Не подстелили соломки… Почему банки оказались не готовы к режиму самоизоляции?

Не подстелили соломки… Почему банки оказались не готовы к режиму самоизоляции?

В марте 2020 года мы узнали, что мир не будет прежним. Пандемия коронавируса внесла коррективы во все сферы жизни. Коснулись они и банковских организаций.

УКАЗОВ БЫЛО МНОГО

Согласно указу Президента России с 30 марта 2020 г. была объявлена неделя нерабочих дней для всей страны. Вскоре этот указ был дополнен другим – № 239 «О мерах по обеспечению санитарно-эпидемиологического благополучия населения на территории Российской Федерации в связи с распространением новой коронавирусной инфекции (COVID-19)», установившим нерабочие дни с 4 по 30 апреля включительно.

Указ № 239 не распространялся на ряд организаций, в т. ч. организации, предоставляющие финансовые услуги в части неотложных функций (в первую очередь услуги по расчётам и платежам), при этом вводил ограничения на передвижение и давал право органам власти проводить дополнительные комплексы ограничительных и иных мероприятий, направленных на обеспечение санитарно-эпидемиологического благополучия населения, в том числе в условиях введения режима повышенной готовности, чрезвычайной ситуации.

5 марта 2020 года мэр г. Москвы издал Указ № 12-УМ «О введении режима повышенной готовности», согласно которому работодатели должны были обеспечить измерение температуры тела работникам на рабочих местах с обязательным отстранением от нахождения на рабочем месте лиц с повышенной температурой, а также оказывать работникам содействие в обеспечении соблюдения режима самоизоляции на дому.

Данный Указ неоднократно дополнялся, что прибавляло работодателям новых обязанностей, например перевести граждан, обязанных соблюдать режим самоизоляции, на дистанционный режим работы или предоставить им ежегодный оплачиваемый отпуск,

В свою очередь, Роспотребнадзор издал Письмо от 10 марта 2020 г. «О мерах по профилактике новой коронавирусной инфекции (COVID-19)», согласно которому работодателям рекомендовалось, в частности, обеспечить:

• возможность обработки рук кожными или дезинфицирующими салфетками с установлением контроля за соблюдением этой гигиенической процедуры;
• контроль температуры тела работников при входе в организацию (предприятие) и в течение рабочего дня (по показаниям) с обязательным отстранением от нахождения на рабочем месте лиц с повышенной температурой тела и с признаками инфекционного заболевания;
• качественную уборку помещений с применением дезинфицирующих средств вирулицидного действия, уделив особое внимание дезинфекции дверных ручек, выключателей, поручней, перил, контактных поверхностей, мест общего пользования;
• наличие в организации не менее чем пятидневного запаса дезинфицирующих средств для уборки помещений и обработки рук сотрудников, средств индивидуальной защиты органов дыхания на случай выявления лиц с признаками инфекционного заболевания (масок, респираторов).

НОВЫЕ ПРАВИЛА И ПРОЦЕССЫ

Безусловно, следующие один за другим указы и рекомендации легли на организации тяжёлым бременем, как финансовым, так и организационным.

В связи с новыми условиями необходимо было менять правила работы. Банк России издал опросник про выполнение требований Указа мэра Москвы о переводе сотрудников банков на дистанционную работу. Данное письмо потребовало от руководства банков созыва экстренных заседаний ввиду ограниченности сроков исполнения и неготовности банковско-технологических процессов к дистанционной или посменной работе.

Таким образом, банкам пришлось перестраивать свои бизнес-процессы под новые реалии и решать такие проблемы, как организация посменной работы либо «домашних офисов», обеспечение сотрудников на дистанционной работе необходимой техникой и каналами связи, незапланированные расходы на обеспечение указанных процессов, недостаток сотрудников, присутствующих очно и т. п.

Кроме того, основные процессы ИТ и ИБ были приостановлены, поскольку было необходимо решать задачи, поставленные руководством, в связи с требованиями вышеуказанных нормативно-правовых актов.

