УДК 36 (072)
развитие рынка электронного страхования
ШЕПЕЛИН ГЕННАДИЙ ИЛЬИЧ
кандидат экономических наук, доцент кафедры «Страховое дело», Финансовый университет, Москва, Россия E-mail: [email protected]
АННОТАЦИЯ
Стремительный рост компьютерных технологий в ближайшее время кардинально изменит традиционные методы и стиль работы страховщиков, систему взаимоотношений всех участников страхового рынка. Исследуются структура, назначение, порядок работы, функции интернет-представительства страховых компаний; последовательно раскрыты этапы продаж массового страхового продукта; раскрываются особенности работы страховых онлайн-продаж. В статье рассмотрены «облачные» технологии (англ. cloud computing) - способы распределенной обработки данных, в которой компьютерные ресурсы и мощности предоставляются пользователю как интернет-сервис, применяющийся на страховом рынке, дана их структура, определена специфика. Исследован опыт зарубежных стран в организации «облачных» технологий, проведен сравнительный анализ корпораций -лидеров услуг в части их использования на страховом рынке. Выявлены достоинства и недостатки «облака» на страховом рынке России. Освещены способы защиты страховой информации в «облаке», рассмотрены деятельность иностранных владельцев облачных услуг, их нормативная база, основные функции и направления деятельности в области страхового дела.
Ключевые слова: современные страховые технологии; «облачные технологии» в страховании; интернет-представительство страховой организации; онлайн-продажи страхового продукта; информационная безопасность в страховании.
development of the market
of electronic insurance
GENNADY I. SHEPELIN
PhD (Economics), Associate Professor of the Insurance Business Chair, the Financial University, Moscow, Russia E-mail: [email protected]
ABSTRACT
The rapid growth of computer technologies in the near future is making fundamental changes in the traditional methods and style of work of insurers as well as in the system of relationships between all insurance market players. The paper summarizes the results of activities of both Russian and foreign insurance business companies using modern insurance technologies. Subject to investigation were the structure, purpose, organization of work, functions of Internet representations of insurance companies; consistently disclosed are sales stages of the mass insurance product; specific features of the online insurance sales.are identified. The paper is focused on cloud computing technologies, namely methods of distributed data processing, that make computer resources and capacities available to the user as an Internet service used in the insurance market, along with the description of their structure and specifics. The foreign experience in the organization of cloud technologies is studied; a comparative analysis of leading providers of cloud technology services in terms of their application in the insurance market is performed. The advantages and disadvantages of using cloud technologies in the Russian insurance market are revealed with an emphasis on the insurance data protection in the cloud. The activities of foreign cloud service providers are considered along with their regulatory framework, basic functions and directions of activity in the insurance industry.
Keywords: modern insurance technologies; cloud technologies in insurance; Internet representation of an insurance organization; online sales of insurance products; information security in insurance.
Современный страховой рынок характеризуется небывалым темпом развития информационных технологий. Потенциал высоких технологий в упрощении и удешевлении деятельности приводит к их повсеместному внедрению. Ныне мировому рынку этого сегмента исполняется 30 лет. Национальный страховой рынок России, к сожалению, недостаточно развит в области высоких технологий по сравнению с западными странами. Даже сравнивая российские страховой и банковский секторы, можно отметить, что сравнение по объему и глубине использования электронных технологий не в пользу страховщиков. Национальная банковская система активно использует Интернет, «облачные» технологии, мобильный банкинг и др. Беспрецедентное количество клиентов, использующих современные банковские технологии, подтверждает их массовую потребность в удобстве и удешевлении современных транзакций. Безусловно, нынешние участники страхового рынка при благоприятных условиях готовы перейти на более современные и продвинутые способы общения со страховыми организациями, которые вызывают рост доверия.
ОНЛАЙН-ПРОДАЖИ
Электронные компании интегрируют системы страховщиков с онлайн-системами регуляторов. В настоящее время можно говорить о новом направлении развития /Т-систем страховщиков — онлайн-обмене данными информационных систем страховых компаний с системами регуляторов и получении отчетности по всем участникам страхового рынка в режиме реального времени. В будущем на основании этих данных изменится и оценка финансовой устойчивости и платежеспособности страховых компаний.
