Законопроект об аутсорсинге облачных услуг для банков завис на рассмотрении во втором чтении
Заместитель председателя правления АО "Альфа-банк" Павел Высоцкий на форуме информационных технологий InfoSpace заявил, что банкам мешает разворачивать приватные облака отсутствие оборудования и центров обработки данных (ЦОДов): "Решением проблемы могли бы стать публичные или гибридные облака. Гибридные - это когда весь бизнес приложений был бы банковским, а оборудование и ЦОДы - от внешнего провайдера аутсорсинга облачных услуг".
"Такие провайдеры на российском рынке есть. Но движение в эту сторону ограничено регулятором - Центральным банком, который не позволяет выносить в облако конфиденциальные данные и не регламентирует передачу ответственности за сохранность данных", - заявил Павел Высоцкий.
Летом 2023 г. депутаты и сенаторы РФ внесли в Государственную Думу законопроект, который снимает правовые ограничения на аутсорсинг финансовыми организациями облачных услуг. Привлечение подрядчиков с внешнего рынка должно помочь банкам оптимизировать затраты на поддержание информационной инфраструктуры - следует из пояснительной записки к законопроекту.
Осенью 2023 г. профильные комитеты Госдумы внесли рекомендации к законопроекту. Комитет по информационной политике, информационным технологиям и связи предложил, например, усилить нормы по работе с персональными данными и обязать банки запрашивать у клиентов дополнительное разрешение на передачу их данных в сторонние организации - в изначальной версии законопроекта такого требования не было.
В результате Госдума РФ приняла законопроект в первом чтении 30 ноября 2023 г. Срок предоставления поправок ко второму чтению был назначен на 16 февраля 2024 г. Но к апрелю 2024 г. они так и не появились.
"Надеемся, что эта работа не остановится. Если закон не будет принят, то нам как банку придется разворачиваться в сторону строительства ЦОДов, закупки оборудования и строительства импортозамещенных приватных облаков. Но такие работы, как проектирование и строительство ЦОДов, производство оборудования, - не банковский бизнес. Это приведет к дополнительным затратам и менее эффективному использованию инвестиций", - добавил Павел Высоцкий.
Руководитель отдела консалтинга и аудита "Ангара технолоджиз груп" (системный интегратор, разрабатывающий решения по информационной безопасности Angara Security) Александр Хонин считает, что вся ответственность за безопасность данных должна и будет оставаться на стороне банка, поэтому банк должен предъявлять соответствующие требования по безопасности к облачным провайдерам.
"Здесь кроется основная проблема: облачные провайдеры не всегда готовы выполнять все требования по ИБ, которые предъявляются к банкам, а также подтверждать выполнение таких требований", - отметил Александр Хонин.
"Существует три типа облачных сервисов: IaaS, PaaS, SaaS. В IaaS для провайдера могут возникнуть сложности с выполнением организационных требований по размещению оборудования, физическому доступу к нему и по сертификации вычислительных мощностей (серверов). Эти требования закрыть нетрудно, но потребует высоких затрат для провайдера сервисов. В PaaS и SaaS к упомянутым сложностям добавляется ряд требований к сегментации, доступам, протоколам взаимодействия. Иными словами, потребуется перестраивать ЦОД в соответствии с требованиями к банкам".
Станислав Шилов, директор по развитию продуктов Центра цифровых решений для бизнеса компании BSS, оценивает сценарий по использованию публичных или гибридных облаков исключительно положительно.
"В условиях усложнения ИТ-систем, увеличения требований к их доступности и к квалификации ИТ-персонала, а также дополнительных требований по информационной безопасности, использование облаков может стать для небольших и даже средних банков единственным экономически возможным вариантом, потому что расходы банков на инфраструктуру становятся болезненными. Это потребует и совершенствования регулирования, и выработки более ответственных и взрослых практик на рынке ИТ-компаний, предлагающих облачные решения, но в целом этот путь выглядит разумным и логическим", - считает Станислав Шилов.
В марте 2024 г. Совет Федерации РФ предложил всем компаниям, обрабатывающим персональные данные, иметь резерв для выплаты компенсаций россиянам в случае утечек.
Как считает Александр Хонин, в случае принятия законодательной инициативы страхование рисков утечек данных из облачных инфраструктур должно оставаться на стороне банка, так как он является основным ответственным за обрабатываемые данные, в том числе за их утечки.
Также в марте 2024 г. на инфраструктуре MTS Cloud произошла авария, которая затронула сразу три дата-центра - в Москве, Санкт-Петербурге и Казахстане. Некоторые компании - клиенты МТС Cloud испытали проблемы с доступом к сервисам.
На вопрос корреспондента ComNews, как могут отреагировать клиенты банков, если похожие инциденты случатся с облачными провайдерами, которые предлагают решения для банков, Станислав Шилов ответил, что клиенту не важно, на чьей инфраструктуре работает сервис банка, - главное, чтобы он работал и был доступен.
"Инциденты нарушения работоспособности дистанционных сервисов крупных банков происходят регулярно - в среднем раз в две недели, - несмотря на использование собственной инфраструктуры. И при этом никакого значимого оттока клиентов или иного негативного экономического эффекта эти банки не испытывают", - заключил он.
https://www.comnews.ru/content/232120/2024-03-19/2024-w12/1008/mts-clou…