Михаил Коленкин: В структуре общих расходов банка доля бюджета ИТ остается практически неизменной
CNews: Как бы вы охарактеризовали ситуацию в отечественном финансовом секторе с точки зрения ИТ? Какой вклад в развитие банка вносят ИТ-технологии и каковы, на ваш взгляд, ключевые тенденции информатизации финансового сектора России в настоящий момент? Михаил Коленкин: Можно сказать, что эти технологии, во-первых, стали в финансовом секторе зрелыми. Во-вторых, изменилось отношение. Если шесть-семь лет тому назад к ним относились так же, как, примерно, к водопроводу или электричеству, то есть считали вспомогательными службами, то сейчас в финансовом секторе осознали, что информационные технологии являются достаточно мощным средством для достижения банком конкурентных преимуществ. Это, на мой взгляд, главное изменение, которое произошло. Банковский рынок стал зрелым, на нем присутствует достаточно много сильных, крупных игроков, и высока конкуренция. В связи с этим роль информационных технологий в банке заключается в том, чтобы обеспечить, с одной стороны, конкурентные преимущества, с другой — бесперебойность предоставления банковских сервисов. Говоря о конкурентных преимуществах, я имею в виду, прежде всего, два аспекта — это создание новых продуктов, с которыми банк может выйти на рынок и занять какую-то определенную часть этого рынка. В то же время с помощью информационных технологий можно совершенствовать существующие процессы в банке, уменьшить расходы на совершение операций и сделать более эффективным труд сотрудников. Это основная роль ИТ в современном банке. Что касается тенденций, то я бы сказал, что основные игроки в настоящий момент на рынке закончили работы по строительству back-офисных и фронт-офисных систем и приступили к следующему этапу — внедрению систем контроля бизнеса, то есть управления рисками, связанными с бизнесом, а также вспомогательных систем, которые позволяют организовывать эффективный бизнес. Я имею в виду системы сбора просроченной задолженности (Collection), системы управления компаниями, повышения продаж и т.д. CNews: Можно ли утверждать, что ИТ-отставание российских банков от представительств их иностранных коллег в России продолжает сохраняться? Михаил Коленкин: Я не считаю, что у нас есть какое-то отставание от иностранных банков. Превосходство иностранных банков первоначально, возможно, и было, и это связано с тем, что они уже имели программные решения, созданные головными банками за рубежом. В настоящий момент крупные банки внедрили такие системы — в частности, «Альфа-Банк» внедрил западный продукт, приспособив к современным требованиям российского учета. В то же время мы использовали много западных систем, например, в инвестиционном банке, корпоративном банке, для каналов предоставления услуг. Поэтому я, честно говоря, не вижу сейчас, с технологической точки зрения, каких-то преимуществ у иностранных банков. Что касается других проблем, связанных с ИТ, то я тоже не считаю, что российские банки отстают. Наоборот, у нас есть передовой опыт. В частности, система управления портфелем ИТ-разработок «Альфа-Банка» была включена в отчет компании Gartner — мы являемся первой российской компанией, вошедшей в отчет Gartner как пример успешного внедрения. То есть стали примером для мирового сообщества в ИТ. CNews: Насколько значительно увеличивается ИТ-бюджет банка за последние годы, и за счет каких статей происходит увеличение? Михаил Коленкин: В последние годы бюджет информационных технологий, безусловно, растет. Растет он, кстати, не только в «Альфа-Банке», но и в других банках — как российских, так и зарубежных. Это мировая тенденция — бюджет ИТ растет примерно с 2000 года, в основном в банках и в телекоммуникационной сфере. Это связано, наверное, с тем обстоятельством, что ИТ являются той силой, которая позволяет создать конкурентные преимущества, а многие компании сейчас нацелены именно на рост. Перед CEO компании стоит задача — рост, рост, рост. Рост означает в первую очередь расширение — либо посредством приобретений и слияний, либо посредством развития бизнеса, предоставления новых качественных услуг. В связи с этим происходит и рост бюджета на информационные технологии. Но хочу отметить, что в структуре общих расходов банка доля бюджета ИТ остается практически неизменной. CNews: Какие ИТ-сервисы сегодня наиболее востребованы? Михаил Коленкин: Структура наших расходов на информационный сервис достаточно разнообразна. Львиную долю бюджета занимает сопровождение текущих систем — это достаточно дорогостоящая задача. Известно, что на один доллар внедрения на следующий год приходится от 16 до 40 центов новых расходов на сопровождение. Вторая часть расходов — это разработка новых систем: создание новых приложений, внедрение новых систем и т.