Качество услуг интернет - банкинга в России
За основу для рейтинга самых качественных интернет-банков были взяты 100 крупнейших российских банков 2006 года по версии РБК. Второй год подряд CNews Analytics отказывается от составления рейтинга интернет-банкинга для юридических лиц — в силу того, что функционал этих решений, выросший из систем типа «Банк-клиент», продолжает оставаться похожим. Граница сравнения лежала бы в разнице между продуктами основных разработчиков подобных решений. Удивить корпоративный сектор чем-то принципиально новым в области функциональности е-банкинга сегодня, пожалуй, трудно. Да и потребности этой группы заказчиков достаточно стандартны, хорошо изучены и в целом удовлетворены разработчиками. Тем не менее, информация по используемым решениям первой сотни российских банков приведена в таблице 2.1. Таблица 2.1 - Рейтинг качества используемых систем интернет-банкинга для физлиц
Уровень ИБ в банках поднимется по мере повышения уровня зрелости ИТВнедрение отечественных и международных стандартов и лучших практик в области ИБ по идее должно максимально «обезопасить» информацию, которая является для банков критически важным ресурсом. Однако пока эти стандарты являются в России не обязательными, а их внедрение в значительной мере зависит от уровня зрелости банковских ИТ. Последний же, в среднем, пока уступает общемировому. Но ясно, что только при повышении общего уровня зрелости ИТ можно будет говорить и об увеличении уровня ИБ в отрасли. Российский финансовый рынок в последнее время показывает немалый рост, и до насыщения ему еще очень далеко. Одним из самых быстрорастущих «денежных» сегментов при этом является кредитно-финансовая сфера. Тут активно внедряются ИТ, расширяются потребительские сервисы, и соответственно, усложняются бизнес-процессы. Последнее в сегодняшних жестко конкурентных условиях, однако, не должно приводить к снижению эффективности, одним из гарантов которой является информационная безопасность. Утрата всего 20% информации, составляющей коммерческую тайну, в 60 случаях из 100 приводит к банкротству фирмы, а потери в результате действий недобросовестных конкурентов составляют около 30% от всего экономического ущерба в мире. Эту формулу вывели эксперты Всемирного банка и, к сожалению, она почти всегда действует. Для организаций финансово-кредитной сферы утечка информации составляющей банковскую тайну может означать потерю репутации, клиентов, а в худшем случае — отзыв лицензии. Общемировой тенденцией сегодня является инсайдерская угроза. Отраслевое исследование проблемы внутренней ИТ-безопасности в российском банковском секторе, проведенное InfoWatch, показало, что наибольшую озабоченность респондентов вызывают именно внутренние угрозы ИБ. Инсайдерские риски превалируют над внешними угрозами в соотношении 6:4. А наибольшей опасностью для банков 78% опрошенных назвали утечки персональных данных клиентов. Работа по обеспечению информационной безопасности — есть часть общей работы по управлению рисками. Требования известных документов — «Новое базельское соглашение» («Базель II») и «Ключевые принципы для системнозначимых платежных систем» — в части управления операционными рисками во многом могут быть удовлетворены применением тех мер и средств, которые относятся к обеспечению информационной безопасности. В частности, выполнение многих рекомендаций известного стандарта Банка России СТО БР ИББС 1.0-2006 по информационной безопасности фактически будет являться мерой по снижению операционных рисков, предусматриваемой базельскими документами». Все это требует осознания менеджментом необходимости организации более полного взаимодействия различных служб, занимающихся управлением рисками. Новый подход как к защите информации, так и к проблемам качества, наметился практически одновременно. От создания систем качества, контролирующих отдельные параметры, игроки переходят к внедрению подсистем управления предприятием. Подобные изменения произошли и в области организации ИБ — на смену решениям, защищающим отдельные параметры информации, пришли системы по организации управления процессами безопасности в целом. В связи с этим появление такого стандарта, как СТО БР ИББС-1.0-2006 является как нельзя более актуальным. В нем сформулированы основные «процессные» положения управления ИБ. Следование этим положениям переводит последнее на совершенно новый качественный уровень. К сожалению, при попытках внедрения стандарта ЦБ возникают серьезные методологические проблемы, которые на первый взгляд даже и не видны: внедрить отдельно этот стандарт невозможно, необходимо перестроить всю систему менеджмента кредитной организации (КО) на процессные рельсы. Пока таких КО в России не много. Можно подумать, что, формальное обозначение выполнения требований стандарта серьезно