Цифровой банк. Как создать цифровой банк или стать им Скиннер Крис

За последние два десятилетия мир изменился до неузнаваемости благодаря трем революциям: информационной, сетевой и технологической, которая соединила всех с каждым на планете и позволила общаться и делиться информацией друг с другом. Последняя революция такого масштаба была индустриальной революцией.

Подобные преобразования называются революциями потому, что происходят во времена развития и прогресса; развитие же создает богатство тех немногих, кто причастен к этому развитию, в то время как бедные становятся беднее. Индустриальная революция дала нам, среди прочих, такие имена, как Пибоди, Карнеги, Ротшильды, Оппенгеймеры[86]; информационная революция явила Гейтса, Эллисона, Цукерберга и Дорси[87].

Революции также приводят к мятежам. История знает множество примеров, когда обедневшие массы нападали на состоятельные элиты. Подобное мы можем наблюдать и сегодня, однако разница состоит в том, что данные и мобильный интернет позволяют обездоленным действовать совместно, иметь голос и быть услышанными все в большей степени во всем мире.

Конечно же, банки не избежали этой глобальной информационной революции, как не избежали мощного воздействия социального интернета нашего времени. Взгляните на Полли Кэтчпол, молодую девушку, которая создала петицию на сайте change.org – организации, помогающей оказывать социальное давление, с требованием к The Bank of America отказаться от ежемесячного удержания 5 долларов с тех, кто пользуется их дебетовыми картами. Плата была введена банком для компенсации потерь, вызванных принятием поправки Дурбина, которая является частью Закона Додда – Франка. Данный закон был принят в США в 2010 году с целью реформировать Уолл-стрит и защитить права потребителей. Поправка Дурбина смыла часть прибыли при операциях с дебетовыми картами, и многие американские банки решили ввести дополнительную плату для восполнения потерь (примечание: The Bank of America был не единственным банком, собиравшимся сделать это, он просто первым попал в заголовки новостей).

Этот шаг оказался настолько непопулярным, что петиция Кэтчпол получила поддержку, продвигалась сайтом change.org и затем была подхвачена такими крупнейшими национальными СМИ, как The New York Times. Когда петиция набрала 300 тысяч подписей, The Bank of America отменил дополнительный побор. В результате первоначальный план банка был признан крупнейшей PR-ошибкой 2011 года большинством изданий, посвященных маркетингу, а Брайен Мойнихан, CEO The Bank of America, признал, что это привело к всплеску закрытий счетов. Нужно отметить скорость, с которой происходили все эти события: когда Кэтчпол разместила свою петицию 1 октября, она насчитывала 100 подписей, неделю спустя документ собрал уже более 200 тысяч подписей.

Существует много других примеров влияния при помощи социального мобильного интернета на банки. Можно вспомнить историю с WikiLeaks и атаками Anonymous на платежные системы PayPal, Visa и MasterCard. В период, когда проходили атаки, эти платежные системы вместе с Amazon блокировали платежи в пользу WikiLeaks, что было вызвано публикацией на сайте секретной информации американского правительства. Утечки включали видео американских бомбардировок Ирака, в результате которых погибли два журналиста Reuters – факт, который правительство США до этого отрицало. В результате правительство использовало свое влияние, чтобы заставить PayPal, Visa и MasterCard остановить обслуживание платежей и таким образом прекратить финансирование WikiLeaks.

Однако настоящим потрясением явилась реакция сторонников WikiLeaks. Сторонники притесняемого ресурса, организовавшись в виде хакерского сообщества Anonymous, провели DDoS-атаку MasterCard и остановили работу ее интернет-сервисов. Атака затронула такие сервисы MasterCard, как 3D Secure и сервис оплаты широкополосного доступа в интернет, и проводилась в рамках операции «Расплата» (Operation Payback – анонимное децентрализованное движение, борющееся против цензуры и несоблюдения норм авторского права).

Как видно из этих примеров, силу современного интернета не следует недооценивать. Именно поэтому Джозеф Аккерман, бывший CEO Deutsche Bank, утверждал в 2012 году: «У нас есть социальная ответственность, поскольку если неравенство в распределении доходов и богатства возрастет, то мы можем получить мину замедленного действия, а этого никто не хочет».

Кибервойны – куда более серьезная угроза, чем хактивизм

Пока потребители осваивают мобильные инструменты социального давления и занимаются хактивизмом[88], правительства проводят глобальные кибератаки. Эта кибервойна полным ходом идет с целыми группировками вредоносного программного обеспечения, нацеленного на ближневосточные страны. Исследователи из McAfee Labs недавно обсуждали основные угрозы в предстоящем году и показали, что ситуация будет только ухудшаться по причине различных факторов.

• «Хакерство как сервис»: на теневых форумах анонимные покупатели и продавцы обмениваются платными наборами вредоносного ПО и предлагают услуги по его разработке.

• Снижение активности хактивистов Anonymous будет компенсировано деятельностью более политизированных и экстремистских групп.

• Государства и армии все чаще будут выступать в качестве источников и жертв киберугроз.

• Крупномасштабные атаки вроде Stuxnet (атака на иранские ядерные промышленные объекты) будут в большей мере нацелены на выведение из строя инфраструктуры, чем на зарабатывание денег.

• Мобильные «черви», покупающие вредоносные приложения на смартфоне жертвы и крадущие деньги с использованием технологии бесконтактных платежей.

