ИТ-рынок и его вертикали принято рассматривать как сложный саморегулирующийся механизм, который развивается под действием таких макроэкономических факторов, как спрос, предложение, конкуренция и пр. Исключение составляет банковская отрасль, на развитие которой чрезвычайно сильное влияние оказывает наличие и качество нормативной базы, а также деятельность контролирующих органов.


Анатолий Савченко
Анатолий Савченко

В этом свете достаточно уникальна роль Национального банка Украины (НБУ), который одновременно выступает как в роли основного регулятора рынка банковских услуг, задающего правила игры, так и в качестве новатора, чьи инициативы имеют существенное значение для развития  ландшафта информационных технологий в банковском секторе. О перспективах банковских технологий в Украине с редакцией PCWeek/UE беседует Анатолий Стефанович Савченко, директор департамента информатизации Национального банка Украины.

PCWeek/UE: Каким образом Национальный банк взаимодействует с коммерческими банками в срезе информационных технологий? В чем заключается регуляторная функция Нацбанка?

Анатолий Савченко:
Национальный банк выполняет не только контролирующую функцию, но также является разработчиком многих новшеств, которые впоследствии успешно используются в банковской деятельности в Украине. Когда мы говорим об информационном взаимодействии коммерческих банков с НБУ, то для каждой из основных задач мы разрабатываем тестовые стенды. Любой банк перед тем, как подключиться к системе, разработанной НБУ,  должен пройти обязательное тестирование на этих стендах. Стенды, помимо прочего, предназначены для проверки и предотвращения различных критических ситуаций.

В качестве новатора в сфере ИТ в середине 90-х гг. Нацбанк разработал требования к системам «клиент-банк». Затем мы проводили экспертизу и оценку таких систем, взаимодействовали с разработчиками систем автоматизации, хотя это напрямую и не обусловлено Законом Украины «О банках и банковской деятельности» и не связано с непосредственной деятельностью Нацбанка. В свое время мы сами проявили инициативу в этой области, чтобы поднять планку информационной культуры, качественно преобразовать требования к системам автоматизации коммерческих банков.

PCWeek/UE: Вы говорили о том, что одна из функций Нацбанка – контроль за деятельностью платежных систем. Как он осуществляется?

А. С.:
Мы выполняем контроль на соответствие требованиям Нацбанка. В первой половине 90-х годов, когда украинская банковская система переживала период бурного и временами непредсказуемого развития, Национальный банк выступил с рядом практических предложений по организации взаимодействия с коммерческими банками. Система электронных платежей (СЭП), разработанная Нацбанком, находится в промышленной эксплуатации с 1 января 1994 года. Она непрерывно и без сбоев работает уже 13 лет. В ноябре прошлого года была введена в строй новая версия, но общий принцип не изменился.

В  2001 году мы разработали полностью онлайновую версию СЭП, в которой платежное поручение отправляется в режиме реального времени, конечно же, криптуется, проверяется и подписывается. До этого использовались оффлайновые технологии, при которых  каждая платежка подписывалась электронной цифровой подписью банка, складировалась в файл, который в свою очередь подписывался электронной цифровой подписью участника СЭП и криптовался.

Есть требования к внутренним системам автоматизации, в том числе – к работе операционистов, т.н. «правило четырех глаз», согласно которому один человек не может самостоятельно, без участия контролера, выпустить платежный документ. Причем, если подразумевается работа с наличными, то в таком случае участвуют три человека: операционист, контролер и кассир. Схожие требования предъявляются к присланным и подписанным электронной подписью файлам от клиента. Фактически, техническую работу по подготовке платежки проводит клиент самостоятельно. Задача банка – обеспечить уверенность, что отправку выполнил именно клиент, а не кто-то другой вместо него. Здесь в первую очередь задействована система идентификации клиента и цифровые подписи, которые должны подтвердить, что именно клиент требует списания средств с его счета.

PCWeek/UE: Как эти процессы происходят на практике, и какую роль при этом играет НБУ?

А. С.:
Коммерческие структуры от нас получают особое криптоустройство – «черный ящик», через который осуществляется передача в НБУ подписанных платежных поручений и криптование информации, передаваемой в канал НБУ, независимо от того, какие используются операторы связи и каналы передачи – оптоволокно, медный кабель или просто коммутированный канал. Все документы скрепляются подписью банка. Эта информация уходит к нам в систему, после чего выполняются все обратные процедуры – расшифровка с проверкой, а затем уже обработка самих транзакций. Файл раскрывается и проверяется на наличие электронной подписи, а сама платежка идет в обработку, поскольку они защищена электронной подписью, привязанной к банку-получателю. Все платежки сортируются по банкам получателям, и в результате получаются новые закриптованные и  подписанные файлы, которые будут отправлены по электронной почте.

