Технологические инновации в банковской информатизации

По усредненной оценке, полученной на основании выполненных проектов в области внедрения электронных архивов в банковской сфере, начальная стоимость такого решения составляет 15-20 млн руб. (без стоимости лицензий на СЭД) и может подниматься до 30-150 млн руб. (включая ретроспективное сканирование бумажного архива и полную автоматизацию процессов обработки архивов документов) и складывается из количества различных типов документов, размещаемых в архиве, количества различных процессов их размещения, количества различных систем, в которых появляются документы и с которыми необходимо интегрироваться.

Для чего нужны е-архивы

По мнению Александра Бейдера, руководителя направления ECMв компании Terralink, наиболее заметная тенденция выбора электронного архива состоит в стремлении обеспечить соответствие требованиям регулирующих органов. «Крупные и серьезные банки понимают, что ECM – это такая же производственная система, необходимая для успешной работы банка, как и АБС. Поэтому предъявляют самые серьезные требования к надежности и масштабируемости выбираемой платформы, - считает он. - Сегодняшняя ситуация такова, что возможности выбора стали намного шире, чем некоторое время назад. На рынок таких систем выходят SAP и OpenText, таким образом, выбор системы становится не самой простой задачей. Я думаю, что это даст дополнительные возможности для развития рынка аналитики и консалтинга».

Уже сегодня, как отмечают эксперты, заказчики выбирают универсальные мощные и проверенные решения, отдавая предпочтение аппаратно-программным комплексам от одного производителя или при наличии тесной проверенной интеграции нескольких продуктов. Алексей Лященко, руководитель бизнес-направления «Электронные хранилища данных» компании «АйТи. Информационный менеджмент», утверждает, что в области автоматизации документоориентированных процессов — фактически, создания BPM-системы на основе электронного хранилища — в банковском секторе сейчас лидирует задача автоматизации процесса рассмотрения заявки на кредит от физического или юридического лица.

Формулировка требований

Несмотря на слабое техническое исполнение электронных архивов в банковской сфере, сами заказчики достаточно хорошо представляют себе, какие потребности им нужны от таких решений. «Сегодня перед ИТ-департаментами банков стоят задачи по внедрению электронных архивов для всех типов документов. При этом одно из главных требований - это возможность прослеживать в архиве взаимосвязи между документами. Это необходимо для того, чтобы в любой момент времени проследить его статус и «поднять» подтверждающие документы, - объясняет Михаил Потапенко, руководитель департамента продаж ПО CognitiveTechnologies. - Внедрение электронного архива в настоящее время рассматривается как комплексная задача, цель которой создать единое информационное пространство управления информацией и обеспечение регламентируемого доступа к ней сотрудникам различных подразделений».

В итоге на российском рынке становятся возможными два сценария развития проектов в области внедрения электронных архивов для банков - тиражирование внедренного зарубежного решения с адаптацией под российские реалии, второе — внедрение собственного решения с интеграцией с существующим ИТ-ландшафтом материнской компании.«Чаще всего по последнему пути идут представительства иностранных компаний, бизнес которых по своему размеру занимает сколько-нибудь заметную долю в общем бизнесе группы, т.е. успешные, и поэтому в большей мере самостоятельные представительства. И, по моему наблюдению, наиболее успешны проекты в представительствах западных финансово-кредитных учреждений (разумеется, если выбранная платформа от российского вендора достаточно масштабируема, а его партнерская сеть в достаточной мере широка и квалифицирована)», - поясняет г-н Шушкин.

5.6   Высокотехнологичные сервисы

4.1  Определены лидеры российского рынка дистанционного банковского обслуживания

CNews Analytics подвела итоги очередного ежегодного исследования рынка систем дистанционного банковского обслуживания (ДБО) физических и юридических лиц в банках, работающих на территории Российской Федерации. Лидеры на этом рынке - одна из удивительных констант для отечественной отрасли ИТ. При этом из года в год им удается поступательно наращивать свою долю присутствия - за счет сокращения объема собственной разработки.

В ходе исследования CNews Analytics были собраны данные об использовании систем ДБО в 100 крупнейших банках РФ по активам и банках со 100% участием нерезидентов, работающих на территории РФ по состоянию на 01.01.2011 г. Первое место по доле внедренных систем ДБО юридических лиц среди банков Топ 50 принадлежит компании BSS – 62,6% установленных приложений. Напомним, что годом ранее ее показатель (также подтверждавший позицию №1 в этом секторе) составлял - 54,3%. На втором месте «Бифит» с общей долей 11,7%. Третье место занимают системы собственной разработки – 10,7%. Годом ранее собственная разработка занимала второе место с долей 15,4%.

