|
|
Локомотивом роста рынка ИБ в страховании станет построение комплексных систем управления безопасностьюДолгое время рынок ИТ в российском страховом секторе оставался в тени. В 2004 — 2006 гг. его доля в общих расходах на информационные технологии не превышала 2% при средних темпах роста около 25% в год. Однако ситуация меняется, в том числе и в сегменте информационной безопасности, локомотивом роста которого могут стать построение комплексных систем управления безопасностью и подготовка к сертификации на соответствие стандарту ISO 27001. Медленно, но верно страховой сектор России очищается от «специалистов» по «серым» схемам и переходит в разряд «солидного» бизнеса. Примеров тому масса (особенно с учетом перспектив вступления России в ВТО) — это и отказ от принципа «кэптивности», появление серьезной конкуренции, альянсы с иностранными страховщиками, планы IPO, освоение регионов страны и СНГ, и главное — бурное развитие массовых видов страхования. Кэптивный сегмент (как стартовый этап развития страхования в России) полностью исчерпал себя. По мнению экспертов Energy Consulting, «…с одной стороны, сами страховщики, «порожденные» материнскими компаниями, накопили и солидную финансовую базу, и ценный опыт работы с различными рисками. Им уже тесно в рамках финансово — промышленных групп. Более того, собственные ресурсы этих компаний уже позволяют им осваивать новые просторы на рынке, где потенциальный спрос на их услуги достаточно высок. Этот процесс заставляет страховщиков автоматизировать бизнес-процессы. Однако даже лидеры рынка сегодня не могут похвастаться тем, что обладают удовлетворяющей их единой информационной системой. Многие страховщики автоматизировали пока лишь отдельные бизнес-процессы, обычно вспомогательные — например, бухгалтерию. Массовый рынок страхования — катализатор роста затрат на ИБ Острая необходимость автоматизировать работу возникла только с началом развития массового страхования в России. Катализатором процесса стало введение обязательного страхования автогражданской ответственности (ОСАГО) и, как следствие, развитие сети представительств в регионах, обслуживание возросшего потока клиентов и увеличение объемов отчетности. Если раньше ИТ-бюджеты страховщиков формировались по остаточному принципу, то сегодня ситуация резко изменилась. Совокупные расходы страхового сектора на информационные технологии, включая программное обеспечение, в 2004 г. составили, по разным оценкам, не менее 150 млн долларов. В 2005 г., по предварительным данным, эта цифра приблизилась к отметке в 200 млн долларов. В дальнейшем эти показатели будут только увеличиваться. Например, в ближайшие три года один только «Ингосстрах» планирует инвестировать в развитие информационных систем порядка 25 млн долларов. А в более отдаленной перспективе сумма инвестиций компании в этот сектор может превысить 75 млн долларов». По данным CNews Analytics в 2006 году страховщики потратили на ИТ уже более 260 млн. Если сравнить затраты на ИБ, как части рынка ИТ, в страховом бизнесе России и развитых стран, то пока разница впечатляет. Если сейчас у нас доля этого вертикального рынка в общих затратах на ИБ не превышает 4%, то в развитых странах эта цифра сопоставима с расходами банков или даже в несколько раз больше. Расходы страховых компаний на закупку решений ИБ в России и США, млн долл «Информационная безопасность — главный приоритет для страховых групп в США. — прокомментировал Мэтью Джозефович (Matthew Josefowicz), менеджер страховой группы исследовательской компании Celent. — Оценка текущих уязвимостей и разработка комплексной стратегии защиты становятся приоритетом». Кроме того, как показывает мировой опыт, уровень расходов на ИБ в страховании, ориентированном на ритейл, прямо пропорционален расходам на ИТ в здравоохранении. Если сейчас этот показатель в России составляют не более 1% от общих расходов на ИТ, то, например, в Израиле, славящимся заботой о здоровье своих граждан, приближается к 6%. В свете старта национальной программы «Здоровье» и иных инициатив правительства страны в вопросах демографии нужно ожидать цепной реакции и в смежных со здравоохранением секторах экономики — например, в страховании и медицинской промышленности. Так, что расти есть куда, это показывает приведенная ниже диаграмма. Три основных инициативы в направлении обеспечения ИБ страховщиков в США Что защищают страховщики? Немецкая компания SAP выделяет 18-20 ключевых бизнес-подразделений в страховых компаниях, главной особенностью которых является территориальная экспансия и большое количество мобильных пользователей ИТ–инфраструктуры, прежде всего — страховых агентов при единой базе данных страховой информации. Именно эти два фактора и привели к тому, что обеспечение защиты данных в этих условиях становится нетривиальной задачей. Типичная структура информационной системы страховой компании По мнению аналитиков, развитие систем ИБ в российском страховании отстает в технологическом аспекте от банковского примерно на семь лет. Именно на столько этот рынок считается моложе массового банковского ритейла. Однако здесь есть и преимущества — уже существуют проверенные мировым сообществом стандарты и методики. Наиболее передовые отечественны страховщики предпочитают не изобретать велосипед, а внимательно изучить и применить чужой опыт. Сенсация в российском страховании Большим сюрпризом для экспертов рынка ИБ стало анонсированное 16 мая 2007 года успешное завершение проекта по построению системы управления информационной безопасностью (СУИБ) в одной из крупнейших страховых компании страны — «Росно» при поддержке интегратора «Инфосистемы Джет» и российского подразделения BSI Management Systems. СК «Росно» стала первой среди российских страховых компаний, обеспечившей соответствие информационной безопасности основных бизнес-процессов международным требованиям, что и было подтверждено сертификационным аудитом на соответствие требованиям стандарта ISO/IEC 27001:2005. Собственно говоря, удивление вызвал не сам факт сертификации, а то, что именно страховая компания стала шестой по счету организацией в России, которая смогла это сделать, опередив при этом почти всех банкиров, нефтяников, металлургов и связистов. Реализованный