Экс-замглавы Центробанка предупредил об опасности: Сбербанк начинает подминать государство

Как Центробанк против Сбера пошёл

Юрий Пронько: В ноябре прошлого года госпожа Набиуллина со своей командой в официальном отчёте выразила беспокойство по поводу развития экосистем и того, что они никем и ничем не регулируются. При этом, отметила глава ЦБ, размывается граница между собственно классическим кредитным учреждением и теми услугами, которые предоставляют технологические компании.

Яркий пример такого явления – это Сбербанк, а с этого года уже просто Сбер. Дальше этого заявления Центробанк не пошёл. И я хочу понять с вашей помощью, не пошёл дальше – к сожалению или к счастью?

Кроме выраженного беспокойства, не было сделано ничего – не выпустили каких-то регуляторных документов, не приняли новые законы. Возможно, они рассматриваются. Возможно, они обсуждаются за плотно закрытыми дверями. Разговоров много, а в чём суть?

Михаил Сенаторов: То, что госпожа Набиуллина выразила это беспокойство, это правильно. Потому что она всё-таки является органом надзорным, и Сбербанк попадает в сферу надзора. И вот это изменение бизнес-модели Сбербанка действительно вызывает определённое беспокойство. Потому что выходит уже за грань надзора Центробанка. Поэтому в данном случае всё корректно было сделано.

Регулировать Сбербанк в области его IT-технологий Центральный банк не может, это не является его функцией. То, что сейчас происходит со Сбербанком, – это бизнес-модель развития самого Сбербанка.

Что такое экосистемы в понимании Сбера

Когда мы говорим про экосистему, надо понимать, что экосистема – это не наша придумка. Это результат создания подобных экосистем за рубежом, в первую очередь такими крупными IT-компаниями, как Google, Facebook и так далее. И об этом давно уже говорят – термин "экосистемы", появившись лет пять-семь назад, уже тогда стал обсуждаться IT-специалистами.

Основой создания этих экосистем являлся набор IT-продуктов, разрабатываемых крупными компаниями. Вовлекая новые сферы в применение своих программных продуктов, они и создавали некую экосистему программного мира, развивая таким образом свои возможности для разных приложений.

Это было всё обоснованно и всё правильно, и это продолжает развиваться. И создание этих экосистем диктовалось разнообразием выбора программных продуктов и возможностей их использования разными видами бизнеса. Это устойчивое понятие, характеризующее развитие самих IT-компаний. Так что здесь всё нормально. А Сбер, будучи банком, пошёл с другой стороны.

– Вы говорите об этом уже в прошедшем времени…

– Конечно. Потому что сейчас уже Сбербанк – это как бы одна из услуг. Создалась некая экосистема Сбера. Но эта экосистема Сбера построена иначе – на принципе развития транзакционных услуг. Я неоднократно говорил о том, что Сбербанк не хочет сделать централизованную систему учёта счетов. Наоборот, счета разбросаны, поэтому перевод денег со счета на счёт, из одного города в другой, связан с платежами, то есть с этими транзакциями, на которые Сбер и живёт.

– И зарабатывает очень серьёзные денежные средства.

– Да, именно так. А дальше возникают вопросы: а почему мы не можем зарабатывать на продаже товаров, на дистанционном обслуживании, на парикмахерских, на прачечных, на ремонте обуви и так далее? Там же тоже люди вовлечены. Они тоже платят. Так пусть они платят нам.

То есть идея всей этой экосистемы – это развитие транзакционной модели бизнеса Сбербанка. Не развитие бизнеса банковского как такового – с точки зрения выдачи кредитов, участия в развитии экономики и так далее. А за счёт вовлечения огромного количества людей, огромного количества транзакций. Это тоже доходная часть, между прочим. Когда вы имеете хоть немножко, но с очень большого количества субъектов, которые вам платят, то получаете очень хороший доход. Так что модель, которую Сбербанк строит, – это модель транзакционная. И сделано всё для того, чтобы все транзакции шли через него.

– Тогда становится понятно, почему разгорелась война вокруг системы быстрых платежей, которую создавал ЦБ, почему Эльвира Сахипзадовна и её команда перекрывала кислород команде Грефа.

Значит, мы говорим о том, что Сбербанк как таковой становится одним из видов услуг, предоставляемых экосистемой Сбер. Это первый тезис. И у меня вопрос. Какие гарантии, согласно действующему законодательству, могут быть у клиентов, размещающих депозиты в Сберегательном банке, который стал Сбером? Согласно закону, гарантия – 1 миллион 400 тысяч, я имею в виду страхование. Сейчас у меня вызывает очень серьёзное беспокойство вот это размывание границ. Я прав или неправ?