• Вредоносное ПО, препятствующее установке обновлений безопасности на мобильные телефоны.

• Пакеты программ для мобильных телефонов, позволяющие злоумышленникам без навыков программирования вымогать оплату у жертвы.

• Скрытые и настойчивые атаки на Windows-платформы.

• Ускоренная разработка вариантов атак на Windows 8 и HTML5.

• Дальнейшее повышение избирательности ZeuS-подобных атак с использованием Citadel Trojan[89], которое существенно осложняет обнаружение их системами компьютерной безопасности.

• Вредоносное ПО, которое восстанавливает соединение даже после того, как работа сети зараженных компьютеров (botnet) была остановлена, что позволяет продолжать заражение машин.

• «Спам на снегоступах» (Snowshoe Spamming) легитимных продуктов, использующий множество исходящих IP-адресов для рассылки; это затрудняет идентификацию спама и увеличивает его проникновение.

• SMS-спам с зараженных мобильных телефонов. Что ваша мама пытается вам продать сейчас?

Очевидно, что кибератаки – это новая форма боевых действий, избегающая прямого рукопашного или ядерного сражения. Как в классическом фильме 1983 года «Военные игры», вам больше не требуется оружие для ведения войны, только кибероружие. И никакая страна не застрахована от атак.

Соединенные Штаты подверглись атаке сетевого червя, инициированной из Китая в 2010 году. Китай отрицал, что атака была спонсирована государством, однако один из выпусков новостей на центральном канале китайского телевидения год спустя дал повод усомниться в этом. По телевидению была продемонстрирована военная компьютерная программа с возможностью выбора цели – в данном случае веб-сайта в Алабаме – и кнопкой «Атака».

Может быть, поэтому Хилари Клинтон хочет теперь, чтобы США и Китай сотрудничали в будущем в сфере кибербезопасности, а Барак Обама нашел время, чтобы в июле 2012 года написать в The Wall Street Journal следующее[90]:

«Не нужно обладать большим воображением, чтобы представить себе последствия успешной кибератаки. В будущем конфликте противник, не имея возможности противостоять нашему превосходству на поле боя, может попытаться воспользоваться уязвимостью наших компьютерных систем здесь, дома. Отключение жизненноважных банковских систем может спровоцировать финансовый кризис. Недостаток питьевой воды или неработающие больницы – привести к чрезвычайной ситуации в области здравоохранения. И, как мы уже видели в прошлом, отключения электроэнергии могут останавливать предприятия, города и целые регионы. Мы должны предотвратить подобное будущее. Именно поэтому моя администрация сделала кибербезопасность приоритетом и предложила законопроект, призванный укрепить нашу национальную цифровую обороноспособность».

Обама на самом деле хорошо осведомлен о киберуязвимости, потому что сам подвергался хакерским атакам. В мае 2009 года он констатировал: «Между августом и октябрем (2009) хакеры получили доступ к электронным письмам и некоторым организационным файлам, включая общеполитические документы и планы поездок. Это явилось мощным напоминанием в наш информационный век, что одно из наших величайших преимуществ – в данном случае наша способность общаться с широким кругом сторонников через интернет – может одновременно быть нашим слабым местом»[91].

Но вот в чем проблема. Мы все время пытаемся оказаться на шаг впереди хакеров, хактивистов, киберпреступников и киберугроз, но на самом деле всегда оказываемся на шаг позади. Как и в случае законодательной дилеммы, вы можете отрегулировать систему, только если что-то уже пошло не так; дилемма кибербезопасности выглядит очень похоже: вы можете отбить кибератаку только после того, как ее обнаружите. Разумеется, существуют способы защитить себя от возможных атак, но известны ли вам все нюансы всех возможностей всех кибератак? Может ли какая-то компания заявить, что она неуязвима?

Нет, но именно банки и платежные провайдеры должны быть неуязвимыми, поскольку очевидно, что финансовая система определяет экономическую жизнеспособность страны и, следовательно, будет находиться на переднем крае атак в международных киберконфликтах. Мне это стало понятно, когда CIO[92] Нью-Йоркской фондовой биржи (NYSE) делал доклад на конференции под моим председательством несколько лет назад и рассказал, что биржа подвергалась кибератаке в то же время, что и Министерство обороны США. Система безопасности министерства была нарушена, биржевая – нет. Тем не менее банки могут многое почерпнуть для себя из опыта кибервойн правительств.

Во время недавних событий на Ближнем Востоке банки подвергались атакам чаще, чем объекты атомной промышленности: ведь банковская система является сердцем экономического здоровья государства. Троянская программа Gauss, нацеленная на кражу больших объемов данных с компьютеров многочисленных пользователей ряда ближневосточных стран, уделяет особое внимание банковской и финансовой информации.

Когда правительства развязывают кибервойны, нацеливаясь на банковские системы, это в какой-то момент вполне может закончиться финансовым крахом. Потенциально подобные события представляют собой большую угрозу, нежели безобидный хактивизм. Вот, исключительно как информациядля размышлений, короткий рассказ о кибератаке на Уолл-стрит:

Шэймин Чжэн наконец закончил работу над своим шедевром. Он создал сетевого червя, который проникнет в сердце американской мечты – Уолл-стрит. Как и в случае атаки израильского компьютерного червя Stuxnet на иранское ядерное оборудование в 2010 году, Чжэна наняли для достижения таких же результатов на NYSE.