Безусловно, онлайн-продажи могут использоваться при страховании таких массовых продуктов, как, например, страхование имущества, квартир, автомобилей, это не требует сложной экспертизы и профессиональных советов страховых специалистов. Зарубежные и ведущие российские страховые компании уже предлагают своим клиентам перспективные системы онлайн страхового общения (ОСО).
Если раньше в отношениях с клиентами ОСО было скорее необязательным дополнением
и альтернативой классическому страховому обслуживанию, то теперь оно прочно занимает свою нишу и привлекает все больше клиентов. За последние годы чрезвычайно быстрого развития технологий в данной сфере сформировались разные виды ОСО в зависимости от задействованных технологий.
Очевидно, что основными видами удаленной связи в настоящее время служат Интернет и мобильная связь. Доступность интернет-канала, отсутствие привязки ко времени и месту, повсеместная распространенность мобильной связи и высокая скорость обмена информацией играют важную роль в привлечении все большего количества физических и юридических лиц к использованию дистанционного страхового обслуживания.
Наиболее простым видом ОСО является классический продукт «Страховая компания — клиент» («СК-клиент»). На компьютере клиента устанавливается отдельная программа, на жестком диске которой хранятся ее данные: договор страхования, параметры полиса, выписки по счетам и другие страховые документы. Зачастую программе даже не требуется установка — некоторые приложения работают с и8В-/1а$Н-носителей. Классический страховой продукт «СК-клиент» позволяет доставлять и обрабатывать различные виды платежных и формализованных документов в обе стороны, получать из страховой компании выписки и прочую информацию, иметь доступ к новостному сервису. Некоторые приложения позволяют клиентам обмениваться сообщениями с возможностью вложения файлов, а также юридическими документами. Страховые компании предлагают клиентам модификации программ (как сугубо внешние, так и функциональные), более подходящие для нужд каждого конкретного клиента.
Связь со страховой компанией при использовании программного обеспечения «СК-клиент» осуществляется через телефонный канал связи либо через Интернет
ИНТЕРНЕТ-ПРЕДСТАВИТЕЛЬСТВО
Постепенное внедрение страховых каналов дистрибуции — важнейший элемент страхования, но будущее — за интернет-продажами, использующими интернет-представительство,
предлагающее дистанционное обслуживание через браузер. Интернет-представительство страховых организаций позволяет пользователю проводить те же операции, что и при использовании традиционной системы, однако при этом не требуется отдельной установки программного обеспечения. Помимо доступа с компьютера, страховые компании создают мобильные версии систем, ориентированные на смартфоны и мобильные телефоны.
Доступность интернет-связи позволяет клиентам с помощью интернет-представительства получать доступ к своим договорам страхования и производить с ними операции, оплачивать услуги. Для страховых компаний оперативность связи через интернет-представительство позволяет увеличить скорость ведения операций, а также расширить клиентуру за счет дифференциации работы с клиентами. Эксплуатация интернет-системы обходится страховым компаниям дешево, так как все изменения проводятся только на центральных серверах, к которым затем получают доступ пользователи услуг.
Вместе с тем интернет-представительство несет в себе наибольший риск несанкционированного доступа. Недостатки операционных систем и программного обеспечения приводят к необходимости постоянного усовершенствования системы интернет-клиента для защиты данных пользователей. Это сопряжено с достаточно большими затратами для страховых компаний без гарантии высоких доходов от предоставления услуги интернет-представительства.
В перспективе получит распространение мобильное представительство (телефонное, SMS-уведомление). Услуга мобильного представительства подразумевает осуществление страховых операций с помощь мобильного устройства. Телефонное представительство включает просмотр состояния выполнения договора страхования, возможность внесения страховых вносов с банковского счета, функцию SMS- информирования. Мобильное представительство позволяет страховым компаниям осуществлять полноценное дистанционное обслуживание с помощью коротких сообщений.