проект позволит компании вовлечь в обеспечение информационной безопасности все свои подразделения. Созданная СУИБ стала частью общей системы управления «Росно». Система включает организационные, процедурные и технические средства, позволяющие минимизировать традиционные для страховой компании риски: нарушение конфиденциальности, обеспечение доступности данных и их целость. Владимир Паршаков, заместитель генерального директора СК «Росно» прокомментировал причины столь масштабных инвестиций: «Проведение работ по обеспечению информационной безопасности сегодня не просто «хороший тон», — это насущная необходимость. Информация и персональные данные клиентов являются одним из наших основных активов. Их сохранность влияет на имидж компании и степень доверия к ней потребителя. Прохождение сертификации гарантирует нашим инвесторам, партнерам и клиентам, что «Росно» не только предоставляет качественные услуги, но и обеспечивает максимальную степень защиты информации». Кроме того, г-н Паршаков уверен в том, что его компания обогнала своих российских конкурентов как минимум на три года — именно столько времени требуется проведение всех необходимых процедур для сертификации сравнимой по размеру компании с первой попытки. Его слова косвенно подтверждает Илья Трифаленков, директор Центра информационной безопасности компании «Инфосистемы Джет». По его словам, у страховщиков России нет иного пути, кроме того, который выбрала «Росно», иначе — однозначный проигрыш в конкурентной борьбе. «Инфосистемы Джет» ведут сейчас переговоры, как минимум, с десятью российскими компаниями (в том числе и со страховыми) по поводу построения аналогичных систем, но пока время подписания договоров не подошло. Таким образом, «РОСНО» будет довольно долго иметь серьезную фору. Что касается «Инфосистем Джет», то г-н Трифаленков этот проект оценил, как «значимый этап» для компании не только с точки зрения работы в России, но и для выхода на другие рынки, в том числе и стран дальнего зарубежья. В рамках технической составляющей проекта был разработан план обеспечения непрерывности бизнеса, создана система управления инцидентами на базе ПО HP OpenView, проведена ревизия и модернизация технических средств внешней защиты (firewall Check Point и Cisco, антивирусные продукты Symantec и Trend Micro). Наиболее близкой к лидеру в плане систем ИБ можно назвать универсальную страховую компанию «КапиталЪ Страхование». Она движется в схожем с «Росно» направлении. Так, в начале 2007 года «ДиалогНаука» — системный интегратор в сфере ИБ — объявил о завершении проекта по разработке корпоративной политики информационной безопасности этого страховщика. По словам члена правления страховой группы «КапиталЪ», директора департамента информационных технологий «КапиталЪ Страхование» Николая Паращенко, «разработка корпоративной политики информационной безопасности является необходимым шагом для осуществления эффективной защиты многофункциональной и территориально-распределённой автоматизированной системы от современных угроз информационной безопасности. В реальных условиях лишь поэтапная реализация целостного подхода может обеспечить адекватный уровень информационной безопасности страховой организации». Первым результатом сотрудничества компаний «ДиалогНаука» и «КапиталЪ Страхования» стала разработка политики информационной безопасности и стратегии её реализации. В рамках создания политики была проведена оценка рисков ИБ и разработана нормативная основа для обеспечения комплексной защиты от угроз, предусматривающая применение как организационных, так и программно-технических методов защиты. Интересен опыт компании «Альфастрахование», которая завершила проект по подключению своих региональных офисов к централизованным корпоративным информационным ресурсам. Специфика страхового бизнеса требует ведения единой базы данных. База подобного типа сложна в администрировании и эксплуатации, так как репликация данных из центрального офиса в региональные и наоборот осуществляется не всегда корректно и быстро. Процесс осложняется необходимостью обеспечивать информационную безопасность передаваемых по сети конфиденциальных данных. В результате компания «Альфастрахование» сделала выбор в пользу терминальных технологий и остановилась на специализированном программно-аппаратном решении компании Citrix под общим названием Citrix MetaFrame Access Suite, позволяющим практически полностью устранить проблемы объединения удаленных офисов. В качестве исполнителя проекта был привлечен российский системный интегратор — компания BCC. В основе технического решения, предложенного BCC, лежат терминальные серверы Citrix MetaFrame XP Presentation Server, установленные в центральном офисе. На них стоят все приложения, работающие с базой данных. Это позволило провести полную централизацию как базы данных, так и приложений. Теперь вся обработка информации осуществляется на терминальных серверах в центральном офисе компании, а сотрудники удаленных представительств работают через интернет путем подключения к терминальным серверам и запуска на них необходимых приложений. В решении был применен так называемый шлюз безопасности, Citrix Secure Gateway (CSG), который остается единственной точкой, опубликованной в сети, а вся коммуникация с терминальными серверами происходит только через него. Удаленный пользователь со своего рабочего места, где установлено клиентское приложение, подключается по протоколу https через интернет к Web-серверу Web Interface for MetaFrame (NFuse Classic) и проходит на нем авторизацию. Этот сервер с установленной службой Citrix Secure Gateway находится в демилитаризованной зоне (DMZ) сети центрального офиса группы «Альфастрахование». При этом модуль безопасного доступа Citrix Secure Gateway установлен на двух серверах, работающих в режиме распределения нагрузки для обеспечения повышенного уровня надежности. Как показывают реализованные различными страховыми компаниями проекты, этот бизнес все активнее вовлекается в процесс подготовки к работе в условиях жесткой конкуренции как между собой, так и с мировыми лидерами страховой индустрии. Нет надобности много говорить об ИБ, как одном из конкурентных преимуществ в этой борьбе. Вадим Ференец / CNews Analytics |