д. Кроме того, есть у нас, безусловно, и информационные сервисы, консалтинг, но это вспомогательные сервисы. CNews: Какие приоритетные задачи стоят сейчас перед вашим подразделением? Михаил Коленкин: Перед нами стоят три важнейшие задачи. В первую очередь, это задачи IT-governance — т.е. управления ИТ. Как я уже говорил, очень важно использовать ИТ правильным образом. Это означает, что те проекты, которые мы выполняем, должны, в конечном счете, приносить пользу банку, давать экономический эффект и быть эффективными. Это достигается посредством правильной системы управления. Она включает в себя, в первую очередь, систему управления портфелем разработок. То есть мы должны выбирать правильный проект с максимальной эффективностью. Это сделать достаточно трудно, поскольку наш банк является универсальным и предоставляет сервисы практически во всех секторах банковских услуг. Это и инвестиционный, и розничный, и корпоративный бизнес, поэтому потребностей у бизнеса достаточно много. В то же время у нас есть очень большое количество сервисных подразделений, таких, как бухгалтерия, экономические службы, маркетинг и т.д. У них тоже есть свои специфические потребности, и мы должны уметь удовлетворять их. Задача IT-governance — создать такую ИТ-структуру и внедрить такие процессы, которые позволяли бы находить баланс между запросами подразделений — зарабатывающих, которые ориентированы на развитие конкретного бизнеса, и обслуживающих — тех, которые поддерживают этот бизнес. Вот это является главной задачей. Вторая задача, приоритетная для ИТ, заключается в построении правильной архитектуры системы банка. Мы достигли такого уровня сложности, на котором каждое внедрение дается с большим трудом, потому что система очень сложная и требует от нас кропотливой работы по внедрению в нее новых элементов. Чтобы не быть голословным, приведу простой пример. Скажем, мы пару лет тому назад приглашали компанию IBM для проведения анализа нашей инфраструктуры. IBM насчитала в наших средах, включая промышленную и тестовую, более полутора тысяч интерфейсов. Можете себе представить, как сложно работать в этой паутине. Соответственно, мы сейчас прилагаем серьезные усилия по стандартизации в этой области, я имею в виду интеграцию систем, и это очень большая работа. Мы достигли определенных результатов, создали Enterprise Service Base — корпоративную шину данных, посредством которой мы начали интеграцию целого ряда систем. Вместе с тем, мы находимся только в начале этого пути, прошли, наверное, не более четверти, и нам еще предстоит много сделать в этом направлении. Я отношу это к одной из приоритетных задач, потому что архитектура влияет на скорость продвижения продуктов на рынок. Если внедрение продуктов происходит долго, мы теряем конкурентные преимущества. С другой стороны, архитектура влияет на стабильность систем, на бесперебойность предоставления услуг для бизнеса. И третья задача — наш банк растет очень быстро, и по ряду показателей, таких, как количество счетов, клиентов, мы за последние годы выросли в несколько раз. С точки зрения ИТ, мы должны поддержать этот рост и найти возможность увеличить производительность наших систем тоже в разы. Для этого мы создали специальный процесс управления производительностью, он уже достаточно совершенен и заключается в том, что происходит постоянный анализ потребностей бизнеса в развитии. Мы постоянно в курсе планов бизнеса и параллельно с этим организуем работы по совершенствованию различных систем, чтобы в нужный момент у бизнеса были системы необходимой мощности и емкости, чтобы они могли развиваться. К нашей чести, хочу отметить, что у нас еще не было ни одного случая, когда бы мы сказали нашим коллегам из бизнеса: "Стойте, погодите, мы не успеваем". Тем не менее, задача остается актуальной, потому что банк активно растет, мы приобретаем новых клиентов, открываем новые отделения. Как я уже говорил, у нас есть система управления портфелем, и мы на регулярной основе три раза в год производим анализ этого портфеля вместе с коллегами из бизнеса, чтобы понять, какие проекты являются наиболее приоритетными. Мы рассматриваем проекты по трем основным категориям: новые продукты, улучшение существующих процессов и задачи инфраструктуры. В целом, у нас в каждый период времени в портфеле находится более ста проектов. CNews: