Риски: привлечения инвестиций, удаленной идентификации и утечки данных

05 апреля 2018

Риски: привлечения инвестиций, удаленной идентификации и утечки данных

«Я всегда говорил, и буду утверждать и далее, что у нашего бизнеса есть единственный риск – это риск фондирования. У микрофинансирования нет ни политических, ни экономических, и никаких других рисков. Решите проблему финансирования и замещения финансов в случае стрессового сценарий – будете жить и работать», - заявил, выступая на MFO Russia Forum Евгений Бернштам, Председатель совета директоров Adela Financial Retail Group.

Выступающие на сессии об инвестициях коллеги Бернштама отмечали, что в случае непредвиденной ситуации можно привлечь средства с помощью аналогов p2p площадок, уже работающих в России.

«Мне первый p2p-проект сделали в 2006 году выходцы из известного международного консультационного агентства, и я заплатил за это исследование 100 тысяч долларов США. А потом я съездил в Великобританию и понял, что этот проект не будет работать в России, как Волга никогда не потечет к Северному морю», - с присущей ему эклектикой заявил Евгений Бернштам.

Андрей Паранич, заместитель директора СРО «МиР», выступил на форуме с предупреждением, адресованным ко всем участникам рынка микрофинансирования. Он призвал все компании этого сектора внимательнее относиться к аудиту своей информационной безопасности, и не ограничиваться только одним резервным копированием базы. По словам Паранича, уже сегодня есть кейсы, когда резервное копирование данных не помогает восстановить информационную систему и базу. Кроме того, вирус проникает в резервную копию, и вывести вирус из базы, не заплатив мошенникам, не удается.

База данных – это главный актив, в котором зафиксированы все обязательства МФО – как перед клиентами, так и перед инвесторами, отчетность перед регулятором. Взлом базы – это и утечка персональных данных, и прямые убытки от того, что нельзя заниматься своей повседневной работой – выдавать займы. Кроме того, компания со взломанной базой несет и репутационные риски.

Андрей Паранич напомнил о том, что 26 июля 2017 года был принят закон о безопасности критической информационной инфраструктуры - так называемый 187 ФЗ. Этот закон предполагает составление перечня критических процессов в финансовых организациях и согласование этого списка с ЦБ и Федеральной службой по техническому и экстренному контролю (ФСТЭК).

Какой-то финансовой ответственности, к счастью, от компаний рынка микрофинансирования закон пока не требует, отметил Паранич. Но, понимая, как быстро развивается законодательство, спикер не исключил, что в дальнейшем для МФО эта ответственность может и наступить. То есть Банк России может потребовать от любой МФО обеспечить регулятору доступ к своей системе для наблюдения за работой и процессами в системе.

Кроме непосредственно норм закона, аудит безопасности прописан в методологических рекомендациях от 18 августа 2016 года. Они подразумевают, что «компания должна обеспечить резервное копирование и хранение информации вне офиса компании и даже иметь наличие резервного офиса на тот случай, если в вашем городе война или чума», - сообщил Паранич.

Каждая МФО сама определяет перечень тех критических ситуаций, которые могут перерасти в чрезвычайные, и искать пути их устранения.

Еще ЦБ завершил работу над стандартом «Защита информационной безопасности». Стандарт содержит базовый состав организационных и технических мер защиты информации. Андрей Паранич обратил внимание на тот факт, что этот стандарт относится к числу государственных. То есть этот документ – ГОСТ, который зарегистрирован Росстандартом. Сейчас он носит рекомендательный характер. Но Банк России в любой момент может сделать его обязательным. Почему Андрей Паранич в этом уверен? Потому, что если методические рекомендации ЦБ будут содержать ссылки на этот стандарт, то надо быть готовым, что какие-то положения этого стандарта станут обязательными для микрофинансовых организаций.

Исполнительный вице-президент Ассоциации российских банков (АРБ) Эльман Мехтиев рассказал на форуме о состоянии системы удаленной идентификации и аутентификации клиентов финансовых организаций. Он напомнил, что 31 декабря 2017 года был подписан закон, позволяющий банкам в ближайшем будущем осуществлять полную удаленную идентификацию – в форме внесения изменений в 3 федеральных закона, в том числе и в так называемый 115 ФЗ («О противодействии легализации (отмыванию) доходов, полученных преступным путем»).

Тем самым банки получают право обслуживать клиента, которого никогда в глаза не видели, дистанционно. В соответствии с законом, «рядом» с Единой системой идентификации и аутентификации, где хранятся и верифицируются данные о документах, выданных государством человеку, создаётся Единая Биометрическая Система, в которой будут храниться шаблоны биометрических персональных данных. Именно такое сочетание «документы плюс биометрия» и позволит осуществлять удалённую идентификацию.

Мехтиев сравнил системы построения удаленной идентификации клиента в двух странах – Индии и Беларуси. В Индии личность человека удостоверяют сертифицированные центры. В Беларуси президент страны Лукашенко принял декрет об удаленной идентификации, согласно которому для того, чтобы изначально идентифицироваться, нужно прийти в банк. Но в финансовой организации люди не всегда согласны подписать документы, которые позволяют передавать их персональные данные третьим лицам.

Поэтому, по мнению Мехтиева, нужно менять условия оказания финансовых услуг так, чтобы люди были обязаны соглашаться на передачу своих данных.

Какие поправки в законодательство для этого необходимо принять? Нужно дать банку (или любой иной финансовой организации) право не открывать счет, пока она не поймет, кто коммуницирует с ней на другом конце договора. «Сегодня банк имеет право закрыть счет подозрительного лица. Но лучше, если бы банк имел право его вовсе не открывать», - уверен вице-президент АРБ.

Георгий Демидов

© 2018 «ИнМФО»Для лиц старше 18 лет

Карта сайта

X