Страховщики улетают в облака
Как и почему участники рынка страховых услуг переходят на аутсорсинг
В конце ноября Госдума приступила к рассмотрению закона, регламентирующего для финансовых организаций аутсорсинг информационных технологий и ответственность внешнего поставщика за предоставленные ему данные. Тема перехода на отечественные информационные технологии, ПО и оборудование, то есть ИТ-импортозамещение, обострилась после ухода с рынка иностранных вендоров, решения которых использовали практически все финансовые организации, включая страховые компании. В плюсах и рисках перехода на ИТ-аутсорсинг страховых компаний разбирался “Ъ”.
Фото: Ирина Бужор, Коммерсантъ
Обострение импортозамещения
Десятилетиями практически все российские финансовые компании использовали ИТ-системы и компоненты западного производства, и страховые компании не были исключением. Поэтому после ухода иностранных вендоров проблема ИТ-импортозамещения на страховом рынке стоит очень остро. По словам директора технологической практики «ТеДо» Юрия Швыдченко, проблема импортозамещения для страховых компаний не менее актуальна, чем для других отечественных компаний. 80–90% ИТ-процессов в страховых компаниях были построены на продуктах и решениях иностранных компаний, ушедших с российского рынка.
Импортозамещение для страховщиков особенно актуально, когда речь идет об общесистемном ПО (ОС, виртуализация, СУБД), о серверном оборудовании, СХД, сетевом оборудовании, уточняет ведущий консультант по ИБ Aktiv.Consulting Александр Моисеев. Во Всероссийском союзе страховщиков отмечают, что зачастую речь идет о системах, связанных с большими массивами данных и персональной информацией, где ошибки недопустимы.
По словам Михаила Кунина, руководителя департамента личного страхования «Нобилиса», правительством РФ поставлена задача обеспечить безопасность работы всех систем — финансовые институты и другие ключевые отрасли экономики в настоящий момент вовлечены в процесс локализации и адаптации поддерживающих ИТ-систем и программного обеспечения для полноценного функционирования операционной деятельности.
В конце ноября Государственная дума приняла в первом чтении законопроект о внесении изменений в отдельные законодательные акты РФ в части совершенствования правовых основ для аутсорсинга информационных технологий и использования облачных услуг финорганизациями. Его внесла группа депутатов вместе с главой комитета Госдумы по финансовым рынкам Анатолием Аксаковым.
Депутаты предлагают узаконить процесс передачи функций по разработке, поддержке и обслуживанию информационных технологий на финансовом рынке внешнему поставщику услуг. Страховщики, согласно законопроекту, могут поручить поставщикам услуг аутсорсинга размещение и хранение информации, в частности персональных данных застрахованных лиц и выгодоприобретателей, без получения согласия этих людей. Вместе с тем внешние поставщики несут ответственность за разглашение информации страховщика.
Инициатива появилась неслучайно. Как следует из пояснительной записки, законопроект разработан в связи с необходимостью обеспечить стабильность и непрерывность деятельности финсектора в условиях глобальных нарушений цепочек поставок оборудования. В документе подчеркивается, что привлечение поставщиков услуг аутсорсинга стало не только объективной потребностью, но и общепринятым подходом к оптимизации и повышению эффективности деятельности финорганизаций.
Разумеется, как отмечает генеральный директор Национальной страховой информационной системы Николай Галушин, замещение оборудования или его модернизация — это весьма растянутый во времени процесс, который никто не решает одномоментно, в частности из-за сроков, стоимости, физической замены, потребности в больших мощностях. При этом проблема импортозамещения порой заключается в отсутствии самого аналога того, что надо замещать, отмечает он.
Новый этап аутсорсинга
В ЦБ поддерживают переход своих поднадзорных на аутсорсинг, отмечая при этом, что аутсорсинг информационных технологий и облачных сервисов является одним из возможных вариантов импортозамещения.
В связи с этим эксперты считают законопроект об аутсорсинге одним из ключевых, особенно для страховых компаний. Этот этап аутсорсинга представляет собой новый уровень взаимодействия с внешними поставщиками для многих страховых компаний, считает Павел Коваленко. Данный законопроект упрощает и расширяет возможности страховщиков в текущих условиях недоступности иностранных ИТ-услуг и продуктов, считает господин Швыдченко.
В частности, передача части непрофильных для страховых компаний бизнес-технологических процессов, связанных с ИТ, на аутсорс позволяет сэкономить на закупке программных и аппаратных средств, сетевого оборудования, а также на заработной плате специалистов, которые внедряют и поддерживают их работоспособность, считает господин Моисеев.
Кроме того, законопроект становится ключевым, поскольку позволяет страховщикам передавать обработку данных страхователей сторонним поставщикам без предварительного согласия, что облегчит соблюдение законов и повысит эффективность обработки данных в условиях строгих регуляторных требований, поясняет директор центра противодействия мошенничеству компании «Информзащита» Павел Коваленко.
