Система защиты в банковских системах
Содержание:
ВВЕДЕНИЕ
В современном мире информационных технологий первостепенной задачей является защита банковской информации. Ее ценность и значение многократно возросли, что, в свою очередь, повышает риск незаконных действий к ней. Банк всегда должен быть готов к отражению любых атак и попыток вторжения злоумышленников разного уровня. Необходимость обеспечивать безопасность хранения данных, регулярная смена и проверка паролей и контроль вероятности утечки информации стали неотъемлемой частью работы каждого банка. Также требуется защита данных от недобросовестного персонала. Чтобы существенно снизить риски, касающиеся репутации банка и финансовой стороны, потребуется обеспечить защиту:
- базы данных;
- рабочих станций сотрудников;
- компьютерных сетей;
- терминалов рабочего персонала;
- банкоматов от вредоносных кодов и вмешательства инсайдеров.
Злоумышленники могут осуществить успешную кибератаку, используя для достижения своих целей только одну уязвимость в системе защиты организации. Такая возможность объясняется взаимосвязанностью сервисов, а одиночные атаки, которые не представляют непосредственной угрозы по отдельности, в совокупности позволят без какого-либо существенного вмешательства вторгаться в важнейшие системы.
Как и почти любая сложная структура, информационная система уязвима для сбоев. Эти нарушения могут быть как случайными, так и преднамеренными, и могут быть вызваны как внешними, так и внутренними причинами. Соответственно, на всех этапах жизни системы должны приниматься специальные меры для обеспечения ее надежного функционирования и безопасности.
Системы, обеспечивающие информационную безопасность финансовой организации, должны включать защиту ИТ-периметра организации, защиту программных сред от всех видов несанкционированных изменений. Также важно проводить детальное протоколирование внутрисистемных действий, что позволит оперативно реагировать на попытки вторжения.
Современные устройства в основном не защищены от заражения различными вредоносными кодами, которые могут осуществить кражу финансовых данных или захватить контроль над управлением системой. Защита платежных терминалов и банкоматов в этом случае будет недостаточной. Например, все торговые точки, использующие платежные карты вашей организации, могут представлять потенциальную угрозу. Для устранения опасности можно защитить POS-терминалы только с помощью специализированного программного обеспечения. Финансовая отрасль в целом должна быть заинтересована в защите банковской информации, а не в ее отдельной организации.
Нарушения, вызванные внутренними причинами, устраняются, прежде всего, методами обеспечения надежности. При этом ИС имеют много общего с другими сложными системами, с точки зрения причин неисправностей и проявлений отказов. Специфическим воздействием на ИС являются так называемые компьютерные вирусы. Они вносятся в систему извне и в определенном виде проявляются при ее работе как внутренняя неисправность.
Особую заботу должна вызывать хранящаяся в системе информация, утрата которой может причинить владельцу значительный ущерб. К тому же информация может быть еще и предметом посягательств, которые необходимо пресекать. В этом плане информационные системы имеют существенную специфику. Защищенность информационных систем позволяет обеспечить секретность данных и операций с ними в системах на основе ЭВМ. Для обеспечения защищенности информационных систем созданы специальные технические и программные средства.
Также важно уделять особое внимание технологии блокчейн, поскольку она открывает возможности для создания безналичного общества. Существует мнение, что отказ от наличности позволит полностью искоренить коррупцию и перестать зависеть от неэффективных банковских услуг.
Информация, хранящаяся в блокчейне существует как общая и постоянно сверяемая база данных. Такой способ использования сети имеет очевидные преимущества. База данных блокчейна не хранится в каком-то единственном месте, а это означает, что он сохраняет записи действительно публично и они легко проверяются. Не существует централизованной версии этой информации, которую бы мог повредить хакер. Копии хранятся на миллионах компьютеров одновременно, и ее данные доступны для всех желающих в Интернете.
Глава 1. ИСКУСТВЕННЫЙ ИНТЕЛЕКТ В БАНКОВСКОЙ БЕЗОПАСНОСТИ
Углублённая автоматизация процессов
Принятие решений с использованием сложных многоступенчатых алгоритмов, системы искусственного интеллекта позволяет снизить себестоимость обслуживания клиентов в банках, заменяя собой операторов, и организовать онлайн-кредитование, а также выявляет угрозы.
Свойства интеллекта: умение ставить перед собой цели и достигать их, способность приспосабливаться к изменяющимся условиям и выбирать те цели, которые скорее приведут к желаемому результату.
Таким образом, в настоящее время интеллектуальность уже связывают с возможностью эффективного действия в условиях, внезапных или нежданных для системы искусственного интеллекта. Итак, перечислим основные задачи, которые требуется решать методами искусственного интеллекта в сфере обеспечения информационной безопасности:
1) Быстрое распознавание угроз банковской системы;
2) Оптимализация процесса поиска вредоносных источников;
3) Принятие во внимание тех сведений о системе, которые могут показаться несущественными неинтеллектуальной системе защиты, тем самым понижая риск;
4) Борьба с вредоносным ПО, которое так же является самообучающимся;
5) Вынесение определенных сведений в процессе обучения, и построение на их основе более мощной системы защиты. А также задачи, решаемые в различных классах программных средств обеспечения информационной безопасности;
6) Обслуживание средств управления идентификацией и доступом к ресурсам и средств администрирования доступа;
7) Совершенствование современного антивирусного программного обеспечения;
8) Применение в средствах обнаружения атак;
9) Применение в брандмауэрах;
Методы искусственного интеллекта могут браться за основу при построении целостной системы безопасности или же могут быть реализованы отдельно, для поиска или оптимизации процесса. Нередко разные методы комбинируются, дополняя друг друга по функционалу.
Теперь, когда спектр задач обозначен, рассмотрим методы искусственного интеллекта и решаемые с их помощью вопросы защиты информации в банковских системах.
Искусственный интеллект умеет обрабатывать неструктурированную информацию: изображения, видео, аудио, местоположение и временные ряды данных. Уже существуют решения, которые с помощью искусственного интеллекта позволяют обнаружить мошенничество, оценить кредитный риск, идентифицировать личность. В страховом секторе они служат для выявления страхового мошенничества, автоматизации заявок по страховым случаям, определения рисков и помощи клиентам.
Сравнивая потребительское поведение клиента с огромным массивом исторических данных, можно найти малейшие детали и заранее предотвратить обман. Инструменты ИИ постоянно обучаются и обновляются по мере накопления данных, с которыми работают [17, c.98].
Консультационные сервисы — например, роботы-консультанты — могут с помощью разнообразных источников информации снизить риски для клиентов, рекомендуя подходящие им финансовые продукты и объекты для вложений.
Особенно многообещающей выглядит сфера управления личными финансами. Здесь уже есть несколько успешных стартапов — например, Mint и Wallet. Эти платформы умеют собирать информацию о личных финансах, отслеживать их на протяжении времени и давать рекомендации. Они удобны в использовании и подойдут даже тем, кто раньше не мог набраться терпения, чтобы внести свои расходы и доходы в табличку, разделить их на категории, поставить финансовые цели и постоянно следить за своими деньгами.
-
- Замена персонала
Дефицит квалифицированных кадров решается робототехникой, которая стала популярной в последние годы.
Инструменты бизнес-анализа, известные как системы поддержки принятия решений, существуют на протяжении десятилетий. Но раньше они не принимали решения самостоятельно, а только предлагали пользователю варианты и рассчитывали их последствия (так называемый «what-if-анализ») [18, C. 158]. Теперь пришло время не только подсказывать, но и выбирать те или иные решения.
Службы информационной безопасности стояли в стороне от этой шумихи-в первую очередь из-за того, что на них лежит большая ответственность. Если движок распознавания лиц правильно распознает 80% лиц, его разработчики радуются - идентифицируются четыре из пяти лиц. Однако в службе информационной безопасности такая эффективность ужасает, ведь каждая пятая атака будет пропущена или каждое пятое законное действие пользователя будет заблокировано. Такие технологии искусственного интеллекта, как машинное обучение (machine learning) и глубокое обучение (deep learning) [17, C. 45], долгое время использовались в области безопасности только для внутренних целей – автоматизации работы вирусного аналитика, анализа аномалий трафика. Они остаются принципиально пассивными и только" освещают " аналитикам сомнительные места, которые они потом разбирали сами.
Служба информационной безопасности не отказалась от старых проверенных методов, связанных с использованием обратной связи. Есть процессы, в которых сознание - во вред, потому что в их рамках необходимо четко реагировать на конкретные ситуации: в случае опасности ее причину следует блокировать. Помните об эволюции предохранителей, которые реагируют на увеличение тока в сети. Сначала это были одноразовые предохранители, которые плавились при повышении температуры, связанной с увеличением тока. Потом они стали проще: просто размыкали сети, и после срабатывания их не надо было менять. И такая система не нуждается ни в каком интеллекте! Когда дело доходит до защиты, этот подход (разрыв цепи при нагреве) намного эффективнее. Всем спокойнее, если действия системы защиты являются "тупой" реакцией на угрозу, и нужно не думать о конкретном решении, а просто реагировать по заранее заданному сценарию.
Вот почему специалисты по информационной безопасности еще не отказались от старых добрых сигнатур атак и вирусов. Соответствующая база знаний в течение длительного времени включает в себя сотни миллионов образцов, и такие сигнатуры хорошо проявляются при следующем воздействии уже известных вредителей и атак. Это основная проблема: да, известные атаки отражаются легко и полностью автоматически, но новые, неизвестные средствам защиты, не отражаются вовсе.