В сегменте банков Топ 100 первое место также принадлежит компании BSS – 55,6% всех установленных приложений (годом ранее - 48,4%). Второе место занимает компания «Бифит» - 13,9%, третье - системы собственной разработки (13,4%). Аналогично, как и в сегменте Топ 50, за год доля последних сократилась - ранее она составляла 17,5%.

Система ДБО физических лиц используется в 75,8% банках Топ 100, и самым распространенным ее вариантов является интернет-банк. В данном случае в банковском секторе сохраняется приоритет собственных разработок - 32,7% (33,6% годом ранее). Среди внешних разработчиков этого типа систем лидирует компания BSS с долей 31,3%, затем Compass + (8,7%) и «Бифит» (8%).

4.2  Уход от наличности к электронным платежам дается банкам не легко

Банки смогут примкнуть к ключевым участникам рынка электронных платежей только при условии широкого использования банковских карт. В этой игре интернет-банкинг занимает позицию догоняющего и развивается тем динамичнее, чем больше число держателей карт. Банки постепенно активизируются на этом поле, однако конкурировать приходится с игроками из других отраслей.

По данным Национальной ассоциации участников электронной торговли (НАУЭТ), в 2010 году объем отечественного рынка достиг 772,2 млрд рублей, увеличившись на 19% по сравнению с 2009 годом. Показатель включает платежи наличными, проходящие через любые точки приема: платежные терминалы, кассы в магазинах и салонах связи, банковские терминалы. Примечательно, что при этом количество транзакций не изменилось и составило 5,9 млрд. Это означает, что увеличилось доля платежей с большим чеком, например в пользу ЖКХ, авиа- и ж/д компаний, банков.

Ведущие позиции на рынке моментальных платежей сохранились за сетями платежных терминалов QIWI и CyberPlat. Однако активность более мелких игроков, оборот которых вырос на 70% по отношению к 2009 году, снизила доли рынка обоих лидеров. Среди главных тенденций рынка оказалась растущая активность банков.

По данным НАУЭТ, на территории России установлены сотни тысяч платежных терминалов. Например, только в сети QIWI работает 120 тыс. терминалов. Число банкоматов исчисляется десятками тысяч - так, полгода назад их количество оценивали в 60 000. Некий потенциал видится у мобильного банкинга, особенно в свете развития технологии бесконтактных платежей NFC. Но пока количество платежей/переводов с помощью мобильного банкинга ничтожно мало даже по сравнению с показателями интернет-банкинга.

Банки подтягиваются к электронным платежам

Банки смогут оказаться среди главных участников рынка электронных платежей только при условии широкого использования банковских карт. В этой игре интернет-банкинг занимает позицию догоняющего и развивается тем динамичнее, чем больше число держателей карт."Банковские карты должны стать инструментом для повседневных оплат, для этого требуется оборудовать точки продаж, - говорит Александра Высочкина. - Пока повсеместным использованием карт не могут похвастаться даже в российских столицах".

Председатель комитета НАУЭТ по платежным системам и банковским инструментам Борис Ким считает, что банки вряд ли станут лидерами этого сектора из-за особенностей менталитета. "В России очень высока доля оплаты наличными – около 95%. Очевидно, что данный процент может только снижаться, - объясняет он. - Однако даже в развитых странах небольшие платежи занимают значительное место в расчетах, поэтому в ближайшей и среднесрочной перспективе бизнесу терминалов ничего не угрожает".

4.3  ДБО 2011: киберугрозы выходят на первый план

В октябре 2011 года международная некоммерческая организация производителей оборудования и программ для банкоматов ATMIA (Automated Teller Machines Industry Association) выпустила очередной набор рекомендаций по безопасности банкоматов: «ATM Software Security Best Practices Guide Version 2.» Впервые серьезное внимание уделено защите от кибератак на программное обеспечение банкоматов.

К 2015 г., как прогнозируют специалисты британского исследовательского агентства Retail Banking Research, количество банкоматов по всему миру возрастет до 3 миллионов штук. Тем самым банкомат станет основным каналом распространения наличных во всех слоях общества.