Особенность этой системы, разработанной в НБУ, заключается в том, что в сравнении с тем же SWIFT, мы сделали так называемую подтвержденную квитанцию. Благодаря ей мы всегда отслеживаем ситуацию в системе – сколько файлов было отправлено, сколько раскрыто и с какими критериями.

Как практическое подтверждение надежности системы можно рассматривать тот факт, что за все 13 лет эксплуатации ни один файл не потерялся. Думаю, не последнюю роль в этом сыграла система квитанций. Центральная расчетная палата заканчивала день подведением общего баланса по стране – количество исходящих платежных документов на определенную сумму должно соответствовать количеству пришедших документов на ту же сумму. НБУ за 13 лет ни разу не завершил день с какими-то потерями документов. По сути, своим основным успехом мы считаем надежность системы, несмотря на то, что она начинала функционировать на коммутированных каналах.

PCWeek/UE: Как развивалась эта система, и в чем заключаются особенности ее развития?

А. С.:
В свое время мы получили возможность задействовать для системы платежей т.н. каналы «Искра», которые были разработаны для гражданской обороны. Эти каналы почти не использовались по прямому назначению, а мы дали им жизнь еще на десяток лет – до того времени, пока не «подтянулись» полноценные телекоммуникационные компании, способные предложить качественный сервис по доставке электронных сообщений для коммерческих банков.

Я считаю достижением Нацбанка тот факт, что во всех тех системах, которые мы разрабатывали, мы достигли гарантированной доставки транзакций. Мы за счет квитанций гарантируем доставку и невозможность «провисания» каких-то файлов. Надежность также подтверждается достаточно интенсивной работой НБУ: за день проходит в среднем более миллиона транзакций, суммы – порядка 15-20 млрд., а в конце года – даже по 30 млрд. гривен в день.

PCWeek/UE: Можно ли отметить уникальные особенности развития платежных систем в Украине?

А. С.:
Несколько лет назад компания SWIFT проявляла особый интерес к украинской банковской системе сразу по нескольким направлениям. Пример Болгарии показывает, что SWIFT стремится зарабатывать деньги на всех видах услуг, поскольку это обычная коммерческая структура. Украинские банки пользуются системой SWIFT с 1992 года по отправке сообщений по списанию средств с корреспондентских счетов в банках других стран. SWIFT – не платежная система, а компания, осуществляющая телекоммуникационные услуги по доставке сообщений.  Фактически, ответственность за транзакцию несут два банка, которые в ней участвуют, а система SWIFT просто доставляет сообщение. Но SWIFT, в отличие от полноценных платежных систем, просто принимает это сообщение на свои серверы, а банк, выходя на серверы SWIFT, загружает все, что накопилось. В этом и состоит разница – платежная система ведет корреспондентские счета и отображает в своем балансе все операции, произошедшие в течение дня. SWIFT, в отличие от платежных систем, балансов не ведет.

Недавно компания SWIFT начала работать в сфере организации доставки транзакций внутри страны. Речь шла об установке серверов SWIFT в стране, а банки по своим внутренним балансам должны были все эти транзакции проводить и контролировать. Работая по данной схеме, эта система не несет риски финансового учреждения.

В последние годы это предлагалось и украинским банкам. НБУ в СЭП берет на себя определенную ответственность, гарантии по доставке и отображению в балансе. SWIFT эти риски на себя не берет, но менеджер компании утверждал, что для этих целей они могут нанять страховые компании. Например, в 1993–94 гг., когда мы активно разворачивали СЭП, к нам уже обращались наши страховые компании с вопросом, не будем ли мы против, если они будут страховать риски, связанные с транзакциями. Но на такие услуги не нашлось спроса среди коммерческих банков, поскольку все транзакции, проводимые НБУ, уже гарантированы самим механизмом СЭП.

PCWeek/UE: С Вашей точки зрения, по какому сценарию должны развиваться информационные системы в банках в обозримом будущем?

А. С.:
В числе первоочередных задач мы видим необходимость внедрения  лучших практик ITIL в информационных системах банков. В этих вопросах мы будем применять накопленный мировой опыт, планируем тесно сотрудничать с ведущими ИТ-компаниями. Мы договорились с вице-президентом Cisco о проведении совместной работы по адаптации определенных стандартов в Украине, которые востребованы непосредственно в банковском секторе. Мы создаем совместную рабочую группу и обучаем специалистов НБУ по ITIL.