-
- Защита со многими неизвестными
Аналитики делают все возможное - быстро изучают новые угрозы и вырабатывают средства защиты от них, которые быстро распространяются. Однако факт остается фактом: в промежутке между первой атакой и появлением соответствующего средства противодействия (а это – от нескольких часов до нескольких дней) пользователи беззащитны, поэтому на сегодняшний день основные усилия разработчиков направлены на поиск средств отражения неизвестных атак.
Атакующая сторона, конечно, не останется на том же уровне, что и десять лет назад. Он уже использует технологии искусственного интеллекта для обхода средств защиты, тренируя свои системы на реакции объекта атаки. Можно утверждать, что классическое противостояние "снаряд и броня" охватило эту область знаний.
Однако, если нападающих не интересуют мораль и законы, то у защитников использования искусственного интеллекта возникает много проблем. Они знакомы широкой публике, например, по обсуждениям алгоритмов принятия решений автомобильных автопилотов. На данный момент идет дискуссия об ответственности в случаях, когда "робот" принял неверное решение, что привело к негативным последствиям. И если нет хорошего решения, кто будет нести ответственность за ущерб компании, понесенный в случае принятия искусственного интеллекта неверного решения? В области информационной безопасности такие вопросы также стоят очень остро.
-
- Сочетая и интегрируя
Компании, разрабатывающие решения по защите инормации на основе алгоритмов искусственного интеллекта, не полагаются исключительно на такие алгоритмы. Они совмещают старые, доказанные и новые методы защиты для того чтобы сделать лучшую пользу их прочностей. Чаще всего для обнаружения и анализа аномалий используются технологии искусственного интеллекта. Любые аномалии в поведении системы, пользователя, сетевого трафика могут быть как признаками атаки, так и вполне легитимными новыми функциями.
Эта дилемма стала особенно острой, когда системы начали меняться очень быстро и без документации гибких методологий. При таких изменениях новая функциональность вызывает аномалии в поведении пользователей, систем и трафика, очень похожие на аномалии в атаке [17, с. 498]. Вы можете запустить режим самообучения системы защиты на новой функциональности, но алгоритмы работают только в том случае, если время процесса самообучения меньше интервалов между изменениями, а в большинстве случаев это не так. Блокировать эти аномалии нельзя, поэтому многие исследования сосредоточены на изучении различных аномалий и оценке их опасности для процесса.
Системы безопасности все более тесно интегрируются с охраняемыми объектами. Сегодня безопасность приложений начинается с безопасной разработки, а это означает, что защита имеет возможность влиять на объект защиты. Это очевидный шаг: при постоянных изменениях в приложении важно не только фильтровать входные данные, но и понимать их путь внутри приложения, поэтому наблюдается тенденция объединения различных систем анализа безопасности и активной защиты. Такой подход позволяет не ограничивать уязвимую функциональность приложения полностью, а только блокировать трафик к нему. Верно и обратное: если система защиты знает, что атака не достигнет цели (например, в запросе появляется команда, но нет возможности ввести ее в поле ввода), то такой трафик можно считать законным.
-
- Роботизация
Когда система защиты не только видит аномалии, но и может предсказать реакцию системы на них, появляется гораздо больше информации для анализа и обучения алгоритмов искусственного интеллекта. Поэтому это не за горами -время, когда часть профессии информационной безопасности начнет увядать.
Как в реальной экономике первыми жертвами "роботизации" станут профессиональные водители, так и в сфере защиты информации – операторы систем безопасности. Сегодня работа такого оператора предполагает выявление инцидента информационной безопасности на основе поступающей информации, а затем – реакцию на инцидент согласно заранее составленным рекомендациям. С повышением точности систем, работающих на базе искусственного интеллекта, разрешение конфликтов "найденной аномалии" разрешалось без вмешательства человека, как это происходило раньше, например, с обнаружением вирусов.
Сначала операторы с удовольствием снижают нагрузку, потому что "роботы" выполняют свои задачи, но потом руководитель замечает, что его сотрудники только наблюдают за автоматической работой системы и, по большому счету, не нужны [18, с. 228]. Однако внедрение систем с искусственным интеллектом в области информационной безопасности, как бы мы ни боялись футуристов, не приводит к увольнению людей – при нынешней нехватке специалистов по информационной безопасности высвобождаемые ресурсы всегда есть куда пристроить. Другими словами, задач информационной безопасности больше, чем людей, и их число растет.
Повышение точности распознавания неизвестных атак на основе технологий искусственного интеллекта позволит не только решить проблему дефицита кадров, но и вновь сделать ИБ-деятельность активной. Из-за большого количества ложных срабатываний в традиционных сигнатурных технологиях индустрия используется для большинства защит, включаемых в режиме мониторинга, только сообщая о чем-то необычном, а не блокируя атаки. Однако точность современных систем, использующих технологию искусственного интеллекта, уже превышает точность оператора. Можно вспомнить неравномерность показателей, потребность во сне, отдыхе, болезнях и другие "недостатки" по сравнению с "роботом".
Отнимая у людей рутинную работу, искусственный интеллект освободит их для новых интересных задач, которых в наш век будет достаточно. Если люди, конечно, захотят их решать.
Глава 2. БЛОКЧЕЙН
2.1 Технология блокчейн
Технология блокчейн - важная рыночная тенденция. Интерес к ней среди участников финансового рынка достиг первых пробных проектов. Одним из таких примеров является блокчейн-консорциум, который создал Сбербанк, Альфа-Банк и MVideo. В ближайшие несколько лет, вероятно, будет несколько, как похожих, так и децентрализованных, экосистем, использующих блокчейн-технологии.
В 2018 году блокчейн называют одной из самых прорывных технологий. Она помогает создавать новые бизнес-модели в различных отраслях экономики, как для крупных компаний и стартапов. Основным потребителем технологии блокчейн является финансовый сектор. В первую очередь это связано с растущими потребностями бизнеса данного сектора экономики в повышении безопасности онлайн-платежей, что может быть достигнуто с помощью децентрализованных технологий. Однако в ближайшие годы перспективными направлениями для блокчейна, помимо финансов, станут такие отрасли, как здравоохранение, страхование, розничная торговля, недвижимость, музыкальная индустрия и другие.
Блокчейн - это распределенная база данных, которая хранит информацию обо всех транзакциях участников системы в виде "цепочки блоков" (так с английского языка переводится «Blockchain») [2, с. 98]. Доступ к реестру доступен всем пользователям блокчейна, выступающим в качестве коллективного нотариуса, что подтверждает достоверность информации в базе данных. Блокчейн можно использовать для финансовых транзакций, идентификации пользователей, создания технологий кибербезопасности и др.
Технология блокчейн способна трансформировать устоявшиеся бизнес-процессы и кардинально изменить работу с регуляторами. Тем не менее, блокчейн остается экспериментальной технологией — многие проблемы его использования пока не решены.
Интерес к блокчейну продолжает расти: в 2016 году многие банки, биржи и финтех-компании объявили о запуске собственных проектов по развитию технологий. Блокчейн остается одной из самых горячих тем на финансовых сервисах и фондовых рынках, и есть все основания ожидать увеличения скорости его распространения. Несколько крупных финансовых организаций сформировали группы для изучения возможностей технологии, а некоторые участники рынка присоединились к консорциумам для разработки стандартов ее использования. Согласно отчету, представленному на Всемирном экономическом форуме в 2016 году, за последние три года в исследование блокчейна и его приложений в сфере финансовых услуг было инвестировано более 1,4 млрд долларов [2, с.230].
Технология действительно способна защитить данные, с которыми мы должны работать, делая их более доступными и прозрачными. Кроме того, блокчейн позволяет значительно снизить затраты и минимизировать время, необходимое для решения проблем и устранения ошибок.
Блокчейн появился как технология для запуска в обращение биткойна, и поначалу использовался только для управления криптовалютой. Однако, с момента своего создания в 2009 году, сфера применения значительно расширилась. И сейчас в различных статьях, форумах и конференциях обсуждаются новые варианты использования технологий, включая торговую отчетность; безналичные платежи, аудиты и платежи; в бухгалтерском учете; мониторинге; управлении рисками; аудите; управленческом и финансовом учете; комплаенс (в том числе предотвращение финансовых преступлений, хотя, конечно, возможности борьбы с мошенничеством блокчейн в этой сфере не ограничены). Дело в том, что информация, хранящаяся с помощью блокчейна, может быть записана в общий реестр, доступный в режиме реального времени или очень близкий к нему. Это означает, что все заинтересованные стороны могут быть непосредственно вовлечены в процесс — даже те, кто раньше мог рассчитывать только на стандартный отчет в конце транзакции.
Реализация блокчейна по определению является сложным процессом, но основная идея технологии проста: распределенный реестр или база данных, работающая одновременно на многих (иногда миллионах) узлов, распределенных по всему миру между различными пользователями и организациями. Уникальность технологии заключается в неизменности и необратимости, которая обеспечивается системой криптографической защиты. Например, когда транзакции из реестра группируются в блоки и записываются в базу данных, записи предшествует криптографическая проверка, что делает практически невозможным изменение состояния реестра любым мошенничеством. В пользу доверия к блокчейну говорит тот факт, что любые изменения данных в блокчейне возможны только в том случае, если участники сети подтвердят легитимность тразакциии в соответствии с общими правилами и протоколами.
2.2 Мастерчейн
В декабре 2016 года Центральный Банк России объявил тендер на разработку программного обеспечения с использованием технологии распределенных реестров. Программный комплекс "Мастерчейн" планируется использовать для обмена и хранения информации о транзакциях.
