Содержание
Недавно генеральный директор «Эффорт Телеком» (ГК ЭКЬЮ) Алексей Тарасов дал интервью на тему внедрения СОРМ в банковской сфере. Полная версия интервью вместе со всеми участниками дискуссии представлена на портале РБК. Мы же делимся с вами основными тезисами темы и более широкими комментариями к ним.
Правовое обоснование и обязанности банков
В качестве правовой основы для внедрения СОРМ ФСБ ссылается на федеральный закон «Об информации». Согласно позиции ведомства, банки подпадают под статус организатора распространения информации (ОРИ). Этот статус возникает из-за того, что кредитные организации обеспечивают работу интернет-сайтов и мобильных приложений, через которые осуществляется прием, передача и обработка электронных сообщений пользователей.
Получение статуса ОРИ накладывает на банки ряд обязательств. В их числе:
- Хранение в течение года на территории России данных о фактах передачи сообщений и сведениях о пользователях.
- Хранение в течение шести месяцев самих текстов сообщений, голосовой информации, видео и файлов-вложений.
- Предоставление этой информации, а также ключей шифрования для расшифровки переписки по запросам органов, ведущих оперативно-розыскную деятельность.
- Разработка программы взаимодействия с ФСБ, назначение ответственного сотрудника и установка специального оборудования, обеспечивающего удаленный доступ для спецслужб.
Оценка требований и их ожидаемость
Данное требование является ожидаемым для рынка, поскольку вытекает из действующего законодательства, которое обязаны соблюдать все субъекты. Банковские приложения и порталы объективно подпадают под критерии ОРИ. Аналогичный путь ранее прошли крупные интернет-сервисы, такие как рекрутинговые платформы, так что распространение этих норм на банковский сектор стало вопросом времени.
Для банков, которые являются финансово устойчивым сегментом экономики, стоимость внедрения таких решений не является запредельной. Кроме того, кредитные организации, заботящиеся о безопасности своих клиентов, должны понимать, что расходы на защиту от мошенничества и иных противоправных действий логично ложатся на них, а не на операторов связи или других провайдеров инфраструктуры.
Какие данные будут передаваться?
Конкретный перечень данных и технические детали их передачи определяются в процессе согласования с компетентными органами и кураторами. Единого решения для всех банков быть не может, поскольку финансовые организации имеют разную ИТ-инфраструктуру. Именно для этого и предусмотрен индивидуальный процесс согласования и подписания плана внедрения.
Данный путь не нов: операторы связи, медийные компании и владельцы автономных сетей уже прошли через подобные процедуры. На данный момент в реестре находится 398 ресурсов, среди них есть такие крупные, как соцсеть «ВКонтакте», компания «Яндекс» и её сервисы, холдинг Mail.Ru Group, «Рамблер», liveinternet.ru, «Сбербанк Онлайн», «Тинькофф Банк», портал «Пикабу», «Аэрофлот», автомобильный сайт «Дром.ру», регистратор доменных имён «Рег.Ру», порталы знакомств Mamba и Wamba и др. Для банков же масштаб затрат и сложности представляются значительно меньшими.
Влияние на инвестиционную привлекательность
Реализация этих мер, вопреки некоторым опасениям, может способствовать увеличению инвестиционной привлекательности и капитализации банков. Финансовые организации, не соблюдающие требования законодательства, несут репутационные и правовые риски, что делает их менее интересными для инвесторов.
Формулировка «усиление контроля» часто используется в либеральной повестке, однако необходимо учитывать, что количество киберпреступлений растет экспоненциально. Принятие опережающих мер по защите клиентов и бизнеса от угроз укрепляет стабильность всего финансового сектора. Историческим примером служит создание национальной платежной системы «Мир», которая изначально вызывала вопросы, но впоследствии доказала свою необходимость для обеспечения технологического суверенитета и бесперебойной работы финансовой системы в условиях внешнего давления.
Законодательная база
Необходимость установки СОРМ для организаторов распространения информации регламентируется рядом нормативных актов, включая приказы №571 и №646, которые были утверждены еще 4 года назад. Поскольку финансовые организации часто являются многопрофильными холдингами с разными подразделениями, попадающими под требования, ключевое значение имеет индивидуальное согласование плана мероприятий с куратором. Статус ОРИ определяется прежде всего функциональным назначением информационных ресурсов банка.
Оценка сроков, затрат и сложностей
По экспертным оценкам, банкам «первой двадцатки» для полного внедрения потребуется около года. Начинать этот процесс рекомендуется как можно раньше: те, кто согласуют план внедрения первыми, получат фору в развитии и маркетинговое преимущество перед конкурентами. При этом мы понимаем, что крупные игроки рынка и так постоянно мониторят ситуацию, как по законодательным нормативам, так и с точки зрения возможных рисков, поэтому многие уже встали на этот путь модернизации систем в рамках СОРМ. Предписываемый срок до 2027 вполне реален.
С финансовой точки зрения, затраты составят десятые доли процента от ИТ-бюджета кредитных организаций. Отрасль уже имеет отработанные методики, поэтому нет необходимости в найме большого дополнительного штата. Основная сложность может заключаться лишь в консерватизме и нежелании части ИТ-специалистов адаптироваться к изменениям. Однако на рынке присутствуют компании, обладающие необходимой компетенцией и опытом, готовые помочь в решении этих задач.
Кроме этого, весной 2026 запланирована отраслевая конференция в телеком сфере – ТТС’26 Алтай, на которой будут присутствовать как регуляторы, так и представители производителей и интеграторов, операторов связи и банков, что позволит получить целевые ответы и проработать конкретные решения.
___________________________________________
генеральный директор «Эффорт Телеком» (Группа Компаний ЭКЬЮ).
Колумнист – "Станции КИИ"
Основатель ТТС (Тусовка Телеком Сообщества)
В случае возникающих вопросов специалисты «Эффорт Телеком» вам помогут пройти сложный путь КИИ, СОРМ и других регуляторных требований в рамках связи и безопасности.
