19.2.18

#ibbank Направления развития финтеха ЦБ в проекции на деятельность безопасников

Одной из задач любого руководителя ИБ является учет не только сиюминутных потребностей своей организации, но и анализ тенденций, которые будут влиять на предприятие и на обеспечение его безопасности. В своей презентации о тенденциях ИБ в мире и России я уже приводил 5 ключевых направлений, которые влияют на кибербезопасность финансовых организаций:
  • угрозы
  • нормативка
  • бизнес
  • финтех
  • ИТ.
Вот собственно о последних двух и будет эта заметка. На самом деле это будет не полноценный текст, а скорее иллюстрация из презентации первого заместителя Председателя Банка России Скоробогатовой Ольги Николаевны, которая курирует в ЦБ направления ИТ и финтеха, а также НПС и ряда других.


Посмотрите на эту высокоуровневую схему того, чем планирует заниматься ЦБ в ближайшее время. Два блока - развитие текущих и разраобтка новых направлений. Их текущих:

  • перспективная платежная система
  • НСПК (альтернатива международных платежных систем)
  • СПФС (альтернатива международного SWIFT)
  • ЕСИА (в части биометрической удаленной идентификации)
  • распределенные реестры (то есть блокчейн).
Из новых, и это самое интересное, надо выделить:
  • Финансовый маркетплейс. Это некий аналог eBay или Интернет-магазина, но для финансового рынка, где будут сосредоточены все финансовые продукты потребителя и он сможет увидеть свои вклады, ценные бумаги, заказать полис ОСАГО в понравившейся страховой компании. Задача ЦБ - следить за всеми финансовыми транзакциями граждан.
  • Платформа для регистрации финансовых сделок. Эта система позволит гражданину отслеживать все свои операции по всем финансовым продуктам и в спорных ситуациях использовать эту информацию в суде. По сути речь идет о смарт-контрактах.
  • Платформа быстрых (мгновенных) платежей. Система на базе мастерчейна (блокчейна) предназначена для проведения мгновенных розничных платежей.
  • Сквозной идентификатор клиента. Этот ID, в том числе и на базе биометрии, нужен для того, чтобы заработал финансовый маркетплейс и потребитель имел единый и сквозной идентификатор для всех своих продуктов.
  • Платформа для облачных сервисов. Ну тут все ясно. Чтобы заработало все вышеописанное нужна облачная платформа.
Учитывая, что часть упомянутых систем уже пилотируется, то у безопасников финансовых организаций в самом ближайшем времени начнутся интересные времена, которые потребуют новых знаний и компетенций. Недавно в Фейсбуке Дима Мананников задался риторическим вопросом: "Почему безопасники так прохладно относятся к таким темам как блокчейн, смарт-контракты и т.п.?" Да, уязвимости активно изучаются хакерами всех оттенков серого, но вот сами безопасники пока не очень погружаются в то, что уже активно внедряется финтехом по всему миру. Это может в очередной раз привести к риторическому вопросу, зачем нужен безопасник, который не понимает потребностей бизнеса?

Кстати, на иллюстрации Ольги Скоробогатовой есть еще один интересный фрагмент, который потребует внимания безопасников - API ко всем упомянутым системам. Дело в том, что многие из предлагаемых ЦБ платформ будут разработаны либо им самим, либо отдельными игроками рынка, коих будет всего несколько. А значит решать вопросы безопасности в них придется их авторам и эксплуатантам (операторам). А вот интеграция с ними через API - это то, что должно будет волновать безопасника любой финансовой организации, так как именно через API смогут реализовываться многие атаки на централизованные платформы из доклада первого зампреда ЦБ.

ЗЫ. Интересно, что в программе Уральского форума, все эти темы, исключая удаленную идентификацию и НСПК, не нашли никакого отражения. И это тоже показательно :-(