В рамках секции «Банки и финансы» в ходе конференции для специалистов по информационной безопасности BIS Summit 2024, прозвучали слова о понимании рисков импортозамещения, о нетерпимости к тем, кто воспользовался ситуацией в своих целях
Темами секции «Банки и финансы» были заявлены: способы решения задачи импортозамещения, выбранные финансистами, готовность к 2025 году с точки зрения представителей банковской отрасли и т.д. По этой повестке и шло обсуждение — надо признать, обстоятельное и профессиональное.
Однако, как и в пленарной дискуссии, все пошло по другому сценарию, когда речь зашла о запредельных ценах на вендорское ПО, об заоблачных зарплатах программистов, о недостаточном качестве решений по сравнению с аналогами. Но на этот раз «дизраптором» выступил Анатолий Аксаков, депутат Госдумы, председатель Ассоциации банков России.
Надо быть гибче
Свое выступление он начал с информации о том, что для наиболее критичных IT-систем, по которым существует риск необеспечения импортозамещения в срок, Банк России совместно с финансовыми организациями создал специальный план перехода, чтобы этот риск снять. Имеется в виду создание средств для обработки и защиты высокопроизводительных систем в области больших данных и межсетевых экранов.
Источник: трансляция BIS Summit 2024
По словам спикера, на эту цель выделяются довольно серьезные средства, кроме того, совместно с отечественными вендорами ведется активная работа по скорейшему предложению рынку решений, соответствующих потребностям прежде всего крупнейших банков. При активном содействии банкиров при поддержке Минцифры создана рабочая группа по этим вопросам.
Надо помнить и о том, что банкам потребуется время на тестирование, кастомизацию, интеграцию нового ПО в своих IT-системах. Иными словами, все эти разработки требуют времени до их массового внедрения, для того чтобы убедиться, что они являются эффективными и обеспечивающими нормальную работу финансовых институтов. А сроки — вот они, практически «на носу».
Но это не все. Анатолий Аксаков уверен: «Стоимость отечественных решений сегодня зачастую в 5–7 раз выше, чем у западных аналогов. При этом многие разработчики, хотя их можно понять с точки зрения решения ими своих рыночных задач, в то же время, на мой взгляд, должны проявить государственный подход к тому, чтобы их продукция продавалась значительно дешевле. Понятно, что цена должна покрывать себестоимость и давать возможность зарабатывать, но при этом не надо наглеть! Я призываю разработчиков этих систем отнестись ко всему сказанному внимательно. Полагаю, что и регулятору, и Минцифры необходимо посмотреть на ситуацию для пресечения злоупотреблений вендорами в создавшемся положении и взвинчивания ими цен на свои разработки».
Еще одна проблема, которая до сих пор не решена, связана с собственными разработками банков в области программного обеспечения. Например, примерно в 90% из них используются такие продукты, часто базирующиеся на open-source. Сегодня такой софт на основе формальных причин не может быть внесен в Реестр отечественного ПО и подлежит импортозамещению на значимых объектах КИИ.
«На мой взгляд, здесь необходимо быть гибче. Надеюсь, Минцифры обратит внимание на эту ситуацию и изменит свои подходы к использованию таких разработок банков, чтобы не заставлять их нести большие затраты, которые и так осуществляют кредитно-финансовые организации в создавшейся ситуации. Считаю, что на такое ПО существующие требования по импортозамещению не должны распространяться!», — заявил Анатолий Аксаков.
Концепция изменилась
Модератор сессии Алексей Плешков, заместитель начальника департамента защиты информации Газпромбанка, комментируя выступление депутата Государственной думы, заметил: «Я отмечаю для себя, что Анатолий Геннадьевич затронул точно и кратко практически все те тезисы, которые мы с коллегами обсуждали в течение всей секции до этого. О чем это говорит? О том, что законодатели и финансовые организации смотрят и думают практически одинаково. Нас слышат, наши проблемы и задачи им понятны, они готовы к сотрудничеству. Наша задача в этих условиях апеллировать к депутатам на предмет внесения рациональных и адекватных предложений в те акты, которые уже неактуальны либо нуждаются в корректировке, в целях повышения эффективности».
