Сколько стоит импортозамещение ИТ в банках и почему это сложно? Интервью TAdviser с главой «Киви Банка» Марией Шевченко
В феврале 2021 года при Комитете Госдумы по финансовому рынку была создана рабочая группа по переходу финансовых организаций на отечественное ПО и оборудование, которую возглавила Мария Шевченко, председатель совета директоров «Киви Банка». В интервью TAdviser она рассказала о текущем уровне зависимости российских банков от импортных технологий и «подводных камнях» импортозамещения в этой отрасли.
Мария, в феврале Комитет Госдумы по финансовому рынку принял решение о создании рабочей группы, которую вы возглавили, по переходу финансовых организаций на отечественное ПО и оборудование. Как вы оцениваете текущий уровень использования отечественного ПО и оборудования в российских финансовых организациях?
Мария Шевченко: Наверное, ни для кого не секрет, что банки в основном используют иностранное ПО. Мы проводили опрос через Ассоциацию банков России летом 2020 года и получили сводный ответ по рынку: доля иностранного ПО превышает 90%. Понятно, что процент разнится в зависимости от класса продукта. Если смотреть, например, на АБС и ПО для решения каких-то специфических отраслевых задач, здесь доля будет меньше — порядка 50%. Связано это с тем, что такие отраслевые решения в целом ориентированы на соответствие локальным стандартам. В частности, АБС помогает формировать отчетность по российским стандартам — отсюда и изначальная потребность в российских решениях, учитывающих специфику местного законодательства. Но и 50% - это высокий процент.
Что касается оборудования, здесь также более 90% - иностранные решения. И мы знаем истории, когда оборудование продается как российское, но если снять наклеенные на него шильдики, то всплывает иностранный производитель. Указом президента будет формироваться спрос в эту сторону, но главное, чтобы было адекватное предложение на рынке.
Избранные цитаты
Неоднократно представителями ЦБ озвучивалась позиция о том, что банки в РФ являются субъектами критической информационной инфраструктуры (КИИ). А в мае 2020 года появился проект указа Владимира Путина, согласно которому объекты КИИ должны «преимущественно» использовать российский софт уже с 1 января 2021 года. Потом обсуждались более поздние сроки – до 2023 года. Как вы оцениваете этот документ?
Мария Шевченко: Этот документ уже несколько раз обсуждался в разных форматах в разных рабочих группах, и на март 2021 года готовится финальная редакция проекта этого указа, которая, думаю, довольно скоро должна быть подписана и вступить в силу. Важно, чтобы документы, которые выйдут, были реалистичными. С одной стороны, мы понимаем задачи обеспечения технологического суверенитета страны и развития ИТ-отрасли страны. Но, с другой стороны, у тех, кто должен переходить на российские аналоги ПО и оборудования, ситуация с бюджетами по итогам 2020 года вышла не самая лучшая. Не все себе могут позволить вкладываться в замену ПО и оборудования.
Когда речь идет о госструктурах, импортозамещение финансирует государство. А где брать средства на это остальным, чтобы уложиться в указанные сроки? Владельцами объектов КИИ являются не только банки, таких организаций много и в других сферах. Одно дело, когда проект ведется постепенно: возникает потребность, выделяются средства, и компания выбирает российское решение. А когда срочно за два года надо все поменять, это вопрос больших денег и устойчивости, в том числе.
У банков, которые по финансовым показателям во второй и третьей сотне, нет достаточных ресурсов, чтобы все это профинансировать. И им что, нужно все, что уже внедрено и используется, просто выкинуть, списать? Это очень крупные расходы, при том, что никто не отменял требования Банка России к капиталу финансовых организаций, к безубыточности и т.д.
В связи с этим очень важно сбалансировать подход к тому, как должно быть реализовано импортозамещение, чтобы не привести к другим негативным последствиям. Мне кажется, мы находимся на таком этапе, когда мы сможем договориться о том, как это можно сделать.
Насколько последняя редакция проекта указа отличается от изначальной версии?
