Банки сами виноваты в сбоях своих приложений
За их устойчивостью стоит следить лучше, считает ЦБСбои в мобильных приложениях банков происходят едва ли не каждую неделю, клиенты иногда часами не могут провести операции или вообще зайти в систему. По данным Downdetector, за последний месяц сбои были у «Тинькофф банка», ВТБ, Сбербанка и Альфа-банка. Клиенты в основном жалуются, что не могут совершать определенные операции, войти в приложение или на сайт. Последний раз сбой был зафиксирован у ВТБ – 30 августа пользователи с 10.15 мск начали сообщать о проблемах со входом в мобильное приложение. Об устранении проблемы банк сообщил спустя почти четыре часа.
Центробанк считает, что банкам следует лучше следить за работой и устойчивостью своих сервисов: сбои должны будут устраняться за два часа, говорится в новом проекте положения регулятора. Поскольку вся жизнь банка сосредоточена в IT-инфраструктуре, важно, чтобы каждый внимательно следил за надежностью ее работы, отмечает представитель ЦБ: неработоспособность сервисов вызывает негативную реакцию со стороны клиентов и снижает уровень доверия. Кроме того, нарушения операционной надежности, т. е. работы внутренних сервисов банка, способны привести к финансовым потерям как самих банков, так и клиентов, поясняет он.
Где сбой
Большая часть сбоев происходит на стороне самого банка, говорит собеседник «Ведомостей», знакомый с ходом разработки проекта положения ЦБ. Причин недоступности сервисов банка может быть несколько – несвоевременное обновление элементов инфраструктуры, недостаточный уровень контроля качества программного обеспечения в части как работы функционала, так и обеспечения необходимой нагрузки, перечисляет старший вице-президент по информационным технологиям и цифровой трансформации бизнеса банка «Ренессанс кредит» Денис Сотин.
Сбои повсюду
На Западе сбои в работе порталов и приложений финансовых институтов не редкость и часто затрагивают крупные банки. На Bank of America жалобы поступают примерно раз в минуту, на Citibank – каждые две минуты, сообщал ресурс downdetector.com. У первого больше проблем с приложением, а у второго – с сайтом. Но эти случаи включают в себя все возможные причины недоступности сервисов, в том числе и те, к которым банк не имеет отношения.
В 2020 г. зафиксировали около десятка крупных сбоев, когда поступают тысячи жалоб. Проблемы были у TD Ameritrade, BBVA Bancomer, Charles Schwab, Merrill Lynch. В 2021 г. сбоев было не меньше: пользователи жаловались на интернет-порталы Merrill Lynch, PayPal, Capital One, TD Bank, Cash App, KuCoin, American Express, Citi, следует из данных downdetector.
Например, последний подобный сбой был 31 июля у Merrill Lynch, когда сайт плохо работал пять часов. «Не удается войти на веб-сайт с нескольких компьютеров и разных браузеров <...> Сделки заполняются, но они не регистрируются на платформе Merrill как заполненные <...> На всех моих счетах отображается $0! Приложения для мобильных телефонов тоже не работают», – жаловались пользователи в комментариях на портале.
Скорость развития технологий и тестирование новых бизнес-моделей вынуждают банки запускать системы в работу без должной отладки, отмечает бизнес-консультант по безопасности Cisco Алексей Лукацкий.
Сбои из-за внешних проблем происходят реже и могут быть вызваны, например, аварией у внешних провайдеров или DDoS-атаками, затрагивающими как основные, так и резервные каналы связи, говорит руководитель IT-блока банка «ФК Открытие» Сергей Русанов. Именно из-за повреждения сразу двух оптоволоконных кабелей в центре Москвы в августе 2017 г. произошел сбой у «ФК Открытие»: клиенты испытывали проблемы с проведением платежей по картам и снятием наличных в банкоматах.
Как банки отслеживают сбои
Сейчас у каждого банка свой порядок действий в случае возникновения нештатной ситуации. О проблеме они узнают либо от пользователей, либо от IT-подразделений, которые мониторят работоспособность как всего приложения, так и отдельных его компонентов, рассказывает директор департамента розничного бизнеса «Абсолют банка» Виталий Костюкевич. Сначала с проблемой работает первая линия IT-поддержки, далее в зависимости от степени проблемы могут подключаться разработчики внутри банка или внешние партнеры, объясняет эксперт. Каждой ситуации присваивается степень критичности и определяется плановое время устранения. Действия по устранению сбоя зависят от его природы – проблема на стороне партнера (провайдера, поставщика стороннего сервиса и проч.) или же причина внутри, говорит директор по развитию информационных технологий УБРиР Сергей Щербинин.
У ВТБ операционную устойчивость обеспечивает круглосуточно работающий ситуационный центр, рассказывает представитель банка: он в режиме реального времени оценивает состояние как сервисов банка, так и внешних факторов, влияющих на предоставление услуг. Ситуационный центр ВТБ реагирует на любое отклонение от стандартного течения процессов.