– Но особо опасаться не стоит, банковский бизнес как был в Сбербанке, так и остаётся.

– Понимаете, всё переплетено, Михаил Юрьевич...

– Это правильно. Но, понимаете, если ваша цель – развитие банковского бизнеса, то это одна задача. Если ваша цель состоит в развитии транзакционного бизнеса – это другая задача, и уже не банковская.

У команды Грефа сейчас задача – развитие транзакционного бизнеса. Поэтому создаётся экосистема Сбера. Естественно, они уже не могут говорить только про Сбербанк. Потому что там развития банковских услуг не происходит.

– Но пока, на этом этапе, вы не видите угроз для держателей депозитов? Не происходит ли размытие границ?

– Пока нет.

– Хорошо. Второй тезис, с которым я соглашусь и который выдвигает Центральный банк. Речь идёт об особом статусе учреждений, имеющих особые отношения с государством. В докладе не было написано "Сбербанк", но все прекрасно понимали, о ком, точнее о чём, идёт речь.

Означает ли это, что вся эта уникальная ситуация, созданная, на мой взгляд, искусственно, если уж не классическая монополия, то точно классическая олигополия, сложившаяся на российском финансовом рынке? И теперь появляется в буквальном смысле тотальный контроль уже не только за финансовой сферой, но и за другими отраслями экономики. Или я неправ?

– С одной стороны, да, Сбер хотел бы быть монополистом везде. Но кто ему позволит? Есть Внешторгбанк, который тоже сейчас в этом же направлении начинает своё движение, потому что понимает: надо эту поляну, как говорится, осваивать.

– Но мы с вами понимаем, весовые категории у ВТБ и у Сбера несколько отличаются.

– Это правильно. Но всё равно появляется конкуренция, всё равно появятся конкуренты. Тот же "Яндекс" на эту поляну заходит. Поэтому конкуренты у Сбербанка будут. Просто он идёт первым, у него более мощные позиции. И конечно, он больший кусок пирога откусит. Но весь пирог он не съест.

Кто в ответе за безопасность наших данных?

– Самый главный тезис, который можно часто услышать, – это обеспокоенность по поводу утечки данных. Вот, Михаил Юрьевич, хочу с вашей помощью разобрать эту тему.

Есть крайняя позиция: нас всех загнали в цифровой лагерь и теперь что хотят, то и творят. С другой стороны, не буду называть имя вашего коллеги, очень продвинутого человека, который мне сказал: мол, слушай, да расслабься, мы уже давно там находимся, в этом цифровом лагере. Тем, кому надо, уже всё известно: и биометрия, и не биометрия. Технологии позволяют сканировать, даже если ты в маске, и без маски, и как угодно – уже всё далеко давно зашло. Взгляд профессионала.

– Ну, утечка данных – это проблема, которая не сегодня появилась, а уже много лет назад. Лет пятнадцать назад мы столкнулись с тем, что на Горбушке продавали данные по платежам, которые утекали из системы Центрального банка. И это была действительно серьёзная проблема: можно было купить эту базу и увидеть, кто кому платит.

– То есть люди, которые торговали, имели определённые допуски к этой информации?

– Да. Мы нашли источники утечки данных, мы нашли каналы, по которым эти данные уходили, и закрыли их. После этого у Центрального банка больше утечек не было.

Этим занимался не я один – у нас есть подразделение безопасности. И московский главк очень активно работал. То есть три участника. Это информатизаторы, "безопасники" и московский главк. Потому что его данные утекали очень сильно. Мы этим занимались в течение полугода.

– Главное управление ЦБ по Москве и Московской области. Поясняю просто.

– Сейчас же объём цифровых данных, которые собирают разные системы, в том числе и о населении, всё время увеличивается и увеличивается. Но нет регулятора, который бы занимался защитой персональных данных. Есть проблема, есть законы, но нет органа. Хотя орган был в своё время.

– А подождите, подождите. Я буду на конкретных примерах иллюстрировать – как дилетант, а вы будете как профессионал их комментировать.

Утечка базы данных из Сбера, как нам тогда сказали, случилась из-за того, что сотрудник поссорился с начальником. Это их версия, они его нашли, привлекли к ответственности и так далее. При этом можно было запросить информацию, и мои коллеги-журналисты это делали, и действительно, это был достоверный источник, то есть это была утечка из Сбера. Кто вот это должен регулировать? Центробанк? Минсвязи?

