Галопирующая цифровизация стала естественной реакцией казахстанских банков на ковидные ограничения 2020 года.
Традиционные услуги, которые предоставлялись ранее в отделениях БВУ, перешли в онлайн-формат через интернет-банкинг и мобильные приложения, повысив скорость использования и доступность банковских продуктов для населения и бизнеса.
«Наибольшим результатом для всего рынка стало, конечно же, удаленное обслуживание клиентов. Именно в этом направлении почти всем банкам удалось оперативно организовать и эффективно выстроить процессы», – отмечает председатель правления Банка ЦентрКредит Галим Хусаинов. Вторым важным моментом цифровизации банковского сектора он называет массовую интеграцию IT-систем БВУ с системами государственных учреждений, когда последние «под давлением ситуации и правительства» начали открывать для банков свои сервисы, хотя «часть из них не была еще готова к этому, что можно было увидеть по их нестабильной работе». Частая недоступность госсервисов привела БВУ к необходимости перестраивать собственные системы и дала положительный опыт – способность оперативно менять архитектуры. Третьим эффектом цифровизации Хусаинов считает быстрый перевод на удаленный режим работы тысяч сотрудников, что на деле оказалось «вызовом больше не к технологической платформе банков, так как почти все они были к этому готовы, а к провайдерам интернета».
Пандемия за небольшой период времени мобилизовала цифровой потенциал казахстанских банков, дав потребителю новый уровень возможностей и комфорта. Вместе с тем при явных потребительских преимуществах цифровизация является источником новых рисков – несанкционированного доступа к персональным данным, потери информации либо невозможности провести транзакцию в случае технической неисправности систем и каналов связи, кибератак. Последнее начинает особенно беспокоить глобальных экспертов.
В докладе агентства S&P Global Ratings «Киберриски в новую эпоху: влияние на рейтинги банков», опубликованном в конце мая этого года, говорится об участившихся кибератаках на банки. «Хотя надежная статистика о количестве киберинцидентов имеется не всегда (отчасти потому, что раскрываться может только часть информации), мы отмечаем увеличение числа сообщений в СМИ об успешных кибератаках на финансовые организации», – пишут в отчете аналитики агентства. Они полагают, что банковский сектор становится все более подверженным рискам, связанным с деятельностью киберпреступников, поскольку ковидные ограничения и механизмы удаленной работы «заставили банки и другие финансовые организации повышать уровень цифровизации». Согласно приведенным в отчете данным американской консалтинговой компании Guidewire, большинство публично известных киберинцидентов для финансовых организаций связано с кражей данных, хотя число атак с помощью программ-вымогателей также растет.
По мнению авторов отчета, банковский сектор привлекателен для кибератак по ряду причин. Во-первых, путем взлома систем безопасности преступники могут получить доступ к денежным средствам. Во-вторых, банки владеют значительным объемом персональных данных, представляющих большой интерес для киберпреступников, поскольку могут быть использованы для другой противоправной деятельности, связанной с подменой личности.
Аналитики S&P Global Ratings указывают, что кибератаки на банки совершенствуются, становятся все более изощренными, более частыми и во многих случаях хорошо скоординированными. Злоумышленники используют современные технологии и недостатки IT-инфраструктуры банков – например, создавая лавинообразный рост запросов на клиентские сайты (так называемые DDoS-атаки) для нарушения их работы, чтобы либо шантажировать банк, либо похитить данные о его клиентах. И если ранее рейтинговые агентства не рассматривали киберриски как достаточно серьезный фактор, то теперь готовы изменить свою точку зрения. Несмотря на ограниченное влияние кибератак на рейтинги финансовых институтов до настоящего времени, авторы отчета ожидают увеличения числа рейтинговых действий, обусловленных киберинцидентами, поскольку они «становятся все более частыми и сложными и оказывают все более значительное влияние на финансовые характеристики рейтингуемых организаций».
Риски на вырост
У казахстанских банков «роман» с цифровыми рисками только начинается. Наличие традиционных каналов работы с клиентом через офлайн-отделения не тиражировало больших технических проблем, и главными событиями становились криминальные инциденты. Многие помнят, как весной 2015 года страну взбудоражили массовые рассылки по мессенджеру о якобы банкротстве ряда ведущих БВУ. Такие же сообщения в отношении одного из банков повторились осенью 2018 года. Да и сейчас время от времени появляется информация о вредоносных рассылках, замаскированных под сообщения какого-либо банка, в ходе которых злоумышленники пытаются получить персональную информацию потребителя.
«Основной риск, и не только в казахстанской банковской системе, представляет собой мошенничество. Думаю, что казахстанцы, если не испытали это на своем опыте, то по новостным сайтам и социальным сетям очень много об этом читали», – говорит Хусаинов. Он отмечает, что первые, только появившиеся сервисы часто бывают слабо защищенными не только с технической стороны, но и со стороны социальной инженерии. Поэтому на финансовый рынок вслед за цифровизацией приходят мошеннические схемы.
