Реформа в ЦБ

25 сентября 2000, 00:00

Банк России готовится к эпохе электронной коммерции

Первым человеком, абсолютно законно использовавшим цифровую подпись в США, был Билл Клинтон. Не так давно он завизировал ею Закон о цифровой подписи. Потом, правда, сделал то же самое еще раз, на бумаге, обычной перьевой ручкой. Очевидно, для подстраховки.

Точно такую же операцию ежедневно производят в сотнях российских компаний и десятках банков. Новации в сфере электронной коммерции уже просто невозможны без законодательного обеспечения процедуры электронного документооборота. Этой осенью российская Дума наконец приступит к рассмотрению закона об электронной цифровой подписи и электронном документе. О том, какая реформа предстоит в связи с этим в банковской сфере, заместитель главного редактора журнала "Эксперт" Никита Кириченко беседует с заместителем председателя - директором департамента информационных систем Центрального банка России Михаилом Сенаторовым.

- Когда ЦБ начал использовать электронные средства обработки информации и какие преимущества они дают?

- Необходимость перевода платежной системы с бумажной на электронную технологию проявилась в начале девяностых годов, когда платежи задерживались на очень длительный срок. Внедрять электронные средства мы начали с девяносто второго года и получили положительный результат. Во-первых, существенно сократилось время на доставку платежей. По закону мы должны проводить платеж внутри региона в течение трех дней, между регионами - пяти. На практике же они проходят, соответственно, в течение дня и на следующий день. Выросла скорость оборачиваемости средств, уменьшилось количество средств в пути, что позитивно сказывается на банковской системе в целом. Во-вторых, система сразу стала более защищенной от подделок, уменьшилось количество фальшивых авизо.

- Но ведь есть технические риски, которые с введением электронных средств проведения платежей только возрастают?

- Да, конечно. Повсеместный переход на электронные платежи втягивает в эту систему не только ЦБ, но и коммерческие банки, и другие организации - клиенты Банка России. Создается огромный технический комплекс, устойчивая работа и надежность которого объективно снижаются, и, как следствие, повышаются системно-технические риски в платежной системе.

Мы уделяем большое внимание вопросам устойчивости системы к различным техногенным воздействиям. Практически все функции дублируются. Например, доставка и получение сообщений пока идет по наземным каналам, но сейчас вводится спутниковый канал, который вскоре станет основным. Если выйдет из строя сервер, на который поступают все сообщения, нагрузку возьмет на себя "зеркало".

Определенные сбои, однако, возникают. Поэтому необходим централизованный контроль над платежной системой. Его роль выполняет Центр главного оператора учреждения "Глобальные информационные системы Банка России", который следит за всем, что происходит в платежной системе. Раньше такого контроля не было, и, конечно, его установление значительно повысило надежность системы.

- Предполагается ли помимо технических усовершенствований провести также структурные изменения платежной системы?

- Как только мы начали тщательнее следить за работой платежной системы, стала очевидна необходимость ее большей централизации. Мы увидели серьезный дисбаланс: средства обработки информации, узлы платежной системы, оказались гораздо менее надежными, чем телекоммуникационные средства.

Связано это с тем, что средства обработки информации устанавливались в начале девяностых, экономические условия тогда были нестабильны, и действовать приходилось быстро. Выделенные на создание технических узлов средства были распределены в главные управления ЦБ на местах. Все семьдесят девять центров удалось сделать в короткие сроки, но в результате у нас получилось множество плохо совместимых программных комплексов обработки платежной информации.

Телекоммуникационная же система строилась централизованно с самого начала. Острой необходимости решать проблему неплатежей и фальшивых авизо тогда уже не было, и можно было проработать типовые проектные решения, выбрать стандартное оборудование. Поэтому вероятность выхода из строя телекоммуникационной системы существенно ниже, чем информационной.

