ;
- все ждут, что для баланса прав и обязанностей сторон регулятор сформулирует подходы к содержанию договора об аутсорсинге;
- наиболее жизнеспособная модель оказания услуг IT-аутсорсинга — это модель множественности аутсорсеров, которая обеспечит поддержку и развитие конкуренции.
Яна Епифанова сообщила, что для выстраивания процессов управления рисками необходимо создавать условия для развития инструмента страхования киберрисков. Кроме того, по ее словам, АБР приступает к построению операционной модели функционирования компании-аутсорсера, которая будет включать в себя типовые формы договоров и разработку ковенантов для включения в договоры.
Операционная модель поможет найти баланс между законодательным регулированием и саморегулированием, о котором заговорил модератор, чтобы «не сразу бетонировать регуляторный асфальт», а дать возможность банкам самим выработать некие стандарты аутсорсинга. Однако сейчас, по мнению АБР, лучше сработало бы «веское слово регулятора».
«Это не я, это Уголовный кодекс»
Андрею Емелину, председателю Национального совета финансового рынка (НСФР), модератор задал непростой вопрос: «А за что именно будет отвечать поставщик IT-услуг?». «Вопрос ответственности действительно является краеугольным и многоуровневым во всей рассматриваемой теме. Что касается банков, то ответственность перед регулятором находится на первом уровне, и никто ее с них снимать не станет. Второй уровень — это взаимодействие банка с аутсорсером, где самое большое количество “открытий” будет, конечно же, у аутсорсеров, поскольку, добровольно попадая в контур обработки персональных данных, да еще и банковской тайны, они оказываются в очень серьезно зарегулированной сфере, сразу за которой маячит Уголовный кодекс с его 183-й статьей о незаконном получении и разглашении сведений, составляющих коммерческую, налоговую или банковскую тайну, с лишением свободы до четырех лет».
Андрей Емелин (НСФР). Фото: Уральский форум
Поэтому выстраивать договорные модели необходимо так, чтобы максимально помочь аутсорсеру разобраться, где начинается граница его ответственности. Это будет зависеть от той модели, которая будет использоваться — «платформа как сервис» (PaaS) или какой-либо еще вариант, популярный при аутсорсинге. Почему? А потому, что предусмотрен и третий уровень ответственности — перед потребителем, в виде возмещения ущерба. Но есть нюансы! Поэтому нужен компромисс, например рекомендации от регуляторов с популяризацией лучших рыночных практик.
«Я уверен, что все эти вопросы решаемы, тем более что с наиболее продвинутыми аутсорсерами проблем точно не будет. Бизнес-модели с ними уже отрабатываются, поэтому я с оптимизмом смотрю вперед!», — заявил Андрей Емелин.
В ходе дискуссии определились с тем, что необходимо максимально учесть интересы всех сторон. Ответственность при таком взаимодействии должна разделяться между финансовой организацией и поставщиком услуг.
Облачные провайдеры заявили, что их не пугает такая ответственность и что они готовы работать с финансовым рынком, поэтому активно участвуют в разработке законопроектов.
Как бы то ни было, важнейшим вектором развития рынка остается адекватная оценка реальных рисков при взаимодействии с поставщиками услуг. Необходимо явно задокументировать определение аутсорсинга и требования к содержанию договора между банками и компаниями, предоставляющими различные сервисы.