Інформаційні технології відіграють надзвичайно важливу роль у сучасній банківській галузі. Серйозний збій в ІТ-системі банку фактично унеможливлює його роботу. Що пропонує державний регулятор — Національний банк України — для надійного функціонування платіжних систем та ІТ-інфраструктури вітчизняних банків? Про це розповідає Олексій Білаш, директор Департаменту інформаційних технологій НБУ.
ОЛЕКСІЙ БІЛАШ: Наразі Національним банком України готується проект нової редакції Правил технічного захисту інформації для приміщень банків, у яких обробляються електронні банківські документи, затверджених постановою Правління Національного банку від 7 липня 2007 року № 243.
Як і в попередній редакції Правил, організація захисту інформації розглядається для таких приміщень:
- приміщення з обмеженим доступом;
- комутаційні кімнати;
- серверні приміщення.
У проекті нової редакції Правил комутаційні кімнати і серверні приміщення віднесені до приміщень з обмеженим доступом. Тому вимоги, пред’явлені до приміщень з обмеженим доступом, поширюються на комутаційні кімнати і серверні приміщення.
Розширено перелік систем серверного приміщення, до яких у проекті Правил установлюються додаткові вимоги, а саме:
- системи кондиціонування, вентиляції і газового пожежогасіння;
- гарантованого електроживлення.
З метою виокремлення вимог до облаштування приміщень з обмеженим доступом, у тому числі комутаційних кімнат і серверних приміщень, технічними засобами охорони в проекті Правил передбачений окремий розділ «Вимоги до облаштування приміщень з обмеженим доступом технічними засобами охорони».
У цьому розділі вимагається, зокрема, забезпечити приміщення з обмеженим доступом:
- технічними засобами охоронної сигналізації для дверей і вікон;
- системами контролю доступу.
Як тимчасове рішення, до моменту підключення системи контролю доступу, дозволено облаштування дверей кодовим замком.
РСWeek/UE: Чи передбачається використання засобів відеоспостереження з метою підвищення безпеки?
О. Б.: Так, для спостереження за дверима серверних приміщень і електронних архівів планується ввести вимогу використовувати засоби відеоспостереження з подальшим зберіганням записів.
Цим розділом передбачається також, що інформація від усіх вищезазначених систем повинна передаватися на пульт централізованого спостереження.
РСWeek/UE: Наскільки серйозні вимоги до систем пожежогасіння приміщень?
О. Б.: Дійсно, у проекті Правил значна увага приділяється системі пожежогасіння приміщень. У вимогах до забезпечення пожежної безпеки передбачено, що серверні приміщення і приміщення електронних архівів повинні мати протипожежні стіни, стелі, підлогу і бути обладнані системою пожежного сповіщення і автоматичною системою газового пожежогасіння. Також вони мають бути обладнані централізованою або окремою системою припливно-витяжної вентиляції або системою підпору повітря і окремою системою автоматичного кондиціонування повітря. Причому для системи кондиціонування повітря має бути передбачене резервування.
РСWeek/UE: Який перелік вимог до гарантованого електроживлення висуває НБУ?
О. Б.: До проекту Правил включені вимоги до забезпечення гарантованого електроживлення тривалістю не менше 15 хвилин шляхом використання агрегатів безперебійного живлення подвійного перетворення із стандартним набором акумуляторних батарей, спеціальною електростанцією з автоматичним пуском і пристроєм автоматичного перемикання на цю електростанцію.
Змінено вимогу відносно вживання категорії кабелів для СКС з 5-ої категорії на категорію 5Е і надані рекомендації щодо їх прокладання. При цьому повинні використовуватися екрановані виті пари, які забезпечують захист інформації від електромагнітного випромінювання. Прокладка оптичних і мідних кабелів повинна проводитися в кабельних коробах або інших кабельних каналах з розділенням оптичних і мідних кабелів.
Розширено вимоги до переліку документів, які мають супроводжувати процес проектування приміщення і приймання/здавання завершених робіт (додатково включена вимога до проектування систем моніторингу стану устаткування, доступу до екранованих приміщень і відеоспостереження). Після завершення робіт має бути складений протокол виміру ефективності екранування приміщення і паспорт екранованого приміщення із зазначенням гарантійних зобов’язань виробника, систем моніторингу і сповіщення, що використовуються, інших параметрів приміщення.
У проекті вимоги до будівельних норм доповнені нормами навантаження на міжповерхові перекриття серверних приміщень відповідно до вимог державних будівельних норм (ДБН В.1.2-2-2006).
Незмінним у проекті Правил залишається відповідальність банків за порушення вимог цих Правил, тобто в таких випадках Національний банк має право застосувати заходи впливу відповідно до законодавства України.
