ЦБ начал формировать требования к работе сервисов электронного ОСАГО на сайтах страховщиков. Сайт компании не должен зависать более чем на четыре часа в месяц, а нарушением будет считаться перебой длительностью более двух минут. Банки.ру спросил у страховщиков и IT-специалистов, смогут ли сайты страховщиков соответствовать таким требованиям.
Пойди и обеспечь
Банк России выложил для публичного обсуждения проект указания о требованиях к бесперебойности функционирования сайтов страховых компаний и Российского союза автостраховщиков (РСА) для продажи электронных полисов ОСАГО. Напомним, этот сервис обязаны запустить у себя все страховщики ОСАГО с 1 января 2017 года, соответствующий закон был подписан президентом в начале июля.
Согласно проекту указания, страховщики должны обеспечить возможность круглосуточного заключения договоров ОСАГО в электронном виде. Суммарная длительность перерывов в работе сайта должна составлять не более четырех часов в месяц. При проведении плановых технических работ, из-за которых услуга е-ОСАГО будет недоступна, страховщик обязан разместить уведомление об этом на главной странице сайте не менее чем за сутки до начала работ, с указанием времени их окончания.
Нарушением бесперебойности функционирования регулятор предлагает считать перебой в работе сайтов страховщиков и РСА длительностью более двух минут или если этот перебой приведет к неоказанию либо ненадлежащему оказанию услуг по ОСАГО. Такое нарушение будет считаться критическим, если его не устранят в течение двух часов.
Кроме того, сайты компаний и РСА должны выдерживать нагрузку, вдвое превышающую суточное число посетителей сайта за последние шесть месяцев (если сайт функционирует менее полугода, он должен выдерживать не менее 10 тыс. посетителей в месяц), следует из проекта указания ЦБ.
Замечания и предложения к документу ЦБ принимает до 8 августа. Сейчас сервис е-ОСАГО доступен на сайтах 15 компаний из 78 действительных членов РСА (эта опция пока является добровольной для страховщиков). Не продают электронные полисы такие крупные игроки рынка обязательного автострахования, как «Росгосстрах» (остановил сервис в конце марта, на тот момент контролировал около 70% рынка электронного ОСАГО), «Ингосстрах», «Согласие», «МАКС».
Ранее директор департамента страхового рынка Центробанка Игорь Жук грозил лицензионными санкциями страховщикам, которые с 1 января 2017 года не смогут обеспечивать бесперебойность и доступность электронного ОСАГО. С момента продажи первого е-полиса 1 июля 2015 года, по данным РСА, было продано более 250 тыс. электронных полисов ОСАГО (бумажных полисов в год продается около 40 млн). Игорь Жук на одной из конференций назвал цифру электронных продаж ОСАГО «унизительной». Автовладельцы на форумах жалуются на частые сбои на сайтах компаний, из-за чего покупка электронного полиса становится проблемой.
Обновление, которое проходит без сучка без задоринки, часто не могут сделать даже крупные банки.Евгений Уфимцев, исполнительный директор Российского союза автостраховщиков
Очень жесткие требования…
Предлагаемые Центробанком требования очень жесткие, считает исполнительный директор РСА Евгений Уфимцев. «Потолок» в четыре часа суммарного простоя сайта в месяц — это мало, говорит он. «По практике мы видим: когда делается обновление, в том числе в необходимое в силу требований закона время, бывает, что после этого неустойчиво работает система. Такое обновление, которое проходит «без сучка, без задоринки», часто не могут сделать даже крупные банки, которые вкладывают миллиарды в IT. Что уж говорить о более мелких банках и страховых компаниях», — поясняет Уфимцев.
Кроме того, на доступность сервиса влияет не только сайт страховщика, но и скорость Интернета, которая в отдельных регионах может быть очень низкой, добавляет он. «Не очень понятно, как это контролировать — у страховщика были проблемы, у самого человека или у провайдера», — отмечает исполнительный директор РСА.
«Если, например, основываться исключительно на жалобах клиентов, оценка ситуации будет недостаточно объективной, — полагает заместитель начальника департамента информационных технологий «Ингосстраха» Антон Литвин. — Кроме того, функционал e-ОСАГО тесно интегрирован с информационной системой РСА, все проверки клиента, транспортного средства, КБМ осуществляются онлайн. Соответственно, надежность нашего сервиса зависит от надежности сервиса РСА, и тут нужно различать, на чьей стороне сбой».
Кроме базы РСА, оформление электронных полисов ОСАГО невозможно без интернет-эквайринга банка и проверки ТС и техосмотра в АИС ГИБДД, говорит директор по информационным технологиям СК «МАКС» Александр Горяинов, однако к этим системам аналогичные требования по доступности не предъявляются.
«Принятие документа в предложенной редакции приведет к значительным затратам страховщиков на модернизацию инфраструктуры, создание круглосуточной службы поддержки, при этом не позволив объективно контролировать действительную доступность сервисов продажи е-ОСАГО», — считает он.