Какие ИТ-проекты были запущены в последнее время? Михаил Коленкин: Все проекты я не стал бы раскрывать, потому что это конкурентное преимущество банка. Вместе с тем, из числа проектов, которые мы уже завершили или они находятся в стадии активного развития, я бы отметил, в первую очередь, продукты "Альфа-Чек", "Альфа-Клик" и "Альфа-Мобайл". Что касается проекта "Альфа-Чек", я считаю, наша услуга — одна из лучших на рынке. Суть ее заключается в том, что когда вы производите какие-то платежи с помощью вашей карты, вы получаете на свой мобильный телефон SMS-уведомление о том, какой был произведен платеж и на какую сумму. Это достаточно выгодно. Это помогало и мне. Например, когда я был в ресторане в Мюнхене, с меня два раза списали одну и ту же сумму, я тут же получил SMS, увидел, вызвал менеджера и долго с ним разбирался. Он был настолько напуган и потрясен, что исчез на некоторое время, потом пришел с кучей бумаг и стал объяснять, что виноваты его работники. Тем не менее, мне тут же вернули деньги. Вторая уникальная услуга на нашем рынке, которую мы сделали, — это "Альфа-Мобайл". Это система управления вашим персональным счетом или счетами с помощью мобильного телефона. Это достаточно удобная вещь, она заключается в том, что вы можете в любом месте земного шара делать переводы между счетами, вы можете пополнять счет, класть деньги на счет «Ваш сейф», который приносит проценты, чтобы деньги не лежали без дела. Эта услуга очень востребована. Я, например, открыл счет для своей жены и привязал к этому счету карточку. С одной стороны, я в любой момент могу пополнить счет, для нее это ценно, а для меня ценно то, что я вижу ее расходы. Это достаточно интересная, высокотехнологичная услуга. Что касается других проектов, мы построили новый операционный центр. Эту масштабную работу мы завершили не так давно, в этом году. Но сейчас мы в стадии завершения работ по созданию нового вычислительного центра. Это тоже очень большая, объемная работа, требующая больших инвестиций, но безопасность данных и безопасность нашего бизнеса, в части его бесперебойности, — достаточно важная задача. Кроме того, мы находимся в стадии внедрения систем по управлению рисками, мы уже внедрили несколько систем и продолжаем внедрять их. Эти системы достаточно мощные и работают с нашей большой клиентской базой. Они предназначены для того, чтобы оградить банк от недобросовестных личностей, которые, например, пытаются брать кредит и не возвращать его. Но, в целом, это влияет не только на банк, но и на наших клиентов, потому что для них это будет означать снижение наших процентных ставок и улучшение других условий кредитования. CNews: Существует ли в банке проблема защиты от инсайдеров? Какие решения применяются для борьбы с этим явлением и как выстроена система осведомленности сотрудников банка?
Вопрос про осведомленность, который вы задали, — это достаточно важное направление деятельности не только службы информационной безопасности кредитно-финансовой сферы, но и любой организации, которая имеет разветвленную информационную структуру. Прежде всего, служба информационной безопасности совместно с ИТ разрабатывает требования по информационной безопасности, правила, нормы, и в рамках программы по повышению осведомленности сотрудников необходимо эти требования и нормы довести до конкретного сотрудника, чтобы в практической деятельности эти требования выполнялись. Почему? Потому что инсайдерские действия не всегда связаны именно с какими-то противоправными действиями, а могут быть связаны с ошибками, которые допускают добросовестные сотрудники при выполнении определенных обязанностей. Поэтому для каждого конкретного сотрудника необходимо довести, как он должен действовать в той или иной ситуации. Я считаю, что на основании мирового опыта у нас в банке данная система и данная программа функционируют достаточно успешно. Прежде всего, каждый сотрудник при входе в информационную систему получает уведомление о том, что в банке есть определенный набор нормативно-методических документов и где они размещены. Каждый сотрудник должен ознакомиться с требованиями этих документов при приеме на работу. У нас разработаны две программы по обучению сотрудников выполнению требований и норм информационной безопасности. При приеме на работу каждому сотруднику назначается определенный курс, с которым он должен ознакомиться и в дальнейшем выполнять его. CNews: Какие меры применяются в банке для борьбы с утечкой конфиденциальной информации? Валерий Бутенко: Меры по защите от утечки конфиденциальной информации