5 октября 2016 года Банк России объявил о разработке и тестировании технологии передачи сообщений мастерчейн. Об этом инструменте взаимодействия между участниками финансового рынка банковский регулятор рассказал на своем сайте.
Мастерчейн (Masterchain) российская национальная блокчейн-сеть используется для передачи финансовых сообщений на основе технологии распределенных блокчейн-реестров. С помощью этого решения банки могут быстро подтвердить актуальность данных клиента или транзакции, а также быстро создать различные финансовые услуги. Кроме того, мастерчейн ускоряет обмен информацией между контрагентами и обеспечивает необходимый уровень доверия к финансовым операциям, поясняет ЦБ.
ЦБ и участники рынка успешно протестировали прототип мастерчейна. Создание прототипов и совместное изучение условий их применения дают возможность и регулятору, и участникам рынка понять перспективу, оценить потенциал, минимизировать риски использования различных технологий, а также определить следующие шаги. Это хороший задел для дальнейшего движения вперед. Предполагается, что мастерчейн будет развиваться в рамках консорциума по изучению финансовых технологий, создаваемого в настоящее время по инициативе Банка России.
Предполагается, что блокчейн-проект будет разработан в рамках консорциума по изучению финансовых технологий, созданного по инициативе Банка России. В дальнейшем планируется рассмотреть вопрос об использовании прототипа мастерчейна как неотъемлемой части финансовой инфраструктуры нового поколения.
В сообщении ЦБ от 5 октября 2016 года также говорится, что крупнейшие российские банки уже провели тестовые транзакции с использованием мастерчейна. Кто именно тестировал новую технологию, не уточняется. В сентябре 2016 года сообщалось, что операции проводились по прототипу компании "Sinimex", которая является сервисом для обмена данными о клиентах различных банков. Основой мастерчейна стала технология Etherium.
2.3 Блокчейн для решения проблем
Банк России намерен использовать технологию блокчейн для решения проблемы забалансовых вкладчиков, когда люди не оказываются в реестре после отзыва лицензии у кредитной организации. Рабочая группа Центрального банка обсуждает вопрос использования блокчейна для формирования реестра вкладчиков. Данные не могут быть удалены из блокчейна, что делает систему максимально прозрачной.
При отзыве лицензии банка или другом страховом случае "возникают" граждане, которых нет в реестре вкладчиков, но которые обращаются в АСВ за компенсацией. Это действительно пострадавшие вкладчики, которых банк вывел из равновесия, чтобы уменьшить размер взносов в Фонд страхования вкладов. По словам представителя банка, из топ-10, хранение реестра вкладчиков в блокчейн также позволит снизить количество мошеннических действий. Помимо действительно пострадавших граждан для страхового возмещения псевдо забалансовых вкладчиков по поддельным документам. При проверке выясняется, что эти люди изначально не входили в число существующих клиентов банков, и в Уголовном кодексе нет специального преступления для псевдобалансовых вкладчиков.
На данный момент разработчики находятся в самом начале пути, изучая различные возможности системного решения проблемы, связанной с инвесторами, информации о которых по тем или иным причинам нет в реестре.
По оценкам экспертов, пройдет 7-10 лет, в то время как в финансовом секторе и других секторах блокчейн будет полностью промышленно применяться к серьезным проектам. Такой прогноз она заявила, выступая на Петербургском международном экономическом форуме в мае 2017 года. Промышленное использование технологии блокчейн начнется через 7-10 лет. До этого времени банки будут инвестировать в развитие блокчейна и проводить все больше и больше пилотных проектов.
Сейчас на уровне финансового сектора и госорганов много времени тратится на обсуждения, координацию действий, тонкие правовые вопросы, но в связи с тем, что сейчас многое делается, в том числе многие пилотные проекты совместно с участниками рынка, результат будет виден достаточно быстро. Как в России, так и за рубежом, внедрение блокчейна в основном все еще на уровне экспериментов и пилотных проектов. Российские банки, как правило, более оптимистично относятся к срокам массового распространения этой технологии внутри страны, чем их зарубежные коллеги.
Массовое использование блокчейна можно ожидать не ранее чем через 1,5-2 года, а для того, чтобы "окончательно созреть", блокчейн-технологии нужно еще 8-10 лет.
Были определены пять проектов, в которых Центральный банк видит перспективу опробования технологии распределенных регистров. Один из них - тестирование совместно с банками прототипа распределенного реестра, позволяющего обмениваться финансовыми сообщениями.
Второй проект - это цифровой аккредитив (счет, на котором можно резервировать средства для операций по продаже товаров или оказанию услуг). Основным участником данного проекта является ВЭБ, с которым ассоциация подписала соглашение о сотрудничестве в данной сфере в рамках ПМЭФ. Планируется, что цифровой аккредитив будет использоваться для организации торговли между Россией и Беларусью.
Остальные три проекта-депозитарный учет электронных счетов-фактур, обмен информацией для KYC (KYC – know your customer, знай своего клиента) и цифровые банковские гарантии [2, с.159]. Эти пилотные проекты означают серьезную работу участников рынка, а не только Центрального банка, чтобы понять и предложить запуск проектов промышленного использования с дорожной картой реализации.
Россия выйдет на виртуальную национальную валюту. Пилотные проекты будут играть в этом определенную роль. С учетом пилотов, которые сейчас создаются, разработчики будут лучше понимать, какую систему они могли бы использовать для национальной валюты.
Первым уроком, извлеченным Центральным банком, является необходимость скорейшего решения вопроса нормативно-правового регулирования использования блокчейна. При этом, по мнению ЦБ, он не должен быть слишком жестким и детализированным. Этого нельзя сделать на нынешнем этапе развития.
Регулирование блокчейна должно быть мягким, говорят эксперты. Многие страны сначала не регулировали эту область, а теперь переходят к "мягкому" регулированию, в основном вводя понятия и определения. Чтобы запускать новые технологии и новые проекты, прежде всего, определять с точки зрения понятий: что это такое, каковы права и обязанности, как будет защищаться потребитель и инвестор.
Первые законы, содержащие блокчейн и связанные с ним концепции, подготовленные Центробанком, уже прошли первое чтение в Госдуме. Это законы о цифровых активах, о краудфандинге, где также есть концепции технологии распределенного реестра, смарт-контрактов и т. д., и которые предполагают введение понятий в нормативно-правовые документы России, в том числе в Гражданский кодекс. Это делается с целью внедрения возможности использования новых технологий в правовом поле.
Второе, что Центральный банк выяснил для себя в рамках пилотов - технология распределенных регистров предполагает изменение всего процесса, к которому привыкли игроки рынка. И это было самое сложное, говорит первый зампред ЦБ. По ее словам, участники рынка, участвующие в пилотном проекте и демонстрирующие энтузиазм на начальном этапе, в конечном итоге столкнулись с вопросами о том, во сколько им обойдется изменение тех или иных процессов, какие трудности будут связаны с изменениями и, в конечном счете, зачем им это нужно. Такие проекты могут быть осуществлены только путем убеждения участников конкретными цифрами дальнейшей экономии и эффекта. Крупные банки-участники пилотов к маю 2018 года потратили около полугода на радикальное изменение своих процессов с учетом перехода на использование новых технологий.
Третий урок, который выучил Центральный банк, - это не быть под иллюзией, что блокчейн доостаточно немного настроить, и он решит большинство проблем. Распределенные реестры хорошо интегрированы и могут быть одной из технологий в гибридных платформах и решениях. Есть такие примеры в мире, и Центральный банк подумал, что можно использовать, например, блокчейн для смарт-контрактов, для доверенной среды, но в то же время сделать интеграцию с онлайн-системой, которая делает платежи, потому что пока она более надежная, практичная и понятная. Здесь имеются различные варианты: как распределенные реестры, так и распределенные реестры как часть гибридной технологии, а также некоторые элементы распределенных реестров.
Еще один проект - снижение стоимости выдачи цифровых гарантий, повышение их защищенности и упрощение верификации для третьих лиц путем создания распределенного реестра цифровых банковских гарантий. Четвертый проект - выпуск цифровых аккредитивов. В 3 квартале 2018 года планируется пилотный мастерчейн по реальным данным с банками по цифровым аккредитивам, ипотеке и банковским гарантиям. Что эти пилоты делают по транзакциям, связанным с записями и возможностью видеть движение сделок и транзакций в одном поле.
Пилотам на базе мастерчейна известно, что объединение "финтех" с банками включает удешевление и ускорение процесса секьюритизации и повышение надежности хранения ипотечных кредитов с мастерчейна также планируется попытаться снизить риск мошенничества при дистанционной идентификации клиентов, а также защитить информационную безопасность.
Глава 3. КРИПТОГРАФИЯ В БАНКОВСКОМ ДЕЛЕ
3.1 Критерии и требования к криптографическим средствам защиты банковской информации
Для работы платежной системы необходимо использовать электронную цифровую подпись (ЭЦП) и алгоритмы шифрования, обеспечивающие долговечность в течение трех лет. Внедрение российских государственных стандартов алгоритмов шифрования и ЭЦП обеспечивает стабильность платежной системы со значительным отрывом. Кроме того, разработчики испытывают некоторые трудности в обеспечении требуемой скорости внедрения системы электронной цифровой подписи по алгоритму ГОСТ. Это обстоятельство требует разработки новых алгоритмов цифровой подписи и шифрования, более реалистично учитывающих требования к безопасности банковской информации (3 года) и, таким образом, значительно более быстрых в реализации.