Мария Шевченко: Во-первых, вопрос в сроках. Сроки по переходу на отечественное ПО до 1 января 2021 года – это было нереалистично. Мне кажется, что даже люди, далекие от ИТ, понимают это, а особенно мы, кто работает в финансовой сфере. В текущей версии проекта указа сроки тоже очень сжатые, но там больше гибкости. Если, например, на март 2021 года нет российских аналогов какого-то ПО, то этот момент согласовывается с ФОИВами, формируется запрос для отрасли, и потом, когда аналоги появятся, можно будет планировать переход.
Плюс предполагается, что должен быть сформирован план этого перехода и согласован на уровне правительства. Это уже какой-то диалог и конструктив.
Банки, особенно крупные, являются владельцами объектов критической информационной инфраструктуры (КИИ). Недавно в ФСТЭК говорили о том, что закон о безопасности КИИ (187-ФЗ) действует уже три года, но исполнение его очень слабое. Насколько для банков характерна такая ситуация?
Мария Шевченко: Действительно, ситуация непростая. И даже на рабочей группе рассматривался отчет о том, что категоризация объектов КИИ производится самими банками. Понятно, что сами банки могут у себя проводить категоризацию по-разному. ФСТЭК говорил, что на март 2021 года, получается, всего 63 объекта сами себя признали объектами КИИ, что, безусловно, мало. Возможно, помочь сможет внимание Банка России к этой проблеме: чтобы они согласовывали категоризацию, относится тот или иной объект к КИИ или нет.
Тем не менее, движение в банках видно. Мы все понимаем проблематику, понимаем, что в ПО и оборудовании могут быть «закладки», и многие банки находятся в активном диалоге с Банком России, устраивают сами себе проверки защиты. К нам, например, приходили с проверкой в 2021 году и все досконально проверяли. Наверное, первая сотня банков активно движется в эту сторону.
В каких сегментах наиболее высока зависимость от импортных технологий? В каких заместить импортные решения сложнее всего?
Мария Шевченко: Кажется, что на март 2021 года самая большая проблема в СУБД. В основе даже популярных российских АБС – иностранная СУБД. Многие банки пользуются Oracle – корпоративной СУБД №1 в мире. Есть ли российские СУБД такого же качества? Нет. Особенно если вопрос касается крупных банков с их объемами транзакций и скоростью обработки. Также можно говорить, например, о системах виртуализации и контейнеризации.
Что касается оборудования, здесь тоже не секрет: многие используют hi-end решения для хранения данных, такие, как, например, IBM 8000-й серии. Мне не известны аналоги такой же производительной и защищенной СХД с такой же емкостью. Наверное, это будет важный аспект.
Из наименее проблемных сегментов – АБС. На российский продукт здесь точно многие могут перейти, потому что отечественные АБС адаптированы к нашим стандартам учета, к требованиям Банка России и т.д. Мы и сами пользуемся АБС «Инверсия», которая уже не один десяток лет на рынке.
Важный момент, что за годы вокруг импортного ПО наросло много приложений, коннекторов. Чтобы все это переписать, требуются огромные трудозатраты. Недостаточно просто поменять АБС, придется переписать великое множество связей, которые есть, причем без остановки предоставления сервисов клиентам. Думаю, это самая большая проблема. Также проблематика в том, что мы не какие-то отдельные хозяйствующие субъекты, у нас есть обширные взаимосвязи и с другими финансовыми организациями, с Банком России, с платежной системой «Мир», системой быстрых платежей и т.д. Поэтому здесь требуется синхронизация со стороны Банка России. Если ее не будет, это может привести к сбоям в обслуживании клиентов. Это большая тема, чтобы Банк России взял на себя лидирующую роль в оркестрации перехода на отечественное ПО и оборудование.
А если говорить о системах безопасности, антифрод системах? Сбербанк, к примеру, недавно сообщал о замене импортных решений в системе информационной безопасности. Здесь тоже много отечественных решений, это развитая сфера.