На NYSE утверждают, что серверы биржи неуязвимы и могут выдержать куда более мощную и изощренную атаку, чем та, которая поразила системы американского оборонного ведомства. Однако это не так, и у Чжэна есть все необходимое, чтобы доказать это. Его программа не только проникнет в биржевую систему через брешь в безопасности, прикрываясь легитимными операциями Goldman Sachs с использованием платформы высокочастотного трейдинга этого банка, но и найдет лазейку в клиринговой системе Депозитарно-трастовой и клиринговой корпорации (DTCC). Проникнув в клиринговую систему, червь расправится с Америкой.

Чжэн использовал для прикрытия сделки, чтобы высвободить всю разрушительную силу червя. Сначала делается запрос котировки через Goldman Sachs. Далее происходит исполнение заявки. Затем совершенная сделка пройдет клиринг в DTCC. На этом этапе червь будет высвобожден и начнет проникновение в каждую сделку в клиринговой системе.

Это кажется невероятным, но прежде чем все обнаружится, все сделки на фондовых площадках США – не только на NYSE, но и на NASDAQ и других – будут сорваны и потенциально станут недействительными, поскольку DTCC осуществляет расчеты по всем сделкам с акциями и деривативами в Соединенных Штатах. Червь должен обрушить всю систему торговли. Таков был замысел, и Чжэн полагал, что он его воплотил.

Задача не была слишком сложной, поскольку Чжэн не атаковал напрямую ни биржу, ни клиринговую компанию – только Goldman Sachs. А это стало возможным после того, как Чжэн нашел союзника – Сергея Алиенко, который в 2010 году был обвинен в краже информации о торговой платформе Goldman Sachs. В 2012 году обвинения сняли, а суд так и не узнал о том, что Чжэн и его работодатели заплатили Сергею 10 млн долларов за информацию, которой им не хватало.

На самом деле Сергей не крал секретов у Goldman Sachs. Он оставил лазейку в торговой платформе банка, которая позволила Чжэну внедрить червя в систему. Спасибо тебе, Сергей.

Чжэн нажал Enter и затаил дыхание. Червь был в пути. Достигнет ли он своей цели?

Так как же банку защищать себя от хактивистов и киберпреступников?

Настоящим вызовом для банковской системы является необходимость, с одной стороны, защитить свои брандмауэры от атак хактивистов, кибершпионажа и киберкриминала, а с другой – предоставить простой доступ к интернет-банкингу своим клиентам. Это настоящая дилемма.

С одной стороны, всем нужен мобильный доступ к своим счетам и платежам, а с другой – никто не желает болезненных потерь из-за недостаточной защиты этих счетов. Очевидно, что информационная безопасность банка имеет две узловые точки:

• защита банковской информации от атак;

• удобный доступ к банковской информации для клиентов, когда им это необходимо.

Что касается первого пункта, то хактивизм не является здесь проблемой. Массированная DDoS-атака со стороны анонимного сообщества может вызывать беспокойство, но вывод из строя сайта не означает вывода из строя системы в целом. MasterCard и Visa продемонстрировали это во время недавних атак Anonymous. Взлом сайта – это скорее неудобство, чем проблема.

Тем не менее намеренный взлом – это реальная угроза, и банки далеко не всегда могут отреагировать на нее должным образом. В 2011 году хакеры получили доступ к клиентским данным Citibank, что привело к потере как минимум 2,7 млн долларов у 3400 клиентов. Это не слишком большая проблема, и с ней можно справиться, но она говорит о том, что уязвимость существует.

Инсайдерская угроза значительно серьезнее; сотрудники в состоянии заработать миллионы, продавая доступ к банковской информации. Подобный случай произошел в 2011 году в The Bank of America, который потерял 10 млн долларов по вине своего сотрудника, передававшего данные аккаунтов группе, специализировавшейся на воровстве персональных данных. Масштаб инцидента не слишком внушительный, но, когда появляется трещина в защите, она очень быстро грозит перерасти в расщелину, каньон или пропасть.

Случай в Sumitomo Bank прекрасно иллюстрирует это. Банк потерял почти 350 млн долларов из-за мошенничества с применением клавиатурного шпиона[93]. Вы, наверное, думаете, что банк принял надлежащие меры после столь серьезного предупреждения? Нет. В мае 2012 года тот же самый банк был оштрафован Управлением по финансовому регулированию и надзору Великобритании[94] на 3,5 млн фунтов стерлингов за серьезные просчеты в управлении своей IT-инфраструктурой.

Тем не менее банки осуществляют хранение, передачу и анализ данных. По крайней мере должны это делать. Это означает, что способы, которыми они защищают свои данные от внешних посягательств, должны включать: брандмауэры, безопасную регистрацию, двойную идентификацию с возможностью определения местоположения, отслеживание бизнес-событий в реальном времени и многое другое. Я имею в виду, что банкам нужно двигаться в направлении отслеживания и анализа своих информационных потоков в реальном времени, что позволит им своевременно получать сигналы о проблемах в системах безопасности. В конце концов большинство банков понимают, что им не избежать прорывов систем защиты. Они знают, что это случится. Вопрос в том, как реагировать и насколько быстро. Это ключевой момент.