Организация ключевой системы играет чрезвычайно важную роль в использовании криптосистем в банковских платежных системах. Уязвимость платежной системы к частым атакам со стороны преступников, в том числе легальных пользователей; высокий спрос на эффективность, безопасность и надежность платежной системы в целом, придание юридической значимости электронным платежным документам и другие особенности платежной системы оказывают существенное влияние на выбор ключевых систем. Учитывая это, выражены следующие требования к ключевым системам:
- ключевая система должна быть устойчива к компрометации ключей любого количества сетевых корреспондентов, то есть безопасная работа участников платежной системы с нескомпрометированными ключами не зависит от компрометации;
- ключевая система должна иметь высокую скорость восстановления при любом числе компрометаций;
- ключевая система должна рассчитывать на минимальное число ключей, сохраняемых организационными мерами пользователей;
- носители ключевой информации должны обеспечивать высокую степень защиты от копирования;
- генерация ключей ЭЦП должна осуществляться владельцами подписи, регистрация и распространение открытых ключевых компонентов ЭЦП должны осуществляться централизованно администраторами безопасности на региональном и межрегиональном уровнях, обеспечивая невозможность их фальсификации и подмены.
Системы управления ключами должны быть максимально автоматизированы и предполагать минимальное участие конечных пользователей в процессах управления ключами (ведение базы данных открытых ключей, замена ключей во время чрезвычайных ситуаций и т. д.) [10, c.68].
При выборе и построении системы криптографической защиты необходимо учитывать, насколько она снижает производительность платежной системы и какие дополнительные ограничения она накладывает на аппаратное и программное обеспечение. Эффективная система защиты не должна приводить к значительным трудностям в работе банка.
Исходя из договорных отношений между сторонами урегулирования и необходимости наличия механизмов справедливого разрешения конфликтов, криптографические системы должны иметь разработанные технологии решения конфликтных ситуаций, включая процедуры создания арбитражных судов, описание порядка разрешения споров с их помощью, требования к предоставлению архивной информации для разрешения споров и требования к техническим средствам, используемым при разрешении споров. Кроме того, необходимо проработать правовые и организационные аспекты правильного составления разделов договоров, описывающих механизмы разрешения конфликтов и ответственность сторон.
Некоторые аспекты криптографической защиты банковской информации в настоящее время регулируются международными стандартами. Международная стандартизация банковской деятельности осуществляется Техническим комитетом TК68 Международной организации стандартов (МОС/TК68) "Банковское дело и соответствующие финансовые операции".
В рамках данного комитета непосредственная разработка стандартов по защите банковской информации осуществляется двумя подкомитетами:
- МОС/ТК68/ПК2 -- "Операции, процедуры и безопасность";
- МОС/ТК68/ПК6 -- "Карточки для финансовых операций, операции и соответствующие носители информации".
Сферой деятельности подкомитета МОС/ТК68/ПК2 являются безналичные электронные платежи в рамках так называемых оптовых финансовых операций, т. е. операций по расчетам между финансовыми учреждениями и организациями и обслуживаемыми ими субъектами экономической деятельности.
Сферой деятельности подкомитета МОС/ТК68/ПК6 являются безналичные электронные расчеты в розничной торговле, т. е. область традиционного использования денежных средств на потребительском рынке товаров и услуг населению.
Практически ТК68, как и другие подкомитеты, занимающиеся стандартизацией конкретных приложений, не занимается разработкой надлежащих методов и средств криптографической защиты. Его деятельность в этой области ограничивается разработкой стандартов "внедрения" стандартных механизмов защиты в банковские процедуры и технологии электронного обмена.
Специализированным подкомитетом, на который в рамках МОС возложена задача стандартизации общих методов и средств защиты информации в информационных технологиях, является подкомитет ПК27, созданный в 1989 году в рамках совместного технического комитета Международной организации по стандартизации и Международной электротехнической комиссии ISO/МЭКОТК1 "Информационные технологии".
В качестве рабочих органов в рамках ПК27 сформированы 3 рабочие группы по следующим направлениям деятельности:
- Рабочая группа РГ1 "Методы защиты информации: требования и рекомендации";
- Рабочая группа РГ2 "Методы и механизмы защиты информации";
- Рабочая группа РГ3 "Критерии оценки безопасности".
Структура и деятельность рабочих групп ПК27 отражают комплексный подход к обеспечению безопасности информационных технологий, когда вопросы проектирования, внедрения безопасности и сертификации безопасных технологий решаются в неразрывной связи на основе единой системы взглядов и принципов, закрепленных в виде международных стандартов. В то же время основные принципы безопасности в открытых системах, соответствующие эталонной модели, определены стандартом ISO 7498-2 "Эталонная модель взаимодействия открытых систем. Архитектура безопасности", в соответствии с которым в открытых системах должны быть предусмотрены:
- конфиденциальность информации;
- управление и контроль за доступом к информации и ресурсам системы;
- целостность и достоверность информации;
- защита от отказов получателя/отправителя сообщения от факта его передачи/приема и содержания.
Стандарт также определяет основные службы информационной безопасности (всего 14), реализуемые на соответствующих уровнях эталонной модели, и перечень механизмов безопасности, реализующих эти службы. Концептуальный план определяет требования к системе управления безопасностью.
Разработанные в рамках ПК27 международных стандартов определяют назначение механизмов безопасности в открытых системах, включая вопросы организации и управления, но не увязывая их с конкретными приложениями. В вопросах информационной безопасности ПК27 играет надзорную роль по отношению к другим техническим комитетам, занимающимся стандартизацией информационных технологий в конкретных областях применения, в частности в отношении ТК68, с которым установлены официальные отношения [6, с. 111].
Национальные стандарты включают проект Capstone - долгосрочный проект правительства США по разработке стандартов для публичной криптографии. Основными исполнителями проекта являются Национальный институт стандартов и технологий (NIST) и Агентство национальной безопасности.
Проект Capstone включает четыре основных компонента: алгоритм шифрования, схему электронной подписи, протокол распределения ключей и хэш-функцию. Проект включает в себя алгоритм шифрования Skipjack, но его часто называют Clipper по имени чипа, который реализует алгоритм Clipper.
Технология Clipper пытается сбалансировать интересы правоохранительных органов и частных лиц с помощью так называемых "ключей доверия". Дело в том, что сообщения будут зашифрованы с помощью сильного алгоритма, но дубликаты ключей должны храниться третьим лицам (в так называемых "доверительных ведомствах") и могут быть переданы правоохранительным органам по решению суда [7, c.69].
Система Clipper должна стать обязательной для всех юридических и физических лиц, работающих с федеральными государственными органами. Для всех остальных, его использование является добровольным.
Однако на данный момент система Clipper производит впечатление хорошо спланированной и замаскированной акции спецслужб по организации тотального наблюдения, а не озабоченности правоохранительными органами. Во-первых, алгоритм Skipjack засекречен (не опубликован). Во-вторых, алгоритм шифрования накладывается на пользователя; эффект, аналогичный объявленному, может быть достигнут путем применения методов секретного доступа к закрытому ключу любого алгоритма шифрования.
3.2 Аутентификация
Защита интеллектуальной карты от фальсификации (деперсонификации) оппонентом законного пользователя информационной системы осуществляется посредством аутентификации владельца для самой карты. Процесс аутентификации в системе держателя карты может осуществляться двумя способами - через биометрические данные или логическую информацию (например, с использованием персонального идентификационного ПИН-кода) или их комбинацию, а также путем шифрования данных в смарт-карте.
Биометрическая идентификация включает идентификацию через:
- отпечатки пальцев, когда владелец смарт-карты выбирает, какой из пальцев можно использовать для идентификации (в системах защиты высокого уровня требуется идентификация отпечатков нескольких пальцев пользователя);
- контроль личной подписи, когда обладатель интеллектуальной карточки идентифицируется по индивидуальному стилю проставления подписи, динамике подписи (быстро - медленно), а также по усилию, которое он оказывает на поверхность при подписи;
- контроль личной подписи, когда держатель интеллектуальной карты идентифицируется по индивидуальному стилю подписи, динамике подписи (быстрая - медленная), а также усилиям, которые она прилагает на поверхности при подписании;
- контроль по голосу, когда контролируются тембр и громкость произношения специально выбранных слов или фраз.
- Гораздо реже применяется идентификация посредством распознавания особенностей сетчатки глаза, геометрии руки и другие способы.
- Для биометрической идентификации необходимы специальные устройства - анализаторы, которые вводятся в систему "интеллектуальная карточка -устройство считывания - объект защиты (доступа)". Данные биометрической идентификации в них обрабатываются и передаются в виде кода в интеллектуальную карточку, которая в случае совпадения (корректная идентификация) данного кода с кодом, идентифицирующим данного пользователя и хранящимся в карточке, активизируется.
При логической идентификации посредством паролей или персональных идентификационных номеров применяются следующие методы:
- воссоздание пароля, ассоциированного с некоторой информацией, касающейся пользователя, его жизни, подробностей служебной деятельности и т. п.;
- ввод пароля в определенных позициях более длинной строки, остальные позиции которой заполняются случайными символами;
- простое кодирование пароля ввода/вывода, когда по введенной строке вычисляется при помощи простого алгоритма (например, "шифра Цезаря") оригинальный пароль;
- комбинация вышеназванных методов.
При использовании шифрования данных на смарт-карте информация, идентифицирующая владельца, хранится в памяти карты в зашифрованном виде. Расшифровка осуществляется с помощью ключа, известного только одному держателю карты. При этом без секретного ключа дешифрования активация смарт-карты невозможна, так как для организации взаимодействия в системе "смарт-карта – ридер - объект защиты" [7, с. 166] необходимо преобразовать информацию, идентифицирующую владельца карты, в открытую форму.
