В IT прокомментировали проект ЦБ об ограничении времени простоя сервисов банков

Банк России, перед тем как предлагать ограничить двумя часами время простоя онлайн-сервисов кредитных организаций, должен был предварительно провести опрос реальности выполнения своих требований и ориентировочных затрат, которые должны нести кредитные организации для обеспечения соответствующей доступности. Об этом заявил «Известиям» Роберт Сабирянов, сооснователь и технический директор банка для бизнеса «Бланк», комментируя соответствующий проект положения регулятора во вторник, 24 августа.

По его словам, анализ доступности услуг является одним из составных процессов любой IT-компании или департамента.

Сервисный блок: банки внедрили новые системы защиты от кибермошенничества

Однако главной проблемой остаются утечки персональной информации клиентов

Он считает, что по результатам такого опроса ЦБ стоило бы оценить затраты, которые должны нести кредитные организации для обеспечения нужной доступности.

«Информацию о простоях банков за последний год легко нагуглить и увидеть, что деградация сервисов суммарно составляет более двух часов, — такие показатели даже у крупных банков», — сказал Сабирянов.

Он рассказал, что обычно в IT уровень доступности услуг рассчитывается через показатель Uptime (время непрерывной работы вычислительной системы или ее части) c определенным уровнем SLA (соглашение об уровне сервиса), выраженным в процентах.

ЦБ же определяет большинство пороговых уровней сервисов в два часа. При этом регулятор, по его словам, указывает, что банки должны определить во внутренних документах для каждого техпроцесса «допустимое суммарное время простоя и (или) деградации технологического процесса (в случае отклонения от допустимой доли деградации технологического процесса)» в течение последних 12 календарных месяцев.

Специалист отметил, что, используя калькулятор Uptime, можно вычислить, что банки должны обеспечить для большинства своих услуг SLA доступность и отсутствие деградации не менее 99,98%, что является довольно высоким показателем даже для крупных кредитных организаций с большими ресурсами по поддержке IT-инфраструктуры.

«Скорее всего, это означает, что не только конечная услуга должна иметь Uptime 99,98%, но и все критические составные части процесса должны обеспечивать значительно большие уровни SLA», — заключил он.

При этом Александр Нижельский, CEO компании-разработчика цифровых продуктов LeanConsult, сооснователь сервиса F2B, заявил «Известиям», что банки, которые уже выстроили серьезную работу с IT-подразделениями по организации бизнес-процессов внутри финансовой организации, кредитных конвейеров, в частности с системой мониторинга управления и отработки инцидентов, смогут выполнить требование ЦБ.

Он подчеркнул, что финансовые организации, которые уже создали необходимую инфраструктуру в этом направлении или активно ее внедряют, смогут, по его словам, «поставить жесткие временные рамки на указанные в документе технологические процессы».

Банкам, которые такую подготовительную работу не проводили и не настроили процесс управления инцидентами, соответствовать требованиям будет сложнее, но при желании и они смогут, указал специалист.

Он считает, что соответствующие IT-решения можно разработать и встроить в IT-инфраструктуру банка.

В целом банки со связанной в единую экосистему IT-инфраструктурой по управлению бизнес-процессами (BPM) и управлению инцидентами имеют больше шансов на исполнение требования регулятора.

Алексей Крашенинников, архитектор платформ безопасности в банке для предпринимателей и предприятий «Точка», также считает, что неудобства в связи с планируемым нововведением могут возникнуть только у менее диджитал-подкованных участников рынка.

Новое положение, по его словам, означает, что финансовые организации не смогут останавливать работу интернет-банков или автоматизированной банковской системы более чем на два часа, чтобы, например, провести обновление. Для крупных, развитых с точки зрения IT банков проблем из-за ограничения времени простоя, скорее всего, не будет: механизмы уже отлажены, и в тайминг вполне реально уложиться.

Он подчеркнул, что в случае длительных простоев банки и так обязаны уведомлять ЦБ, что описано в его стандартах. В новых документах регулятора скорее описана ответственность банков за вероятные пробелы в структуре систем безопасности: допущение DDoS-атак, незащищенность процессов с подрядчиками-поставщиками инфоуслуг.

«Банкам просто еще раз напомнили, как важно уметь противостоять атакам, демонстрировать отказоустойчивость и обеспечивать работоспособность», — заключил Крашенинников.

Проект положения об ограничении допустимого времени простоя онлайн-сервисов банков ЦБ опубликовал на своем сайте ранее во вторник. Документ может вступить в силу с 1 октября 2022 года.