направлены на выполнение существующих требований законодательных актов. Как мы все знаем, недавно вышел закон о защите персональных данных. Не так давно Центральным банком принята вторая редакция стандарта по обеспечению информационной безопасности в сфере кредитно-финансовых организаций. Работа по защите конфиденциальной информации, по защите персональных данных клиентов, по защите банковской тайны у нас в банке выстроена именно в направлении выполнения требований, в том числе, и этих документов. Кроме того, хотелось бы остановиться на соответствии банка требованиям стандарта Центрального банка. Утверждение стандарта для нас не явилось чем-то новым. Почему? Потому что специалисты «Альфа-Банка» принимали участие в работе подкомитета по защите информации в кредитно-финансовой сфере в рамках комитета по защите информации. И на сегодняшний момент мы проводим определенную работу по внутреннему аудиту на соответствие требованиям этого стандарта. Мы планируем к концу сентября завершить эту работу и разработать программу, чтобы привести ряд направлений к требованиям этого стандарта. При этом мне хотелось бы отметить, что стандарт Центрального банка носит рекомендательный характер и не является обязательным к исполнению. Но, несмотря на это, мы выстраиваем работу таким образом, чтобы как наш центральный офис, так и региональные подразделения, которые есть у нас на территории Российской Федерации, соответствовали требованиям этого стандарта. CNews: Какие задачи решаются для обеспечения бесперебойной работы сети Альфа-Банка сегодня и что планируется делать для ее развития дальше? Валерий Бутенко: Безусловно, сеть «Альфа-Банка» большая, и есть проблема обеспечения ее бесперебойной работы. Мы должны разработать и применять постоянно ряд мер с тем, чтобы обеспечить эту бесперебойную работу. Причем эти меры применяются в различных направлениях. Начну с самого элементарного — с электричества. Понятно, что если отсутствует электричество, то все системы ИТ мертвы и не работают. Поэтому у нас есть развитая система поддержки энергопитания в случае сбоев. Мы достаточно автономны, и даже в случае отсутствия электричества в течение длительного времени «Альфа-Банк» способен работать на собственных мощностях. Это, безусловно, одно из важнейших условий обеспечения бесперебойной работы, потому что время от времени перебои с подачей электричества случаются, особенно в холодные зимние московские дни и вечера. И в жаркие летние дни перебои могут быть тоже — когда, скажем, идет большая нагрузка в связи с потреблением электричества кондиционерами. Хотя эта проблема больше характерна для южных стран и Южной Америки. Кроме того, наша работа связана с тем, что мы дублируем каналы связи. Прежде чем открыть какой-нибудь филиал, мы начинаем работу по прокладке каналов. Это не всегда простая задача, она требует инвестиций, но мы прокладываем сразу же несколько дублирующих друг друга каналов, причем от разных провайдеров, что позволяет нам, в случае проблем у того или иного провайдера, сохранить связь с нашим удаленным подразделением и работать бесперебойно. Поэтому сетевые проблемы мы решаем посредством дублирования каналов от разных провайдеров. Что касается центрального офиса, то с помощью внешних специалистов, например, таких компаний, как Cisco и «Крок», мы построили отказоустойчивую сеть. Наша сеть внутри центрального офиса дублирована и имеет специальные средства самовосстановления, поэтому она тоже отказоустойчива. За бесперебойность предоставления бизнеса мы боремся на уровне хардвея, имеются в виду специальные отказоустойчивые сервера, которые мы приобретаем. В частности, наше ядро банковской системы работает на машине AS/400, это компания IBM, и в ней дублированы многие элементы хардвея — платы, диски и так далее, то есть машина действительно достаточно надежная. Но мы этим не ограничиваемся, и критические для банка системы находятся, как правило, в кластере. То есть в случае выхода из строя какого-то узла начинает работать другой узел, бэкап-узел, который содержит всю ту же информацию. У нас есть и продакшн-сервер, то есть промышленный сервер, и это требует целого набора специальных решений — в частности, обеспечения онлайн-репликаций. То есть, по сути, у нас стоят несколько серверов, и между ними происходят непрерывные репликации, с тем чтобы в случае выхода из строя какого-либо сервера информация на другом сервере оставалась актуальной. Мы не допускаем никаких потерь данных для бизнеса, и, соответственно, это и есть наша работа по обеспечению бесперебойности. Но, кроме таких решений, которые я перечислил, наибольшую угрозу для бесперебойности представляют сами по себе программные комплексы. С этим мы тоже неустанно боремся и прилагаем немало усилий. Многие системы у нас сейчас работают в режиме 24х7. Кроме того, мы потратили немало усилий на создание специальных мер, т.