Чтобы избежать этого, представитель «МАКСа» предлагает, в частности, открыть возможность покупки полиса на альтернативном ресурсе — сайте РСА. «Можно было бы ввести понятие «страхового» дня по аналогии с «банковским» днем, то есть периода гарантированной работы всех систем страховщиков, оставив страховщикам время на регламентные процедуры, — рассуждает он. — Известно, что в банках обновления ПО производятся с 22:00 до 24:00». В «Ингосстрахе», например, «технологическое окно» — время, когда идет обновление системы (обычно рано утром), — может быть больше двух минут, говорит Антон Литвин: «Необходимо уточнить, будет ли это считаться «проведением плановых технических работ» на регулярной основе».
…или ничего сверхъестественного?
Предлагаемые Центробанком требования вполне реалистичны и разумны, утверждают опрошенные порталом Банки.ру представители IT-отрасли. Максимум четыре часа простоя в месяц — это показатель доступности сайта 99,5%, говорит руководитель веб-студии «СКБ Контур» Никита Шляхов: по его словам, для обеспечения такой доступности не нужно много усилий.
Реально сделать аптайм (время непрерывной работы) сайта вплоть до 99,9% времени, соглашается соучредитель Kokoc Group Евгений Моисеев: «Все зависит от возможностей сервера, на котором расположен ресурс, и оптимизации работы CMS самого ресурса».
Если появляется такое принципиальное требование, то, наверное, появятся и злоумышленники, которые будут стараться те или иные ресурсы вывести из строя и продемонстрировать, что организация не выполняет требования Центробанка.Алексей Киселев, менеджер проекта Kaspersky DDoS Prevention
Многие финансовые компании установили для себя даже более жесткие требования, чем в проекте указания ЦБ, сообщает менеджер проекта Kaspersky DDoS Prevention Алексей Киселев. «Например, коммерческий банк из топ-10 установил для себя целевой показатель, что недоступность веб-ресурсов банка в течение года не должна превышать один час. По факту они его выполняют, — рассказывает эксперт. — Этот показатель вполне реален, хотя мы знаем, что финансовый сектор является одним из наиболее атакуемых. Если появляется такое принципиальное требование, то, наверное, появятся и злоумышленники, которые будут стараться те или иные ресурсы вывести из строя и продемонстрировать, что организация не выполняет требования Центробанка».
Поэтому страховщики должны будут использовать средства защиты, чтобы выстоять перед подобной атакой. Такое требование нужно, чтобы, например, DDoS-атака не служила оправданием тому, что компания не продавала электронные полисы ОСАГО, полагает Алексей Киселев. При этом стоимость защиты от DDoS-атака достаточно высока, указывает Никита Шляхов. Он предупреждает, что никто не застрахован от форс-мажора - сбоя в программном коде, когда разработчик не может быстро подключиться к решению проблемы, или выхода из строя компонентов сервера, что, как правило, лежит на стороне хостинг-провайдера.
По словам Киселева, не «сверхъестественным» является и предлагаемое Центробанком требование двукратного «запаса» мощностей по нагрузке сайта. «Все организации, которые используют веб-сайты для ведения бизнеса, закладывают такие или даже более жесткие требования. Так, на период проведения распродаж и «черных пятниц» нагрузки на сайты крупных ретейлеров возрастают в десять раз и более. Запас инфраструктуры позволяет это выдержать», — уверяет он.
У хостинговых служб существуют различные тарифы и опции для того, чтобы любая компания в своей сфере могла справиться с предполагаемой нагрузкой, добавляет Евгений Моисеев. «К примеру, согласно данным ресурса Similarweb.com, ведущие страховые компании, такие как «Ингосстрах», «Росгосстрах», «Ресо» и «АльфаСтрахование», имеют в среднем от 500 тысяч до 2 миллионов посещений пользователей в месяц», — говорит он.
Помимо значений показателей, необходимо описать методику их расчета и методы контроля, указывает генеральный директор Welllink и основатель онлайн-мониторинга контроля качества сервисов Slamon.net Владимир Левин. «Например, из документа понятно, что перерыв в работе сервиса более чем на две минуты является нарушением бесперебойной работы. Но если страница сайта открывается более 30 секунд и страхователю не хватает терпения, чтобы получить услугу, то является ли это нарушением?» — поясняет он. Если методы контроля будут однозначно определены, вопрос достижения данных показателей станет головной болью страховщиков, прогнозирует Левин.
Страховщикам хочется, чтобы ЦБ боролся не только с последствиями, но и с причинами проблем, говорит Антон Литвин из «Ингосстраха»: «Когда страхование ОСАГО станет минимально рентабельным во всех регионах, страховые компании будут сами в первую очередь заинтересованы в бесперебойности и надежности электронных сервисов ОСАГО. Система будет отрегулирована экономическими методами, а не с помощью указаний».
Елена ПЕТЕШОВА, Banki.ru