Комплексный мониторинг событий в потоке бизнес-данных и оповещение в режиме реального времени о проблемах – важная точка приложения усилий. Способность банка держать руку на пульсе своего глобального потока транзакций является ключевым механизмом противодействия внутренним и внешним угрозам. И если онлайн-мониторинг бизнес-процессов помогает решить первую проблему – внешнего или внутреннего взлома системы безопасности, – то как быть со вторым вопросом? С обеспечением простого доступа для клиентов? Ответ кажется простым, но многие по-прежнему не справляются с этим.

Я был поражен, прочитав, что четверть всех мобильных банковских приложений от ведущих мировых банков: Wells Fargo, PayPal, CHASE и других – не отвечают основным нормам безопасности[95]. Независимо от того, достоверна ли эта информация, очевидно, что сегодня мобильная безопасность имеет изъяны, хотя, казалось бы, мобильный банкинг должен быть более безопасным, чем интернет-банкинг. Ведь мобильный телефон сам по себе с его уникальным номером, способностью получения одноразовых паролей через SMS и даже возможностью геолокации клиента является удобным идентификационным ключом. Клиенты всегда будут держать свой мобильный телефон при себе (или знать, где он находится), в отличие от кошелька или кредитной карты, и достаточно быстро смогут обнаружить, что он потерян или украден.

На самом деле, чем больше я думаю о мобильном телефоне как средстве аутентификации, тем более он кажется привлекательным. Во-первых, можно определить местоположение клиента посредством геолокации. Существуют различные способы сделать это, используя сотовые вышки; таким образом, появляется независимый механизм проверки наличия у клиента при себе телефона. Подобного рода инструменты уже применяются для определения того, что у банкомата находится именно клиент.

Во-вторых, можно удостовериться, что это клиент, отправив ему одноразовый пароль через SMS. Этот интерактивный процесс обмена одноразовыми паролями, используемый многими банками, позволяет организовать дополнительный, второй уровень идентификации.

В-третьих, удостовериться, что перед вами именно тот, кто вы думаете, можно с помощью мобильной биометрии; это быстро развивающаяся область аутентификации. Некоторое время назад Bank Intesa в Испании начал использовать мобильное приложение, распознающее радужную оболочку глаза. Ник Огден, основатель WorldPay, создал Voice Commerce – систему распознавания голоса для мобильного телефона. Apple встроила в iPhone 5S и 5С идентификацию по отпечаткам пальцев. А мой самый любимый способ идентификации – Nymi от Bionym – браслет от часов, использующий для проверки ваш сердечный ритм.

Последний способ нравится мне больше всего потому, что мобильность стремительно распространяется на носимые вещи, одежду, украшения, и скоро мы будем иметь мобильные чипы, встроенные в ювелирные изделия, часы, дамские сумочки, обувь и прочие модные аксессуары. Да, здесь мы возвращаемся к интернету вещей, но идем дальше – к знанию обо всем.

Интеллектуальное распознавание и определение местоположения клиентов, а также их проверка и идентификация с помощью интернета вещей станут нормой. Вы будете знать, кто где что делает в реальном времени, и у вас будет возможность удостовериться, что перед вами именно тот, о ком вы думаете, не прилагая никаких усилий, без паролей и PIN-кодов, просто используя сеть.

Мы все ближе подходим к подобному сценарию, поэтому не будем волноваться о мошенничестве и рисках, связанных с мобильностью, а лучше подумаем о том, как свести риск использования мобильных устройств к минимуму. В контексте обеспечения безопасности вы можете использовать номер мобильного телефона, геолокационную близость мобильного аппарата, SMS и приложения, а также традиционные карту и PIN-код для того, чтобы удостовериться, что человек, который пытается получить доступ к счету, является именно тем, кто имеет право им пользоваться.

Главная идея обеспечения банковской безопасности состоит в том, что банки никогда не будут опережать криминал. Это задача криминала – непрерывно испытывать и пытаться нарушить систему безопасности банка. А банк должен идти вслед за теми, кто стремится проделать брешь в защите. Это достигается с помощью регулярных обновлений политики информационной безопасности, систем и инфраструктур безопасности, а также лучших актуальных рекомендаций и практик обеспечения сохранности клиентских данных.

И в заключение. Банки должны уверенно поставить себя в центре информационной безопасности и предложить клиентам безопасное хранилище данных. Гарантии и обеспечение безопасности мобильных транзакций и данных – реальный шанс. К сожалению, большинство банкиров отвечают на это: «Не делает ли это нас целями для хакерских атак?» Да, именно так. Банки должны одерживать победу на своей территории и делать уверенные заявления типа: «Мы гарантируем, что ваши деньги и данные будут у нас в полной безопасности». В конце концов если не банки, то кто?

И на это банки нередко реагируют негативно. Они считают, что это не входит в их задачи, а безопасное управление данными следует оставить Google, Facebook и PayPal, которые в этом понимают.

Получается, мы просто отдаем свой хлеб кому-то другому. Это позиция очень недальновидного банкира – отдать безопасное управление данными на сторону, а самим сконцентрироваться на управлении деньгами.

Что банки могут сделать для этого и каковы решения проблемы безопасности? Безопасность. Уверенность. Доверие. Вот три вещи, которые банки должны обеспечить и гарантировать.

На регулярных встречах я беседую с банкирами о том, удаются ли им те изменения, которых ожидают клиенты благодаря широкому распространению смартфонов и планшетов; о том, каковы последствия применения мобильных приложений в банкинге и как может в будущем выглядеть банк, построенный на приложениях, как он будет работать и что это будет означать для клиента.

