Информбезопасность «подстраховывает» ОСАГО
В связи с переходом страхования автогражданской ответственности в разряд обязательного резко возросли нагрузки на страховые компании и автосервисы. К сожалению, ход выстраивания и отладки бизнес-процессов затягивается. От этого страдают все – и автолюбители, и страховщики, и СТОА. Как технологии обеспечения информационной безопасности могут помочь в этом вопросе?
Страховой бизнес в России все заметнее набирает обороты. Однако до сих пор поле, где он мог бы развернуться, весьма ограничено. Причин много. Наибольший интерес переставляет то, как можно увеличить рентабельность в конкретном сегменте бизнеса – в области обязательного страхования автогражданской ответственности (ОСАГО) и каско.
Почему этот вопрос рассматривается в разделе «информационная безопасность»? Ответ достаточно прост. Бизнес-процессы, которые присущи урегулированию автомобильных страховых случаев, затрагивают достаточно большой круг участников. Единственный вариант, при котором весь этот механизм работает как часы, – когда создано единое информационное пространство и достигнута полная прозрачность бизнес-процессов в рамках утвержденных регламентов при обязательном обеспечении требуемого уровня конфиденциальности.
Мировая практика выработала один из рецептов достижения этой цели – построение защищенной системы электронного документооборота (СЭД). В этом случае можно реально отследить все действия участников системы, начиная от звонка в страховую компанию и заканчивая ремонтом автомобиля. Именно это является сейчас одним из основных конкурентных преимуществ страховщиков мирового уровня.
Однако российская специфика вносит некоторые коррективы в построение СЭД подобного рода. Самым «узким» и самым проблемным участком у нас в стране стали станции технического обслуживания автомобилей (СТОА). Не все, конечно, а преимущественно те, которые принято относить к понятию «малый» или «очень малый» бизнес. В условиях бума продаж автомобилей крупных сервисов катастрофически не хватает. Здесь на помощь автолюбителям и приходят СТОА подобного типа. Есть и другие слабые звенья – например, независимые эксперты или точки удаленного урегулирования убытков. В чем здесь проблема? В том, что ни одна страховая компания не рискнет подключить к своей IT-инфраструктуре то, что там называется «информационной системой».
Как работают страховые компании с ОСАГО?
Как переломить сложившуюся ситуацию? Кто должен стать инициатором «привития» СМБ основ информационной безопасности? Наверное, те, кому это экономически выгодно – страховые компании, банки и системные интеграторы. Первой отечественной «ласточкой» на этом фронте стало появление защищенной СЭД ExactFlow. Проект был инициирован Российским союзом автостраховщиков и Московской ассоциацией предприятий технического обслуживания и ремонта автомототранспортных средств (МАПТО) в 2005 году. Разработчик – российская компания Pacifica. Финансовую поддержку оказал «Метробанк». В ноябре 2007 года создается компания CS-B, которой передаются права на систему электронного документооборота ExactFlow. Как известно, в России идет процесс разработки и внедрение федеральной АИС ОСАГО. Подчеркивая роль и место ExactFlow в этой связи, Павел Давидчук, исполнительный директор CS-B, особо отмечает, что проект дополняет АИС ОСАГО. Он не направлен вглубь страховой компании, он позволяет передавать большее количество информации в эту АИС».
Концепция ИБ проекта СЭД, предложенная компанией Aladdin Software Security, стала тем фундаментом, на основе которого появилась реальная возможность создания единого информационного пространства, о котором говорилось выше. Чтобы понять, где и что необходимо защищать, необходимо разобраться с бизнес-процессами ОСАГО.
Процесс начинается с того, что уже застрахованный автолюбитель в случае ДТП обращается с заявкой в страховую компанию. Данные из точки обращения попадают в единую базу данных системы. Далее к делу подключаются эксперты. После чего, если клиент не забирает деньги, то автомобиль попадает на сервис, который приобретает у дилеров запасные части и производит ремонт. Если автолюбитель остается доволен, то подписывается акт приема-передачи, на основании которого страховая компания компенсирует сервису понесенные расходы.
