Банкиров предупредили об опасности использования иностранного софта

Банк России настоятельно рекомендует кредитным организациям при разработке профильного программного обеспечения обратить внимание на "защиту от утраты прав (лицензий) на использование" банковских программ. Это следует из подписанного председателем ЦБ Эльвирой Набиуллиной распоряжения № Р-556, которым вводятся в действие рекомендации "по обеспечению информационной безопасности организаций банковской системы" (есть у "Известий"). Обеспечить защиту банки должны уже с 1 сентября текущего года, когда эти рекомендации вступят в силу.

Ранее замначальника Главного управления безопасности и защиты информации ЦБ Артем Сычев высказывал опасения, что в связи с введенными против России санкциями банки в лучшем случае могут потерять техподдержку от IT-гигантов, а в худшем — право пользования лицензиями на программные продукты. В мае подобные угрозы прозвучали от американских IT-компаний. В частности, представители IT-гигантов Microsoft, Oracle и Symantec заявляли, что готовы прервать отношения с российскими партнерами и отозвать лицензии на уже проданные программы.

— Фактически Банк России рекомендовал кредитным организациям при заключении лицензионных соглашений исключать (или как минимум ограничивать) право лицензиара отзывать лицензию, — говорит директор департамента финансового мониторинга и защиты информации некоммерческого партнерства "Национальный платежный совет" Наталья Приезжая. — Банк России последователен в своих действиях. Так, в проекте указания "О требованиях к информационным технологиям, используемым операторами услуг платежной инфраструктуры, для целей признания платежной системы национально значимой платежной системой" отмечено, что лицензионные соглашения должны предоставлять право использования программных средств на территории Российской Федерации в течение не менее 5 лет, а также предусматривать обязанность лицензиара по обновлению версий программных средств.

Как показал опрос "Известий", участники рынка разделяют опасения регулятора, но не знают, как выполнить его рекомендации.

— Как правило, именно правообладатели диктуют условия банкам при разработке программного обеспечения, а не наоборот, — констатирует менеджер банка из топ-10. — При этом закон в настоящее время на их стороне, а не стороне заказчика.

Как уже писали "Известия", на рассмотрении Госдумы находится законопроект, согласно которому регуляторов рынка обяжут защищать не только производителей программных продуктов или лицензионных соглашений на компьютерный софт, но и потребителей. Однако рассмотрят его депутаты не раньше осени.

В любом случае подобные рекомендации необходимы, уверена руководитель службы внутреннего контроля Абсолют-банка Елена Букина.

— Особенно они актуальны для небольших кредитных организаций. Крупные игроки рынка уровня как минимум топ-50 внедряют лучшие мировые практики по защите данных самостоятельно, поскольку заинтересованы в этом и имеют для этого ресурсы, — говорит она.

Хотя формально документ является рекомендательным, при проверке кредитной организации инспектора руководствуются именно такими документами, отмечает аналитик экспертного центра Taxadmin.ru Максим Ратников.

— Несоответствие деятельности кредитной организации рекомендациям Банка России оформляется в акте проверки кредитной организации, а иногда в том или ином виде включаются в предписание Банка России об устранении нарушений. А предписание Банка России в адрес кредитной организации является для этой кредитной организации уже обязательным к исполнению, — соглашается Наталья Приезжая.

В Центральном банке не стали комментировать выпущенные им рекомендации.

— ЦБ, конечно, может требовать от банков всё что угодно, однако выполнить это требование могут только те игроки, которые разрабатывают свой собственный банковский софт. Тут это требование ЦБ логично и реализуемо, — считает глава Ассоциации по развитию электронной коммерции Герман Клименко. — Правда с достаточными сложностями, так как замена баз данных (БД) не является тривиальной задачей. Будет не просто заменить иностранное ПО отечественными разработками. Директивно эту проблему не решить.