– Тут нет регулятора.

– Второй случай – то, что произошло у господина Собянина, в его епархии: утечка базы данных по ковид-больным. С адресами и с иной конфиденциальной информацией. Это как мы можем тоже квалифицировать? Человеческий фактор? А как получилось, что проблема есть, а её никто не решает?

– Исторически так сложилось у нас. У нас была такая организация – ФАПСИ, Федеральное агентство правительственной связи и информации, существовавшая почти 20 назад. У неё был статус спецслужбы. Она была выделена специально. Там работали люди, которые занимались шифрованием, защитой данных. И они же обеспечивали безопасность правительственной связи. Эта служба выполняла очень важную ответственную функцию – закрытие информации, контроль за тем, чтобы органы, которые имеют возможность получения закрытой информации, закрывали её, то есть следили за сохранностью секретной информации.

– То есть мы возвращаемся к теме допуска...

– Речь идёт не только о допуске. Это технические меры защиты информации. Это аудит этих систем защиты информации. То есть был орган, который за всем этим делом наблюдал. А потом, в результате различных административных изменений, ФАПСИ было разделено. И самая большая часть задач перешла к ФСБ. А у ФСБ основная функция другая: она обеспечивает защиту госбезопасности. Она не занимается работой с населением. И защита данных населения – это не задача ФСБ. И поэтому функция защиты данных населения просто провисла, за неё никто не отвечает.

– То есть можно сколько угодно выражать обеспокоенность, а толку от этого не будет?

– А кто будет этим заниматься-то? Да, сейчас вроде как каждый должен на местах заниматься. Сбербанк должен заниматься своей безопасностью, а Собянин – своей. Ещё какие-то федеральные органы – своей безопасностью. А кто всё это контролирует-то? Кто проводит аудит безопасности программных систем, которые стоят? Ведь из-за чего ещё происходят такие вещи? Когда в бизнесе идёт гонка за клиентами, очень важно быстро поставить то программное обеспечение, которое даёт возможность их привлечения. Как бы "маслице снять" с рынка. И когда вторые-третьи уже придут, то им меньше достанется.

И тогда самая главная задача – это поставить программное обеспечение, продать это программное обеспечение. А безопасность становится вторичной. Никто о ней особо не думает. Поэтому, выпуская программные продукты на рынок, их никто не сертифицирует по безопасности. А в этих программных продуктах есть большие "дырки".

Достаточно хорошие специалисты, видя эти "дырки", понимают, что через них можно взять нужную информацию. Более того, эту информацию можно взять так, что и следов не останется. И продать её. Ведь сейчас можно получить любую информацию. Закажите то, что вам нужно, заплатите деньги – и вам дадут. По любому человеку, по его счетам там, по его связям, по его бизнесу. Ну, что хотите.

– То есть необязательно устраивать утечку.

– Совершенно необязательно. Вы просто можете заходить в эти базы и брать всё, что вам нужно.

– Вы спокойно так говорите об этой кричащей проблеме…

– Я думаю, что всё-таки наши законодатели и наши органы управления понимают эту проблему не хуже, чем я.

– Как бы я хотел разделять-то с вами вот это мнение. Потому что я периодически, в силу профессиональных обязанностей, смотрю заседания, к примеру, палат российского парламента. И вижу, на каком профессиональном уровне проходят обсуждения. Я никого не хочу обидеть, но, когда я слышу от замминистра вместо медианной иную заработную плату, мне хочется сказать: слушайте, вы точно представляете федеральное министерство? Но я хочу разделять именно вашу позицию, что они понимают, озабочены и будут решать. Но до сего дня никто ещё не решил.

– Вот посмотрите, есть закон Яровой, предписывающий хранить все данные в течение там полугода в определённых базах в России. Хорошо, этот закон реализуется в интересах безопасности страны. А кто занимается защитой этих данных? Кто за это отвечает? Ещё раз говорю, поскольку они не секретные, органа нет. Секретные – да, за секретные отвечает ФСБ. А за несекретные кто отвечает? Никто.

– То есть за наши данные, за данные наших зрителей, которые "не представляют секрета" и, соответственно, никак не защищены?

– Да, никто не предписывает никаких требований по защите этих данных, никто не регулирует эту задачу. Из-за этого стали возможны утечки. Это явление не возникло спонтанно. Оно постепенно развивалось. И сейчас достигло пугающих размеров.

Снова "уши Грефа". Кто кого контролирует?