Кроме того, для продажи новых полисов существует целая армия брокеров и агентов, службы эвакуаторов и стоянок, сервисы определения модели автомобиля и № запчастей по VIN-коду и корреляции запчастей по критерию оригинал/аналог. Если СТОА испытывают недостаток оборотного капитала, то факторинговые банки всегда к их услугами. Всем этим руководит управляющая компания.
Схема участников ОСАГО и их взаимоотношений
Кажется, что все просто. Но на практике ликвидировать последствия даже пустякового ДТП порой не удается месяцами. Пострадавших – два: автолюбитель и страховая компания. Первый теряет время и деньги, а вторая, кроме всего прочего, не может продать разочаровавшемуся клиенту ОСАГО более выгодный для нее продукт – каско и т.д.
Почему так происходит? Главная причина в том, что страховая компания зачастую не может объяснить людям, что именно происходит сейчас с его автомобилем, почему происходит именно это, а не что-то другое. Часто невозможна однозначная идентификация предмета урегулирования. Почему? Да потому, что нет единого информационного пространства. Потому что участники схемы не могут оперативно обмениваться данными, так как не обеспечена защищенность системы в целом.
Обеспечение ИБ – в руках самих участников системы ОСАГО
Антон Крячков, директор по продуктам компании Aladdin, делится с CNews Analytics: «С точки зрения ИБ – задача очень сложная. Прежде всего, потому, что состав участников весьма гетерогенный. Начиная от банков и страховых компаний, где есть собственная служба безопасности и которые строят свою работу на основании государственных и отраслевых стандартов, до индивидуальных предпринимателей, независимых экспертов и т.д. Большинство из последних понимают обеспечение соответствующего уровня ИБ каждый на свой лад, если они, конечно, считают нужным его обеспечивать. И этой категории пользователей нет возможности диктовать условия минимально необходимого уровня ИБ.
Если для банков и страховщиков можно говорить о какой-то стандартной конфигурации ПК и ПО, то в случае с «малыми» СТОА мы часто имеем дело с одним или несколькими компьютерами, чаще всего коллективного пользования, за которым может работать кто угодно. Если говорить о точке удаленного урегулирования убытков, то всегда существует риск кражи компьютера или несанкционированного доступа к нему. Плюс ко всему – очень разный уровень как технической, так и организационной защиты конечных точек ввода информации».
В этой связи специалисты выделяют несколько зон обеспечения безопасности. Первая из них – рабочие места пользователей вне страховых компаний, прежде всего на СТОА. Вторая находится в ЦОДе, на серверах которой работает ExactFlow. Плюс к этому, должны решаться общие для зон задачи, например, обеспечение безопасности передаваемых данных, создание механизма электронно-цифровой подписи (ЭЦП), а также управления средствами аутентификации и ключевыми носителями.
Начнем с рабочих мест пользователей. Всем известно, что это наиболее слабое звено, которое определяет стойкость всей информационной системы в целом. В данной системе это человеческий фактор. А один из самых проблемных его компонентов – использование слабых паролей. Очень много пользователей «на местах» далеки от IT и часто не обладают даже базовыми знаниями в области ИБ. На практике получается либо простейший пароль типа «123…», либо стойкий пароль, но написанный на стикере, который приклеен к монитору. А как уже упоминалось, монитор со стикером находится в условиях, где практически любой желающий может получить доступ к нему или даже похитить его. Понятно, что каких-либо военных тайн здесь нет, но со вступлением в силу Федерального закона «О персональных данных» любая уважающая себя и своих клиентов страховая компания или банк не сможет работать с подобными партнерами. Это во-первых. Во-вторых, в системе циркулируют и финансовые документы…
***
Следующий вопрос – защита от вредоносного ПО. «Можно, конечно, потребовать наличия антивируса как одной из форм защиты. Но где гарантия, что человек будет это ПО регулярно обновлять? Мало того, если компьютер принадлежит какой-то организации, то может так случиться, что на него распространяется политика ИБ этой организации. В результате требование установки антивируса может привести к конфликту ПО», – говорит Антон Крячков.