Как в случае логической идентификации, так и шифрования данных в смарт-карте, если карта не имеет внешнего пользовательского интерфейса (например, таких как встроенная клавиатура и дисплей), взаимодействие пользователь - смарт-карта осуществляется с помощью считывателя со встроенной клавиатурой и дисплеем или с помощью компьютера. В этом случае существует угроза аппаратных или программных "закладок" в ридере, поэтому вам нужны специализированные протоколы для обмена информацией между интеллектуальной картой и ее владельцем.
Так, специалисты специального конструкторского бюро автоматизированных систем проектирования проанализировали потенциальные способы внедрения закладок в систему безналичных расчетов. Пример одного из них, под названием "Перехват пароля", приведен ниже. При входе в систему или при загрузке компьютера пользователю предлагается ввести пароль. Пользователь входит в него, но в этот момент происходит "сбой" оборудования, после чего компьютер перезагружается и запрос пароля повторяется. Вы должны повторно войти, и система работает так, как будто ничего не произошло, и повторно войти пользователь просто забывает. Фактически, впервые пользователь скачал одноразовую программу с закладкой, которая считывала введенный им пароль и записывала его в область памяти, недоступную пользователям системы. После этого потенциальный преступник может получить доступ к системе, прочитав пароль, который теперь ему доступен.
Один из выходов в этой ситуации видится в разработке специализированных протоколов для обмена информацией между картой и ее владельцем, что позволит предотвратить повторное использование перехваченного пароля.
3.3 Протоколы аутентификации
Теоретические основы схем аутентификации были заложены в работе Симмонса. Согласно Симмонсу, в системе аутентификации отправитель и получатель выбирают какое-то правило e-кодирования из набора e-правил и держат это правило в секрете. Отправитель наблюдает некоторое состояние источника s, принадлежащее множеству S и определяет, используя правило кодирования e, сообщение m, отправленное отправителю. Здесь S - множество всех состояний источника, а M - множество всех возможных сообщений.
Вводятся два типа атак на схему аутентификации: имитация (impersonation) - генерируется допустимое сообщение, когда фактически отправитель не отправил никакого сообщения; подстановка (substitution) - противник ждет, пока отправитель отправит сообщение, и заменяет его другим допустимым сообщением.
В работе Симмонса и в работах других авторов получены более низкие оценки вероятности успешного моделирования и вероятности успешной подстановки в зависимости от параметров системы аутентификации. Мы не останавливаемся здесь на этих и других результатах более подробно, потому что теория аутентификации является частью теории криптографии информации, которая интересна с математической точки зрения, имеет некоторое общеобразовательное значение, но не имеет большого прикладного значения.
Все схемы аутентификации, используемые на практике для обеспечения целостности банковской информации, основаны на теоретических принципах и принципах сложности. Для таких схем всегда есть атаки, которые, как известно, приводят к успеху, но их реализация для постоянных схем должна потребовать (предположительно) почти невозможного объема вычислений.
Положение дел с обоснованием прочности схем аутентификации абонентов довольно необычно для современной криптографии: существует хорошо развитая математическая теория - теория доказательств с нулевым раскрытием (zero-knowledge proofs) - поставляющая методы построения доказуемо сильных схем аутентификации.
3.4 Методы анализа стойкости схем аутентификации
Основные требования к прочности схем аутентификации хорошо формализованы через концепцию доказательства нулевого знания. Заметим, однако, что здесь, как и везде в криптографии, формальная математическая концепция постоянства не обеспечивает защиты от всех мыслимых нарушений и злоупотреблений. Наиболее ярким примером злоупотреблений, возможных в схемах аутентификации, которые являются доказательствами нулевого знания, является возможность подпороговых каналов во многих из этих схем.
Концепция доказательства отсутствия знаний включает три требования. Требование полноты, с практической точки зрения, означает, что если обе стороны протокола - доказывающие и проверяющие - честны, то доказывание всегда пройдет аутентификацию.
Требование корректности обеспечивает стабильность схемы в том случае, когда противник выступает в качестве доказательства и, не зная секретного ключа, пытается аутентифицировать.
Свойство нулевого разглашения защищает доказывающего от врага, который, выступая в роли рецензента, пытается в результате реализации протокола получить любую информацию о секретном ключе.
В принципе, любое из доказательств нулевого знания, предложенных в литературе, может быть использовано в качестве схемы аутентификации. Проблемы, однако, возникают с эффективностью: большая длина секретного ключа, значительное (или даже растущее с увеличением параметров схемы) количество раундов, недопустимо высокая коммуникационная сложность протокола (объем информации, передаваемой между участниками), а иногда и слишком высокая вычислительная сложность.
При разработке схем аутентификации, предназначенных для практического использования, разработчики ориентируются на их эффективность. Но тогда при попытке доказать свое сопротивление, как правило, возникают значительные трудности. Полнота во всех таких схемах тривиально вытекает из построения самого протокола. Но с правильностью ситуации все гораздо сложнее. Большинство попыток доказать правильность основаны на следующей схеме: утверждается, что единственный способ для оппонента, у которого нет секретного ключа, обмануть инспектора - угадать его запрос (т. е. значение, посылаемое проверяющим доказывающему в каждом раунде) еще до отправки первого сообщения в данном раунде. Из этого делается вывод, что вероятность обмана в каждом раунде обратно пропорциональна мощности множества, из которого выбирается запрос. Но эта посылка, вообще говоря, неверна! (Это специально подчеркнуто Десмедт и Бурместр в тезисах конференции.) Поэтому правильность многих схем остается недоказанной. Правильность только тех схем аутентификации, для которых это доказательство состоит в демонстрации сводимости любой вычислительно сложной задачи к задаче, стоящей перед противником, можно считать безоговорочно доказанной. Например, Шнорр доказал, что если в его схеме противник может обмануть инспектора, то алгоритм, используемый противником, может быть использован для вычисления дискретных логарифмов.
Доказать свойство нулевого раскрытия любого протокола - вообще не тривиальная задача. Для этого нужно построить моделирующую машину, доказать, что она работает в полиномиальное среднее время и доказать неотличимость создаваемого ею распределения вероятностей от распределения вероятностей в самом протоколе. Уже задача построения моделирующей машины, работающей в полиномиальное время, вызывает значительные трудности. Такую машину легко построить, если жестко ограничить мощность этого набора, из которого инспектор отбирает свои запросы. Это, однако, влияет на правильность: уверенность инспектора в том, что он не обманут, тем выше власть этого множества. Другими словами, разработчик протокола может упростить свою задачу в связи с сокращением справедливости [14, с.298], или увеличивать количество раундов.
Многие схемы аутентификации, такие как схема Фиата - Шамира, описываются как повторения одного и того же элементарного протокола. Для таких схем в литературе есть наброски доказательств свойств нулевого раскрытия, которые могут восстановить полное доказательство. Однако последовательное осуществление элементарных протоколов неприемлемо с практической точки зрения. А при параллельной композиции возникает другая проблема: из теории доказательств с нулевым раскрытием известно, что при параллельной композиции свойство нулевого раскрытия, в общем, теряется.
С практической точки зрения, идеальная схема аутентификации - это протокол доказательства нулевого знания, который работает в 1.5 раундах (3 сообщения). Но Гольдрайхом и Кравчиком доказано, что протоколы доказательства с нулевым разглашением, проведенные в 1.5 раунда, в котором свойство нулевого разглашения устанавливается с помощью универсальной машины моделирование (метод "черного ящика") не существует. Поскольку никаких других методов доказательства свойства нулевого знания, кроме метода черного ящика, не известно, этот результат ставит перед разработчиками схем аутентификации дилемму: либо искать решение среди многооборотных и, следовательно, менее эффективных протоколов, либо разрабатывать 1,5-раундовые протоколы, но отказаться от попыток доказать их устойчивость.
Глава 4. ТРЕНДЫ БАНКОВСКОЙ ИНФОРМАТИЗАЦИИ, ВЛИЯЮЩИХ НА ИНФОРМАЦИОННУЮ БЕЗОПАСНОСТЬ
4.1. Трансформация офисов обслуживания
Первый заметный тренд – это трансформация офисов обслуживания. Ввиду всё большего развития дистанционного банковского обслуживания постепенно пропадает необходимость в широкой сети классических офисов обслуживания. Тем не менее, полностью отказываться от розничной сети не всегда имеет смысл, особенно если банк нацелен на широкую клиентскую аудиторию. Не всем возрастным группам клиентов может понравиться полностью удаленное обслуживание, некоторым, может быть, необходимо именно общение тет-а-тет по индивидуальным условиям в рамках крупной сделки и т.д. В таком случае есть необходимость в наличии небольшого количества офисов обслуживания клиентов по любым вопросам в формате «show-room». Помимо стандартных форм обслуживания данные офисы могут выполнять задачу демонстрации широкого спектра продуктов организации и ее партнеров, а также культуры обслуживания клиентов.
В данном случае речь идет не только, и даже не столько, о сокращении количества отделений банков, хотя данная тенденция сохраняется в разрезе минимизации расходов, сколько об изменении формата. Понимая все тонкости дистанционного банковского обслуживания разработчики программного обеспечения обязаны учитывать, что приложения и сайты должны быть безопасны в использовании для всех возрастных групп.