Уже понятно, что существуют принципиальные проблемы, связанные с применением приложений в банковском деле. Например:

• Некоторые банки были вынуждены полностью заменить свои системы интернет-банкинга в течение пяти лет эксплуатации.

• Некоторые банки разработали приложения для Apple iPhone, но в течение 18 месяцев их клиенты переключились на Samsung Galaxy.

• Многие банки подавлены быстротой, с какой появляются подобные изменения, а также тем, что в силу этого очень трудно понять, на что делать ставки в будущем.

Куда инвестировать?

Одна из самых больших проблем, с которой сталкиваются банки, – как обеспечить в предусмотренные сроки возврат инвестиций в технологии, особенно когда ситуация меняется достаточно быстро. Например, многие банки теперь проводят различие между смартфонами и планшетами, но со временем планшеты уменьшаются, а смартфоны увеличиваются. Иными словами, смартфоны превратятся в планшеты, и наоборот. Сразу же после этого появятся каналы с неограниченным трафиком и память неограниченного объема, доступные в режиме 24/7 на устройстве, которое всегда находится или в руке клиента, или у него в сумке.

Проблема, следовательно, состоит в том, как вы видите будущее бизнеса и во что инвестируете. Многое сводится к долгосрочным перспективам, но большинство банков не имеют долгосрочных перспектив. Банки живут сегодняшним днем, и краткосрочные инвестиции получают преимущество.

Подобная ситуация также является следствием слабой конкуренции между банками и легкостью копирования опыта. Обратите внимание на «большую пятерку» британских банков: HSBC, Barclays, Lloyds, RBS и Santander. Когда один из них предпринимает нечто необычное, остальные, если это имеет смысл, делают то же самое. Если один банк поднимает волну, остальные копируют ее в течение нескольких месяцев. Поэтому мобильные приложения вроде Pingit от Barclays выделяются на общем фоне; Barclays запустил систему пиринговых мобильных платежей за два года до того, как большинство остальных банков начало рассматривать подобную возможность.

На другом конце спектра находится то, что банкам стоило бы скопировать, например, PayPal или Square, но многие из тех, кто руководит банками, просто не знают о них. Вот здесь и появляется нестыковка.

Если спросить, приведут ли те изменения, которые мы сегодня наблюдаем, к перестройке банковской системы, то большинство банков ответят утвердительно. И поэтому глубокое понимание социальных технологий и инвестирование в них имеют решающее значение.

На протяжении всей своей истории банки высокомерно полагали, что, единожды получив клиента, можно держать его всю жизнь. Банки считали, что только нечто из ряда вон выходящее могло испортить взаимоотношения с клиентом и вынудить его расстаться с банком. И банки годами внедряли новые каналы обслуживания в точном соответствии с подобным типом мышления.

Однако все более широкое использование мобильных планшетов в повседневной жизни привело к сокращению цикла технологических изменений. Поскольку большинство людей владеют хотя бы одним подобным устройством, почти у каждого под рукой оказывается альтернативный способ получения банковских услуг. Таким образом, клиенты в итоге изменят способы функционирования банков в будущем. Клиенты уже могут пользоваться альтернативными платежными механизмами. Они загружают приложения, которые делают, что им нужно и как им нужно. Банкам пора понять: то, что было священным в течение долгого времени, ушло навсегда – и начинать инвестировать в соответствии с новыми реалиями.

Последствия укороченного цикла технологических изменений

Что означают все эти укороченные циклы и использование клиентами новых технологий? Это значит, что, когда клиент из дома пытается приобрести какой-то финансовый продукт, будь то кредитная карта или ипотека, процедура должна быть настолько же простой, как, например, у Amazon, иначе пользователь закроет приложение и уйдет куда-то еще. Это результат синдрома недостатка внимания в современном мире. Если вы не смогли «зацепить» клиента в течение нескольких секунд, он уходит. Если у него возникли какие-то трудности при оплате, он уходит.

Вы должны всё продумать заново, чтобы поставить клиента в центр внимания. Это новая возможность, но это и угроза. Подобные изменения, если они получат дальнейшее развитие, представляют собой потенциальную угрозу для основ банковского дела. Хорошим примером могут служить платежи, которые уже трансформировались в прямые Р2Р-транзакции благодаря мобильным технологиям и зачастую осуществляются небанковскими организациями. В настоящее время небанковские организации обслуживают более 15 % всех платежей в мире, тогда как десять лет назад этот показатель был практически равен нулю, и эта тенденция усиливается.

Пока остается непонятным, пойдет ли остальная часть банковского мира по этому пути, но способ взаимодействия клиента со своим банком изменится коренным образом. Достаточно взглянуть на детей, чтобы понять, что они уже переключились на интуитивные, ориентированные на потребителя интерфейсы с сенсорными экранами. Если показать им компьютер, они не поймут, как им пользоваться. Это та скорость, с которой происходят сегодня изменения, и банки должны успевать, иначе они будут вытеснены на обочину.

Необходимость идти в ногу со временем диктуется не тем или иным подразделением банка, а всем банковским сообществом; заинтересован даже корпоративный сектор. Все признают, что банки должны освоить планшеты и смартфоны. И большой проблемой здесь является полный разворот от привычных способов работы банков.