улучшит управление ИБ. Отнюдь. Это будет лишь формальная видимость какого-либо улучшения. Валерий Капитонов, начальник отдела ИБ «ТрансКредитБанка», наиболее сложными называет вопросы, связанные с созданием системы менеджмента информационной безопасности и, в частности, вопросы анализа и оценки рисков, мониторинга и анализа системы менеджмента. Он уверен, что по этим вопросам целесообразно разработать методические рекомендации с примерами конкретного внедрения и анализом необходимых затрат. Отсутствие единой официально принятой методики оценки соответствия информационной безопасности кредитных организаций требованиям Стандарта отрицательно влияет на точность оценок, снижает доверие к результатам работ и ведет к возникновению противоречивых мнений об уровне безопасности кредитных организаций. Такая ситуация инициировала соответствующие действия со стороны Центробанка. По словам Валерия Харламова, начальника отдела Банка России, в планируемый к выпуску первичный блок документов, развивающих стандарт СТО БР ИББС-1.0, включен стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям стандарта СТО БР ИББС-1.0». В данной ситуации для продвижения благого начала необходим диалог, в ходе которого будут вырабатываться вспомогательные практические документы, расширится обмен опытом между банками, уже объявившими о внедрении Стандарта и организациями, пока еще идущими путем проб и ошибок. Это формирует необходимость профессиональных площадок для обсуждений — например, таких, как выставка Infosecurity Russia, в конференционной программе которой, по словам организаторов, осенью текущего года планируется отраслевая секция для кредитно-финансовых организаций. А пока, несмотря на всю свою полезность, как светлого ориентира, Стандарт как обязательный атрибут деятельности кредитных организаций еще «не созрел». А значит, переходить к обязательной сертификации на соответствие его требованиям, видимо, рановато, хотя, несомненно, прогрессивная его суть — налицо. Внедрение отечественных и международных стандартов и лучших практик, включая российский банковский стандарт ИБ в деятельность кредитно-финансовой системы РФ, несомненно, окажет положительное воздействие на всю банковскую систему. Однако, это внедрение в значительной степени зависит от уровня зрелости банковских ИТ. А здесь есть проблемы. Если сравнить этот уровень с уровнем зрелости ИТ в телекоммуникационной сфере, то последняя выглядит более продвинутой. Я согласен, что нужно внедрять процессный подход. Причем не только процессный подход, но и все подходы, предусмотренные практиками ITIL. Только при поднятии общего уровня зрелости ИТ можно будет говорить и об увеличении этого уровня в ИБ». Что касается общего состояния области обеспечения ИБ в банковской сфере, то, несмотря на явно заметное улучшение, возникает ряд вопросов, на которые на текущем этапе сложно дать однозначный ответ. С этими вопросами, рано или поздно, сталкивается каждый руководитель подразделения, ответственного за обеспечение ИБ в кредитно-финансовой организации. По словам Александра Егоркина, начальника управления защиты информации, «Газпромбанка», сегодня отсутствует утвержденное и опубликованное нормативное подтверждение, представляющее собой набор юридических гарантий, подкрепленных материальными активами, сертификатов соответствия уровню безопасности по требованиям ФСТЭК. Кроме того, нет понимания (подкрепленного формальными принятыми нормативными документами) того, какой компетентный государственный орган несет юридически материальную ответственность в случае возникновения инцидентов по нарушении ИБ, в которых будут использованы уязвимости технических средств, получивших сертификаты соответствия по классу защищенности. В свете этого возникает вопрос, насколько рентабельно и оправданно использование сертифицированных технических средств по обеспечению ИБ в коммерческих Банках РФ. Свобода принятия решения об использовании сертифицированных или несертифицированных средств тоже весьма условна. Деятельность, связанная с использованием шифровальных (криптографических) средств, в соответствии с законодательством РФ, подлежит лицензированию. Лицензии выдаются Центром лицензирования, сертификации и защиты государственной тайны ФСБ России. Лицензии на техническое обслуживание, распространение и предоставление услуг в области шифрования ограничивают возможность использования несертифицированных средств, которые зачастую гораздо лучше встраиваются в автоматизированные банковские системы, интегрированы с программно-техническими средствами известных брэндов, обладают большей пропускной способностью, имеют широкое распространение в мире. Возникают проблемы и при обслуживании иностранных клиентов с использованием автоматизированных систем, включающих средства криптозащиты (хоть