4.2 Платформатизация
Одни из наиболее заметных трендов развития ИТ в банках в 2018 году связаны с платформатизацией, технологией блокчейн, трансформацией офисов обслуживания и развитием дистанционных каналов предоставления услуг.
Еще несколько лет назад стали вестись разговоры о создании банками платформ и маркетплейсов с целью продвижения своих финансовых продуктов, а также различных нефинансовых сервисов от аффилированных компаний или компаний-партнеров. По состоянию на 2018 год, уже имеются несколько действующих примеров подобных платформ: «ДомКлик» и «Беру» от Сбербанка, различные проекты «Тинькофф» (банковские услуги, страхование, брокерские услуги, tinkoff.travel). Помимо этого, Центробанк собирается запустить в 2018-2019 гг. маркетплейс финансовых услуг совместно с Московской биржей, ее Национальным расчетным депозитарием, пятью банками-тестировщиками, а также двумя информационными порталами.
Данный тренд отражает, что будущее финансового сектора прежде всего в предложении не только стандартных банковских услуг, но и дополнительных персонализированных сервисов. Успешность существующих платформ говорит о том, что подобных примеров со временем станет больше.
Есть мнение, что концепцию маркетплейса можно сравнить с тем, как на бензоколонках появляются супермаркеты. Сейчас мы покупаем себе кофе, заправляемся бензином и не думаем при этом о том, что за всем этим стоят нефтяные компании, нефтепроводы, перерабатывающие заводы. Люди заезжают на заправку купить сопутствующие продукты и заодно заправиться бензином. Вот и банки должны создать такие «бензоколонки» с сопутствующими товарами, - отмечают эксперты [8, c.209].
В данный момент банки перестали считать своей основной задачей взимание комиссии, а продвижение собственных услуг банка все чаще трансформируется в помощь клиенту и заработок вместе с ним.
В результате появляются не самые, казалось бы, банковские решения — например ДомКлик от Сбербанка. При создании новых банковских услуг разработчикам программного обеспечения и сайтов надо не забывать, что в современном мире хранение банковской информации, ее стоимость и значимость многократно возросли, что, в свою очередь, не могло не привлечь рост преступного интереса к ней.
4.3 Цифровая модернизация банков
Банки должны иметь так называемое «цифровое ядро». Поэтому на рынке появились несколько разработанных типовых моделей цифрового банка, в основе которых лежат CRM, BPM, аналитика и скоринговые модели.
Это такой цифровой слой, через который реализуется работа с внешними компаниями. Открытая банковская архитектура предполагает наличие набора адаптеров к различным каналам. Этот слой содержит в себе workflow management, который позволяет координировать направление потоков информации по разным каналам. Между цифровым ядром и клиентами банка находится фронт-энд, в котором обеспечивается информационная безопасность, и через который идет работа с клиентскими аккаунтами, с PFM. Это позволяет банкам продавать не только свои продукты.
Целью цифровой модернизации банков является повышение прибыльности и конкурентоспособности. Диджитализация охватывает все грани банковского бизнеса, от внешних процессов, где происходящие перемены и приобретенные в результате новые «цифровые» свойства финансовых услуг заметны невооруженным глазом, до внутренних технологий управления [11, c.175].
Фундаментом последних становятся инструменты управления эффективностью организаций (Corporate Performance Management, СРМ) на базе хранилищ данных и платформы бизнес-анализа (Business Intelligence, BI). Они превращают огромные объемы данных, генерируемых в процессе деятельности кредитных организаций и поступающих извне, в полезную информацию, позволяющую повысить доходность услуг и клиентов, результативность бизнес-процессов и рентабельность бизнес-направлений и банка в целом. Вместе с тем, несмотря на новые звучные термины, цифровые преобразования являются закономерным результатом эволюционного развития ИТ-инфраструктуры банков, применяемые технологии уже успели себя зарекомендовать, и на волне цифровизации их присутствие на банковском рынке только укрепляется и расширяется.
4.4 Развитие дистанционного банковского обслуживания
Для тех групп клиентов, которым удобнее получать услуги на удаленной основе, развитие дистанционного банковского обслуживания позволяет оказывать практически полный спектр банковских услуг. При этом для банка данный подход является зачастую более выгодным, так как позволяет оптимизировать затраты на персонал за счет поиска и подключения к системе сотрудников в регионах с более низкой зарплатой.
Реализация концепции «цифрового банкинга» дает клиентам возможность потреблять банковские продукты полностью удаленно через цифровые каналы с минимумом препятствий и на высоком уровне информационной безопасности. По результатам исследования 2018 года от Deloitte Digital, Россия вошла в топ-5 стран в регионе EMEA по уровню развития цифрового банкинга, обойдя даже такие страны, как Великобритания или Франция [12, c.178].
4.5 Развитие систем идентификации
Одним из новых трендов является развитие систем идентификации. Этот тренд является следствием перехода банков к «цифровому офису» в работе с клиентами.
В качестве примера запуск компанией Mastercard в России сервиса денежных переводов по номерам телефонов и аккаунтам в нескольких соцсетях.
Мобильный телефон становится фактически аналогом ЭЦП, и банки обоснованно страхуют себя от ошибок идентификации с помощью всех видов биометрии. Это направление будет активно развиваться и в ближайшем, и в отдаленном будущем.
4.6 Серьезное отношение к угрозам
Применительно к сфере ИБ индустрия постепенно приходит к пониманию того, что, выполняя «до буквы» требования регуляторов и сертификационных организаций, пройти большинство проверок можно, а вот построить по-настоящему безопасную систему нельзя, что повлечёт серьёзные последствия после наступления первого же реального инцидента. И наоборот, после выстраивания эффективных процессов ИБ вопросы лицензирования и сертификации решаются заметно проще и эффективнее. Если два года назад многие рассматривали отзыв лицензии как основной риск, то сейчас становится понятно, что он непосредственно связан с множеством других проблем.
Сейчас уже даже несколько странно это читать - как соответствие `на бумаге` может быть важнее реальных потерь бизнеса? Однако и здесь мы опять обращаемся к особенностям процессов цифровой трансформации. Для того чтобы появилось это понимание, потребовалось серьёзное переосмысление опыта. Финансовые структуры привыкли в целом полагаться, например, на взаимодействие с органами исполнительной власти и ориентировались скорее на расследование инцидентов и поиск злоумышленников, нежели на предотвращение проблем. Требования регулятора не принято было обсуждать и анализировать, так сложилось исторически, однако без анализа мотивации регулятора воспринять и правильно реализовать все требования в общем случае просто невозможно [13, c.229].
Снижение потерь от инцидентов становится так же важно, как и исполнение правил регулирующих организаций. Более того, проясняется взаимосвязь. Так, существенную роль в изменении подходов к защите ИТ-инфраструктуры организаций банковской отрасли сыграли как раз рекомендации Центрального банка РФ, который `развернул` банковскую безопасность от формального соответствия требованиям регуляторов в сторону защиты бизнеса и разъяснил необходимость переосмысления политик безопасности и качественной оценки рисков.
Многие финансовые организации начинают более серьезно относиться к угрозам. Подобная тенденция будет развиваться и далее: сегодня уже идёт речь об обязательной сертификации решений ИБ, постепенно начинаются разговоры и о проведении регулярных аудитов и страховании рисков.
Информационная безопасность, по его словам, остается значимым приоритетом для организаций финансового сектора, и этот приоритет неуклонно растет: отрасль находится в стадии пробуждения. Участники рынка пока неокончательно сфокусировались на угрозах ИБ, но в определенной степени уже можно говорить о достижении российскими финансовыми организациями определенного уровня зрелости в вопросах защиты и управления рисками.
Финансовый сектор находится под большим влиянием ИТ, поэтому банкам приходится соответствовать требованиям регуляторов на более высоком уровне.
Нужно понимать, что 100-процентной защиты не существует, но есть ряд обязательных решений, которые позволяют по максимуму снизить риски: аппаратные средства защиты, песочницы, защита приложений.
4.7 Прикладные инструменты для повышения эффективности работы с клиентами
Как бы много не говорили о проектах на блокчейне, искусственном интеллекте и анализе больших данных, эти инструменты пока востребованы в основном лишь крупными банками. Основной же спрос на рынке банковской информатизации все еще приходится на прикладные инструменты, позволяющие повысить эффективность работы с клиентами.
Однако большинство российских финансовых организаций уже отличается хорошим уровнем «зрелости» бизнес-процессов, поэтому основной фокус приходится, разумеется, не на установку систем CRM, а на более сложные действия в том числе решения ИБ с помощью блокчейн.
К ним относятся базы знаний для колл-центров со встроенными средствами аналитики, помогающие повысить эффективность работы операторов. Другой класс востребованных решений — сервисные порталы как для нужд ИТ-департаментов, так и для других процессов фронт- и бэк-офисов, которые часто создаются на базе решений Atlassian. Правда, в этих областях банки часто сталкиваются с нехваткой квалифицированных команд, обладающих компетенциями для крупных высоконагруженных проектов: на рынке таких команд единицы.
4.8 Автоматизация рутинных операций
Большой интерес рынка заметен к решениям, которые позволяют заменить рутинные массовые операции, выполняемые людьми, на автоматизированные. В числе решений, позволяющих это сделать - технологии роботизации, машинного обучения, искусственного интеллекта, управления бизнес-процессами, которые применяются в том числе для решения сложных задач информационной безопасности.
Данный тренд является следствием уменьшения маржинальности классических продуктов и желанием банка сохранить доходность от них.
Для минимизации рутины банки используют ботов и другие современные технологии автоматизации.