Мобильность означает, что все переворачивается с ног на голову. Вопрос теперь не в том, как много вы сможете втиснуть в приложение, а как много вы можете получить от него. Это не то, что должно быть закрыто и открываться только по мере необходимости; наоборот, все должно быть открыто и закрываться только тогда, когда это необходимо.

Иными словами, цифровая революция бросила вызов самим основам финансового обслуживания. Они получили удар в голову. Все перевернулось с ног на голову, и традиционным игрокам на этом рынке трудно с этим справляться. Действующие игроки подобны супертанкерам; их трудно менять. Чтобы развернуть танкер, требуется 14 поворотов рулевого колеса на каждый градус разворота, и нельзя делать это быстрее: танкер опрокинется и утонет. Это опасно. То же самое с традиционными участниками банковского рынка. Они не могут развернуться на 180 градусов быстро, иначе они перевернутся и утонут.

Однако это не значит, что традиционные банки не смогут ответить на эти вызовы. Скорее это вопрос проецирования реалий нового мира на мир старый. Если придерживаться этого взгляда, то главный вопрос состоит в том, как развить компанию, чтобы идти в ногу со временем. На это нужно время, и по этой причине большинство банков склоняются к сотрудничеству и партнерству с новыми игроками и телекоммуникационными компаниями.

Не банкинг на приложениях, а открытый банкинг

Мы подходим к вопросу, окажут ли банковские приложения и возможности API какое-то влияние на будущее банковских услуг. Большинство банкиров считают, что появятся новые компании, которые приведут к следующим большим переменам: следующий Google, следующий Facebook и следующий Apple. Банки же не будут этого делать. Начнем с того, что банки просто не в состоянии разворачивать свои танкеры, чтобы делать подобные вещи.

А вот что банкам действительно следует сделать, так это обеспечить доступ к инновациям, поддерживая участие в стартапах, открывая сервисы для включения в будущие стартапы. Иными словами, банки могут интегрировать современные «крутые» приложения, предоставляя им свой функционал с помощью API. Для этого банкам нужно обеспечить работу своих сервисов в режиме реального времени и в удобном формате.

Здесь возникает необходимость некоторой потенциальной жертвы со стороны банков, особенно если говорить об открытости банков миру. Банкам станет все труднее продавать безопасность по мере того, как клиенты будут все увереннее пользоваться технологиями, и в особенности мобильными устройствами. Люди начнут использовать приложения, объединяющие различные сервисы и платежи для них, и совершать транзакции свободно, без контроля безопасности со стороны банков. И хотя клиенты будут чувствовать, что теперь лучше контролируют ситуацию, на самом деле банк потеряет часть контроля над клиентами. И здесь мы возвращаемся к вопросу о том, как банку сохранить клиента в центре своего внимания. Необходимо сконцентрироваться на обеспечении информационной безопасности клиента и заботе о его потребностях. Таким образом, фокус смещается на главную суть банкинга, а люди хотят от своего банка двух вещей:

• доступа к своим деньгам, когда они нужны;

• совета по поводу денег, когда он нужен.

Огромное количество компаний – банков и небанковских организаций – многое сделали по первому пункту. Они могут вам предоставить доступ к вашим деньгам, когда нужно. По второму пункту еще многое предстоит сделать, и банкинг с помощью приложений имеет в этом плане ряд преимуществ, поскольку позволяет направлять клиентов и повышать их финансовую грамотность. Это хорошая перспектива, и нужно помнить, что сохраняется ситуация, когда один человек на одном конце хочет помочь другому человеку на другом конце.

Сейчас многие говорят о приложениях, брендах и необходимости быть «классными». Посмотрите на социальные медиа: как много банков доверяют им и пользуются доверием? Это вопрос соответствия банка клиенту и участия в жизни клиента; и эта сторона дискуссии не менее сложна, чем технологическая.

Корпоративное пространство против пространства потребителя

Продолжая обсуждение, необходимо поговорить об отличиях между потребностями клиентов – частного и корпоративного. Вполне очевидно, что использование приложений и API относится не только к розничному банкингу. Многие банки считают, что мобильность имеет отношение только к розничной составляющей, однако сегодня планшеты используются везде: в казначействах корпораций для управления активами и пассивами, в торговле для приема платежей и операций с банками, а также для управления портфелями.

И здесь возникает некоторая путаница. Хорошей иллюстрацией может служить опыт моего коллеги, который имел дело с казначеем компании, пытавшимся перевести 20 млн фунтов стерлингов. Ему было заявлено, что эта операция будет стоить внушительных процентов от суммы, на что казначей заявил: «Но я только что работал с вашим банком как частное лицо и перевел 2000 фунтов в Испанию, и это не стоило мне ничего. Вы назначаете стоимость, основываясь просто на количестве нулей в транзакции?» Это затруднительное положение, потому что именно так обычно банки и работают, разделяя корпоративное и частное обслуживание; но вы не можете больше так работать, поскольку банк имеет дело с одним и тем же человеком – клиентом и финансовым руководителем. Это новое поколение корпоративных клиентов не понимает старых банковских методов.

Банки взимают плату за транзакцию, основываясь на объеме, срочности и банках-корреспондентах в цепочке, в особенности если это касается корпоративного клиента. Клиенты больше не понимают этого. Они ожидают мгновенных глобальных транзакций и оплаты независимо от того, какая сумма переводится – 1 фунт или 1 млн фунтов. Они полагают, что это должно быть просто и мгновенно, как телефонный звонок.

