ПСБ предложил вводить штрафы для недобросовестных вендоров банковских решений

Необходимо закрепить на уровне государства ответственность за недобросовестную работу вендоров, работающих в сегменте значимых объектов критической информационной инфраструктуры (ЗО КИИ). С такой идеей выступил старший вице-президент, руководитель блока информационных технологий Промсвязьбанка (ПСБ) Никита Шамрай на Уральском форуме по кибербезопасности в финансах. К ЗО КИИ в банках относятся, например, автоматизированная банковская система, процессинговое программное обеспечение (ПО), технические решения для дистанционного банковского обслуживания физических и юридических лиц и проч.

В процессе импортозамещения ПСБ столкнулся с большим количеством проблем, связанных с вендорами, рассказал Шамрай. По его словам, даже такие простые системы, как мессенджеры, ВКС и проч., банк «скрежеща зубами» устанавливал в собственную инфраструктуру. «Поэтому когда приходит вендор и говорит, что он все сделает в срок и у него все есть – это значит, что надо разворачиваться и уходить, потому что у него точно ничего нет», – сказал Шамрай.

Чтобы как-то нивелировать в будущем эти сложности, он предлагает прописать на уровне государства ответственность вендоров, например, в виде штрафов. С этой инициативой ПСБ обратится в Индустриальный центр компетенций (ИЦК; курирует выполнение проектов импортозамещения), чтобы хотя бы перед новыми банками, которые только начинают импортозамещение, у вендоров сегмента ЗО КИИ была ответственность. Потому что сейчас она есть только на уровне договорных отношений и работает это очень плохо, признался Шамрай.

ПСБ ранее обращался в ЦБ, Минцифры и к другим регуляторам, обсуждения велись в рабочем порядке, уточнил Шамрай «Ведомостям». Сейчас банк хочет опять активно продвигать эту тему – вначале обратиться в ИЦК, а затем – в разные отраслевые комитеты, добавил он.

Также Шамрай предложил создать дополнительные тестовые зоны для проверки интеграции различных решений, потому что «на рынке есть хорошие решения, которые по отдельности хорошо работают, но когда начинаешь их объединять, – не работает ничего». К тому же, инфраструктурный слой и решения, которые не требуют индивидуальности для большинства банков, нужно тестировать с окружением, чтобы впоследствии небольшие банки могли это использовать и не думать о том, что могут возникнуть проблемы, отметил он.

Мнение рынка разделилось.

В «Почта банке» поддерживают инициативу по введению ответственности для вендоров и предлагают закрепить это законодательно в виде стандарта, а форму ответственности определить в зависимости от критичности нарушения, сказал «Ведомостям» представитель банка.

Но представители Совкомбанка и банка Дом.РФ придерживаются другого мнения. В рамках реализации проектов по ЗО КИИ для вендоров уже предусмотрены довольно серьезные требования и меры ответственности, говорит зампредседателя правления банка Дом.РФ Николай Козак. В частности, для оказания услуг и выполнения работ на значимых объектах критической инфраструктуры могут привлекаться только поставщики, имеющие необходимые лицензии и сертификаты соответствия регуляторов, приводит он пример. ЦБ и другие ведомства, ответственные за импортозамещение, выстроили плотное рабочее взаимодействие с вендорами для выполнения необходимых действий в срок, отмечает заместитель председателя правления Совкомбанка Альберт Борис. Поэтому у вендоров уже есть ответственность за те дорожные карты, которые они обсуждают с ведомствами, уверен он. К тому же, вопросы привлечения поставщиков к ответственности могут регулироваться в рамках договорных отношений, добавляет Козак. За нарушение условий соглашения, ненадлежащее исполнение обязательств поставщик может быть привлечен к ответственности в виде возмещения убытков, взыскания неустойки и др., поясняет банкир.

Применение штрафов к вендорам может быть нежелательным решением, потому что в процессе импортозамещения важно взаимное сотрудничество и ответственность обеих сторон, считает руководитель направления по развитию ИБ-интегратора «Телеком биржа» Александр Блезнеков. Вендоры, разрабатывающие программное и аппаратное обеспечение, уже проходят множество процедур для обеспечения соответствия своей продукции, напоминает он: получение сертификатов ФСТЭК или ФСБ России, включение в реестры Минцифры и Минпромторга и т. д. Заказчики, в свою очередь, при приобретении и внедрении средств защиты информации могут уже на этапе предварительного отбора привлечь стороннюю организацию или использовать собственные ресурсы для проведения испытаний продуктов на соответствие требованиям, рассуждает Блезнеков. Поэтому вместо введения штрафных мер он предлагает сфокусироваться на разработке понятной и регламентированной процедуры закупки средств защиты информации, которая будет прозрачна и удобна для всех участников.

Сегодняшний рынок напоминает «танцы на минном поле», рассуждает директор департамента расследований T.Hunter Игорь Бедеров: банки ждут гарантий, вендоры боятся ответственности, а регуляторы не хотят выступать в роли искры, от которой разгорится пламя. Но без четких правил игры ситуация может закончится взрывом, уверен он. Поэтому Бедеров поддерживает идею дополнительного регулирования. В противном случае единственным путем для защиты законных интересов будет обращение в суд и передача данных о компании в список недобросовестных поставщиков, а этот путь долог и тернист, отмечает он. Возможным компромиссным решением могут быть не штрафы, а «технологический паспорт» для вендоров, предполагающий прозрачные процедуры сертификации, страховки и стандартизации, предлагает Бедеров.

Введение ответственности вендоров может увеличить темпы импортозамещения, считает замдиректора по трансферу технологий ЦК НТИ «Технологии хранения и анализа больших данных» на базе МГУ Тимофей Воронин. Но есть ряд моментов, вызывающих озабоченность и вопросы, отмечает он. Во-первых, реализация этой инициативы приведет к дополнительной нагрузке на органы государственной власти. Во-вторых, ужесточение ответственности может повлечь сокращение количества компаний, занимающихся поставками оборудования. Более того, ужесточение контроля приведет и к увеличению расходов вендоров, что в конечном итоге приведет к росту цен на их продукцию, рассуждает Воронин.

Поэтому для решения проблемы недобросовестной работы вендоров Воронин предлагает более детально прописывать положения договоров, включая подробное описание сроков поставки и детализированное техническое задание. Также стоит увеличить вес нестоимостных критериев оценки, чтобы отсечь недобросовестных поставщиков, использующих демпинг для заключения договоров в рамках конкурсных процедур, продолжает он. Необходимо активизировать взаимодействие банков по вопросу выявления недобросовестных поставщиков в рамках заключения прямых договоров, предлагает Воронин. По его мнению, данная мера позволит сократить количество случаев невыполнения условий договоров и повысит востребованность добросовестных поставщиков.

Первый этап импортозамещения завершился 1 января 2025 г. – к этому числу, согласно указу президента, ЗО КИИ, которыми владеют, в частности, банки, операторы связи, госорганы и т. д., должны работать только на отечественном ПО. Около 50 крупнейших финансовых организаций, в числе которых были Сбербанк, ВТБ и ПСБ, подтвердили, что уложились в установленный срок, писали «Ведомости».