Почему банки не витают в облаках? Какие барьеры стоят на пути финансовых организаций и как их преодолеть

Облачные сервисы и технологии во всём мире развиваются стремительными темпами, практически по экспоненциальной кривой. Согласно прогнозам исследовательской компании Statista, в 2022 году объём мирового рынка публичных облачных сервисов вырастет примерно на 22% и составит порядка $482 млрд.

Финансовые организации активно пользуются облачными решениями. Так, согласно данным Cloud Security Alliance, в мире порядка 91% банков используют публичные облачные сервисы или планируют это сделать в ближайшие шесть-девять месяцев. Кроме того, на данный момент многие финансовые организации (73%) переносят большое количество критичных бизнес-процессов в облака, и этот процент растёт с каждым годом.

Российские финансовые организации также внедряют облачную инфраструктуру, но в настоящее время не могут в полной мере использовать предлагаемые разработчиками решения.

Барьеры и проблемы

Ассоциация ФинТех провела опрос крупнейших компаний финансовых рынков, чтобы определить, какие вызовы с точки зрения развития облачных технологий являются наиболее критичными.

В ходе опросов выяснилось, что представители финансового рынка обеспокоены обеспечением безопасности данных при использовании облачных сервисов, сложностью миграции в «облака», неготовностью приложений к работе в таком формате и нехваткой компетенций. Кроме этого, участники рынка называют в числе возможных проблем увеличение шанса потери или утечки данных, сложности контроля самого облачного провайдера, а также отсутствие регулирования в этой сфере.

Можно назвать пять основных барьеров использования публичных облачных сервисов финансовыми организациями в России:

• Запрет передачи банковской тайны третьим лицам, а также передачи персональных данных (ПДн) третьим лицам без согласия субъекта ПДн;
• Отсутствие стандартов и регуляторных требований по обеспечению информационной безопасности для провайдеров облачных услуг;
• Отсутствие нормативной базы по оценке надёжности провайдеров облачных сервисов;
• Отсутствие доверенной среды аудиторов по контролю за облачными провайдерами;
• Отсутствие требований и механизмов по разграничению зон ответственности при предоставлении облачных сервисов.

Эти барьеры связаны со следующими проблемами:

• Проблема с передачей чувствительных данных для финансовых организаций, таких как банковская тайна и персональные данные. В случае с персональными данными ситуация понятна, хоть и сложна с точки зрения передачи на аутсорсинг. В вопросе передачи банковской тайны в «облако» пока существует недопонимание со стороны финансового рынка.
• Проблема с точки зрения регулирования. В России существуют большое количество требований по информационной безопасности, но они не направлены на работу с облачными сервисами, и в каждом отдельном случае компании необходимо самой «накладывать» их на сервисы, предоставляемые облачными провайдерами. Также отсутствуют требования к самим провайдерам облачных услуг.
• Проблема разграничения зоны ответственности. На данный момент независимо от того, обрабатывает данные облачный провайдер или обработка идёт вне зависимости от типа предоставляемого сервиса, ответственность за этот процесс несёт финансовая организация.

Международный опыт

С точки зрения вопроса передачи чувствительных данных, ситуация неоднозначная. Например, в Сингапуре разрешено передавать данные без глобальных ограничений, но только для реализации аутсорсинга бизнес-процессов. В Европейском Союзе передача данных разрешается, но исключительно с согласия держателей данных. В США разрешается передача таких данных, но с уведомлением клиентов о раскрытии данных, от которого субъект данных вправе отказаться. В швейцарской практике раскрытие данных может происходить лишь в случае, когда сотрудники поставщика облачных сервисов оформлены в качестве представителей банка. Несмотря на ряд различий, во всех вышеупомянутых примерах абсолютно точно и ясно определено, разрешена передача данных или нет, какие данные можно передавать и в каких ситуациях возможна их передача.

Что касается регулирования, то здесь, напротив, можно выделить единый подход. В США, ЕС, Сингапуре и Японии регулирование направлено на стандартизацию облачных сервисов и облачных провайдеров. Существуют отдельные организации, занимающиеся стандартами, их доработкой и внедрением, обсуждением стандартов с участниками рынка. Например, мировым лидером по определению передовых методов обеспечения безопасной среды облачных вычислений выступает международная организация Cloud Security Alliance, взаимодействующая с отраслевыми экспертами, ассоциациями, правительствами и корпорациями по вопросам облачной безопасности. Также подобные организации следят за новыми тенденциями в области облачных технологий и создают основу для доверенного аудита по этим стандартам.

Что касается вопроса разделения ответственности, единого стандарта в международной практике нет. Если речь идёт о персональных данных, то в европейских странах, с учётом появления Общего регламента по защите данных (GDPR), появилось разделение ответственности на законодательном уровне, где есть оператор и обработчик персональных данных и у каждого участника определена зона ответственности. Такая же система распределения ответственности присутствует в Стандарте безопасности данных индустрии платёжных карт (PCIDSS) в разделе обработки данных. Что касается других категорий данных, чёткого распределения ответственности на данный момент не разработано, однако в странах ЕС и в целом в мире существует определённый налаженный механизм и апробированное страхование ответственности облачного провайдера перед финансовыми организациями, что позволяет преодолеть данный барьер.

Как преодолеть барьеры?

Для того чтобы российские финансовые организации могли преодолеть вышеперечисленные барьеры, на мой взгляд, необходимо предпринять следующие шаги:

• определить в нормативно-правовых актах, какие данные и при каких условиях можно передавать на аутсорсинг провайдерам облачных услуг;
• определить требования к облачным провайдерам для того, чтобы финансовым организациям было легче прогнозировать операционный риск и риск информационной безопасности при переходе к облачным провайдерам;
• создать доверенную среду аудита облачных провайдеров;
• определить механизмы разграничения ответственности между финансовыми организациями и провайдерами в случае использования облачных сервисов.

Использование облачных сервисов оказывает положительный эффект на деятельность компаний. Это даёт возможность оптимизировать бизнес-процессы, сократить операционные издержки и, соответственно, получить конкурентные преимущества.

Учитывая вышесказанное, развитие рынка публичных облачных сервисов в России обладает существенным потенциалом. Устранение барьеров для использования облачных сервисов имеет приоритетную важность и требует слаженного взаимодействия регуляторов и участников рынка.

На иллюстрациях:

Рисунок 1. Основные проблемы и направления их решения

Рисунок 2. Ключевые вызовы в использовании облачных технологий по мнению участников рынка

Источник: Bis Journal