Стоит также иметь в виду, что некоторые корпоративные клиенты становятся более «продвинутыми» пользователями цифровых технологий, чем сами банки. Например, новое поколение финансовых руководителей подразумевает, что у них есть инструмент мгновенного перевода средств в режиме 24/7. Дома у них есть iPhone и iPad для потребительского банкинга, и они ожидают подобной же простоты и гибкости для корпоративного. Они не хотят иметь дело со старыми процессами, ориентированными на наличные, когда все вокруг цифровое. Они считают, что если перемещение денег выглядит как торговая операция, то дни подобных операций сочтены, и хотят, чтобы все было автоматизировано. Они не хотят иметь дело с наличными, заниматься их безопасностью и управлением. Для них это прошлый век, и чем быстрее все станет цифровым, тем лучше для них.

Для банков это открывает большие перспективы, но и ставит перед дилеммой. Пытаясь облегчить жизнь корпоративных клиентов – так, чтобы им не приходилось для совершения платежа звонить в банк, спрашивать пароль и т. д., – банки могут способствовать поведению клиентов, которое не хотели бы поощрять в корпоративном контексте. Приоритетом должна оставаться безопасность, и требуется время, прежде чем банк достигнет того уровня, на котором она может быть обеспечена, особенно для корпоративных транзакций большого объема.

Меняем внутреннюю культуру банка

Банкинг с помощью приложений выходит далеко за рамки дискуссии о корпоративном и потребительском банкинге, потому что это не просто одна область банковского дела, которую поразил вирус мобильности. Это характерно для всего мира. Это всеобъемлющее изменение, порождающее культурный сдвиг.

По словам одного банковского приятеля, в 1960-х годах в банке был руководитель отдела электроснабжения. Когда электричество было новой технологией, оно требовало управления. По аналогии с теми временами теперь есть руководитель цифрового отдела. То есть банк создал команду по работе с цифровыми технологиями, которая сидит в своем отделе и изучает потребности цифровых клиентов. Из нескольких тысяч сотрудников банка только пара сотен сконцентрированы на их нуждах.

Вы не можете поручить понимание этого нового мира небольшой команде, отделенной от остальной организации, в то время как клиенты изменились коренным образом. В банке каждый должен понимать этих клиентов. Тот самый факт, что в структуре банка создается некая цифровая или мобильная команда, позволяет всем остальным считать, что им можно не заниматься ни цифровыми, ни мобильными технологиями. Они могут игнорировать эту область, раз на кого-то уже возложили эту ответственность. Когда что-то меняется столь кардинально и столь стремительно в среде ваших клиентов, подобный подход неприемлем.

Географически однородный или нет?

По всему ли миру проявляются изменения, вызванные мобильным банкингом, или проявляются географические различия? Очевидно, что нюансы, связанные со скоростью превращения рынков в цифровые, существуют, и шаблонный подход здесь невозможен. В некоторых странах, таких как Кения, правительства активно способствовали приходу технологий в страну, потому что смогли в них разглядеть возможности для изменений. В других странах, таких как Турция, финансовые регуляторы стимулировали банки внедрять инновации. По этой причине из Турции приходит так много новых моделей банкинга и банковских технологий. Отсюда становится понятно, какую важную роль играет законодательство и регулирование в том, что происходит в банковской сфере и насколько быстро.

Впрочем, дело не только в регулировании; страны и континенты быстро меняются. Если вы возьмете для примера Африку, то через 5–10 лет ее банковская инфраструктура будет на световые года опережать европейскую или американскую, потому что там нет устаревшего наследия, которое необходимо преодолевать, а новейшие технологии можно внедрять в одночасье.

Большое беспокойство вызывают Испания и Италия. Италия с 25 тысячами банковских отделений и Испания с 33 тысячами отделений менялись медленно, и банковскому менеджменту очень просто списать все на традиционную культуру клиентов, которые хотят вести дела по старинке. Однако очевидно, что это не так. Виновата культура банков; это они хотят вести дела по старинке.

Таким образом, все сводится к рыночным конкурентным силам. Если вы сравните Великобританию и Францию, то Франция сегодня преуспевает значительно больше; несколько ее крупнейших банков активно конкурировали, поощряя клиентов переходить на новые сервисы и каналы обслуживания. В Великобритании же требуется, чтобы кто-то из банков начал шевелиться, иначе все остальные останутся в том же положении.

В новых реалиях банки захотят конкурировать и не отставать от других, в особенности если их конкуренты двигаются в этом направлении. Впрочем, для разных банков будут востребованы различные бизнес-модели; они могут различаться даже для разных потребителей. Одни банки введут обслуживание «лицом к лицу» в отделении, другие – нет. Некоторые банки предложат свой функционал в виде API, некоторые – нет. Кто-то будет нацелен на создание партнерства с телекомами, IT-компаниями и ритейлерами, кто-то не станет этого делать. Это означает, что никогда не будет одной-единственной модели, вместо этого появится множество гибридных моделей, подходящих различным клиентам и рынкам.