к. в работе банка есть специальные технологические перерывы, например, закрытие дня. Закрытие дня означает, что в этот момент подсчитываются проценты, изменения курса валют и т.д. Это достаточно длительный период времени, в течение которого система недоступна, поскольку выполняются очень важные вычисления, и проводить операции нельзя. Вместе с тем, мы внедрили и уже несколько лет пользуемся системой, которая нам позволяет проводить операции и в этот момент. У нас есть так называемый ночной сервер, в котором в момент закрытия дня происходит переключение на ночной юнит, наши клиенты работают с этим юнитом, и после завершения дня происходит обмен данными. Фактически, время недоступности у нас существует, но оно составляет порядка полутора минут. То есть наш сервис недоступен по технологическим причинам полторы минуты в сутки. Я считаю, это наше большое достижение. Эта работа связана с некоторыми ограничениями в использовании таких юнитов, но и здесь мы добились прогресса. Сервис достаточно широк, есть филиалы и на Сахалине — это самая восточная точка, и в Калининграде — самая западная точка. Наше программное решение позволяет банку осуществлять операции во всех 10 часовых поясах одновременно, без каких-либо проблем. Вот, собственно, основные наши работы, связанные с обеспечением бесперебойности бизнеса. Мне хотелось бы привести в пример достаточно успешный опыт сотрудничества управления информационной безопасности с блоком ИТ. Михаил Юрьевич сказал, что при открытии новых офисов мы прокладываем новые каналы связи. Но, к сожалению, не всегда было так. Были случаи, когда до удаленного офиса, который находится в регионе, был проложен один канал связи. Для обеспечения защиты персональных данных и данных клиентов мы используем определенное оборудование защиты информации в каналах связи. Так вот, в том случае, когда канал связи между центральным офисом и региональным подразделением у нас выходил из строя, оборудование позволяло создавать резервный канал через сеть связи общего пользования. В частности, интернет. Я считаю, что это достаточно положительный результат нашего взаимодействия. Почему? Потому что, помимо решения вопросов обеспечения информационной безопасности, защиты персональных данных наших клиентов, мы, используя средства защиты, решали и вопросы обеспечения надежности и бесперебойности работы наших региональных подразделений. Да, я согласен. Я, кстати, забыл сказать еще об одном важном аспекте, связанном с бесперебойностью предоставления банковских сервисов, — это задача по восстановлению данных. Несмотря на все принятые меры, рано или поздно различного рода проблемы встречаются, и в этих ситуациях подразделение ИТ должно быстро и слаженно устранять проблемы, в частности, восстанавливать данные, связанные с крушением систем. А от этого никто не застрахован. Поэтому очень большие усилия мы тратим именно на то, чтобы подразделение ИТ слаженно действовало в таких сложных ситуациях. Это означает, что мы постоянно разрабатываем возможные сценарии потери данных и других различных неприятностей и тренируемся их восстанавливать. Это достаточно сложная задача, требующая существенных усилий от подразделения ИТ, но, тем не менее, это очень важная задача. В частности, я уже упоминал, что мы сейчас строим дополнительный вычислительный центр, который позволит обезопасить бизнес. Например, если произойдет серьезная катастрофа в каком-либо районе, достаточно удаленном от центра, мы будем защищены. Мы и сейчас достаточно защищены, наши системы дублированы, разнесены в пространстве, но мы хотим удалить их на еще большие расстояния, с тем чтобы максимально обезопасить наш бизнес и в случае возникновения даже самых серьезных проблем обеспечить бесперебойность банковских сервисов. CNews: Большое количество клиентов ставит перед банком задачу управления значительными объемами данных. Какие решения применяются для создания управления базой данных? Это централизованные, децентрализованные, динамические или статические базы данных? Михаил Коленкин: Безусловно, мы применяем весь спектр решений, о которых вы упомянули, и это, в первую очередь, зависит от задач бизнеса, от целесообразности. В частности, базы данных, которые содержат задачи, связанные с клиентской