|
|
Обзор подготовлен
При поддержке
В связи с переходом страхования автогражданской ответственности в разряд обязательного резко возросли нагрузки на страховые компании и автосервисы. К сожалению, ход выстраивания и отладки бизнес-процессов затягивается. От этого страдают все – и автолюбители, и страховщики, и СТОА. Как технологии обеспечения информационной безопасности могут помочь в этом вопросе?
Страховой бизнес в России все заметнее набирает обороты. Однако до сих пор поле, где он мог бы развернуться, весьма ограничено. Причин много. Наибольший интерес переставляет то, как можно увеличить рентабельность в конкретном сегменте бизнеса – в области обязательного страхования автогражданской ответственности (ОСАГО) и КАСКО.
Почему этот вопрос рассматривается в разделе "информационная безопасность"? Ответ достаточно прост. Бизнес-процессы, которые присущи урегулированию автомобильных страховых случаев, затрагивают достаточно большой круг участников. Единственный вариант, при котором весь этот механизм работает как часы, - когда создано единое информационное пространство и достигнута полная прозрачность бизнес-процессов в рамках утвержденных регламентов при обязательном обеспечении требуемого уровня конфиденциальности.
Мировая практика выработала один из рецептов достижения этой цели – построение защищенной системы электронного документооборота (СЭД). В этом случае можно реально отследить все действия участников системы, начиная от звонка в страховую компанию и заканчивая ремонтом автомобиля. Именно это является сейчас одним из основных конкурентных преимуществ страховщиков мирового уровня.
Однако российская специфика вносит некоторые коррективы в построение СЭД подобного рода. Самым "узким" и самым проблемным участком у нас в стране стали станции технического обслуживания автомобилей (СТОА). Не все, конечно, а преимущественно те, которые принято относить к понятию "малый" или "очень малый" бизнес. В условиях бума продаж автомобилей крупных сервисов катастрофически не хватает. Здесь на помощь автолюбителям и приходят СТОА подобного типа. Есть и другие слабые звенья - например, независимые эксперты или точки удаленного урегулирования убытков. В чем здесь проблема? В том, что ни одна страховая компания не рискнет подключить к своей ИТ-инфраструктуре то, что там называется "информационной системой".
Как переломить сложившуюся ситуацию? Кто должен стать инициатором "привития" СМБ основ информационной безопасности? Наверное, те, кому это экономически выгодно – страховые компании, банки и системные интеграторы. Первой отечественной "ласточкой" на этом фронте стало появление защищенной СЭД ExactFlow. Проект был инициирован "Российским союзом автостраховщиков" и "Московской ассоциацией предприятий технического обслуживания и ремонта автомототранспортных средств" (МАПТО) в 2005 году. Разработчик – российская компания PACIFICA. Финансовую поддержку оказал "Метробанк". В ноябре 2007 года создается компания CS-B, которой передаются права на систему электронного документооборота ExactFlow. Как известно, в России идет процесс разработки и внедрение федеральной АИС ОСАГО. Подчеркивая роль и место ExactFlow в этой связи, Павел Давидчук, исполнительный директор CS-B, особо отмечает, что проект дополняет АИС ОСАГО. Он не направлен вглубь страховой компании, он позволяет передавать большее количество информации в эту АИС".
Концепция ИБ проекта СЭД, предложенная компанией Aladdin Software Security, стала тем фундаментом, на основе которого появилась реальная возможность создания единого информационного пространства, о котором говорилось выше. Чтобы понять, где и что необходимо защищать, необходимо разобраться с бизнес-процессами ОСАГО.
Процесс начинается с того, что уже застрахованный автолюбитель в случае ДТП обращается с заявкой в страховую компанию. Данные из точки обращения попадают в единую базу данных системы. Далее к делу подключаются эксперты. После чего, если клиент не забирает деньги, то автомобиль попадает на сервис, который приобретает у дилеров запасные части и производит ремонт. Если автолюбитель остается доволен, то подписывается акт приема-передачи, на основании которого страховая компания компенсирует сервису понесенные расходы.
Кроме того, для продажи новых полисов существует целая армия брокеров и агентов, службы эвакуаторов и стоянок, сервисы определения модели автомобиля и № запчастей по VIN-коду и корреляции запчастей по критерию оригинал/аналог. Если СТОА испытывают недостаток оборотного капитала, то факторинговые банки всегда к их услугами. Всем этим руководит управляющая компания.
Схема участников ОСАГО и их взаимоотношений
Кажется, что все просто. Но на практике ликвидировать последствия даже пустякового ДТП порой не удается месяцами. Пострадавших – два: автолюбитель и страховая компания. Первый теряет время и деньги, а вторая, кроме всего прочего, не может продать разочаровавшемуся клиенту ОСАГО более выгодный для нее продукт – КАСКО и т.д.