– В связи с предстоящей реализацией платформы "Гостех" у меня появился ещё один серьёзный вопрос. Конечно, он может быть риторическим: кто будет кого контролировать, правительство – Сбер или Сбер – правительство?

На мой взгляд, вопрос это нешуточный. Где будут собираться все наши данные? Сейчас они пока разрозненные, разделены между разными министерствами, ведомствами, по направлениям...

Теперь будет некий центр. И здесь мы опять видим торчащие "уши" команды Грефа. Я задам вопрос без каких-либо эмоций.  И хочу получить от вас ответ.

Сбербанк, с точки зрения акционерного капитала, – это негосударственный банк, это акционерный банк, где, действительно, 50 плюс 1 акция принадлежит правительству, даже чуть больше. Но есть и вторая часть – крупные миноритарные, мелкие миноритарные акционеры, в том числе – это не мои слова, а госпожи Златкис – порядка трети так называемых свободных акций. Их уже может быть и больше, и принадлежат они иностранным компаниям – американским, британским и так далее.

И вот первый вопрос. Когда мы говорим даже не про экосистему, а про сам банк, как говорил Чубайс, "про бабки". Понятно, что они обязаны зарабатывать. Но теперь появляется новая составляющая, так называемый "Гостех", за которую Сбер будет отвечать.

Вот почему я несколько раз коснулся темы допусков. Среди первых топ-менеджеров этого учреждения есть гражданин США, есть гражданин Израиля, есть подданные, может быть, не резиденты этих стран, но с видами на жительство, и так далее.

Михаил Юрьевич, я думаю, вы понимаете, куда я теперь клоню. Мы вот такие "обнажённые" теперь становимся? Я не разделяю мнения тех романтиков, которые считают, что иностранные спецслужбы уже давно не работают в отношении России. Что мир погрузился в такое умиротворение.

Я хочу разобраться. Вот, казалось бы, замес такой гремучий. Если мы начинаем реализовывать эти платформы, экосистему, интегрировать базы данных, а тут мы видим иностранцев в акционерном капитале. То есть фактически это хозяева, и они могут блокировать решения. Я допускаю, что если они объединятся, то у них окажутся блокирующие пакеты. И вообще – в топах иностранные граждане. Может, я перегибаю палку, нет?

– Подождите. Такие системы свойственны не только нам. За рубежом то же самое. Есть акционеры, они определяют направления развития той или иной компании. Но это не значит, что они имеют допуск к данным, которые имеются в этих компаниях.

К примеру, возьмите военные компании США. Там тоже есть акционеры, но это не значит, что они могут получить секретную технологическую информацию. Поэтому там всё-таки это всё разделено.

То же самое предполагается и здесь. Да, акционерный капитал формирует соответствующих акционеров в совете директоров. Они могут высказывать какие-то свои идеи по развитию бизнеса. Но это не значит, что их пустят внутрь самого бизнеса, что у них появится доступ к какой-то существенной информации.

– Совет директоров может запросить информацию.

– Может. Но если она касается какой-то тайны, то её могут не дать. Но, поскольку регулятора безопасности личной информации у нас нет, они могут получить всё что угодно. Запрета нет.

– Топ-менеджеры эти допуски точно имеют.

– Поэтому я и говорю, что нужно сейчас создавать регулятор, который бы занимался безопасностью не секретной информации, но той, которая значима для населения.

– Это главная проблема, на ваш взгляд? Мне хотелось бы, чтобы вы сформулировали ключевые, на ваш взгляд, проблемы, которые или могут возникнуть, или уже возникли в связи с внедрением экосистемы и вообще вот этой масштабной цифровизации. В чём вы их видите?

– Начнём с вашего тезиса о том, что Сбербанк, по сути, начинает уже подминать под себя в каких-то направлениях государство. Это да. Это проблема, которая существует не только в стране нашей, она и на Западе очень активно обсуждается. Потому что вот эти огромные корпорации с их экосистемами, они, по сути дела, начинают предъявлять требования к государству.

– Вы имеете в виду иск Минюста США к Google, Федеральной торговой комиссии США – к Facebook…

– Да. То есть государство начинает защищаться. Вот эти иски – это признаки того, что государство строит защиту от влияния и проникновения этих экосистем в государственное устройство. То же самое мы сейчас видим у себя. То, что сейчас делает Сбер, – это только как бы первые наметки, что такое может случиться. Ещё даже не ростки. Правильно, что выражаете эту обеспокоенность. Но чтобы эту обеспокоенность перевести в практическое русло защиты тех данных, которые есть, и нужно создавать регулятор, который когда-то похоронили. Сейчас этот регулятор нужен.