Теперь нам необходимо добиться большей централизации центров обработки информации. Их, во-первых, надо сгруппировать по часовым поясам, создав пять-семь, максимум десять больших центров. Во-вторых, нужно сделать так, чтобы объемы платежных документов в этих центрах были сопоставимы. Сейчас, например, в Москве проходит в среднем двести пятьдесят тысяч документов в день, а в Туве или в Еврейской АО меньше тысячи. При таких диспропорциях никакие стандарты не применимы. Конечно же, и после создания макрорегиональных центров Москва останется самым насыщенным регионом, но разница уже не будет столь огромной. Возникнет единый программный комплекс, который проще поддерживать, обновлять, исправлять ошибки. Все это снизит технические риски в платежной системе.

- Вы предполагаете формировать макрорегионы с учетом проводимой сейчас административной реформы или будет использоваться другой критерий?

- Для нас важны только два названных принципа. Впрочем, мы делали расчет и по семи округам, которые были объявлены, такая схема тоже возможна. Конкретное решение руководства банка будет зависеть от многих обстоятельств.

- Каковы сроки реформы и во что она обойдется?

- Старая техника у нас будет амортизирована к середине предстоящего десятилетия. К две тысячи четвертому-пятому году стоимость ее поддержки будет больше, чем приобретение и установка новой. Поэтому к две тысячи третьему-четвертому годам мы должны завершить основные работы, для того чтобы можно было тиражировать решения на создаваемые пять-семь узлов. С уверенностью можно сказать, что их поддержание обойдется существенно дешевле, чем семьдесят девять комплексов. В среднем оснащение одного регионального центра стоит от полутора до двух миллионов долларов. Комплекс, который будет обслуживать макрорегион, вдвое дороже, но их потребуется значительно меньше. Так что даже с учетом расходов на систему мониторинга и контроля, которые составят около тридцати процентов от стоимости всего проекта, мы сэкономим значительные средства.

- Каковы будут последствия этой технической революции для коммерческих банков?

- Без повсеместного внедрения системы нам не обойтись. Поэтому, строя типовой программный комплекс для платежной системы, мы должны учитывать интересы каждого банка, его специфику, в зависимости от которой он получит возможность выбирать то, что считает нужным и может себе позволить. Это может быть очень дешевый интерфейс электронной почты или дорогой интерфейс, обеспечивающий постоянное взаимодействие в режиме он-лайн.

В этой создаваемой нами платежной системе должен быть решен вопрос крупных и некрупных платежей, который, как показывает практика, сводится к вопросу платежей срочных и несрочных. Срочные платежи востребованы, как правило, для работы на финансовых и фондовых рынках, где, соответственно, и суммы больше. Вводя систему срочных платежей, мы гарантируем: она будет лучше защищена, платеж будет быстрее обработан, но и стоимость его проведения будет на порядки выше.

Электронная платежная система должна быть связана с депозитарной системой, что позволит любому банку, если ему не хватает ликвидности, воспользоваться услугами депозитарных центров, работающих в этой системе.

Я хочу подчеркнуть, что все технические условия работы системы и стоимость обслуживания мы будем согласовывать с коммерческими кредитными организациями. Ведь если она будет дорога в обращении, банкам не будет смысла ее использовать, а это грозит потерей контроля за функционированием платежной системы, увеличивает риски. Определение равновесного тарифа - очень важная проблема. Ясно, что стоимость пользования системой должна устанавливаться с учетом всех интересов: нам необходимо вернуть средства, вложенные в платежную систему, а банки должны иметь широкий спектр возможностей участия в ней.

- Как будет организован доступ к вашей системе? Будут ли использованы интернет-технологии?

- Наша система не будет работать через Интернет. Надежность любой платежной системы можно соблюсти только при ее закрытости. Мы не хотели бы, чтобы на нас обрушились лавины хакеров. Попытки взломов делаются и так, но система достаточно хорошо защищена, кроме того, она изолирована, добраться до нее не так просто.

Тем не менее доступ через Интернет мы должны обеспечить как один из интерфейсов доступа к системе.