Чат-боты внедряются в том числе и для обслуживания внутренних потребителей. Сотрудники обращаются к внутренним сервисным процессам с помощью мессенджеров.
4.9 Обработка больших данных
Еще одна тенденция связана с внедрением технологий для обработки больших клиентских данных (Big Data).
Данные – это не просто «новая нефть»: в финансовой сфере данные – это новые деньги [11, c.438]. Поэтому банки активно вовлекают своих клиентов во взаимодействие с компанией и кропотливо собирают сведения о каждом их «цифровом следе»: коммуникациях с банком, платежной истории и даже активности в социальных сетях, на форумах и в блогах. Все для того, чтобы максимально объективно оценивать благонадежность клиентов при предложении им продуктов, а также формировать индивидуальные пакеты услуг и персонализировать все коммуникации.
Ключевым трендом российского рынка банковской информатизации называет внедрение собственных практик аналитики больших данных. Он объясняет это тем, что сейчас уже созрела ИТ-инфраструктура, собран огромный массив данных из разнородных источников, которые нужно не только собирать и хранить, но и анализировать. Эта технология применяется для решения задач ИБ.
Учитывая эти факторы, мы видим, как наши заказчики в банках используют алгоритмы машинного обучения в управлении рисками информационной безопасности, развивают собственные центры обработки данных и создают департаменты дата-сайентистов (Data Scientist), которые структурируют данные и получают ценные инсайты для бизнеса [14, c.224].
В то же время, потребность в извлечении из накопленных банком данных ценной информации теперь возникает не только в специализированных службах. Она становится массовой и охватывает все уровни управления: от акционеров и топ-менеджеров до специалистов, и все подразделения: от основных доходоприносящих до обслуживающих и административных.
Это формирует новые требования к ПО для работы с данными: хранилища данных, приложения бизнес-аналитики и инструменты бизнес-анализа постепенно становятся тиражными, то есть максимально готовыми к эксплуатации, более доступными и простыми в использовании, оснащенными удобными интуитивно-понятными интерфейсами и средствами визуализации для лучшего восприятия результатов анализа.
4.10 Аутсорсинг
Правильно выстроенная архитектура является залогом эффективного построения всего бизнеса банка. Существует три уровня банковской ИТ-архитектуры. Первый — стратегический, туда относятся цели и задачи бизнеса, его функции. Потом идет процессная модель бизнеса. На ее основании строится модель данных, архитектура информационных систем. И дальше появляется уже то, что раньше было принято называть непосредственно ИТ-архитектурой: каталог инфраструктурного ПО, аппаратных средств и приложений.
Сейчас, например, обсуждается гипотетическая возможность централизовать работу с текущими счетами физических лиц и передать ее Центральному Банку. Что тогда остается самому коммерческому банку? Ядром становится CRM-система и фронт, а ключевыми сотрудниками становятся продавцы и продуктологи, а все остальное можно передать на аутсорсинг. Роль основной системы переходит от АБС к единой фронтальной системе, CRM и аналитике. Для банка, который реализует сервисную модель, главным становятся риск-менеджмент, процессинг платежей и бухгалтерский процессинг.
Банки будут выбирать, где им брать услуги по риск-менеджменту, процессингу, где хостить счета и где пользоваться бухгалтерией. И, конечно, банк должен создавать оптимальные каналы, по которым будет работать с клиентами. Эти каналы также можно покупать как внешний сервис. Сейчас есть поставщики, которые предлагают их в облаке [7, c.356].
При этом тенденция такова, что многие банки уже готовы отдать свои внутренние процессы на аутсорсинг. Они осознали, что бэк-офис и бухгалтерские функции не являются конкурентными преимуществами; для того, чтобы оптимизировать расходы на них, их лучше централизовать. Единый бэк-офисный центр можно было бы создать либо как общий для нескольких банков, либо отдать интегратору подобно тому, как уже созданы общие процессинговые центры по платежам.
4.11 Изменение требований к банковским сетям и их центрам обработки данных
Непрерывный рост уровня информатизации банков, масштабное внедрение виртуализации, контейнеризации, облачных сервисов, рост числа мобильных пользователей, эволюция производства и архитектуры ASIC, появившаяся необходимость формирования высокопроизводительных кластеров для обработки больших объемов информации, рост объемов и гранулярность передаваемого трафика, массовое использование публичных сетей для корпоративных нужд, недостатки традиционных сетей – привели к изменению требований к банковским сетям передачи данных, центрам обработки данных и информационной безопасности.
Требования к современным банковским центрам обработки данных, помимо традиционных требований к отказоустойчивости, высокой доступности, сокращению роста расходов на инфраструктуру, также включают:
Переход с полностью физической инфраструктуры на виртуальную с последующим увеличением к требованиям производительности сетевой инфраструктуры.
Гибкость, быструю перенастройку инфраструктуры под меняющиеся требования бизнеса, моментальное реагирование в предоставлении ресурсов и сервисов.
Мобильность ресурсов, поддержка механизмов миграции, не зависимость от физического транспорта и IP-адресации, связанность каждого виртуального ресурса с каждым;
Мобильной защиты информации банковской системы от вредоносного ПО;
Видимость и контроль трафика, как в физической инфраструктуре, так и в виртуальной.
Обеспечение вышеперечисленных требований способствует внедрению новых технологий:
Плоских сетей центр обработки данных – Архитектура CLOS;
Автоматизации за счет использования специализированных контроллеров и сетей SDN;
Использованию «Наложенных сетей» (Overlay), протоколов VXLAN и BGP как для построения сетей центра обработки данных, так и для обеспечения взаимодействия между центрами обработки данных.
Использованию специализированных продуктов по формированию копий трафика и его анализу – сетевые пакетные брокеры;
4.12 Переход на решения All Flash
В области поставок аппаратного обеспечения для банковской информатизации изменения происходят медленнее, но и здесь можно выявить очевидную тенденцию — переход на решения All Flash. Если раньше их использование определялось требованиями приложений к высокой производительности систем хранения данных (например, в высоконагруженных базах данных или для загрузки операционных систем в средах виртуализации, а также антивирусных программ), то сегодня они доминируют и в среде корпоративных приложений.
Выход на рынок систем хранения данных сначала IBM, Violin и Pure Storage, а затем и других производителей, изначально разработанных для работы исключительно с чипами Flash, а также недавнее появление накопителей read intensive SSD позволило существенно сократить совокупную стоимость владения решений All Flash и приблизить её вплотную к решениям на базе накопителей HDD [15, c.557]. Мы ожидаем, что набирающий силу тренд использования производителями систем хранения технологий встроенной компрессии и дедупликации данных позволит в дальнейшем корпоративным заказчикам полностью отказаться от массивов с традиционными накопителями в пользу решений All Flash. Использование жёстких дисков в системах хранения в настоящий момент может быть продиктовано только специфичными техническими требованиями (к примеру, в системах потоковой записи видео данных), но возможно в ближайшем будущем это может быть продиктовано протоколами информационной безопасности.
4.13 Другие тренды
Усовершенствование нормативной базы в области удаленной идентификации в перспективе даст новый импульс развитию биометрии и финтеха.
Уже сейчас российские банки используют биометрические технологии в мобильных приложениях, а также планируют внедрять их в банкоматы и pos-терминалы.
Серьезное отношение к процессам позволяет и затраты минимизировать, и качество поднять, и быстрее потребителю новые продукты и решения доставить. Более того, как раз гибкие и эффективные бизнес-процессы образуют плодородную почву для внедрения редких инновационных технологий, в том числе технологии информационной безопасности. Без нее они попросту не приживутся и не дадут бизнесу роста.
В связи с ростом использования современных технологий можно отметить закономерный тренд дефицита высококвалифицированных сотрудников в области машинного обучения и обработки данных.
Их стоимость растёт, но при этом количество кадров на рынке, к сожалению, пока увеличивается недостаточными темпами.
Генеральный директор «Амтел-Сервис», выделяет два ключевых приоритета банковской информатизации – это безопасность и клиентские сервисы, которые обеспечивают клиентам удобные и быстрые коммуникации с банком в цифровых каналах, персональные предложения и private banking. Также он выделяет приоритет требования time-to-market, т.е. обеспечение быстрого и своевременного выпуска на рынок новых продуктов и сервисов, что напрямую связано с ИТ-составляющей [18, c.123].
Трендами в модели потребления ИТ-ресурсов являются облака и аутсорсинг ИТ и ИБ функций. Снижение сопротивления к данным моделям и неизбежность их применения, как минимум в менее критичных областях, уже наблюдается в последние годы, и прогнозируется значительный рост в ближайшие 5 лет. Этому в том числе будет способствовать новый стандарт ЦБ по аутсорсингу кибербезопасности.
Помимо диджитализации банковских услуг, блокчейна и маркетплэйсов, к числу трендов относят все больший акцент банков на мобильных платформах в дистанционном канале обслуживания клиентов.
Кроме того, к общему списку можно отнести ещё 4 банковских ИТ-тренда: внедрение платёжной модели извещений о наличии электронных счетов (e-invoicing); новая «система быстрых платежей»; удалённая идентификация клиентов (биометрическая идентификация); построение портальных решений для клиентов.
Упоминает об активном развитии рынка отечественных банковских решений, которые уже в ближайшее время могут серьезно потеснить зарубежные разработки, чему, по его словам, также способствуют и рекомендации государства.
Развитие решений для корпоративных заказчиков имеет более консервативный вид, чем розничных, здесь идет углубление автоматизации по всем направлениям, от систем БКО до систем мониторинга операций и возвратов задолженностей. При этом аналитические и прогнозные системы интересны практически во всех точках.