На сегодняшний день в области интернет-продаж страхового продукта главным инструментом становится сайт страховой компании. Внутри сайта важно соблюсти баланс между
общим объемом информации и простотой нахождения нужных сведений.
Для того чтобы интернет-представительство страховой компании функционировало как ее виртуальный офис, оно должно включать в себя следующие функции:
• обеспечение клиента полной информацией об общем и финансовом состоянии страховой компании;
• доведение до клиента информации об услугах компании и предоставление возможности детального ознакомления с ними;
• определение размеров страховой премии и конкретизация условий ее выплаты для каждого вида страхования в зависимости от конкретных параметров;
• подготовка бланка заявления на страхование;
• заказ и оплата страхового полиса страхования непосредственно через Интернет;
• пересылка страхового полиса, заверенного электронно-цифровой подписью страховщика, клиенту непосредственно через Интернет;
• организация обмена информацией между страхователем и страховщиком во время действия договора;
• обмен данными между сторонами при наступлении страхового случая;
• выплата страховой премии страхователю посредством сети Интернет при наступлении страхового случая;
• предоставление страховщиком клиенту прочих услуг и информации: консалтинг, словарь страховых терминов и др.
Если интернет-представительство компании отвечает всем этим требованиям, его можно назвать полноценным виртуальным офисом.
В практической деятельности можно выделить следующие стадии продажи массового страхового продукта через интернет-представительство страховой компании.
1. Организация сайта страховой компании, размещение информации о страховых продуктах. От качества сайта, его доступности, структуры зависит эффективность деятельности работы онлайн канала продаж. Деятельность сайта зависит от таких параметров, как удобство использования, корректная и актуальная информация о страховых продуктах, доступность получения справочной информации у специалиста
страховой компании, простота расчета стоимости страхового продукта, быстрота оформления и оплаты заказа.
2. Привлечение потенциальных клиентов на сайт компании. Формирование новых клиентских массивов страхователей обеспечивается достоинствами сайта: отсутствием географических ограничений, круглосуточной доступностью, использованием разнообразных каналов (контекстная реклама, размещение рекламы на тематических ресурсах, баннеры и др.). Покупая типовые массовые страховые продукты, клиенты могут самостоятельно найти описание страхового продукта, определить его цену и другие стоимостные параметры, оформить и совершить немедленный платеж. И, безусловно, предельная простота и надежность таких операций позволит привлечь новых клиентов.
3. Проведение консультации среди участников страхового рынка. Консультации онлайн-клиента осуществляются круглосуточно, без территориальных ограничений, различными способами: электронной почтой, стандартным телефонным звонком, онлайн-консультантом, Skype, ICQ. Конечно, это удобно и комфортно.
4. Реализация страховых продуктов. Процесс онлайн-продаж стандартных страховых продуктов — центральный пункт взаимоотношений страховщика и страхователя, позволяющий повысить собственную прибыль. Причем оплата осуществляется зачастую банковской картой. Важнейшим аспектом при этом являются регулярные платежи. Страхователь, подписывая договор оферты, где описаны периодичность и объем регулярных платежей, разрешает страховой компании по графику снимать с банковской карты денежные средства на оплату страхового продукта. Проще говоря, технология оплаты страхового продукта упрощается, хотя страховая компания несет более низкие финансовые риски. Величина оплаты и периодичность могут корректироваться в зависимости от особенностей страхового продукта и конкретной страховой компании.
5. Обеспечение клиента пакетом документов (договором между клиентом и страховой компанией, сопроводительной документацией) и бланком страхового полиса. Доставка комплекта документов и сопроводительной документации производится при непосредственном
контакте с клиентом, хотя основной объем документооборота пересылается через Интернет. Организация сервиса «личный кабинет» на сайте компании может значительно упростить эту процедуру, что снова минимизирует затраты страховой компании.
6. Послепродажный сервис клиента. Частичное или полное сопровождение страхователя после заключения договора осуществляется через Интернет, используя сайт страховой компании. Тем более что значительную часть работы можно автоматизировать с помощью системы работы с обращениями клиентов (ОТЯБ). Действия по рассылке напоминаний о приближающемся сроке платежа, изменения условий обслуживания, продление срока действия страхового продукта автоматизируют с помощью «умного» сайта компании.