Мария Шевченко: С этим я соглашусь. У QIWI, в частности, также есть свое антифрод-решение. При этом внутри мы применяем и российские, и зарубежные разработки. Сфера действительно развитая, в ней переход будет не такой болезненный.
Но все же не стоит забывать про время реагирования. Важно учитывать скорость реакции, ответа, чтобы не пострадать от атак. Это особенно касается тех компаний, у которых нет сильной внутренней ИТ-команды с экспертизой в разработке.
В частности, обсуждается создание дочерней компании «Ростелекома», которая могла бы при поддержке ЦБ предоставлять малым и средним банкам услуги по защите от хакерских атак и вирусов за абонентскую плату.
Кто является двигателем того, чтобы Банк России брал на себя больше функций, связанных с импортозамещением?
Мария Шевченко: Тему про лидирующую роль Банка России, про то, что она нужна, мы подняли только 8 февраля на круглом столе при Комитете Госдумы по финансовому рынку. И Банк России поддержал эту идею. До этого тема широко не обсуждалась. Видимо, пришло осознание, к чему может привести, если каждый банк пойдет своим путем.
Как обстоят дела с импортозамещением в самом «Киви банке»? В каких направлениях удалось произвести импортозамещение к сегодняшнему дню?
Мария Шевченко: У нас, наверное, ситуация с этим несколько получше, чем у других, потому что QIWI изначально делала ставку на собственное ПО. Во многих других банках понимание, что они не просто банки, но также ИТ-компании, пришло позже. А у нас всегда были собственные команды, собственные разработки.
На март 2021 года у нас вопрос в том, как признать эти собственные разработки именно российскими, потому что пока законодательство не позволяет взять и просто внести их в реестр. Один из вопросов связан с владением компанией: какой процент компании должен быть у российских бенефициаров, чтобы признать, что это действительно российское ПО. И аналогичная проблема у других банков, чьи акции котируются на биржах. Поэтому, с одной стороны, у нас много что сделано собственными силами в России, а с другой, вопрос в том, как это легализовать.
План импортозамещения в нашем банке мы еще не делали, так как мы ждем финальных формулировок указа, они периодически меняются.
Как вы в целом оцениваете роль инсорсинга в процессе импортозамещения? В каких направлениях банки скорее стремятся разработать ИТ-продукты собственными силами? В каких – воспользоваться готовыми продуктами?
Мария Шевченко: Безусловно, in-house разработка не всегда целесообразна, потому что бывает, когда вам нужно что-то быстро, это можно купить на рынке, и это будет быстрее, чем разрабатывать самим с нуля. И не все могут себе позволить держать у себя in-house разработку. Но, конечно, это важное направление. У многих есть in-house разработка, поэтому нельзя ее вычеркивать из импортозамещения, это ведь тоже развивает рынок.
Если говорить о направлениях разработки, где чаще всего используются собственные силы, то чаще всего это свои мобильные банки, кредитные конвейеры. Также многие экспериментируют с машинным обучением.
Существуют ли оценки объема денег, которые потребуются на импортозамещение ПО и оборудования в российской банковской системе? Оценивали ли вы необходимые инвестиции на импортозамещение ПО и оборудования в «Киви банке»?
Мария Шевченко: Мы в рамках опроса Ассоциации банков России делали расчет по финансовому рынку. Денег требуется много. Минимальная сумма для всего финансового сектора – 700 млрд рублей. Но нужно понимать, что это первоначальная оценка, а в процессе перехода может оказаться, что нужны дополнительные расходы, потому что изначально что-то не учли.
А если смотреть на затраты отдельных участников рынка, они могут варьироваться в зависимости от масштаба банка и текущего уровня использования российского ПО. Но это все равно большие деньги: от 80 млн до 150 млрд рублей, как сами у себя оценивали участники рынка. И общая сумма складывается из их совокупных оценок.
По «Киви банку» мы точную сумму не раскрываем, но, как я упоминала, расходы начинаются от 80 млн рублей…
Понятно, что у таких «монстров» рынка как Сбербанк, есть деньги на импортозамещение. Но, как вы уже заметили, для небольших банков это может быть проблемой. Какие, по вашему мнению, есть пути решения этой проблемы, чтобы помочь небольшим банкам тоже перейти на отечественные решения?