РСWeek/UE: Банківські онлайн-операції знаходять дедалі більшу популярність серед вітчизняних замовників. Які технологічні аспекти впровадження і використання інтернет-технологій в банках?
О. Б.: Якщо говорити виключно про технологічні аспекти, то інтернет-технології — одна з найбільш перспективних форм взаємодії з клієнтами. По-перше, це вже готове телекомунікаційне середовище, і більшість вітчизняних власників комп’ютерів уже підключена до неї. По-друге, web-інтерфейс звичний і інтуїтивно зрозумілий. Саме тому майбутнє за інтернет-технологіями.
Проте для банківських технологій визначальними є питання захисту інформації і запобігання можливості несанкціонованого доступу до таких систем. Для здійснення банківських операцій потрібна авторизація і аутентифікація користувача. Тому основним технологічним аспектом тут є інформаційна безпека. Завдяки законам «Про електронний цифровий підпис» і «Про електронні документи і електронний документообіг» та створенню мережі засвідчувальних центрів, сьогодні ми маємо можливість повсюдно використовувати надійні засоби електронного цифрового підпису з посиленими сертифікатами відкритих ключів. Справа за реалізацією...
Наступна серйозна проблема — для забезпечення населення дистанційним банківським обслуговуванням і безготівковими платежами необхідною умовою є охоплення відповідними телекомунікаційними послугами і як мінімум — безперебійним енергопостачанням. На жаль, про всю територію України цього сказати не можна.
Хочу підкреслити, що під час виконання банківських операцій через системи дистанційного обслуговування платник повинен отримати документ, що засвідчує здійснення платежу, який нарівні зі звичними паперовими квитанціями буде без сумнівів прийнятий постачальником послуг. Тут також є ряд проблем, як договірного характеру, так і технічного. Досить згадати про те, що багато пристроїв дистанційного обслуговування орієнтовано на термодрук, тому менше ніж через рік замість чека про виконану операцію платник буде мати чистий сіренький папірець.
Проте технології — це лише частина айсберга. Дуже серйозними проблемами є наявність нормативної бази, у якій були б передбачені всі особливості таких форм обслуговування клієнтів, способи розгляду та вирішення спірних питань і повного достовірного інформування клієнта про те, що відбувається. На жаль, зараз дуже багато банків концентруються на розробленні «модних» технологій виконання операцій, залишаючи поза увагою технологічні, нормативні й організаційні способи розв’язання спірних ситуацій. У результаті, коли все працює — усі задоволені, але як тільки виникають проблеми, клієнт виявляється безпорадним перед ними. Для того, щоб розібратися в ситуації і вирішити питання, клієнт може витратити значно більше часу і сил, ніж заощадив раніше, користуючись інтернет-технологіями. Тут і невідпрацьовані технології визначення долі спірного платежу, і проблеми з поверненням грошей, і абсолютно незадовільна робота служб підтримки (call-центрів) деяких банків... Досить сказати, що далеко не всі форми дистанційного обслуговування супроводжуються укладенням договорів, у яких були б чітко прописані права і обов’язки сторін і з якими незадоволений клієнт міг би звернутися до суду.
Тому, на мій погляд, інтернет-технології в банківський сфері мають право на життя лише в тому випадку, якщо вони передбачають комплексне і повноцінне вирішення всіх згаданих питань і захист прав клієнта.
РСWeek/UE: Що пропонує НБУ для оптимізації системи електронних платежів у банках?
О. Б.: Система електронних платежів (СЕП) працює вже так давно, що сказати про неї що-небудь нове важко. Усі звикли до неї, жодних об’єктивних потреб змінювати технологію її роботи немає.
Проте існує проблема, яка зараз непокоїть і учасників СЕП, і Національний банк — це регламент її роботи. Як відомо, наразі початкові платежі в СЕП приймаються до 18:00, тобто фактично час відправлення платежів збігається з робочим часом персоналу банків. Якби учасники СЕП нормально організовували свою роботу, то проблем би не було. Проте існує тенденція в першій половині дня працювати неквапливо, а основну масу початкових платежів направляти до СЕП, починаючи з 15:00. З одного боку, це викликає нерівномірне навантаження на СЕП; а з іншого боку — учасники, які не встигають зробити вкрай важливі для них платежі, звертаються до Національного банку з проханням продовжити для них час прийняття початкових платежів.
Хочу відзначити те, що офіційно все всіх влаштовує. Регламент, за яким початкові платежі приймаються лише до 18:00, був установлений у 2008 році під час кризи. Тоді це було запобіжним заходом. Проте з того часу не було жодного офіційного звернення до Національного банку від учасників СЕП з приводу того, чи влаштовує їх регламент СЕП, що діє, або є обґрунтовані бажання змінити його.