ЦБ пока не накладывает на поднадзорных обязанность применения каких-то конкретных мер в случае сбоев и не устанавливает критерии их выполнения, говорит совладелец компании RuSIEM Максим Степченков: банки сейчас сами определяют, как внутренние подразделения – рисковики, информационная безопасность, IT-службы – будут обеспечивать операционную устойчивость. По его словам, за рубежом эта работа часто находится в компетенции риск-подразделений банка. То же самое ЦБ хочет сделать и в России, считает Степченков: сейчас состав участников процесса и распределение их ролей в России нормативно не закреплены.
Банки стараются
Если банк не восстановит работу сервисов за два часа, он будет обязан отправить уведомление в ЦБ, указав, какие меры принял для устранения, говорится в документе регулятора. Точно так же сейчас банки отчитываются, если их системы безопасности пытаются атаковать кибермошенники. Если организация нарушит двухчасовой срок, регулятор имеет право требовать устранения нарушений, а также может применить другие меры надзорного реагирования, сообщил представитель ЦБ. Например, назначить штраф до 1% уставного капитала, ввести ограничения и запреты на осуществление определенных видов деятельности. Самая строгая мера – отзыв лицензии.
Банки сами не заинтересованы в том, чтобы сбои продолжались долго: недоступность систем и сервисов несет не только репутационные издержки, но и прямые убытки для банков – падают объемы бизнеса и происходит отток клиентов, объясняет Русанов из «ФК Открытие». Незапланированные нарушения работы дистанционных каналов и сейчас устраняются в срок от получаса до часа, говорит директор по развитию электронного бизнеса «Почта банка» Анастасия Масленникова. Текущие внутренние нормативные, а также фактические показатели количества и длительности сбоев в работе IT-сервисов «ФК Открытие» меньше озвученных в проекте ЦБ, говорит Русанов. ВТБ планирует довести надежность систем до такого уровня, чтобы простои не превышали 53 минут в год, говорит представитель госбанка.
Со сбоями из-за внешних проблем сложнее. Время устранения сбоя тут уже не зависит ни от состояния банковских информационных систем, ни вообще от усилий IT-специалистов банка, признает Русанов. Хватит или не хватит указанного ЦБ времени на ликвидацию сбоя, зависит от ситуации, отмечает он. Гарантировать устранение любой нештатной ситуации за какое-то строго установленное относительно короткое время в принципе невозможно.
Право ЦБ устанавливать требования к операционной надежности банков для бесперебойного оказания услуг было определено только в прошлом году. Риски будут расти по мере цифровизации банковского сектора, признает представитель ЦБ: это подтверждается результатами регулярного мониторинга доступности сервисов банков, который проводит подразделение регулятора – «ФинЦЕРТ».
По мнению Лукацкого, будут расти проблемы еще и из-за импортозамещения. С 1 января 2023 г. банки должны будут начать постепенный переход на использование отечественного программного обеспечения (ПО) и техники, так как относятся к субъектам критической информационной инфраструктуры. Использование преимущественно иностранного ПО и оборудования банки объясняли тем, что на российском рынке отсутствуют полные аналоги, соответствующие требованиям банков в части функционала и информационной безопасности, писал РБК. Их замена может приводить к проблемам с информационной безопасностью, сбоям в банковских системах и снижению качества обслуживания, отмечали банки.
Кто вернет деньги
Из-за сбоя в приложении банка клиент может не успеть вовремя внести платеж по кредиту. Количество таких жалоб единично, поэтому банки работают с ними в индивидуальном порядке, говорит Костюкевич из «Абсолют банка». Банк может пойти клиенту навстречу и не назначать штрафы по кредиту, отмечает он.
Если клиент захочет взыскать с банка ущерб, то одного факта неработоспособности приложения, сайта или отсутствия интернет-соединения будет недостаточно, отмечает партнер коллегии адвокатов Pen & Paper Сергей Учитель. По его словам, клиенту придется доказывать не только размер причиненного ущерба и вину лица, отвечающего за их работу, но и тот факт, что отсутствовала иная возможность без несоразмерных затрат произвести платеж. Например, сделать это с помощью другого сервиса или же в отделении.
Получить компенсацию за неработающий сервис или приложение сложно, потому что соглашения об условиях использования конкретного продукта зачастую довольно сильно ограничивают ответственность разработчика, пояснил адвокат BMS Law Firm Владимир Шалаев. Также надо установить причины, по которым не работало приложение (из-за проблем со стороны пользователя или со стороны банка), добавил он.
Если из-за сбоя в банке у гражданина возникают проблемы с исполнением своих обязательств, например по кредиту или оплате какого-либо договора, то ему следует тщательно зафиксировать факт сбоя: сделать скриншоты, зафиксировать попытки совершить операцию, рассказал гендиректор агентства «Бизнес дром» Павел Самиев. Именно собранные факты станут доказательной базой, когда клиент будет утверждать, что пытался добросовестно исполнить свои обязательства. По его словам, в случае если у заемщика кредит в одном банке, а сбой случился в другом, где хранились его деньги, то банк-кредитор не обязан учитывать этот факт. Но гражданин может сделать запрос на реструктуризацию в связи со сбоем, а банк имеет право пойти ему навстречу и не применять штрафные санкции. Если же договориться не получится, то заемщик может обратиться в суд, чтобы представить доказательства, что он действительно пробовал исполнить свои обязательства, полагает Самиев.