Организуя интернет-представительство, страховая компания получает следующие преимущества:
• сводит к минимуму страховые и финансовые риски компании;
• повышает величину клиентской базы через каналы Интернета;
• расширяет географию деятельности страховой компании;
• автоматизирует процессы поддержки клиентов и документооборота;
• минимизирует затраты на содержание физических офисов;
• сокращает фонд оплаты труда работников страховой компании.
Наряду с интернет-представительством страховой компании актуализируется онлайн-обще-ние с клиентской аудиторией по всему объему действия договора страхования.
«ОБЛАЧНЫЕ» ТЕХНОЛОГИИ
Наиболее амбициозным направлением в развитии современных страховых технологий является перевод работы в так называемое «корпоративное облако». Исследований в этом направлении на сегодняшний день явно недостаточно.
Термин «облако» означает способ предоставления /Т-услуг пользователям. Оно не является какой-то особенной технологией, не привязано к конкретным электронным системам. Особенность «облачных» вычислений состоит
в определенных пользовательских качествах. Поставщиками «облачных» услуг признана совокупность этих качеств, разработанная американским Национальным институтом стандартов и технологий (NIST): самообслуживание по запросу, свободный доступ к IT-сервисам по сети, объединение вычислительных ресурсов в пулы, возможность быстрого масштабирования и реконфигурации, учет и контроль оказываемых услуг. Это видение с позиции пользователя.
Используя отдельные «облачные» технологии или даже всю их совокупность, мы не получим «облако». Прежние технологии не давали возможности организовать инфраструктуру в сотни или даже в тысячи серверов с огромным количеством многослойных приложений в дата-центре (от англ. data center — центр хранения и обработки данных). Для страхового рынка крупных компаний это является несомненным преимуществом.
Крупные владельцы «облачных» услуг на Западе, как правило, основывают работу на следующем наборе сертификатов.
• Federal Information Security Management Act (FISMA): низкий и умеренный уровни. FISMA является специальным документом, который регулирует и управляет информационной безопасностью в государственных учреждениях США. Наличие такого сертификата, например, у Amazon означает, что госструктуры США могут использовать сервисы Amazon Web Services (AWS) для приложений соответствующих уровней, включая страховую деятельность.
• PCIDSS Level 1 — стандарт защиты информации в индустрии платежных карт, разработанный международными платежными системами Visa и MasterCard. Level 1 — максимальный уровень. Его получение необходимо сервис-провайдерам и мерчантам (службам, принимающим платежи с карт) с количеством транзакций более 6 млн в год.
• The Health Insurance Portability and Accountability Act (HIPAA). Правила конфиденциальности в целях защиты информации о физическом и психическом здоровье пациентов, и многие другие правила. Может использоваться в медицинском страховании.
Наибольшее внимание заслуживает «облачная» стратегия США. С помощью «облаков» предполагается сокращение расходов на центры
обработки данных (ЦОД) в общей сложности в 4 раза. Разработаны шаблоны внедрения. Несмотря на то что в американской стратегии заявлена ставка на открытые продукты — свободное программное обеспечение (СПО), имеет место использование и закрытых продуктов. Но в целом курс на СПО выдерживается.
Следует отметить, что в США, ведущей стране в области практического внедрения «облачных» вычислений, только за последние 2 года официально вступили в действие такие основополагающие документы, как Федеральная стратегия «облачных» вычислений (Federal Cloud Computing Strategy, февраль 2011) и Стратегия «облачных» вычислений Министерства обороны (DoD Cloud Computing Strategy, июль 2012). Свой взгляд на развитие «облачных» платформ представили NIST Cloud Computing Standards Roadmap, компании IBM, Oracle и VmWare.
Согласно документу Federal Cloud Computing Strategy, «облачные» вычисления имеют возможность сыграть революционную роль в изменении текущего положения дел в американском секторе информационных технологий, включая страховой. Из 80 млрд долларов, выделяемых на весь сектор информационных технологий, 20 млрд будут освоены федеральным правительством для создания инфраструктуры «погружения» вычислительных платформ правительственных учреждений в «облачные» вычисления.