Почему так происходит? Главная причина в том, что страховая компания зачастую не может объяснить людям, что именно происходит сейчас с его автомобилем, почему происходит именно это, а не что-то другое. Часто невозможна однозначная идентификация предмета урегулирования. Почему? Да потому, что нет единого информационного пространства. Потому что, участники схемы не могут оперативно обмениваться данными, так как не обеспечена защищенность системы в целом.
Антон Крячков, директор по продуктам компании Aladdin, делится с CNews Analytics: "С точки зрения ИБ – задача очень сложная. Прежде всего, потому, что состав участников весьма гетерогенный. Начиная от банков и страховых компаний, где есть собственная служба безопасности и которые строят свою работу на основании государственных и отраслевых стандартов, до индивидуальных предпринимателей, независимых экспертов и т.д. Большинство из последних понимают обеспечение соответствующего уровня ИБ каждый на свой лад, если они, конечно, считают нужным его обеспечивать. И этой категории пользователей нет возможности диктовать условия минимально необходимого уровня ИБ.
Если для банков и страховщиков можно говорить о какой-то стандартной конфигурации ПК и ПО, то в случае с "малыми" СТОА мы часто имеем дело с одним или несколькими компьютерами, чаще всего коллективного пользования, за которым может работать кто угодно. Если говорить о точке удаленного урегулирования убытков, то всегда существует риск кражи компьютера или несанкционированного доступа к нему. Плюс ко всему - очень разный уровень как технической, так и организационной защиты конечных точек ввода информации".
В этой связи специалисты выделяют несколько зон обеспечения безопасности. Первая из них – рабочие места пользователей вне страховых компаний, прежде всего на СТОА. Вторая находится в ЦОДе, на серверах которой работает ExactFlow. Плюс к этому, должны решаться общие для зон задачи, например, обеспечение безопасности передаваемых данных, создание механизма электронно-цифровой подписи (ЭЦП), а также управления средствами аутентификации и ключевыми носителями.
Начнем с рабочих мест пользователей. Всем известно, что это наиболее слабое звено, которое определяет стойкость всей информационной системы в целом. В данной системе это человеческий фактор. А один из самых проблемных его компонентов – использование слабых паролей. Очень много пользователей "на местах" далеки от ИТ и часто не обладают даже базовыми знаниями в области ИБ. На практике получается либо простейший пароль типа "123…", либо стойкий пароль, но написанный на стикере, который приклеен к монитору. А как уже упоминалось, монитор со стикером находится в условиях, где практически любой желающий может получить доступ к нему или даже похитить его. Понятно, что каких-либо военных тайн здесь нет, но со вступлением в силу федерального закона "О персональных данных" любая уважающая себя и своих клиентов страховая компания или банк не сможет работать с подобными партнерами. Это, во-первых. Во-вторых, в системе циркулируют и финансовые документы…
Этих причин вполне достаточно, чтобы убедить хозяев СТОА в необходимости приобретения специализированных средств защиты, в роли которых в рамках "ExactFlow" выступают средства многофакторной идентификации на базе eToken компании Aladdin и программно-аппаратный комплекс защиты конфиденциальной информации Secret Disk от этого же вендора.
Применение последнего решает сразу несколько задач. Первое – в условиях асинхронного режима работы на рабочих станциях скапливаются конфиденциальные данные, ждущие отправки адресатам. Вся эта информация шифруется. В случае кражи или потери ноутбука, ее компрометация не происходит. И, наконец, компьютер, зачастую может быть использован разными легитимными пользователями. Поэтому возникает необходимость в разделении их полномочий и организации доступа к "только своей" информации на основе строгой аутентификации. С eToken этот вопрос легко решаем.
Следующий вопрос – защита от вредоносного ПО. "Можно, конечно, потребовать наличия антивируса как одной из форм защиты. Но где гарантия, что человек будет это ПО регулярно обновлять? Мало того, если компьютер принадлежит какой-то организации, то может так случиться, что на него распространяется политика ИБ этой организации. В результате требование установки антивируса может привести к конфликту ПО", - говорит Антон Крячков.
В результате было принято решение использовать систему аппаратной контент-фильтрации eSafe 6 на базе интернет–шлюза, который подключается между компьютером и местом доступа в сеть. В этом случае появляется возможность централизованного управления этими устройствами и контроля их состояния. Связаться с ЦОДом без eSafe будет невозможно, это защитит других партнеров от воздействия нежелательного ПО.