– Иными словами, вот этой, с точки зрения правоприменения и защиты, пустотой могут воспользоваться, если она не будет заполнена. И ею пользуются.

– Законы есть, а кто будет следить за выполнением законов?

Цифровизация – это благо или нет?

– Ещё я хотел бы разобраться с понятием "цифровизация". Мы с вами до эфира говорили и про блокчейн, и про беспилотники. Я могу ошибаться, но кажется, что это всё как-то свелось либо к хайпу, либо к пиару. У вас не складывается такого впечатления? Вот тот же Греф запускает беспилотники – то легковой автомобиль, то комбайны, то ещё что-то. Что вы об этом думаете?

– Цифровизация – это благо, если она правильно используется. Потому что она увеличивает отдачу на вложенные средства. Она увеличивает эффективность. Благодаря её использованию выпускаются новые продукты и так далее. Поэтому в целом цифровизация – это благо. Другое дело, как она реализуется.

– Вы мне сейчас напоминаете опытного адвоката, который говорит: "Вы абсолютно правы, вы абсолютно правы. Однако…" И дальше он просто перечёркивает всё, что было сказано перед этим.

– Нет, я не перечёркиваю. Я говорю, что вот у нас есть "дыры", скажем, в защите персональных данных. Нет ответственного регулятора, который бы занимался этим делом, затыкал эти "дыры". Но это вопрос там, может быть, нескольких месяцев, может быть, года... И государство, и наши законодатели уже начинают осознавать необходимость его создания. Плюс ваши такие выступления, достаточно острые по этому поводу, тоже заставляют задуматься. Так что эта задачка всё равно будет решена.

– А я действую по принципу: лучше сейчас, во время драки, после драки уже кулаками не машут. А что вы скажете по поводу обеспокоенности наших сограждан по поводу того, что из-за этой цифровизации нас в буквальном смысле разденут?

– Нет, цифровизация – она же не только касается личных и персональных данных. Цифровизация касается производства, промышленности, медицины...

– Другими словами, то, чем мы уже пользуемся, – это уже цифровизация, но мы это воспринимаем как обыденность.

– Да, именно так. И мы считаем, что это нормально. Например, запись через интернет к врачу. Лет десять назад об этом даже не мечтали – этого вообще не было. А сейчас это никого не удивляет.

– Или открываешь на смартфоне какой-нибудь маркетплейс, делаешь заказ, закрываешь – и это тебе доставляют.

– Это самые простые примеры применения цифровизации. Но в промышленности, например, та же самая цифровизация хоть и не так видна, но даёт очень серьёзные выигрыши.

К примеру, есть Ростехнадзор. Одна из основных его задач – это контроль за опасными производственными объектами, чтобы не было никаких там инцидентов, аварий. А они периодически случаются. То в шахте взрыв произошёл, то на химическом заводе.

– То разлив горючего, как в Норильске...

– Да, то как в Норильске. Помимо жертв, это создаёт потери для экологии. Если у вас есть огромное число объектов, но при этом старая система контроля, то есть она основана на персональном контроле. Это когда инспектора Ростехнадзора сами ходят, контролируют деятельность того или иного предприятия. И тут может возникнуть конфликт интересов. Были же случаи, когда представители региональных отделений Ростехнадзора задерживались с большим количеством неучтённых денег. То есть здесь видна коррупционная составляющая.

Вот от этого Ростехнадзор хочет избавиться. Помимо криминала, это ещё и подрывает безопасность.

– То есть цифровизация ещё и антикоррупционный механизм?

– Конечно. Мы начали создавать систему дистанционного контроля производственной безопасности. На предприятии или в шахте устанавливается необходимый программный продукт, который контролирует все системы между собой и проводит корреляцию различных параметров. Благодаря этому система ещё до наступления какой-то аварийной ситуации уже сигнализирует, что нормальный режим работы под угрозой. И сразу принимаются необходимые меры для устранения проблем. После этого предприятие продолжает нормально работать.

Работа таких систем анализировалась. И оказалось, что за счёт дистанционного контроля предотвращается до 70% аварийных ситуаций. Так вот, только за счёт внедрения этой системы на 10% увеличивается производство продукции.

– Это очень серьёзная цифра.

– Конечно. Если на предприятии производится продукции на десятки миллиардов в год, то 10% – это уже миллиард долларов. Плюс снимается коррупционная составляющая. И всё это благодаря цифровизации.