В странах Европы (Европейское содружество) работы, связанные с «облачной» темой, разрабатываются в рамках проекта FP7 (Future Platform 7). Так же как и в США, ставка сделана на СПО. Важнейшей задачей при этом является защита своей «облачной» системы от влияния Китая, США и других мировых сообществ. Европейская система менее динамична и более предсказуема.
На Азиатском континенте заслуживает внимания попытка компании Korea Telecom при поддержке своего правительства организовать частное «облако» национального масштаба. Проект базируется на СПО и ведется в партнерстве с Intel, Citrix и Cloud.com.
Активно развивает «облачные» технологии и Китай. Так, Министерством науки и технологий Китая на 2012 г. был запланирован рост объема рынка «облачных» технологий более чем на 60% по сравнению с 2011 г. На развитие
«облачных» вычислений Государственный комитет по вопросам реформ и развития, Министерство финансов, Министерство промышленности и информатизации Поднебесной выделили в 2013 г. 1,5 млрд юаней. На эти деньги после реализации пяти пилотных проектов в дальнейшем будут проработаны 12 главных программ.
В Российской Федерации созданием национальной «облачной» платформы по поручению Правительства занимается ОАО «Ростелеком».
Иностранные гранды «облачных» сервисов — фирмы Amazon, Sun Microsystems, Microsoft, Google и др. предоставляют различные «облачные» услуги: в распределенных хранилищах данных, включая страховые, аренду виртуальных серверов; предоставление вычислительных мощностей страховым организациям; хранение приложений, библиотек и связанных с ними конфигурационных параметров для инфраструктуры страхового рынка; выбор типа операционной системы, на которой предполагается выполнять приложения; предоставление доступа к высокопроизводительным метакомпьютерам и системам страхования через Интернет.
Известны также и другие разработчики приложений как сервисов — фирмы Microsoft Dynamics, Salesforce, Taleo, Workday, NetSuite, Oracle, SucsessFactors. С недавнего времени получили применение инфраструктуры и «облачные» сервисы в сфере страхования, созданные с упомянутыми фирмами. Специализация среди фирм-разработчиков следующая: Amazon Web Services — инфраструктура Web Services платформы в «облаке» и входящий в нее wеb-сервис; Amazon Elastic Compute Cloud, который предоставляет вычислительные мощности в «облаке»; Sun Cloud — сервис «облачных» высокопроизводительных вычислений; Windows Azure — новая серверная операционная система, предлагаемая в качестве платформы для создания «облачных» web-приложений, известная ранее под названием Windows Cloud; Google Арр Engine — сервис хостинга сайтов и web-приложений на серверах Google.
Системная совокупность метакомпьютеров в виде «облачных» сервисов отражает тенденцию к организации распределенных вычислений, при которой используемое программное обеспечение мета-компьютера (так же как и «облачное» программное обеспечение, относящееся
к классу middleware) и сами обрабатываемые данные хранятся на облачных серверах, а в распоряжении страхового клиента имеется простой web-интерфейс.
Наряду с несомненными достоинствами «облачным» технологиям присущи и недостатки, ограничивающие их применение. Например, требуется уверенная связь страхователя с Интернетом, трудоемкое настраивание программного обеспечения, затребованного страховой организацией. Такие ограничения частично преодолимы путем интеграции «облачных» и агентно-ориентированных технологий. Например, концепция мобильных вычислений, поддерживаемая мигрирующими страховыми агентами, не требует постоянного соединения клиента с сетью. Часть работы страховой агент может выполнить автономно и далее передать ее результаты после того момента времени, когда клиент снова подключится к Интернету. Страховые агенты могут осуществлять поиск, отбор и мониторинг данных. Агенты, осуществляющие обработку данных от различных источников, могут взаимодействовать друг с другом, клонироваться и перемещаться на различные серверы. Благодаря данным функциям агентов, допустимо преодолеть многие недостатки и развить функциональность «облачных» сервисов, используя потенциально неограниченные вычислительные ресурсы и ресурсы хранения.