В дальнейшем мы будем разрабатывать  стандарты, нормативные документы НБУ, вырабатывать рекомендации, на основании принятых на Западе ISO стандартов и лучших практик ITIL по ИТ-менеджменту, которые могут быть обязательными для НБУ и рекомендованы коммерческим банкам, а впоследствии могут быть введены как официальные «правила игры». Это даст возможность коммерческим банкам развивать ИТ-менеджмент с учетом мирового опыта. Эту работу мы планируем провести в достаточно жестком временном ключе, с тем, чтобы до сентября этого года наработать список вопросов и составить программу на ближайшие полгода.

PCWeek/UE: Каких целей НБУ стремится достичь?

А. С.:
Во-первых, наряду с  документами, носящими рекомендательный характер, по снижению рисков в операционной работе коммерческих банков появятся документы для банков, где будут более детально очерчены требования к функционированию информационных систем. В первую очередь, это те подсистемы, которые затрагивают деятельность информационных систем НБУ.

Следующие задачи, которые будет решать НБУ в сотрудничестве с коммерческими банками, касаются новой роли, которую будут играть сами ИТ-отделы.  Сегодня они перестают функционировать в качестве отдела обеспечения и превращаются в подразделения, приносящие прибыль коммерческому банку. Если банк идет в ногу со временем, то руководство банка должно в полной мере осознавать возможности для заработка, которые могут предоставить информационные технологии, в первую очередь, это использование интернета и дополнительные сервисы для клиентов.

PCWeek/UE: Как развивается департамент информатизации Нацбанка? Какие новые системы и решения были реализованы в течение последнего времени?

А. С.:
Введен в работу основной и дополнительный гигабитные каналы. Есть техническая возможность реализовать 4 гигабитный канал связи, но в этом пока нет потребности. Все серверы объединены в единую инфраструктуру, обеспечивается резервирование данных. Мы реализовали систему мониторинга серверов, следующий шаг – обеспечить мониторинг всех критических рабочих мест. В настоящий момент уже действует система идентификации по критическим рабочим местам через смарт-карту, но сложнее всего обороняться от инсайдеров. В этом направлении мы и концентрирум свои усилия.

Одно из существенных нововведений в работе ИТ в НБУ – внедрение системы мониторинга всех ИТ-ресурсов, которая работает в непрерывном режиме.

PCWeek/UE: Какие факторы, по Вашему мнению, препятствуют развитию информационных технологий в банковской сфере?

А. С.:
В числе основных вопросов, требующих постоянного внимания и развития в банках – обеспечение информационной безопасности и реализация систем достоверной идентификации клиента.  Практическое внедрение электронной цифровой подписи в Украине  неразрывно связано решением двух задач: создание центров сертификации ключей и наличие удостоверяющего центра.

В свое время, когда принимался «Закон об электронной цифровой подписи», мы отстояли право Национального банка обеспечить функцию проверки цифровой подписи для банковского сектора.  Кроме того, чтобы банки имели возможность внедрять цифровую подпись для своих клиентов максимально широко и предоставлять новые технологии с использованием интернета и электронной коммерции, нужны механизмы надежной идентификации клиентов, и эти две проблемы неразрывно связаны. В течение 2007-2008 гг. НБУ  построит удостоверяющий центр ключей для банковского сектора, что создаст условия для полноценного внедрения законов об электронной цифровой подписи и электронном документообороте. 

Безусловно, очень важное направление – современные требования по ведению бизнес-процессов. Но для того, чтобы банки в своей деятельности могли оперировать полноценным понятием «бизнес-процесс», а не отдельно взятыми операциями, необходимо вначале провести колоссальную работу по анализу всех этих процессов с последующей их стандартизацией и оптимизацией. НБУ занимается анализом внутренних процессов уже больше года.

Для того чтобы повысить эффективность этого анализа, нужно выбрать правильный инструментарий для описания бизнес-процессов. Сегодня я могу отметить, что грамотных специалистов по этим вопросам в банках нет, и это проблема не только банков. Современные реалии требуют реорганизации всей деятельности банков, в том числе бизнес-процессов и оценки связанных с ними рисков. В соответствии с этим принципом должны быть минимизированы возможные потери. Над этими масштабными вопросами коммерческие банки совместно с НБУ будут работать следующие несколько лет.

Крупные вендоры, работающие в банковской сфере, разделяют это мнение. Таким образом, в настоящий момент идет наработка не только идей, но и методов их реализации, которые обеспечат качественно новую организацию как ИТ-менеджмента, так и работы в банках в целом.