информацией, централизованы. Это не наше ноу-хау, это делают все, например, один из крупнейших банков, английский HBC, у которого 300 тысяч сотрудников. На вопрос о том, какая у них главная задача, ответ был очень простой — централизация базы данных. Поэтому мы используем централизованную базу данных. Вместе с тем, ясно, что «все яйца в одну корзину класть нельзя», поскольку это чревато. И там, где это возможно, мы делаем локальную базу данных. Мы провели работу, связанную с тем, что данные были помещены в централизованное хранилище. Эту работу мы будем продолжать, и в целом мы движемся сейчас по пути так называемой виртуализации серверов — когда вычислительные мощности и мощности по хранению выступают для потребителей как одно целое. И в случае выхода из строя или возникающих потребностей в новых мощностях эти потребности немедленно удовлетворяются. Для банков, как я уже говорил, есть специфические моменты, например, закрытие дня, но есть еще более специфические ситуации, технологические процедуры — конец месяца и конец года. Конец года — самая неприятная процедура с точки зрения ИТ. Почему? Потому что она требует максимальной вычислительной мощности, поскольку за небольшой отрезок времени проводится слишком много операций, и мы в этот момент остро нуждаемся в гораздо большей вычислительной мощности. Вот для этого мы применяем различные решения. В том числе вычислительная мощность включается дополнительно на небольшой период времени, с тем чтобы успеть обработать в необходимое время весь объем информации. Но, вместе с тем, у нас есть большой набор локальных децентрализованных баз там, где это имеет смысл. CNews: Какие вопросы, связанные с применением ЭЦП в российском финансовом секторе, уже решены, а какие ожидают своего решения? Какие факторы сдерживают широкое развитие института электронной цифровой подписи в России вообще и в банковской сфере в частности? Валерий Бутенко: Я не стал бы брать на себя смелость говорить о российской финансовой сфере в целом. Я могу сказать о том, что сделано у нас. Михаил Юрьевич уже сказал, что на сегодняшний момент банком уделяется значительное внимание созданию систем дистанционного обслуживания клиентов. Есть уже упомянутая система "Альфа-Чек", и мы призываем вас подключиться к ней, "Альфа-Мобайл" — это облегченная интернет-система "Альфа-Клик", «Альфа-Клиент онлайн». Все эти системы создаются для того, чтобы мы могли предоставить для клиента целый набор, целый спектр систем дистанционного обслуживания, в зависимости от того, какой это клиент — или это физическое лицо, или это предприниматель без образования юридического лица, или это предприятие сферы малого, среднего бизнеса, или это крупное предприятие, которое работает с государственными и бюджетными средствами. Поэтому построение таких интернет-систем, систем дистанционного управления своими счетами в какой-то степени и ориентируется по этим направлениям. То есть, для физических лиц мы предлагаем систему одного уровня, для более крупных предприятий — систему другого уровня. На сегодняшний момент российским законодательством предусмотрено, что предприятия, которые работают с бюджетными средствами, должны использовать сертифицированные средства криптографической защиты информации. Для того чтобы соответствовать требованиям законодательства и для того чтобы иметь конкурентные преимущества по работе с такими клиентами, в Альфа-Банке создан удостоверяющий центр с использованием российских криптографических средств защиты информации. Нашим партнером при создании центра является компания "Крипто-Про", достаточно известная на российском рынке. О том, что касается отлаживания процедур, регламентов, можно говорить много, но мне бы хотелось сказать, что, по оценкам специалистов, удостоверяющий центр Альфа-Банка по количеству клиентов находится в пятерке удостоверяющих центров на территории Российской Федерации. При этом мы постоянно совершенствуем систему дистанционного обслуживания клиентов, пытаемся соответствовать тем требованиям, которые предъявляют клиенты к данным системам. Михаил Коленкин: Хочу добавить, что удостоверяющий центр был создан у нас давно, и мы решили при построении системы защиты данных и транзакций с помощью электронной цифровой подписи использовать единую систему "Крипто-Про". Приступили мы к этому почти что 7 лет тому назад, в 2000 году, и надо отметить, что у нас есть ряд интересных систем, например, «Альфа-Директ» и «Альфа-Форекс». Первая является системой работы на рынке акций, то есть, наши клиенты могут, сидя дома, активно участвовать в торгах на бирже, покупая и продавая акции. Все их сделки защищены электронной цифровой подписью, которая соответствует стандартам Российской Федерации. У нас есть система "Альфа-Форекс", это система, которая предоставляет нашим клиентам возможность работать на денежном рынке, то есть, на рынке пар валют, например, доллар-евро, рубль-доллар и т.