российского производства, хоть импортные) — оно обставлено практически непреодолимыми бюрократическими барьерами. Обращают на себя внимание характерные проблемы банков, имеющих многолетнюю историю. Они связаны с ошибками проектирования и выбора технологического решения на ранней стадии развития организации, которые приводят к вынужденному ослаблению и деунификации политики информационной безопасности банковской организации. Последние выражаются в отсутствии масштабируемости и невозможности быстрой замены ИТ-решения. Последовательные интеграции и внедрения новых ИТ-решений приводят к созданию эффекта «бутылочного горлышка» в инфраструктуре. В наличии системы — «единые точки отказа», нештатная работа которых приводит к нарушению непрерывности ведения бизнеса. Децентрализация ИТ-управления связана с отсутствием единой утвержденной политики выбора программно-аппаратных платформ и прикладных ИТ-решений. Искусственно расширяется штат ИТ-персонала в организации и/или необходимо привлечение внешних экспертов и компаний для обслуживания внутренней инфраструктуры. Наконец, смена «кадровых поколений» в штате подразделений, обеспечивающих непрерывность ведения бизнеса, становится болезненной. Сохраняется и классическое противоборство «функционального удобства» и «безопасности при работе» при внедрении новых ИТ-решений, причем в большинстве случаев равновесие смещается в сторону первого. Сотрудники бизнес-подразделений требуют максимальной гибкости технического и функционального оснащения, которое в избытке предлагается компанией-разработчиком (или интегратором) ИТ-решения. При этом существенно меньше внимания интегратор уделяет выполнению требований, представленных в предпроектной документации и/или техническом задании, по обеспечению защиты информации в автоматизированных системах. Отслеживать и контролировать подобные ситуации является сложной организационной и исполнительской задачей, поскольку границы допустимого уровня несоответствия индивидуальны в каждом конкретном случае, а окончательное решение всегда принимается на уровне высшего руководства кредитно-финансовой организации. Таким образом, особое значение приобретают согласованные действия регулирующих органов, поставщиков систем защиты информации и представителей потребительских структур, направленные на скорейшие и наиболее прогрессивные изменения в средствах и подходах к ИБ предприятий кредитно-финансового сектора. Заключение Интернет-банкинг — это общее название технологий дистанционного банковского обслуживания (ДБО), при котором доступ к счетам и операциям (по ним) предоставляется в любое время и с любого компьютера, имеющего доступ в Интернет. Для выполнения операций используется браузер, то есть отсутствует необходимость установки клиентской части программного обеспечения системы. Управление банковскими счетами через Интернет, или по-другому интернет-банкинг, является наиболее динамичным и представительным направлением финансовых интернет-решений, в силу наиболее широкого спектра финансовых (в данном случае банковских) услуг, представленных в системах интернет-банкинга. Подобные системы могут быть основой систем дистанционной работы на рынке ценных бумаг и удаленного страхования, т.к. они обеспечивают проведение расчетов и контроль над ними со стороны всех участников финансовых отношений. Классический вариант системы интернет-банкинга включает в себя полный набор банковских услуг, предоставляемых клиентам – физическим лицам в офисах банка, естественно, за исключением операций с наличными деньгами. В России интернет-банкинг продвигается значительно сложнее. К сожалению, у нас нет богатых традиций массового использования банковских услуг, но есть печальный опыт банковских кризисов, от которых страдал в основном средний класс – те самые физические лица, которые во всем мире являются основными потребителями розничных банковских услуг. Конечно, корпоративные клиенты не могут не пользоваться услугами банков, но и они, наученные горьким опытом, стараются не держать остатки на счетах, а использовать бартер, и наличные расчеты и т.д. Именно этими внешними факторами во многом обусловлены проблемы развития интернет-банкинга в России. Сегодня c помощью систем интернет-банкинга, можно покупать и продавать безналичную валюту, оплачивать коммунальные услуги, платить за доступ в Интернет, оплачивать счета операторов сотовой и пейджинговой связей, проводить безналичные внутри- и межбанковские платежи, переводить средства по своим счетам, и, конечно, отслеживать все банковские операции по своим счетам за любой промежуток времени. Использование систем интернет-банкинга дает ряд преимуществ: во-первых, существенно экономится время за счет исключения необходимости посещать банк лично, во-вторых клиент имеет возможность 24 часа в сутки контролировать собственные счета и, в соответствии с изменившейся ситуацией на финансовых рынках, мгновенно отреагировать на эти изменения (например, закрыв вклады в банке, купив или продав валюту, и т.