ЧТО ДЕЛАТЬ?

Перед руководством банков встал ряд насущных вопросов. Сколько сотрудников можно отправить на дистанционную работу, не нарушая бизнес-процессы и существующие нормативно-правовые акты? Сколько сотрудников могут работать посменно? Как менять расписание работы в случае заболевания сотрудника, работавшего очно, с учётом требований самоизоляции лиц, контактировавших с заболевшим? Как организовать техническое и организационное обеспечение дистанционной работы с учётом принятых годовых бюджетов? К какой категории отнести и как выделить бюджет для расходов на маски, перчатки, антисептики, ПЦР-тесты и т. п.?

ДАЛЬШЕ – БОЛЬШЕ

В ходе применения дистанционного режима работы возникли проблемы. Пострадали процессы с применением электронной подписи, отправкой и приёмом платежей, взаимодействия с клиентами, телефонией — потребовалась перенастройка телефонии (АТС) и др.

Требовалось определить, как правильно выстроить процессы с ПС БР, удалённый доступ к которой запрещён регулятором, в связи с чем руководитель был обязан обеспечить физическое присутствие в офисе как минимум четырёх работников, что стало болезненным моментом для небольших банков, особенно в случае заболевания даже одного сотрудника. Аналогичные проблемы коснулись, например, SWIFT.

Проявились трудности с контролем рабочего времени работников, в том числе из-за отсутствия регуляторных механизмов. Также из-за большого числа отвлекающих факторов при работе вне офиса возросло число ошибок и некачественно выполненных должностных обязанностей.

Ввиду использования для видеоконференций популярных платформ, чья надёжность сомнительна (Zoom, Teams, Skype и др.),повысился риск утечки информации. Также риск утечек возрос и в связи с вероятностью утраты рабочих устройств вне офиса.

Отдельно отметим неготовность внутренних документов, регламентирующих в банках режим работы такого рода.

ПУТИ РЕШЕНИЯ

В связи с тем, что бюджеты банков, как правило, формируются в начале года, статьи расходов на организацию дистанционной работы в 2020 году в них не были представлены. Решать вопросы приходилось имеющимися подручными средствами – бесплатное программное обеспечение, снижение уровня защиты в пользу удешевления, использование резервных средств и т. д. и т. п.

При дистанционной работе в основном применялись следующие решения.

1. VPN между АРМ сотрудника и домашним компьютером. При этом следует иметь в виду, что устанавливать банковское ПО на домашние компьютеры запрещено.

2. Виртуальная машина, к которой сотрудники подключались дистанционно, а она, в свою очередь, подключалась к рабочим АРМ для исключения заражения ВПО и возможных утечек информации. Виртуальная машина создавалась только на сеанс работы и при завершении сеанса осуществляла сброс к первоначальным настройкам. Для этого требовалось провести настройку личных компьютеров.

3. Другие решения. Назовём их «местные ноу-хау».

Вне зависимости от выбора решения, используемое устройство становилось непригодным для применения в личных целях, что приводило к конфликту между сотрудником и руководством банка.

ВЫВОДЫ

Возникшая форс-мажорная ситуация показала отсутствие гибкости в банковско-технологических процессах, что, с одной стороны, обусловлено необходимостью следовать высоким стандартам обеспечения безопасности, с другой – отсутствием соответствующих подобной ситуации регуляторных механизмов.

Для предотвращения либо минимизации последствий таких проблем в будущем желательно:

• регулятору в лице Банка России предоставить банкам рекомендации по правильной организации дистанционной работы и разработать соответствующие нормативные акты; предоставить банкам информацию о лучших практиках технической организации удалённого доступа;
• банкам провести самооценку на предмет соответствия требованиям, созданным в рамках вышеуказанного процесса; предоставить руководителю варианты решения возникших проблем, в т. ч. по изменениям нормативных документов банка, в т.ч. плана ОНВД; проработать бюджет на предмет возможных форс-мажорных ситуаций схожего рода.