Финансовая сфера многолика и разнообразна, и информационная безопасность (ИБ) ее подотраслей также неоднородна, часто значительно. BIS Journal решил разобраться в специфике направлений банковской ИБ, для чего и открывает рубрику, которая так и называется: «Специфика ИБ». Для начала наш эксперт, обозреватель и ведущий новой рубрики Александр Бодрик встретился с директором по информационной безопасности AO “ВТБ Капитал” Андреем Бажиным. Это и понятно: инвестиционный бизнес - элитарный, а значит, его ИБ уж точно отличается от среднестатистической.
Андрей, какова структура бизнеса инвестиционного банка с точки зрения службы ИБ?
- Исторически инвестбанковский бизнес (CIB - corporate investment business) обслуживает в первую очередь так называемых институциональных клиентов, а также крупные корпорации и финансовые институты - участники финансовых рынков. Инвестиционные банки помогают привлекать деньги, структурировать сделки при покупке и продаже бизнеса, обеспечивать крупные операции при торговле ценными бумагами и производными финансовыми инструментами.
Клиентский менеджмент и процессы продаж продуктов коммерческого и инвестиционного банка в целом похожи в силу своей природы, основное отличие – в меньшем круге потенциальных клиентов у инвестбанка. Поэтому для инвестбизнеса гораздо более высока критичность репутации, утверждение «Банкир – это прежде всего репутация» является законом. Из-за того, что круг клиентов ограничен, самих инвестбанков на рынке не так много, и для каждого из них связка «инвестиции–доброе имя–доверие» всегда актуальна.
Реноме зарабатывается стабильно высоким уровнем сервиса и надежностью процессов при оказании услуг. Соответственно, требования к операционным процессам и к информационной безопасности как их неотъемлемой части высокие. Одновременно используются классические организационные и технические контроли – как в традиционном банке, но опять же на более высоком уровне.
Какие основные цели и задачи ставит перед собой служба информационной безопасности инвестиционного банка?
- Тут два магистральных направления: обеспечение информационной безопасности, включая кибер-безопасность, и соответствие требованиям регуляторов.
В части обеспечения информационной безопасности – это, во-первых, гарантия конфиденциальности для поддержания доверия клиентов. Об операциях никому не должно быть известно. В том числе, кстати, и для того, чтобы противодействовать манипулированию рынком. Во-вторых, обеспечение доступности и целостности как компонента доступности: сервисы должны работать, как часы, в том числе быть устойчивыми к внутренним и внешним воздействиям - как просто ошибкам, так и умышленным действиям.
В части соответствия требованиям регуляторов – это соответствие как локальным нормативным актам стран присутствия, так и требованиям основных торговых площадок, бирж, через которые инвестбанки осуществляют часть своих операций.
Какие процессы и активы инвестиционно-банковский бизнес обычно просит обеспечить целевым уровнем защиты?
- Клиентские данные, внутренние ноу-хау, которые обеспечивают конкурентное преимущество инвестиционного банка, в том числе и понимание специфики того или иного финансового рынка, специфики законодательства и определенных аспектов конкретных сделок. Также важна безопасность крупных операционных платформ, которые обеспечивают операционную деятельность инвестбанка, – их доступность, по сути дела, определяет доступность бизнеса.
Сейчас набирает популярность тренд использования на финансовых рынках различных ботов и стратегий автоматизированных торгов. Каковы риски и контроли для таких технологий?
- Если бизнес-логика бота понятна, если обработка данных ботом соответствует законодательству, если определен владелец бота, реализована ролевая модель управления правами доступа, в том числе и то, кто может его настроить и через какие интерфейсы он управляется, то в целом с точки зрения ИБ с ним все хорошо. По сути, это элемент искусственного интеллекта, который будет развиваться и дальше. При этом основной плюс бота – у него нет эмоций, основной минус – нет и интуиции.
Каковы общие особенности обеспечения информационной безопасности инвестиционного бизнеса в целом и классических бизнес-единиц (например, global markets, брокерский бизнес, работа с валютой и долговыми обязательствами) в частности?
- На первый взгляд, специфика небольшая: малый time-to-market, сервис-ориентированная культура внутри организации. Служба ИБ понимает, что она - обеспечивающее подразделение. Также часто нужно уметь находить компромиссные решения: в инвестбанке много участников сделок и бизнес-процессов, и баланс интересов крайне важен.
Существует и довольно много локальных нормативных требований, причем каждая торговая площадка при подключении часто выдвигает свои.
Отдельная тема – это обеспечение информационной безопасности M&A, в частности применение data room для реализации управляемого множественного доступа участников и консультантов по сделке к большому объему информации от разных стран и юрисдикций.