п.). Системы интернет-банкинга незаменимы и для отслеживания операций с пластиковыми картами - любое списание средств с карточного счета оперативно отражается в выписках по счетам, подготавливаемых системами, что так же способствует повышению контроля со стороны клиента за своими операциями. Интернет-банкинг в России развивается быстрыми темпами. Уже сейчас значительная часть платежей проводится через интернет. Российские банки успешно осваивают интернет пространства, увеличивают количество предоставляемых услуг и улучшают сервис. В перспективе интернет–банкинг в России в ближайшее время займет достойное место в денежном обороте, как в Западных странах, так как оплата и управление счетами с помощью Интернета очень удобна, экономит время клиента и позволяет ему произвести те операции, которые ему необходимы, не выходя из дома или из офиса. К тому же интернет- банкинг значительно экономит расходы банка. Можно отметить, что в последнее время в России наблюдается устойчивый рост объема предоставленных банками услуг через Интернет, даже несмотря на то, что в основной массе эти услуги носят информационный характер. Существующая на сегодняшний день нормативная база, к сожалению, не способствует более динамичному развитию интернет-банкинга. Качество предоставляемых российскими банками услуг в Интернете улучшается, хотя уровень его развития пока еще несравним с аналогичными сервисами, предоставляемыми зарубежными финансовыми институтами. В числе прочих причин это связано и с относительно слабым пока еще развитием Интернет-технологий. Принятый же Закон об электронной цифровой подписи сам по себе достаточно противоречив и также не способствует активному развитию интернет-технологий. Вместе с тем есть и положительные тенденции: принята федеральная целевая программа "Электронная Россия (2002-2010)", основным направлением которой является совершенствование законодательства и системы государственного регулирования в сфере информационных и коммуникационных технологий. Безусловно, это окажет положительное влияние на перспективы развития интернет-банкинга в России.
СПИСОК ИСПОЛЬЗУЕМОЙ ЛИТЕРАТУРЫ 1. Приложение к заявлению Правительства РФ и Центрального банка РФ «О стратегии развития банковского сектора Российской Федерации на период до 2008 года» от 5 апреля 2005 2. Булатов А.С. Экономика: учебник. 3-е изд. перераб. и доп. –М.: Юристъ. 1999 3. Жуков Е.Ф. Деньги, кредит, банки: учебник для вузов. -М.: ЮНИТИ. 1999 4. Иохин В.Я. Экономическая теория: учебник. -М.: Юристъ. 2003 5. Ключевский В.О. Курс русской истории. Сочинения в 9 т. Т. 3. М.: Мысль. 1988 6. Коломиец Т.Н. Деньги и банки: учебное пособие- Томск: Томский государственный университет. 2004 7. Кравцова Н.И. Лубнев Ю.П. Краткий энциклопедический словарь по экономической теории и практике. – Ростов-н/Д: Рост. гос. эконом. акад. 1997 8. Лаврушин О.И. Деньги, кредит, банки. Учебник. 2-е изд., перераб. и доп. - М.:Финансы и статистика. 2002 9. Богута Н. Деньги которые ходят по Сети / /Эксперт Украина. №39. 2006 10.Болецкая К. Игра в карты- на деньги// Банковское обозрение. №4. 2005 11.Висящев А. Вытеснит ли Интернет – банкинг филиальные сети?//Банковское дело в Москве. №8. 2006 12.Волчик А. Интернет- банкинг: тотальность и мгновенность//Банковское дело в Москве. №8. 2006 13.Гуманков К. Виртуальный банк – у кого лучше?//Финанс. №2. 2007 14.Дъяченко О. Электронные платежные системы в авангарде рынка//Банковское обозрение. №8. август 2006 15.Китник Ю. Россия уже вступила в эпоху электронного банкинга //Банковское дело в Москве. №8. 2006 16.Тихомирова Е. История в картах. // Газета. №95. 2006 17.BSMC Исследования 2006 18.Бурдинский А. Какой Интернет–банкинг нам нужен? 19.Вахитов Я. Что мешает развитию Интернет-банкинга. //Финансовые известия. 23.06.2004. 20.Национальное агентство финансовых исследований. Пластиковые карты в России. ru 21.Пухов А. История банковского дела в России 22.Разумов Илья Интернет–банкинг: рейтинг услуг в России
|
При том, что банки все активнее развивают свои сервисы в условиях постоянно ужесточающейся конкуренции, онлайновая поддержка клиентов пока не стала в этом секторе приоритетом №1. Более 40 из 100 крупнейших по активам российских банков сегодня вообще не используют системы интернет-банкинга. Впрочем, многие говорят о тестовой эксплуатации подобных решений, либо же о планах внедрения в ближайшей перспективе. Предполагаемый бум на этом рынке привлекает западных разработчиков, которые рассчитывают на «лакомый кусок» клиентов из числа крупнейших игроков, все пристальнее присматривающихся сегодня к иностранным продуктам.