д. Каждая такая сделка нашего клиента тоже подтверждена электронной цифровой подписью. Что все это означает? Что в момент подтверждения сделки клиент подписывает электронной цифровой подписью соответствующий документ. Этот документ поступает в банк по нашим электронным каналам, и в банке происходит проверка по всем правилам, проверяется, что цифровая подпись актуальна, что сертификат не отозван, что она принадлежит именно тому клиенту, который отправил запрос. Мы считаем, что это наше большое преимущество, мы достаточно хорошо защищаем наших клиентов от мошенничества в этом секторе. CNews: Наше время характеризуется ростом террористических угроз и техногенных катастроф. Как ваше ИТ-подразделение противостоит опасности этих явлений, какие методы используются? Валерий Бутенко: Безусловно, рост терроризма во всем мире представляет угрозу. Террористическая атака, которая состоялась 11 сентября в Соединенных Штатах, выявила достаточно большой набор проблем, которые могут возникнуть в организации. Кстати сказать, это выявило совершенно удивительные и ранее не известные проблемы, например, выяснилось, что существует такая проблема, как прибытие персонала на место работы в случае террористической атаки. То есть, когда в Нью-Йорке произошла остановка транспорта, были разрушены сети, коммуникации, сервера, многие подразделения не пострадали, не пострадала их инфраструктура ИТ, но персонал не смог прибыть на место работы и выполнять свои функции. Этот горький опыт учит нас многому, и банк, безусловно, рассматривает такие возможности. Хотя, надо сказать, мы их просто делим на определенные категории, на катастрофы различного масштаба, не детализируя их происхождение. То есть, понятно, что существует разный набор катастроф. Может быть, например, катастрофа в масштабах одной комнаты, когда у нас штукатурка обвалилась. Я шучу, это понятно. Может быть катастрофа на этаже, катастрофа масштаба дома, здания, масштаба района и масштаба города. Соответственно, мы рассматриваем различные возможности и пытаемся обеспечить нашу безопасность по отношению к каждой из перечисленных категорий угроз. О конкретных мерах я бы говорить не стал, потому что для злоумышленников информация о мерах, которые предпринимает банк, была бы лишней. Я не буду говорить о конкретных мерах. Мы проранжировали те угрозы, которые, с нашей точки зрения, могут возникнуть как в террористическом плане, так и в плане техногенном. Экспертным методом определили вероятность возникновения той или иной угрозы и принимаем определенные меры по минимизации или ликвидации возможных угроз. Вот Михаил Юрьевич уже сказал, что создается дополнительный вычислительный центр, который, фактически, нам позволит повысить надежность, устойчивость и, в какой-то степени, безопасность функционирования нашей корпоративной информационной системы. В случае возникновения каких-то непредвиденных обстоятельств в одном месте, мы сможем без существенных усилий с нашей стороны обеспечить работу бизнеса ресурсами, которые будут располагаться в дополнительном вычислительном центре. Это одна из мер. Работа идет достаточно тяжело, но она идет целеустремленно и целенаправленно. И я думаю, что она будет завершена в ближайшее время. Да, террористическая угроза — это вопрос серьезный. Но я думаю, что те меры, которые мы принимаем, окажутся достаточными в случае возникновения таких угроз. CNews:Спасибо. |
На вопросы CNews отвечают Михаил Коленкин, первый заместитель директора по информационным технологиям «Альфа-Банка», и Валерий Бутенко, заместитель начальника службы экономической безопасности «Альфа-Банка».
Валерий Бутенко: Конечно, как в любом другом банке, проблема недобросовестных сотрудников существует и у нас. Но ни одно из недобросовестных действий, совершенных тем или иным сотрудником, у нас не остается безнаказанным. То есть, мы обладаем определенными знаниями, определенными умениями и терпением для того, чтобы каждый такой случай выявить и довести его до логического завершения. Работа по обнаружению подобных инцидентов выстраивается в рамках опции общей концепции построения системы обеспечения информационной безопасности, как информационной системы банка, так и в целом всей банковской структуры.