В России, как и в большинстве стран – участников финтех-движения, заметна серьезная стандартизация зародившейся отрасли.
В начале года регулятор представил документ «Основные направления развития финансовых технологий на период 2018–2020 годов», описывающие основные перспективы и планы внедрения инноваций в финансовом секторе. Банки обязательно продолжат переход от разросшихся систем «управления всем» к микросервисам и одним из них непременно станет автоматизация персонифицированной работы с клиентом, например, умные кредитные калькуляторы и программы подбора банковских продуктов.
И конечно, одним из ключевых трендов в банках становится движение от расширенной аналитики при работе с клиентами к использованию технологий искусственного интеллекта и машинного обучения, постепенно переходя из стадии разрозненных экспериментов и пилотных проектов в мейнстрим [6, c.114].
Российский банковский сектор сегодня держит курс на снижение CAPEX.
Клиенты смотрят в сторону расширения границ аутсорсинга и аутстаффинга в части обслуживания ИТ-систем. Также мы наблюдаем активный практический интерес финансовых организаций к внедрению технологий машинного обучения и искусственного интеллекта. Популярны интеграционные проекты с партнерами по бизнесу и госорганами, позволяющие банкам обогащать свои продукты функционалом (например, в области регистрации сделок, оформления страховок, предоставления скидок и т.д.).
Также к числу трендов относят поддержку и развитие ранее внедренных систем, либо их оптимизацию. Кроме того, увеличение доли инсорсинга в некоторых направлениях аутсорсинга и замещения импорта (софта и железа). Еще один тренд, по его словам, связан с активным ростом «облачного» сегмента на уровне инфраструктуры и отдельных приложений.
Также наблюдается укрупнение финансовых организаций в результате слияний, поглощений или санации и, как следствие, вынужденная интеграция разрозненного ИТ-ландшафта в единую информационную среду для принятия грамотных управленческих решений и обеспечения непрерывности бизнеса, в первую очередь для розничных и корпоративных клиентов.
ЗАКЛЮЧЕНИЕ
Сегодня уже вряд ли кто-то может сомневаться в том, что банковская отрасль – одна из тех отраслей, которые в наибольшей степени уязвимы для утечек конфиденциальных данных. Практически все клиенты банков очень серьезно относятся к тайне финансовой информации. Так что утечка данных может не просто отразиться на бизнесе, но и разрушить бизнес банка.
Если говорить о средней стоимости утечки данных, то она сегодня насчитывает приблизительно $5,5 млн. Это довольно ощутимая сумма для каждой организации. И даже для банка, который наверняка мог бы распорядиться данными деньгами с гораздо большей для себя пользой.
Применение инструментальных средств обработки информации - это новый шаг в повышении эффективности бизнеса с помощью внедрения современных технологий. Применение систем искусственного интеллекта позволяет оперировать огромными массивами памяти, что актуально для финансового сектора. Преимущество использования искусственного интеллекта сейчас в том, что сбор данных не прекращается и чем больше база, тем эффективнее работа системы, следовательно, те банки, которые откладывают решение о внедрении в свою работу систем искусственного интеллекта, рискуют не догнать более наукоемких конкурентов. Использование систем искусственного интеллекта в бизнесе приведет к коренным изменениям в клиентском обслуживании и радикальному повышению эффективности бизнеса. Усложнение структуры современного бизнеса и решаемых им структурированных задач требует качественно новых характеристик программного обеспечения, предоставляющих высокую степень защиты данных, качественно новый способ обработки и анализа данных и быстрый поиск релевантной информации.
Благодаря технологии blockchain, банковская система может устранять какие бы то ни были централизованные хабы и посредников с помощью регистрации, подтверждения и передачи любого типа контрактов в учетной системе, основанной на blockchain. Например, данная технология может применяться при составлении и учете долговых расписок, кредитов, вкладов, различных договоренностей и т. д. Также с помощью данной технологии банки смогут немедленно направлять отчетность независимо от работоспособности систем надзорных ведомств; клиенты банков смогут совершать микро—платежи более свободно, так как комиссия на их совершение будет значительно ниже, и банкам необходимо будет только осуществлять ввод и вывод средств и скрининг совершенных операций; можно будет вести бонусные программы без создания централизованной инфраструктуры, а также интегрировать с другими бонусными программами без участия самого банка и другие упрощения многосторонних банковских услуг.
Криптография дает возможность устранять угрозы платежной системы банков. Например, несанкционированный доступ и модификация хранимой конфиденциальной информации посторонними лицами, не принадлежащих к числу банковских служащих; перехват и последующее раскрытие конфиденциальной информации, передаваемой по каналам связи; случайное или умышленное уничтожение, копирование, разрушение информации.
Защита информации в банке - это задача комплексная, которая не может решаться только в рамках банковских программ. Эффективная реализация защиты начинается с выбора и конфигурирования операционных систем и сетевых системных средств, поддерживающих функционирование банковских программ. Среди дисциплинарных средств обеспечения защиты следует выделить два направления: с одной стороны - это минимально достаточная осведомленность пользователей системы об особенностях построения системы; с другой - наличие многоуровневых средств идентификации пользователей и контроля их прав.
Задача защиты информации в банке ставится значительно жестче, нежели в других организациях. Решение такой задачи предполагает планирование организационных, системных мероприятий, обеспечивающих защиту. При этом, планируя защиту, следует соблюдать меру между необходимым уровнем защиты и тем ее уровнем, когда защита начинает мешать нормальной работе персонала.
СПИСОК ИСПОЛЬЗУЕМОЙ ЛИТЕРАТУРЫ
1. Казарин, О. В. Основы информационной безопасности: надежность и безопасность программного обеспечения: учеб. пособие для СПО / О. В. Казарин, И. Б. Шубинский. — М.: Издательство Юрайт, 2019. — 342 с.
2. Мелани Свон: Блокчейн: Схема новой экономики [перевод с английского]. / Мелано Свон — М.: Издательство «Олимп–Бизнес»,2017. — 240 с.
3. Васильева, И. Н. Криптографические методы защиты информации: учебник и практикум для академического бакалавриата / И. Н. Васильева. — М.: Издательство Юрайт, 2019. — 349 с.
4. Тавасиев А. М. Банковское дело: учебник для бакалавров / Тавасиев А. М. — М.: Издательство Юрайт, 2016. — 647 с.
5. Ефимова, Л.Л. Информационная безопасность. Российский и зарубежный опыт. Монография. Гриф УМЦ «Профессиональный учебник». Гриф НИИ образования и науки. / Л.Л. Ефимова, С.А. Кочерга. — М.: ЮНИТИ, 2016. — 239 c.
6. Запечников, С.В. Информационная безопасность открытых систем. В 2-х т. Т.1 — Угрозы, уязвимости, атаки и подходы к защите / С.В. Запечников, Н.Г Милославская. — М.: ГЛТ, 2017. — 536 c.
7. Запечников, С.В. Информационная безопасность открытых систем. В 2-х т. Т.2 — Средства защиты в сетях / С.В. Запечников, Н.Г. Милославская, А.И. Толстой, Д.В. Ушаков. — М.: ГЛТ, 2018. — 558 c.
8. Малюк, А.А. Информационная безопасность: концептуальные и методологические основы защиты информации / А.А. Малюк. — М.: ГЛТ, 2016. — 280 c.
9. Партыка, Т.Л. Информационная безопасность: Учебное пособие / Т.Л. Партыка, И.И. Попов. — М.: Форум, 2016. — 432 c.
10. Петров, С.В. Информационная безопасность: Учебное пособие / С.В. Петров, И.П. Слинькова, В.В. Гафнер. — М.: АРТА, 2016. — 296 c.
11. Семененко, В.А. Информационная безопасность: Учебное пособие / В.А. Семененко. — М.: МГИУ, 2017. — 277 c.
12. Чипига, А.Ф. Информационная безопасность автоматизированных систем / А.Ф. Чипига. — М.: Гелиос АРВ, 2017. — 336 c.
13. Автоматизация банковских операций: Учебное пособие. Ч. 2 Автор: Преображенский Н.Б. Издательство: АТиСО, 2008 г. — 649 c.
14. Гайкович Ю.В, Першин А.С. Безопасность электронных банковских систем. — М.: Единая Европа, 2008 г. — 211 c.
15. Демин В.С. и др. Автоматизированные банковские системы. — М.: Менатеп-Информ, 2009г. — 329 c.
16. Крысин В.А. Безопасность предпринимательской деятельности. — М.: Финансы и статистика, 2008 г. — 566 c.
17. Павлов С. Н. Системы искусственного интеллекта: Учебное пособие, 2011. — Ч. 1. — 476 c
18. Варламов О.О. Системы искуственного интеллекта и компьютерной угрозы
информационной безопасности//Московская академия рынка труда и
информационных технологий, 2004. — 788с.
- История развития прикладного ПО
- «Способы прекращения обязательств»
- Юридическая ответственность за нарушение законодательства о рекламе
- Исследование понятия «общая совместная собственность супругов» на основании законодательных актов
- Права и свободы человека и гражданина,их гарантии
- Понятие пенсии по случаю потери кормильца в современных условиях
- Технология обслуживания клиентов в гостиницах
- Корпоративная культура как часть организации
- Россия в системе международных кредитных отношений . . .
- Анализ влияния на формирование политики управления ассортиментом удобрений - розничной организации торговли
- Анализ конкурентов на рынке (на примере ООО «Алюмэкспо»)
- Построение организационных структур»