По словам партнера Б1 Ольги Востриковой, рост объемов бизнеса, разнообразия продуктов, усложнение требований к различной отчетности, развитие практик оценки и управления рисками приводят к росту как объемов данных, собираемых и хранимых на стороне компаний, так и количества высокопроизводительных вычислений для различных целей, которые требуют все больше ресурсов. При этом оперативное масштабирование собственных хранилищ или дата-центров является капиталоемким и зачастую длительным по времени, а их поддержание и обновление зависит от доступности соответствующего оборудования и наличия достаточного количества специалистов. В такой ситуации использование сторонних поставщиков облачных услуг может быть выгодно.
«Специфика бизнеса страховых компаний связана с необходимостью постоянного масштабирования, поэтому пользование услугами дата-центров и консолидация ресурсов помогут обеспечить экономию до 30% по сравнению с "внутренними" решениями»,— поясняет директор по связям с общественностью 3data Дмитрий Преде.
Информационные риски
Между тем страховщики уже переходят на аутсорсинг. Так, в «Ингосстрахе» рассматривают облачные технологии для быстрых MVP (минимально функциональный продукт, который компания выпускает на рынок). «Росгосстрах» начал анализировать и рассматривать возможности переноса ряда сервисов в российские облака на принципах SaaS (облачная модель предоставления программного обеспечения). В ВСК перенесли в облако только GPU-вычисления (высокопроизводительные многопоточные системы, см. “Ъ” от 3 апреля). В страховой компании, входящей в пятерку крупнейших, уточняют, что рассматривают провайдеров облачных услуг на отечественном оборудовании и могут предоставить регулятору сертификаты о вхождении компонентов в реестр Минцифры (см. “Ъ” от 8 ноября).
Средние и небольшие страховщики также выбирают аутсорсинг. В «Энергогаранте» рассказывают, что в части импортозамещения серверного оборудования компания развивается в сторону облачных решений.
Поскольку компания планировала быстро развиваться, то наличие собственного центра обработки данных (ЦОД), требующего постоянной покупки оборудования, могло помешать достижению стоящих перед ней целей, в связи с этим был выбран облачный путь развития ИТ-инфраструктуры, делятся в «Астро-Волге».
В «Абсолют Страховании» предпочитают придерживаться построения геораспределенной инфраструктуры, состоящей из собственных мощностей и арендованной инфраструктуры.
«Ренессанс Страхование» также отмечает, что на сегодняшний день компания живет в гибридном режиме: критичные клиентские процессы, требующие масштабирования, полностью в облаке, а внутренние сервисы — на собственном «железе».
ЦОД подтверждают рост спроса на аутсорсинговые решения со стороны страховщиков. «Мы регулярно получаем запросы от представителей крупных страховых компаний»,— говорит господин Преде. По его словам, страховщики хотят в «едином окне» получить различные сервисы: от colocation (размещение оборудования в дата-центрах) до миграции на облачные сервисы.
Впрочем, в «АльфаСтраховании» и «Росгосстрахе» уточняют, что наряду с использованием облачных решений закупают оборудование сами, в том числе через параллельный импорт.
Однако для участников рынка подобные закупки оборудования в нынешних реалиях несут риски. «Проблема параллельного импорта в том, что мы существуем в рамках закона 223-ФЗ в части закупок,— поясняет собеседник “Ъ” в страховой компании из топ-10.— Сейчас любой ИП, ввозящий оборудование, может участвовать в тендере. В рамках торговой площадки отклонить участника, который предоставит минимальное финансовое предложение, мы не можем. Но не знаем, что привезут — это может быть восстановленное оборудование».
Переход на аутсорсинг влечет серьезные риски для страховых компаний. По словам коммерческого директора SafeTech Дарьи Верестниковой, «когда управляешь инфраструктурой не самостоятельно, всегда существуют риски». Самый большой риск — доступность персональных данных третьим лицам, считает директор по управлению сервисами Angara Security Роман Сычев.
Страховые компании хранят большое количество данных, которыми хотят завладеть злоумышленники: медицинских историй, госномеров автомобилей, номеров телефонов клиентов, кроме этого, для них действуют требования ЦБ о защите информации, поскольку риски для компаний из этой отрасли очень существенны, уточняет коммерческий директор Servicepipe Данила Чежин.
Еще одна группа рисков связана с работоспособностью ИС страховых организаций при миграции. Есть множество рисков, связанных с ошибками в конфигурировании, несовместимостью определенных программных средств или отличиями в реализации каких-либо протоколов у различных вендоров оборудования, отмечает господин Моисеев. Кроме того, по его словам, необходимо обеспечить защиту от целевых атак.
Перед принятием перехода на аутсорсинг необходимо провести аудит собственной инфраструктуры и тщательно рассчитать экономику, дополнительно нужно понимать, какая у компании есть собственная инфраструктура и в каком она состоянии, считает руководитель департамента информационных технологий «Первого Бита» Максим Горин.