***
Страховой бизнес в России все заметнее набирает обороты. Однако до сих пор поле, где он мог бы развернуться, весьма ограничено. Причин много. Наибольший интерес переставляет то, как можно увеличить рентабельность в конкретном сегменте бизнеса – в области обязательного страхования автогражданской ответственности (ОСАГО) и каско.
Почему этот вопрос рассматривается в разделе «информационная безопасность»? Ответ достаточно прост. Бизнес-процессы, которые присущи урегулированию автомобильных страховых случаев, затрагивают достаточно большой круг участников. Единственный вариант, при котором весь этот механизм работает как часы, – когда создано единое информационное пространство и достигнута полная прозрачность бизнес-процессов в рамках утвержденных регламентов при обязательном обеспечении требуемого уровня конфиденциальности.
Мировая практика выработала один из рецептов достижения этой цели – построение защищенной системы электронного документооборота (СЭД). В этом случае можно реально отследить все действия участников системы, начиная от звонка в страховую компанию и заканчивая ремонтом автомобиля. Именно это является сейчас одним из основных конкурентных преимуществ страховщиков мирового уровня.
Однако российская специфика вносит некоторые коррективы в построение СЭД подобного рода. Самым «узким» и самым проблемным участком у нас в стране стали станции технического обслуживания автомобилей (СТОА). Не все, конечно, а преимущественно те, которые принято относить к понятию «малый» или «очень малый» бизнес. В условиях бума продаж автомобилей крупных сервисов катастрофически не хватает. Здесь на помощь автолюбителям и приходят СТОА подобного типа. Есть и другие слабые звенья – например, независимые эксперты или точки удаленного урегулирования убытков. В чем здесь проблема? В том, что ни одна страховая компания не рискнет подключить к своей IT-инфраструктуре то, что там называется «информационной системой».
Как работают страховые компании с ОСАГО?
Как переломить сложившуюся ситуацию? Кто должен стать инициатором «привития» СМБ основ информационной безопасности? Наверное, те, кому это экономически выгодно – страховые компании, банки и системные интеграторы. Первой отечественной «ласточкой» на этом фронте стало появление защищенной СЭД ExactFlow. Проект был инициирован Российским союзом автостраховщиков и Московской ассоциацией предприятий технического обслуживания и ремонта автомототранспортных средств (МАПТО) в 2005 году. Разработчик – российская компания Pacifica. Финансовую поддержку оказал «Метробанк». В ноябре 2007 года создается компания CS-B, которой передаются права на систему электронного документооборота ExactFlow. Как известно, в России идет процесс разработки и внедрение федеральной АИС ОСАГО. Подчеркивая роль и место ExactFlow в этой связи, Павел Давидчук, исполнительный директор CS-B, особо отмечает, что проект дополняет АИС ОСАГО. Он не направлен вглубь страховой компании, он позволяет передавать большее количество информации в эту АИС».
Концепция ИБ проекта СЭД, предложенная компанией Aladdin Software Security, стала тем фундаментом, на основе которого появилась реальная возможность создания единого информационного пространства, о котором говорилось выше. Чтобы понять, где и что необходимо защищать, необходимо разобраться с бизнес-процессами ОСАГО.
Процесс начинается с того, что уже застрахованный автолюбитель в случае ДТП обращается с заявкой в страховую компанию. Данные из точки обращения попадают в единую базу данных системы. Далее к делу подключаются эксперты. После чего, если клиент не забирает деньги, то автомобиль попадает на сервис, который приобретает у дилеров запасные части и производит ремонт. Если автолюбитель остается доволен, то подписывается акт приема-передачи, на основании которого страховая компания компенсирует сервису понесенные расходы.