С помощью агентно-ориентированных технологий можно повысить потенциальные возможности «облачных» технологий, такие как гибкая виртуализация ресурсов, высокая доступность, прозрачный доступ, простое администрирование, масштабирование вычислений и ресурсов хранения.
В основные «облачные» сервисы, которыми может пользоваться российский страховой рынок, входят: сервисы хранения данных (возможно, структурированных); распределенных систем управления базами данных (РСУБД); интегрированное программное обеспечение; безопасности; администрирования и управления; инфраструктура как сервис; сервисы контента, коммуникаций и взаимодействий; сервисы управления процессами и ресурсами; сервисы приложений.
Данные сервисы выполняют в основном не вычислительные функции, а функции хранения
и обработки данных. Подобно тому, как из «облака» на подключенном к сети компьютере запускаются программы, может быть организован и запуск больших масштабируемых сетевых приложений, например метакомпьютерных сервисов.
Сервисы управления процессами и ресурсами страховых организаций позволяют организовать единое управление многими ресурсами, например виртуальными узлами метакомпью-тера, очередями заданий, метаприложениями. Предоставляемая в качестве сервиса платформа может обеспечить разработку разнообразных метакомпьютерных приложений в области страхового дела, в том числе распределенных баз данных.
Управление работой метакомпьютера возможно организовать с помощью сервисов администрирования и управления, позволяющих задавать параметры как одного из «облачных» сервисов: его топологию, используемые ресурсы (данные, СУБД, вычислительные узлы и др.), уровень виртуализации и масштабирования задач. Интегрированное программное обеспечение (ПО) как сервис возможно использовать для организации интерфейсов страховых организаций с программным обеспечением мета-компьютеров.
Технология «облачных» вычислений в настоящее время находится в стадии интенсивного развития и объединяет в своем составе многие из известных технологий, особенно технологии виртуализации. Ключевым понятием в «облачных» вычислениях является предоставление пользователям услуг интернет-сервисов.
Крупные интернет-сервисы, например Amazon, Google и др., послужили основой развития идеи «облачных» вычислений. Возможность увеличения объемов хранимой информации, включая страховую, развитие технологий виртуализации привели к созданию сетевого программного обеспечения в области страхования, обеспечивающего создание виртуальной вычислительной инфраструктуры с практически неограниченными возможностями масштабирования (при наращивании аппаратных ресурсов без значительного усложнения коммуникаций) и доступом из любой точки к Интернету.
Наиболее яркий пример практического использования «облачных» технологий имеет ЗАО
«АИГ», работающее в международной группе American International Group, Inc (AIG). AIG — ведущая страховая компания, один из мировых лидеров в области личного и имущественного страхования, предоставляет услуги клиентам более чем в 100 странах, используя преимущества крупнейшей глобальной сети.
AIG как крупнейшая международная компания, обеспечивающая единые стандарты для всех региональных подразделений, реализовала технологию виртуализации при помощи проекта Global Infrastructure Unity (GIU). Это беспрецедентный по масштабу проект по переносу всех приложений и баз данных офисов AIG в корпоративный «облачный» дата-центр.
Только в Европе за последние полгода в рамках проекта GIU было перенесено в сферу «облачных» технологий более 800 программ и баз данных в области страхования из стран, где компания ведет свою деятельность. На практике нет необходимости развертывать дорогостоящие компьютерные сети, и серверные мощности на уровне стран уже не требуются: для развертывания нового офиса достаточно обеспечить его подключением к корпоративной информационной сети AIG. Переход к «облачной» системе снижает риск сбоев и проблем с оборудованием, обеспечивает контроль IT-безопасности, оптимизирует работу корпоративной сети, уменьшает негативное влияние на окружающую среду и в целом значительно понижает расходы на поддержку IT-инфраструктуры. Кроме того, технология виртуализации позволила AIG обеспечивать эффективное и бесперебойное управление бизнесом.
На современном этапе развития «облачных» вычислений можно выделить перечень уязви-мостей, связанных не только с традиционными угрозами для распределенных автоматизированных систем, но и с качественно новыми угрозами, порожденными особенностями виртуализации.