В свою очередь председатель правления Банка ВТБ (Казахстан) Дмитрий Забелло расширил перечень рисков цифровизации. По его мнению, основные риски связаны с плохо просчитанными переменами в рабочих процессах. Когда начинается активная перестройка устоявшейся бизнес-модели и происходит изменение отлаженного рабочего процесса, «могут возникнуть пробелы, которые приведут к существенным проблемам». Вторым базовым риском для цифровой среды, по мнению собеседника, является киберопасность: киберкатаки и мошенничество. «Это как две стороны одной монеты: чем больше процессов интегрируется в онлайн-среду, тем выше риски утечки данных и мошенничества, тем более если в этом процессе участвуют деньги», – поясняет Забелло. В-третьих, возрастает вероятность технического сбоя. В-четвертых, появляются модельные риски. Насчет последнего собеседник пояснил, что перед банками давно стоит задача увеличения скорости принятия решений в рамках процесса кредитования. С появлением финтех-компаний задача обострилась вдвойне. Современные модели скоринга – оценки кредитоспособности заемщика – позволяют принимать решение практически мгновенно, обрабатывая большой массив персональных данных. Эти данные формируют в системе скоринга оценочные модели, и всегда присутствует риск построения ошибочной модели. «Возьмем для примера автоматизированное поточное принятие решений о выдаче кредитов. Если изначально модель определения кредитных рисков для этих целей выстроена правильно, то это позволит сократить время на обслуживание клиентов и трудозатраты, при этом увеличить прибыль, – рассуждает Забелло. – Но если модель неэффективная, то это может привести к быстрому росту плохого портфеля и убыткам».
Оцифровать и оценить
Ввиду того что банки начинают обрабатывать огромные базы данных, управление модельным риском становится важным звеном риск-менеджмента. Роль самого риск-менеджмента многократно усиливается, а процедуры пересматриваются – внедряются цифровые процессы. Такие процессы подразделяются на внутренние и внешние. Внешними являются автоматизированные системы принятия решения о выдаче кредитов и системы мониторинга клиентов. Мониторинг имеет особую актуальность в процессе финансирования бизнеса, отмечает Забелло, ведь благодаря ему теперь можно на ранних этапах выявлять проблемы крупных заемщиков. Он помогает практически в режиме реального времени анализировать достаточность капитала и ликвидности у бизнес-клиента.
Внутренние процессы риск-менеджмента представляют собой самооценку, которая позволяет на основе негативного сценария проверить эффективность работы банка и оперативно выявить проблемные места. Фактически это системы стресс-тестирования, которые могут тестировать как внутренние процессы банка, так и цифровые каналы продаж. Для последнего используются penetration test – тестирование уязвимости информационной безопасности. «Например, мы активно их применяем перед запуском новых версий мобильных приложений», – уточняет Забелло. Также, по его словам, используются цифровые инструменты выявления операционных рисков и математические модели установления кредитных рисков, тот же скоринг.
Важно отметить, что в Казахстане уже есть опыт стресс-тестирования банковского сектора. В 2019 году регулятор провел масштабный AQR, в ходе которого оценил банки по множеству технических и финансовых показателей, и теперь намерен проводить небольшую оценку на ежегодной основе, а полноценный AQR – раз в пять лет при необходимости.
Сами большие данные несут в себе определенные риски: информацию надо оценить и правильно интерпретировать. Другой вопрос – качественная удаленная идентификация клиента при использовании им цифровых каналов связи. «Технология Big Data – это сложные и объемные наборы разной информации, накопленной банком в процессе кредитования. Основной задачей становится получение всей необходимой информации для оценки заемщика и принятия решения о кредитовании из независимых от заемщика источников данных», – отмечают, в частности, в пресс-службе Нурбанка. Для этой задачи банки используют отчеты кредитных бюро и сведения о пенсионных отчислениях. У БВУ появилась возможность подключения к государственным базам данных, что позволяет принимать решения и делать анализ потенциального заемщика, исходя из достоверных сведений, а также сокращать требования к предоставляемому пакету документов.
Более активно начинает применяться технология биометрической идентификации, в основе которой лежат уникальные физические признаки человека. На этом построены биометрические технологии, помогающие распознавать людей по одному или нескольким физическим и поведенческим признакам. С помощью специальных современных устройств – сканеров, сенсоров и других считывателей – биометрические данные человека записываются в специальную базу. Система запоминает эту информацию и преобразует в цифровой код. Затем она сравнивает новый, поступивший при считывании код с тем, что записала ранее. Если коды совпадают, система подтверждает личность. Для надежности идентификации банки все чаще применяют многофакторную аутентификацию, то есть по нескольким признакам, указывают в Нурбанке. Совмещая, например, ПИН-код, одноразовый пароль и биометрические данные.
Использование плодов цифровизации – дистанционных каналов продаж и цифровых сервисов – повысит эффективность работы банков, но при этом одновременно ставит вопрос более тщательной защиты IT-процессов и систем. Кибербезопасность становится долгоиграющей темой на казахстанском финансовом рынке, особенно с учетом пристального внимания рейтинговых агентств к растущим киберрискам.
Автор Татьяна Батищева
Источник forbes.kz