Кроме того, для продажи новых полисов существует целая армия брокеров и агентов, службы эвакуаторов и стоянок, сервисы определения модели автомобиля и № запчастей по VIN-коду и корреляции запчастей по критерию оригинал/аналог. Если СТОА испытывают недостаток оборотного капитала, то факторинговые банки всегда к их услугами. Всем этим руководит управляющая компания.
Схема участников ОСАГО и их взаимоотношений
Кажется, что все просто. Но на практике ликвидировать последствия даже пустякового ДТП порой не удается месяцами. Пострадавших – два: автолюбитель и страховая компания. Первый теряет время и деньги, а вторая, кроме всего прочего, не может продать разочаровавшемуся клиенту ОСАГО более выгодный для нее продукт – каско и т.д.
Почему так происходит? Главная причина в том, что страховая компания зачастую не может объяснить людям, что именно происходит сейчас с его автомобилем, почему происходит именно это, а не что-то другое. Часто невозможна однозначная идентификация предмета урегулирования. Почему? Да потому, что нет единого информационного пространства. Потому что участники схемы не могут оперативно обмениваться данными, так как не обеспечена защищенность системы в целом.
Обеспечение ИБ – в руках самих участников системы ОСАГО
Антон Крячков, директор по продуктам компании Aladdin, делится с CNews Analytics: «С точки зрения ИБ – задача очень сложная. Прежде всего, потому, что состав участников весьма гетерогенный. Начиная от банков и страховых компаний, где есть собственная служба безопасности и которые строят свою работу на основании государственных и отраслевых стандартов, до индивидуальных предпринимателей, независимых экспертов и т.д. Большинство из последних понимают обеспечение соответствующего уровня ИБ каждый на свой лад, если они, конечно, считают нужным его обеспечивать. И этой категории пользователей нет возможности диктовать условия минимально необходимого уровня ИБ.
Если для банков и страховщиков можно говорить о какой-то стандартной конфигурации ПК и ПО, то в случае с «малыми» СТОА мы часто имеем дело с одним или несколькими компьютерами, чаще всего коллективного пользования, за которым может работать кто угодно. Если говорить о точке удаленного урегулирования убытков, то всегда существует риск кражи компьютера или несанкционированного доступа к нему. Плюс ко всему – очень разный уровень как технической, так и организационной защиты конечных точек ввода информации».
В этой связи специалисты выделяют несколько зон обеспечения безопасности. Первая из них – рабочие места пользователей вне страховых компаний, прежде всего на СТОА. Вторая находится в ЦОДе, на серверах которой работает ExactFlow. Плюс к этому, должны решаться общие для зон задачи, например, обеспечение безопасности передаваемых данных, создание механизма электронно-цифровой подписи (ЭЦП), а также управления средствами аутентификации и ключевыми носителями.
Начнем с рабочих мест пользователей. Всем известно, что это наиболее слабое звено, которое определяет стойкость всей информационной системы в целом. В данной системе это человеческий фактор. А один из самых проблемных его компонентов – использование слабых паролей. Очень много пользователей «на местах» далеки от IT и часто не обладают даже базовыми знаниями в области ИБ. На практике получается либо простейший пароль типа «123…», либо стойкий пароль, но написанный на стикере, который приклеен к монитору. А как уже упоминалось, монитор со стикером находится в условиях, где практически любой желающий может получить доступ к нему или даже похитить его. Понятно, что каких-либо военных тайн здесь нет, но со вступлением в силу Федерального закона «О персональных данных» любая уважающая себя и своих клиентов страховая компания или банк не сможет работать с подобными партнерами. Это во-первых. Во-вторых, в системе циркулируют и финансовые документы…
***
Следующий вопрос – защита от вредоносного ПО. «Можно, конечно, потребовать наличия антивируса как одной из форм защиты. Но где гарантия, что человек будет это ПО регулярно обновлять? Мало того, если компьютер принадлежит какой-то организации, то может так случиться, что на него распространяется политика ИБ этой организации. В результате требование установки антивируса может привести к конфликту ПО», – говорит Антон Крячков.
***
Ещё новости по теме:
07:00