Применение eToken также позволяет простое установление защищенного SSL-канала передачи данных с обязательной строгой двухфакторной аутентификацией пользователя (закрытый ключ + сертификат в памяти eToken). Мало того, он активно используется системой электронной цифровой подписи, которая обеспечивает юридическую значимость документооборота.
На стороне серверов Aladdin также предложила комплекс мер по обеспечению соблюдения закона "О персональных данных", защите информации и т.д. Обеспечен персонифицированный доступ пользователей на основе строгой аутентификации и сопровождаемый аудитом действий в системе. Это позволяет решить так называемую проблему "защиты от администратора" базы данных Oracle. К тому же реализовано селективное шифрование этой базы на стороне сервера.
Еще один важный момент. Очень часто при работе с токенами упускается момент управления ими. В результате через какое-то время это перерастает в серьезную проблему, которую некому решать. В данном случае вопрос управления средствами аутентификации и ключевыми носителями (TMS) заложен краеугольным камнем всего проекта построения СЭД.
Что реализовано? Во-первых, налажено автоматизированное ведение реестра выданных аппаратных средств аутентификации и хранения ключевой информации, а также процесса выдачи ключей ЭЦП, сертификатов и ключей для SSL. Во-вторых, учитывая, значительное количество пользователей, организовано облуживание eToken: разблокирование PIN-кода, автоматизированная обработка сценариев "Утеря ключевого носителя", "Выход из строя ключевого носителя", "Прекращение работы пользователя в системе" и аудит использования eToken.
Обратной стороной любой защиты является ее стоимость, точнее - скорость и уровень возврата инвестиций. Особенно это актуально, когда значительное количество пользователей – представители малого бизнеса. Понятно, что оценить эффект от безопасности в деньгах – весьма трудная задача. Гораздо логичнее говорить о преимуществах работы с системой в целом. А вот здесь, в отличие от огромного количества ИТ-проектов, эффект налицо.
Обратимся к практическим итогам первого этапа развития, на котором основными участниками системы уже стали три страховые компании - "Ингосстрах", "Росгосстрах-Столица" и "Югория", а также "Метробанк" и МАПТО. Управляющей компанией проекта стала EveryCar (Московская городская сеть автосервисных предприятий). В общей сложности на начало года в проекте уже участвовали 15 СТОА.
"Первое и очевидное преимущество при использовании защищенной СЭД "ExactFlow", это возможность взаимодействия и глубокой интеграции с существующими страховыми продуктами, справочными методиками (DAT) и учетными программами. Это, ко всему прочему, позволяет адаптировать продукт для нужд различных сегментов рынка", говорит Павел Давидчук.
Напомним, что партнерами проекта уже стали такие разработчики, как 1С и "Deutsche Automobil Treuhand GmbH" с продуктами 1С "Альфа Авто" и Silver DAT II соответственно. Последнее решение предназначено для определения технологии и стоимости восстановительного ремонта транспортных средств. Обеспечена также полная интеграция с АИС "Ингосстрах".
Владислав Кокорин, генеральный директор компании PACIFICA, добавляет: "Система изначально задумывалась так, чтобы все участники документооборота были уверенны в безопасном обмене информацией, что достигается четким разграничением прав доступа в соответствии с утвержденными регламентами. Это, на сегодняшний день, является уникальным предложением для рынка".
"За время работы СЭД установлено, что время ремонта автомобилей на СТОА сократилось с 50-60 дней до 30-40 дней, количество актов разногласий в месяц упало со ста до десяти, а выплаты страховой компанией по убытку при натуральном урегулировании с использованием "ExactFlow" уменьшились на 15-20%", рассказывает Игорь Пономарев, генеральный директор EveryCar. При этих параметрах, когда стоимость комплекта оборудования и ПО для СТОА может обойтись всего порядка 3 тыс. рублей, наверное, для малого бизнеса выгода очевидна.
Есть и еще один момент. О нем напоминает Александр Кононенко, исполнительный директор МАПТО. По его словам, "условия, в которых вынужден развиваться московский рынок автосервисных услуг, не делает его инвестиционно привлекательным. Иными словами, на нем в ближайшее время не предвидится появление новых крупных игроков. А это, в свою очередь, означает, что извне здесь эффективных моделей бизнеса не появится.
Департаменты "Транспорта и связи", а также "Поддержки малого бизнеса" правительства Москвы не оставили без внимания этот проект. Дело в том, что в столице существует постоянно действующий конкурс "Лучший автосервис города Москвы", победители которого получают от властей существенные преференции. А в связи с "прозрачностью" деятельности участников проекта у правительства Москвы появился, во-первых, механизм контроля и поощрения участников этого рынка, а, во-вторых, реальная бизнес-модель, которой ничего не мешает стать общегородской".
Вадим Ференец / CNews Analytics