Как защитить банкоматы

В мире ситуация развивается похожим образом с тем лишь исключением, что цифры потерь многократно превышают российские. В связи с этим Международная Некоммерческая Организация Производителей Оборудования и Программ для Банкоматов (ATMIA) выпускает набор рекомендаций, целиком и полностью посвященный безопасности программного обеспечения (ПО) для банкоматов. Опрос, охвативший 37 стран мира, показывает что кибератаки занимают 3 место в рейтинге угроз на 2011 год. На первом месте по-прежнему традиционный скимминг, на втором - незаконные проникновения в помещения с банкоматом и его физический вынос. Особо говориться, что кибератаки увеличивают свою долю, тогда как доля традиционных угроз снижается. В последнее время компьютеризации банковского обслуживания активно развивается и вместе с тем растет и число тех, кто пользуется ошибками и недоработками в компьютерных системах для мошеннических действий.

Для эффективного противодействия преступникам необходимо чтобы все заинтересованные организации по всему миру крайне серьезно отнеслись к руководству и учли у себя весь тот опыт, который собрано для них.

Узкие места

Как отмечают специалисты ATMIA, по сути, банкомат - это компьютер под управлением операционной системы и некоторым набором установленных программ. Хакер может вторгнуться в систему на программном уровне и заставить банкомат выполнять нужные ему действия. При этом хакер может оставаться незамеченным в течении длительного периода времени. Взлом ПО банкомата происходит потому, что хакеру удается изучить структуру установленных на банкоматах программы и понять как они работают. Остальное – дело техники.

«Если злоумышленник сумел изменить операционную систему, управляющую банкоматом – это уже не ваш банкомат», - говорится в руководстве ATMIA, - «Если злоумышленник сумел загрузить свои программу в банкомат – это уже не ваш банкомат. Если злоумышленник принудил вас запустить его программу на банкомате – это уже не ваш банкомат».

Рекомендательный список

Индустриальный опыт показывает, что невозможно полностью избавится от ошибок и «дыр» в программах. Если хакер использует эти уязвимости для проникновения в систему, то следует скрыть от хакера такие уязвимости. Сегодня злоумышленники применяют метод реверс-инжиниринга для исследования программ и нахождения в них ошибок. Реверс-инжиниринг отмечается ATMIA как один из наиболее популярных и прогрессирующих на сегодняшний день способов исследования и взлома программ. «Современные технологии виртуализации открывают новые возможности для реверс-инжиниринга ПО и создания вредоносных программ для атак на банкоматы», - говорится в пункте 19 краткого изложения материалов руководства, - «Реверс-инжиниринг позволяет изучить алгоритмы программы и буквально разобрать ее по винтикам. Как только работа алгоритмов программы становится понятна, их можно изменить и привнести в работу ПО любой сторонний функционал.»

Для предотвращения внесения изменений в работу ПО банкомата специалисты ATMIA советуют использовать опыт профессионалов и применять специализированные средства борьбы. Здесь же приводится список средств, которые способны предотвратить модификацию ПО банкомата: «Опыт подсказывает, что компаниям-производителям банковского ПО для защиты от реверс-инжиниринга следует применять следующие методы защиты. Во-первых, обфускация программного кода. Обфускация – приведение исходного текста или исполняемого кода программы к виду, сохраняющему ее функциональность, но затрудняющему анализ, понимание алгоритмов работы и модификацию при декомпиляции (по определению Wikipedia.org). Во-вторых, технологии виртуальной машины. Виртуальная машина - программная система, эмулирующая аппаратное или программное обеспечение (по материалам Wikipedia.org). Виртуальная машина представляет из себя закрытый, хорошо защищенный программный контейнер, в котором исполняется часть программного кода. В-третьих, применение поведенческих анализаторов. Вредоносные программы, как правило, стараются получить доступ к тем участкам системы, которые работают на уровня ядра операционной системы. Такое поведение может считаться подозрительным, если программа, пытающаяся получить такой доступ, не входит в «белый список» программ, которым такой доступ разрешен. Данный способ помогает предотвратить функционирование вредоносных программ, которые уже попали в систему. В-четвертых, изолирования отдельных программных процессов в системе. Аналогично предыдущему пункту. В системе изолируется не программа целиком, а только один из ее процессов, который вызывает подозрение в своей злонамеренности. И наконец, шифрование траффика клиент-сервер. Для предотвращения «внедрения» в канал связи и перехвата данных, текущих между банкоматом и сервером банка.»