К наиболее опасным угрозам относятся следующие.
1. Механизмы виртуализации, основанные на разделении общих ресурсов. В этом случае порождается угрожающее количество каналов межпрограммного и даже межплатформенного взаимодействия, которые связаны с защищаемыми информационными мощностями и не поддаются анализу. Мгновенное и кардинальное
изменение архитектуры предоставляет злоумышленнику больше возможностей, чем в классической архитектуре.
Информационные системы, использующие механизмы виртуализации, работают вместе с соответствующим набором механизмов безопасности и правил их использования. Но сейчас формируются принципиальные информационные нарушения, связанные с отсутствием теоретических разработок и практического опыта по анализу непротиворечивости и другим свойствам совместного применения многочисленных механизмов безопасности. Другими словами, системный эффект от их совместного использования может быть даже отрицательным.
2. Появились принципиально новые типы распределенных вирусов, способных работать в каналах межпрограммного и межплатформенного взаимодействия, не поддающихся обнаружению апробированными способами.
3. Сформировались и новые виды скрытого взаимодействия виртуальных систем на одном физическом сервере. Это «скрытые виртуальные туннели» для злонамеренных целей, еще необходимо разработать механизмы их выявления, осознания, классификации и обязательного формирования упреждающих и блокирующих действий пользователей «облачных» услуг.
Таким образом, можно определить перечень задач по выработке подходов к обеспечению информационной безопасности «облаков»:
• анализ вопросов наличия уязвимостей виртуальных сред;
• систематизация угроз в современных и будущих виртуальных средах;
• разработка типовых решений по реализации виртуальных сред, обеспечивающих защищенность обрабатываемых информационных ресурсов1.
ЗАЩИТА НА ЗАКОНОДАТЕЛЬНОМ УРОВНЕ
Дальнейший прогресс интернет-продаж через интернет-страхование и в целом электронные коммуникации в страховом бизнесе России тормозит несовершенство действующего законодательства. На сегодняшний день приняты
1 URL: http://www.rnt.ru/ru/press_center/publikatsii/tendentsii-razvitiya-oblachnykh-vychisleniy-i-sredstv-zashchity-statya-a-novikova-i-v-grigoreva-v-zh (дата обращения: 18.06.2014).
отдельные законы, активизирующие развитие современных страховых технологий: Федеральные законы «О национальной платежной системе»2, где разрешается производить оплаты через мобильный телефон; «Об электронной цифровой подписи»3, тогда же был изменен Федеральный закон «О персональных данных».
Существующее развитие законодательства позволяет страховщикам, казалось бы, без проблем осуществлять интернет-продажи и работу с клиентами на стадии исполнения договоров посредством Интернета. Гражданский кодекс Российской Федерации позволяет заключать договоры страхования в довольно упрощенной форме — выпуск полиса, подписанного страховщиком, на основании устного или письменного заявления страхователя.
Однако практика показывает, что работа с каналами продаж в страховании все еще является достаточно рискованной с правовой и регуля-торной точек зрения. Государственным надзорным органам и службам в силу своей инерции достаточно сложно реорганизоваться, хотя государственная стратегия развития информационного общества в том числе предусматривает развитие экономики и финансовой сферы на основе использования информационных технологий.
Финансовые выгоды, которые «облачные» услуги могут принести Правительству, бизнесу, гражданам и потребителям, надлежит уравновесить с риском, который эти услуги могут создать для неприкосновенности частной жизни физического лица или его персональных данных. В основном участники страхового рынка не могут понять, как в «облаках» решать проблемы защиты собственных данных. Причем проблема кроется уже в самом принципе «облачности» выполняемых процедур: пользователь не знает, где обрабатываются его данные, а следовательно, не может и контролировать процедуры их обработки и возможной утечки.
Это приводит к тому, что страховым организациям приходится просто доверять хостинг-провайдеру, который, впрочем, не предоставляет никакой гарантии защиты данных своим клиентам.
