Финансовая сфера по праву считается одной из самых технологически передовых: банки, страховые, инвестиционные, брокерские компании идут к новому быстрее и раньше других.
Решения, которые, например, в промышленности только внедряются, в банках используются давно; аналогичные результаты получим и при сравнении финсектора с другими отраслями.
Вначале было…
Существует мнение, что вначале был банк, а потом наступила эра ИТ-банков. Удивительная метаморфоза превратила привычную структуру в пост-ИТ организацию. Простой пример: всем знакомый «Сбербанк» развивает сервисы, построенные на информационных технологиях, и не связанные напрямую с банковской сферой. Это уже не просто финансы, это высокотехнологичное ИТ.
Что востребовано?
Финансовый сектор – этакий «город контрастов». С одной стороны, продвинутый и футуристичный, с другой - весьма зарегулированный. Технологические системы востребованы не менее, чем соответствие требованиям многочисленных законов и указов. Поэтому многие ИТ-проекты, заказываемые здесь, посвящены именно консалтингу – например, касательно ГОСТ 575801 и различных постановлений, в том числе 382-П Центробанка.
Особые ингредиенты
Что до специфических систем, интересных компаниям-финансистам, то здесь выделяются АБС - автоматизированные банковские системы, а также биометрические решения. С недавнего времени банки собирают биометрические данные граждан (такие, как голос и рисунок радужки глаза) и вносят их в Единую биометрическую систему. Интересно, что собранную информацию сам банк может в своей работе и не использовать вовсе.
Различные требования регуляторов ограничивают возможности банков в плане обустройства своего ИТ-хозяйства. Персональные данные российских граждан должны храниться на территории России, а не за рубежом; в облаке или локально – неважно. Облако Softline сертифицировано по 152-ФЗ, об этом мы рассказывали не раз. А вот к несертифицированным облакам возникает вопрос, в России ли они на самом деле?
В чем залог конкурентоспособности
Как банку выделиться на фоне себе подобных – ну, уж точно не за счет того, что есть у всех, например, интернет-банкинга. Здесь ставки стоит делать на нечто гораздо более нетривиальное. Скажем, на интеграцию банковского сервиса с чем-то смежным – учетом и взаимозачетом средств, компенсацией определенных услуг сторонней компании (например, такси), кросс-селлингом. Вы открываете счет – и на всю оставшуюся жизнь получаете пятидесятипроцентную скидку в хорошем ресторане. Это вовсе не приятные бонусы для клиентов, это новая суть бизнеса: в ближайшем будущем банки будут зарабатывать не на собственно банковских услугах, а на том, какие сервисы будут предоставлять и прикреплять к вашему счету через шины интеграции.
Угрозы!
Говорим «банк» - читаем «мишень». Банки как желанную цель хакеры пробуют вскрыть любыми доступными методами и средствами – в том числе через вербовку людей на даркнете. Вы еще не видели объявлений вроде «Ищу инсайдера»? А они есть.
Что еще актуально? Фрод, проникновение за периметр, внутренние нарушения, фишинг – в такой атмосфере выстраивать глубоко эшелонированную защиту просто необходимо. Но легко ли держать оборону, в которой важен каждый элемент? Конечно, нет. Неудивительно, что новости не устают пестреть заголовками об атаках на финансовые организации – и, к сожалению, на потери со стороны последних.
Они первыми поняли важность антивирусов, актуальность защиты рабочих станций, виртуальных серверов, периметра, и стали делать ставку на комплексную защиту.
Парадокс в том, что во многих банках не хватает рук для того, чтобы просто поддерживать все ИБ-системы, не говоря уже о том, чтобы расследовать и полноценно реагировать на атаки и инциденты, а не только отражать их. Именно поэтому для многих актуален тот или иной вид ИТ-аутсорсинга.
Security Operation Center (SOC)
Звучит здорово, серьезно, внушительно. Центр управления инцидентами объединяет в себе технологическую часть, досконально описанные процессы и компетентных специалистов. В конечно итоге, SOC - это алгоритмы, глубокое понимание того, как работать с инцидентами и как каждое действие будет влиять на будущие результаты.
Об этом классе систем задумывается практически каждая финорганизация, но отношение к данной технологии зависит от психологии управляющего звена. Тут обнаруживаются две устойчивые группы: первая – «Все у себя, ничего наружу», и вторая «Мы за открытый подход с положительным отношением к аутсорсингу».
Под центром мониторинга и реагирования различные компании понимают разное, но суть на практике такова, что данные решения обладают весьма широким набором функций и характеристик, которые в совокупности дают нужный эффект, и недорогой продукт не может их заменить. Многие банки развивают собственные компетенции в направлении управления инцидентами, однако это процесс долгий и очень дорогой. Не все имеют на реализацию такой глобальной задачи собственные ресурсы. Собственный грамотный SOC на уровне лучших мировых практик могут позволить себе исключительно банки из ТОП-10. Подходит ли остальным уже упоминавшийся выше аутсорсинг? Безусловно. Сервис стоит недорого, а результат оправдывает ожидания.
Что еще?
Безопасность – разумеется, не основная область сотрудничества Softline с организациями финансового сектора. Поставку программного и аппаратного обеспечения также доверяют нам: наши специалисты снабжают бизнес любыми сетевыми компонентами, системами хранения данных, ПК, построят ЦОД. Поставки осуществимы и в экстра-крупных объемах: мы знаем, что банки используют и софт, и железо интенсивнее многих других компаний.