Возможно создание новых свободных банков, предлагающих исключительно мобильное обслуживание. Смог бы Barclays стать Pingit-банком, к примеру? Должен был HSBC создать First Direct для колл-центров, а Cooperative – выделить Smile для интернета? Все банки будут рассматривать варианты партнерств. Банк, который не принимает во внимание те изменения, которые мы наблюдаем сегодня, и не ищет, кто бы мог помочь ему конкурировать в этом новом пространстве, превратится в анахронизм.

Важно помнить, что при всех изменениях и инновациях остается фундаментальная необходимость обеспечивать основные банковские операции: обрабатывать транзакции, производить расчеты по чекам, надежно осуществлять международные переводы и т. д. Некоторые банки не могут эффективно справляться даже с такими базовыми задачами, как, например, смена адреса. Как банк собирается разворачивать свое новое замечательные приложение или API, если он не в состоянии обеспечить даже базовые функции? Выписки по счету и платежи в реальном времени станут реальной проблемой для банка, которому сегодня не по силам даже основные операции.

Так возникает еще один вопрос: как мобильность влияет на обслуживание в отделении. Вы никогда не избавитесь от отделений, но вы можете изменить их. Так, например, многие банки имеют в отделениях цифровые экраны и рекламу, а также меняют стиль обслуживания. Они предлагают пришедшим клиентам кофе, и многие принимают это во внимание. Идея, следовательно, состоит в том, чтобы переосмыслить принципы общения и процедуры в отделении: что вы собираетесь сделать или сказать клиенту, чтобы привлечь его? Это важный момент, и, сколько бы мы ни говорили о системах, суть банкинга сводится к людям. Как улучшается их обслуживание? Все это оправдывает вложения в отделения и мобильные технологии; и те и другие могут улучшить впечатления клиента от обслуживания.

Будущее

Лет через пять ситуация в банковском секторе изменится коренным образом. Все наши банковские потребности будут удовлетворяться с помощью мобильного устройства или даже вживленного чипа или чего-то подобного. Кто знает? Главная проблема – во что инвестировать? Какие секторы банковского бизнеса взлетят и будут работать? Если вы ошибетесь, то понесете большие убытки – не только деньги, но и репутацию и конкурентоспособность.

Сотрудники банков-старожилов, с которыми я разговаривал, полагают, что все это радикально не изменит функционирования их банков, потому что самый серьезный фактор, который останется всегда, – это апатия клиентов. Большинство клиентов не уйдут из банков, если только им не придется этого сделать, и через пять лет они по-прежнему будут апатично настроены по отношению к банкам. Банкинг их не слишком заботит, и пока банк работает, они останутся с ним. Это подтверждает скандал вокруг ставки LIBOR (2012), после которого люди не ушли из Barclays, и сбой в платежной системе Королевского банка Шотландии (2012), после которого они ушли. В первом случае, хотя клиенты и не хотели этому потворствовать, их интересы напрямую не были задеты. Второй коснулся их персонально: они не могли совершать платежи, и этого оказалось достаточно, чтобы подтолкнуть людей к переменам.

В целом, очевидно, банки переосмыслят свои бизнес-модели с точки зрения рисков, обработки транзакций, производства банковских продуктов и розничных сервисов; они будут обновлять свои фронт– и бэк-офисы. Более того, сотрудничество с Google, Vodafone, Amazon и другими станет скорее нормой, чем исключением. Эти партнерства изменят модели взаимодействия с клиентами и банковские процедуры; банки обнаружат, что их знания о клиентах стали богаче и глубже. Пока банки допускают, что им выгоднее сотрудничать с бизнесами, которые выполняют часть их работы лучше, чем они сами, они могут выживать и процветать.

Банки понимают, что не в состоянии справляться со всем одинаково хорошо, но что-то они делают лучше; на этом они и должны сконцентрироваться. Следующий вызов – изменение внутренней культуры. С точки зрения внутренней культуры, способны ли банки развиваться и адаптироваться к партнерам и новым процессам, и что предлагают банки в этих партнерствах? Будет ли банк владеть данными или ими будет владеть партнер? Обеспечат ли банки обработку транзакций сами или воспользуются возможностями какого-либо партнера?

Внутренняя культура банка важнее технологий; в основе банковской культуры лежит главный вопрос – понимает ли банк своего клиента и его потребности в этот цифровой век?

С тех самых пор, как появился интернет, мы считали, что появятся новые формы коммерции, которые возьмут верх над старыми способами ведения дел. Так оно и получилось, разумеется, но только не в банковском деле. Да, банковская система изменилась за прошедшие три десятка лет – просто посмотрите, как мы теперь все носимся со своими мобильными банковскими приложениями! – но в целом картина конкуренции осталась прежней.

Приведу пару примеров. Согласно исследованию Йельского университета (2012), средняя продолжительность жизни компаний из индекса ведущих американских компаний S&P 500 сократилась более чем на 50 лет за прошлое столетие: с 67 лет в 1920 году до 15 лет в наше время[96]. В большинстве стран крупные банки существуют уже более века, и редко когда на рынке появлялся новый игрок. Например, когда в Великобритании в 2010 году открылся Metro Bank, все отмечали, что это первый новый розничный банк в стране за последнее столетие.

Если вы посмотрите на крупнейшие банки в мире, то их список остается практически неизменным. Например, по данным журнала Banker, в 1999 году пятью крупнейшими банками в мире были:

1. Citigroup.

2. The Bank of America.

3. HSBC.

4. Crdit Agricole.

5. Chase Manhattan.