2 URL: http://www.consultant.ru/document/cons_doc_LAW_158430/ (дата обращения: 18.06.2014).
3 URL: http://rg.ru/2011/04/08/podpis-dok.html (дата обращения: 18.06.2014).
Наиболее эффективной и, пожалуй, единственной гарантией реального контроля за данными и вычислениями может выступать только шифрование. Передаваемые данные всегда должны быть зашифрованы и доступны пользователю только после выполнения процедуры аутентификации. Процесс передачи ключа шифрования и взаимной аутентификации пользователя и серверов «облака» также должен быть построен на основе криптографии с открытым ключом. Такой подход гарантирует, что к этим данным не сможет иметь доступ ни один злоумышленник, даже если он получит к ним доступ посредством взлома ненадежных узлов в сети. Рассматриваемые технологии основываются на хорошо зарекомендовавших себя надежных протоколах и алгоритмах (например, TLS, IPsec и AES), которые применяются провайдерами.
Однако пока законченных решений, которые бы гарантировали криптографическую защиту страховой информации при обработке их в «облаке», нет ни в одном предложении рыночных страховых продуктов.
В настоящее время все «облачные» приложения в России базируются на иностранных платформах виртуализации. Национальные пользователи не имеют возможности встраивать в платформу виртуализации отечественные алгоритмы шифрования, что делает невозможным реализацию криптографической защиты персональных данных. А это является единственной гарантией контроля их обработки.
В России имеются стандарты, которые регламентируют использование российской криптографии, однако заставить иностранных производителей реализовать их будет непросто.
Весьма значительные проблемы появятся у операторов «облачных» услуг при попытке перенести в «облако» персональные данные своих клиентов или сотрудников страховых компаний. Такую систему обработки персональных данных участников страхового рынка можно отнести к системам с распределенной обработкой информации, что по регламентирующим документам требует использования криптографии, сертифицированной в соответствии с действующим законодательством по требованиям ФСБ. В России на сегодняшний день нет «облачных» приложений, которые бы прошли подобную процедуру.
Итак, мы можем резюмировать, что в ближайшее время кому-либо из российских операторов «облачных» сервисов не удастся привести «облачную» инфраструктуру, обслуживающую в том числе и страховой рынок, в соответствие с требованиями Федерального закона «О персональных данных»4. Конечно, последнее слово за страховым сообществом и законодателем, которым предстоит сложная и кропотливая работа.
ЛИТЕРАТУРА
1. Колесов А. Облачные вычисления: что же это такое? URL: http://www.pcweek.ru/its/ article/ detail. php? ID=135408 (дата обращения: 26.06.2014).
2. Зинкина Н.С. Методы и модели логического управления дискретными процессами в распределенных вычислительных системах на основе концепции согласования // Известия вузов. Поволжский регион. Технические науки. 2011. № 1. С. 35-47.
3. Chen Y.-R., Chu Ch.-K., Tzeng W.-G., Zhou J. CloudHKA: A cryptographic approach for hierarchical access control in cloudcomputing. URL: http://eprint.iacr.org/2013/208 (дата обращения: 26.06.2013).
REFERENCES
1. Kolesov A. Oblachnye vychisleniia: chto zhe eto takoe? [Cloud Computing: What is It?] URL: http://www.pcweek.ru/its/article/ detail. php? ID=135408 (accessed date 26.06.2014).
2. Zinkina N. S. Metody i modeli logicheskogo upravleniia diskretnymi protsessami v raspre-delennykh vychislitel'nykh sistemakh na os-nove kontseptsii soglasovaniia [Methods and Models of Logical Discrete Process Control in Distributed Computing Systems Based on the Harmonization Concept]. Izvestiia vuzov. Povolzhskii region. Tekhnicheskie nauki — University News. Volga Region. Engineering Sciences, 2011, no.1. pp. 35-47. (In Russ.)
3. Chen Y.-R., Chu Ch.-K., Tzeng W.-G., Zhou J. CloudHKA: A Cryptographic Approach for Hierarchical Access Control in Cloudcom-puting. URL: http://eprint.iacr.org/2013/208 (accessed date: 26.06.2013).
4 URL: http://www.consultant.ru/document/cons_doc_LAW_158430/ (дата обращения: 30.06.2014).