Мария Шевченко: Хороший вопрос. С точки зрения информационной безопасности, о чем я упоминала, на март 2021 года идет обсуждение с «Ростелекомом» о помощи банкам: чтобы не каждый банк отдельно потратил большие деньги на закупку инфраструктуры, а мог получать защиту, безопасность платежей от «Ростелекома» на основе его инфраструктуры, на его российском ПО и оборудовании. Это хороший вариант.
Если есть варианты использования инфраструктуры какого-либо банка или еще кого-то, это может быть решением. Есть вариант, когда, например, банки дают за деньги возможность другим использовать свою инфраструктуру. Может быть, это подходит не для всего рынка, но, по крайней мере, для каких-то организаций это можно сделать.
А так, надо давать небольшим банкам больший срок, чтобы они переходили на отечественные решения более плавно и без финансового ущерба для себя.
Кто вошел в рабочую группу Комитета Госдумы помимо вас? Каков перечень ключевых первостепенных вопросов к обсуждению в рамках рабочей группе? Что уже сделано в рамках этой работы?
Мария Шевченко: В рабочую группу вошли ключевые ФОИВы – Минцифры, ФСТЭК, ФСБ, МВД, Центробанк. Также в нее вошли участники финансового рынка – биржа и ряд банков. Благодаря нашим совместным усилиям, а особенно взаимодействию с Минцифры, выступающим разработчиком проектов нормативных актов, удалось в короткие сроки решить ряд крайне важных вопросов, стоящих перед финансовым рынком.
Наше главное достижение — договоренности об участии Банка России, как профильного регулятора, в контроле за процедурой перехода. Участие ЦБ имеет действительно большое значение для рынка: именно он поможет учесть специфику финансового сектора и осуществить переход с минимальными рисками для финансовой системы. Мы также пришли к соглашению, что срок утверждения субъектом КИИ индивидуального плана перехода должен быть скорректирован. Предлагается заменить текущую фиксированную дату на определенный период после вступления в силу постановления правительства, регламентирующего переход. Наконец, было решено, что при рассмотрении отечественных аналогов будут учитываться эксплуатационные и функциональные характеристики программного обеспечения и оборудования. Необходимость ориентироваться на функциональность – важный момент, который предопределяет возможность использования аналога.
Стоит отметить, что ряд вопросов еще остались открытыми.
Во-первых, необходимо решить вопрос возможности использования собственного ПО субъекта КИИ. Он может быть решен либо через исключение собственного ПО из требований о необходимости его импортозамещения, так как использование и поддержание такого ПО осуществляется субъектом КИИ самостоятельно в своих внутренних процессах, либо через введение упрощенных процедур, позволяющих с ним работать.
Во-вторых, это вопрос распространения требований об импортозамещении только на значимые объекты КИИ. На март 2021 года эти требования распространяются, в том числе, и на ПО и оборудование, не влияющее по сути на критическую инфраструктуру. Что, с учетом крайне сжатых сроков, мешает субъектам КИИ сосредоточиться на важнейших для государства объектах. Кроме того, требования распространяются и на небольших участников рынка, являющихся субъектами КИИ и не обладающих значимыми объектами, например, небольших брокеров или ломбарды, для которых затраты на импортозамещение с учетом их доходности могут быть непосильными, в то время как последствия от отсутствия у них такого импортозамещения не столь значительными на уровне государства.
В-третьих, все еще остро стоит вопрос конечных сроков реализации импортозамещения. Текущие сроки с учетом необходимости перевода абсолютно всего ПО и оборудования выглядят все еще труднореализуемыми.
По вашим собственным оценкам, какие сроки перехода были бы наиболее реалистичными?
Мария Шевченко: Этот вопрос мы обсуждали с Центробанком, и даже они согласились с тем, что сроки перевода ПО – это 5-6 лет, а оборудования – еще дольше, до 2030 года. Это было бы реалистично.