Какова типовая структура службы ИБ инвестиционного банка и особенности ее взаимодействия со смежными подразделениями?
- Типовой структуры службы ИБ в инвестиционном банкинге, пожалуй, нет, но стоит заметить, что именно инвестбанки одними из первых стали выделять ИБ в отдельное подразделение.
Есть специфика внутреннего взаимодействия. Бизнес - быстрый, оперативный, и тут важны горизонтальные связи, проактивный подход и совместное достижение низкого time-to-market. Бюрократии в инвестбанках минимум – фокус на результат. Учитывая скорость бизнес-процессов в инвестбанках, важно предугадывать потребности бизнеса. Потом времени может и не оказаться.
Большинство моделей ИБ в инвестбанках все-таки строится на ISO 27к. На базе гибкой и стандартизированной системы достаточно легко учесть требования регуляторов и контрагентов.
Кто основной заказчик/куратор/внутренний заказчик процессов и внутренних сервисов службы ИБ?
- Основной заказчик – руководство компании, но бывает и по-другому, так как многое зависит от истории вопроса ИБ в банке и опыта руководителей. Бывают запросы от руководителей бизнес-линий - кто за какие данные отвечает (data governance). Клиентские подразделения озабочены защитой клиентских данных, в том числе персональных. Линия Corporate Finance требует обеспечения безопасности документов в рамках подготовки сделок. Корпоративное ИТ просит помощи по специфическим вопросам технологий ИБ.
Наконец, работает и проактивный подход. Служба ИБ часто сама предлагает новые процессы, решения.
Какие подразделения инвестбанка участвуют в реализации процессов ИБ?
- Ключевой участник процессов ИБ – менеджмент для определения риск-аппетита при принятии решений в сфере ИБ, лояльный и обученный персонал и, безусловно, ИТ.
Какие внутренние сервисы ИБ наиболее востребованы?
- Все классические контроли актуальны для инвестбизнеса, но есть повышенные требования к обеспечению конфиденциальности, а значит, усилено управление доступом, в том числе на основе ролевой модели, а также закладывается дополнительный запас прочности во все контроли ИБ на внутренних сервисах.
Какие специалисты востребованы службой ИБ инвестбанка?
- У специалистов мы, прежде всего, хотим видеть наличие международных сертификатов в сфере информационной безопасности и смежных областях (CISA, CISM, CISSP), знание английского языка. Также для нас крайне важны soft skills – умение мягко, ненавязчиво, но терпеливо и убедительно отстаивать интересы функции ИБ внутри и вне компании. Фактически это все качества внутреннего консультанта.
Нужно понимать, что люди в этом бизнесе - успешные и динамичные. Они требовательны и к себе, и к другим, в том числе и к специалистам по ИБ. Многие учились за рубежом, понимают лучшие мировые практики и требуют понимания специфики бизнес-процессов. Например, нельзя отвлекать трейдеров во время торгов, и в общем есть повышенные требования к культуре общения.
Как изменилось регулирование для инвестбанков за последние три года?
- Самое важное изменение - Центробанк стал мегарегулятором, и его требования распространяются на финансовые рынки. Объединения участников фондового рынка тоже ведут работу в этом направлении, пусть и не столь заметную. Актуален ряд зарубежных требований, ведь инвестбанк строит бизнес в соответствии с международной финансовой системой.
Изменился ландшафт угроз в инвестбанкинге?
- Ландшафт угроз для инвестбанка сходен с ландшафтом угроз финансовой организации, разве что нет такого фокуса на физических лиц, как у розничного банка. В частности, приходится по-прежнему заниматься так называемой «наложенной ИБ», ведь рынок использует системные платформы и протоколы, такие как Windows и TCP/IP. При их проектировании разработчиком вопросы интероперабельности были поставлены на первое место, а вопросы ИБ решаются, на мой взгляд, посредством управления рисками и в большей степени - наложенными средствами защиты и процессами.
Каковы основные направления развития службы ИБ инвестбанков на 3 года вперед?
- Во-первых, повышение внимания к data managementdata governance. Бизнесу все интереснее, кто, что и с какими данными делает.
Второе – это постепенная интеграция процесса управления рисками ИБ в рамках управления рисками организации в целом, с использованием инструментария операционных рисков. В частности, с помощью накопления и использования статистики инцидентов ИБ, самооценки, а также анализа ключевых индикаторов риска (KRI, Key Risk Indicators) в контексте информационной безопасности.
И третье – выполнение требований регуляторов: ЦБ РФ, международных требований (например, GDPR), которое требует постоянного тюнинга контролей в части поддержания соответствия.
(1).png)