Алексей Плешков (Газпромбанк). Фото: BIS Summit
Сергей Валуйских, старший управляющий директор — директор Центра киберзащиты Сбера, согласился: «В разработку собственного ПО на базе open-source действительно вложены громадные средства, поэтому нужно внимательно отнестись к тому, чтобы эти решения продолжали работать. Ведь это не только деньги, но и годы, ушедшие на разработку. Потому данный софт необходимо совместными усилиями легализовать».
Сергей Валуйских (Сбер). Фото: BIS Summit
Тимур Гараев, руководитель департамента финансового маркетплейса Банки.ру, решил немного «подлить масла в огонь»: «Есть опасения, и я очень надеюсь, что они так и останутся опасениями. Ранее, когда рынок был открыт, на нем была конкуренция, и ряд отечественных продуктов либо выиграли, либо были не хуже в своих нишах. Но концепция изменилась, и часть решений по разным причинам может перестать развиваться».
Тимур Гараев (Банки.ру). Фото: BIS Summit
До выступления Анатолия Аксакова участники секции довольно подробно обсудили список тех ИБ-решений, по которым существуют максимальные риски по срокам внедрения. В нем помимо многострадальных файрволов класса NGFW неожиданно для широкой аудитории оказались такие решения, как MDM и End Point Security для мобильных устройств, HSM, а также UEBA. Еще 29% принявших участие в опросе участников секции как в зале, так и удаленно ответили: «Иное». Три перечисленные выше категории набрали примерно по 6%, а файрволы, включая Proxy, выбрали почти 52% проголосовавших.
В течение всего саммита до этой секции различные спикеры не уставали обсуждать ситуацию в довольно узком секторе NGFW, которую взялись разом решать практически 50 вендоров — и тут такая неожиданность!
Вызовы на 2025 год
Очевидно, нет смысла углубляться в тонкости того, о чем говорили гуру банковского инфобеза. Наверное, гораздо больший интерес для всех представляет их мнение о том, чего финансистам следует ожидать от будущего.
Вячеслав Касимов, директор департамента ИБ МКБ, уверен: «Поскольку за два прошедших года регулирование существенно изменилось, не надо быть гуру, чтобы предположить, что пришло время проверок. Поэтому я вижу в качестве одного из вызовов на 2025 год проведение Банком России контрольных мероприятий, основной целью которых станет определение того, как и насколько поднадзорные выполнили все то, что им было предписано. Второе, что будет волновать гораздо большее количество заинтересованных лиц: как будет работать все то, что было импортозамещено? Я допускаю, что при выборе между стабильностью функционирования и потребностью выполнить предписания кто-то выбрал опцию “жестко выполнить”, вот и посмотрим на сюрпризы этого выбора».
Вячеслав Касимов (МКБ). Фото: BIS Summit
Сергей Валуйских, очевидно, на Новый год от имени Сбера пожелает всем причастным просто прожить 2025 год на «свежеимпортозамещенном» ПО. Наверняка будут какие-то болячки и проблемы. Но решение видится в организации обратной связи и оперативного реагирования между вендорами и эксплуатантами их решений. А вот на каверзный вопрос модератора из ГПБ о том, готов ли Сбер стать целевым отраслевым полигоном для пилотирования средств защиты информации, он дал ответ: «Это вопрос не к нам, а к ЦБ». Судя по всему, Сбер готов к этой роли как обладатель высоконагруженной IT-инфраструктуры, где «все работает немного по-другому».
Василий Окулесский, эксперт по ИБ компании ЦИБИТ, заметил: «Период внедрения — это время эйфории и драйва. Когда это проходит, начинаются эксцессы, с которым необходимо жить и как-то бороться. Мы должны быть готовы ко всем неожиданностям».
Василий Окулесский (ЦИБИТ). Фото: BIS Summit