Зверніть увагу на причини, які висувають учасники. Часто йде мова про відсутність електроенергії, вихід з ладу комп’ютерної техніки, непрацездатність серверів САБ тощо. На мою думку, тут потрібно не йти назустріч таким учасникам, а навпаки, з усією серйозністю запитати: чому банк має такий низький рівень надійності роботи автоматизованих систем? Національний банк ще в 2004 році прийняв постанову № 265 «Про забезпечення безперервного функціонування інформаційних систем». Там визначені основні позиції, за якими банк повинен організувати безперебійну роботу своїх систем, у першу чергу тих, які забезпечують виконання платежів. Минуло 8 років, і що?
Звичайно, правильно було б проявити жорсткість і категорично відмовляти в цих клопотаннях. Але проблема в тому, що існують дійсно платежі державної ваги.
Наразі Департамент інформаційних технологій і Центральна розрахункова палата НБУ здійснили доопрацювання технології роботи СЕП, яка дозволить усунути цю проблему. Ми умовно назвали це «подвійний кінець дня». Сутність цього режиму полягає в тому, що наприкінці банківського дня учасники СЕП діляться на дві групи. Перша, найбільша група — це ті, які на сьогодні закінчили свою роботу. Для них у час, визначений регламентом роботи СЕП, виконуються стандартні процедури закриття банківського дня і надсилаються підсумкові файли дня. Друга група — це невелика кількість учасників, яким конче потрібно обмінятися платежами між собою саме цього банківського дня, але в рамках діючого регламенту вони не встигають цього зробити. Для другої групи продовжується «основний цикл приймання-передавання інформації» доти, доки ці вкрай важливі платежі не будуть виконані, і лише після цього цим учасникам будуть надані підсумкові файли дня, а по тому — буде виконано повне завершення банківського дня в СЕП в цілому.
Цей режим уже працює в промисловій експлуатації з початку жовтня 2012 р. Саме за такою технологією надалі планується задовольняти потреби особливо важливих платежів понад діючий регламент СЕП.
Хочу ще раз звернути особливу увагу на те, що дана технологія служить виключно для продовження робочого дня СЕП для окремих її учасників і не впливає ні на регламент роботи СЕП у цілому, ні на час виконання окремих дій, пов’язаних з платежами СЕП, — наприклад, на регламент виконання розрахунків за підсумками клірингу НСМЕП, граничний час прийняття відкритих ключів на сертифікацію тощо. Ці дії для всіх учасників мають виконуватися в ті терміни, які визначаються нормативними документами СЕП і іншими нормативно-правовими актами Національного банку, незалежно від того, «задіяні» це учасники чи ні.
Ми плануємо, що з упровадженням цієї технології продовження роботи СЕП для ВСІХ її учасників з відповідним перенесенням часу виконання етапів закриття дня відбуватимуться лише в таких випадках:
- за сталим регламентом, в останній день місяця або під час закриття банківського року;
- якщо потреба в продовженні роботи понад діючий регламент роботи СЕП стосується досить великої кількості її учасників або заздалегідь неможливо чітко визначити перелік «задіяних» учасників.
З одного боку, упровадження цього режиму сприятиме більш чіткому дотриманню загального регламенту роботи СЕП для більшості її учасників («незадіяних») і істотно полегшить життя тим учасникам, які не потребуватимуть роботи понад діючий регламент. Але з іншого боку очевидними є побоювання, що коли учасники знатимуть, що для них існує такий «рятівний круг», то вони менш відповідально ставитимуться до належної організації своєї роботи і платіжної дисципліни протягом робочого дня. Тому наголошуємо на тому, що хоча така технічна можливість існує, зловживати нею без справді поважних причин Національний банк не збирається. На мою думку, узагалі будь-яке ручне управління сталими процесами є джерелом ризиків. Тому сподіваюся, що це буде не способом постійного внесення безладу в роботу СЕП, а інструментом для дійсно виняткових випадків.
Узагалі, думаю, настав час обговорити, наскільки зручним є поточний регламент роботи СЕП і чи не потребує він глобальних змін. Відзначаю, не разових або звичних його порушень «тому, що якійсь шанованій людині дуже потрібно» — а внесення змін до офіційного регламенту так, щоб він більше задовольняв реальні сьогоднішні потреби його учасників. І тих, кому потрібно продовжити виконання початкових платежів, і тих, хто хоче гарантовано вчасно ввечері піти додому, до сім’ї. Думаю, що листопад і грудень, у зв’язку із завершенням банківського року, варто відпрацювати за звичним регламентом, а в січні можна проаналізувати дотримання регламенту за ці місяці і зробити висновки.