- Какого юридического обеспечения потребует реформа? Взаимодействуете ли вы с другими государственными органами при работе над системой?

- Для нас очень важен закон об электронно-цифровой подписи. Он открывает двери для электронного бизнеса. Главная проблема при ведении электронного бизнеса состоит в том, чтобы четко идентифицировать отправленный документ и отправителя и быть уверенным, что отправитель от него не откажется. Обычный бумажный документ идентифицируется через подпись, печать и прочие атрибуты, в случае разногласий его подлинность может подтвердить судебная экспертиза. Точно так же должно обстоять дело и с электронными документами.

Внедряя систему электронных платежных документов в системе банка, нам приходится договариваться с каждым клиентом по отдельности, оговаривать, в частности, не только использование ЭЦП как идентифицирующего признака, но и то, что электронный платежный документ, подписанный ЭЦП, является доказательным аргументом. Каждый раз такой договор приходится подписывать и соответствующим образом регистрировать. Закон об ЭЦП снимет эту проблему.

Важно также создать центры сертификации ЭЦП, которые будут не только выдавать стойкие ко взломам цифровые подписи отправителям, но и отвечать на запросы получателя документа о соответствии подписи и отправителя. Сейчас над этим работают ФАПСИ и Министерство связи, которые создают совместно с несколькими крупными российскими банками так называемые удостоверяющие центры.

Если вся инфраструктура будет создана, то электронный бизнес в России разовьется достаточно быстро. Я надеюсь, что до конца года закон об ЭЦП будет рассмотрен и принят, а в следующем году появится сопутствующий закон об электронном документе.

- Какие будут использованы стандарты защиты? Есть ли отечественные разработки и совместимы ли они с западными?

- В России используется своя система разработки средств криптографии, которая является национальным достоянием, национальным секретом. Точно так же, как в США. Эти системы несовместимы, и никто эти секреты друг другу не открывает. Шифрование, например, информации для пластиковых карточек на Западе и у нас различно, в России применяется своя система шифрования, свой код. Не забывайте, что в России есть закон и соответствующее указание президента, ограничивающие использование иностранных криптографических средств. Практика порой опережает возможности. Ряд российских банков, активно использующих Интернет для обмена платежными поручениями с клиентами, сейчас внедрили свои средства защиты и идентификации клиента, основанные на западных технологиях. Пока нет полноценного российского продукта, на них смотрят сквозь пальцы: не разрешают и не запрещают. Но основная задача все же сделать российскую подпись. Я думаю, она будет создана при участии государственных и крупных коммерческих структур.

- И тогда банкам придется переходить на российский стандарт?

- Да, я думаю, что российским банкам придется менять свои системы. Когда появится российский ключ, они будут работать по российскому ключу.

- Будут ли ЦБ или ФАПСИ рекомендовать какие-то способы защиты сообщений или это дело самого банка?

- У ФАПСИ есть определенный набор средств защиты информации, криптографических средств, эти средства можно купить и использовать. Мы сами давно работаем с ФАПСИ, они обеспечивают защиту информации в нашей платежной системе.

Другой вопрос, что вкладывать в понятие "рекомендовать". Будет ли ФАПСИ нести ответственность за сохранность данных при передаче? Кому предъявлять претензии об убытках, которые могут возникнуть у клиентов при потере или изменении сообщения? Сейчас их предъявлять некому. ЦБ несет ответственность внутри своей системы. Приняв сообщение от клиента и удостоверившись, что оно подлинное, мы подтверждаем его получение клиенту и дальше уже отвечаем за все прохождение этого сообщения. Если случаются какие-то потери или искажения и клиент терпит убытки, ЦБ несет за это материальную ответственность. Коммерческие банки сейчас регулируют это сами.

На будущее же имеет смысл возложить на удостоверяющие центры также и страховые функции. Только при таком условии они станут полноценными агентами распространения средств защиты информации.