Из этой беседы ты узнаешь, чем именно занимается дочерняя IT-компания Сбербанка «Сбербанк-Технологии», какие Telegram-каналы стоит читать Application Security специалисту и почему во время обучения нельзя забывать о практике.
INFO
«Сбербанк-Технологии» (СберТех) - дочерняя IT-компания Сбербанка, основанная в 2011 году. Все началось с команды из 500 человек. В основном это были IT-специалисты Сбербанка, которые перешли работать в отдельную IT-структуру.
На сегодняшний день штат СберТеха составляет около 11 тысяч человек в шестнадцати городах России. В этих городах сосредоточены ключевые центры разработки, в которых собираются региональные команды IT-специалистов: Москва, Санкт Петербург, Новосибирск, Иннополис и так далее.
СберТех занимается разработкой и внедрением ПО, а также поддержкой существующих ИТ-систем Сбербанка. На данный момент Сбербанк является единственным клиентом компании.
Артем Бачевский, руководитель направления по развитию IT-систем в отделе Application Security
Расскажите, чем занимается СберТех, над какими проектами вы сейчас работаете?
В настоящее время ключевым проектом является разработка новой технологической платформы для Сбербанка. Она трансформирует бизнес-модель в экосистему. Эта экосистема обеспечит оказание услуг нефинансового характера, подключение партнеров и подрядчиков, сможет обрабатывать большие объемы данных за короткое время, позволит иметь высокую производительность систем.
Давайте чуть подробнее остановимся на услугах нефинансового характера. О каких проектах идет речь?
Такие проекты существуют уже сейчас, так как экосистема развивается с 2016 года. Полный переход на новую технологическую платформу планируется до 2020 года. Сбербанк стремится уйти от предоставления только финансовых услуг и активно обрастает партнерами. К примеру, «Сбербанк-Недвижимость» (ООО «Центр недвижимости от Сбербанка» входит в группу компаний Сбербанка. - Прим. ред. ), «Сбербанк-Страхование», интернет-сервис по поиску врачей DocDoc и так далее. Таким образом, осуществляется трансформация в экосистему. Аналогичным путем идут такие компании, как Alibaba, Amazon, WeChat.
«Экосистема» и «технологическая платформа» - это красивые слова, но хочется услышать больше конкретики. В чем заключается суть вашей платформы, что именно вы разрабатываете и почему эти технологии выдающиеся?
Новая платформа состоит из трех ключевых программ.
Платформа поддержки развития бизнеса - универсальный инструмент для создания бизнес-приложений. Банк должен превратиться в Marketplace, объединяющий самые разные инструменты для достижения целей своих клиентов. Для этого необходим фундамент - новая платформа: масштабируемая, гибкая, надежная и открытая, способная изменяться в реальном времени. В разработке применяются новейшие технологии распределенных вычислений в памяти и работы приложений с большими объемами данных в реальном времени - In Memory Data Grid.
Программа «Фабрика данных» призвана повысить уровень качества, достоверности и доступности данных для анализа. Сотрудники банка смогут полноценно заниматься анализом и интерпретацией данных без дополнительных трудозатрат на их сбор и выверку. Big Data обеспечивает работу с супермассивами данных для монетизации информации и поведенческого анализа клиентов и сотрудников, для корректировки стратегий работы с разными сегментами.
Единая фронтальная система - кросс-функциональная платформа, собственная разработка Сбербанка. Инструменты платформы обеспечивают бесшовный кросс-канальный опыт для всех продуктов и сервисов. Технологический стек позволяет поддерживать высокую производительность, надежность и безопасность работы пользователей. Кроме того, за счет собственного API ЕФС позволяет партнерам заходить в систему, равно как и интегрироваться со сторонними площадками.
Теперь давайте поговорим о безопасности. Артем, расскажите, чем занимается ваше подразделение?
Наше подразделение занимается Application Security - безопасностью приложений. Отдел сравнительно молодой, ему около двух с половиной лет.
Наша главная обязанность - обеспечение безопасности приложений. В основном это критические для банка автоматизированные системы, но также в нашу область ответственности попадают все новые мобильные и mission critical разработки.
Сейчас в отделе работает пятнадцать человек. Условно их можно разделить на три команды: команда тестирования на проникновение, мобильный пентест и внутренняя разработка. В команде собрались сотрудники с разным техническим бэкграундом, в основном это различные сферы ИБ, но также есть ребята из IT-менеджмента и разработки. Вместе с коллегами из Сбербанка мы повышаем защищенность разрабатываемых АС, поддерживаем разумный компромисс между потребностями бизнеса, удобством пользователей и постоянно растущими рисками в сфере разработки ПО.
Всего этого мы добиваемся благодаря сильной экспертизе сотрудников Сбербанка и СберТеха, а также зрелому и фундаментальному SDL (Secure Development Lifecycle), который учитывает современные тенденции и подходы (Agile & DevOps) в области разработки ПО.
Команда веб-пентестеров занимается реализацией различных практик, разбором их результатов и проведением самого пентеста. Команда мобильного пентеста занимается тем же самым, но для мобильных приложений. Мобильных приложений в банке немало, это не только «Сбербанк-Онлайн», еще есть «Бизнес-Онлайн», корпоративные сервисы и так далее.
Каким образом построена данная инфраструктура, вы упомянули SDL?
Мы стараемся строить инфраструктуру таким образом, чтобы коллеги, которые находятся «в контексте кода», помогали нам в разборе результатов сканов, ревью кода и написании правил для SAST (static application security testing). В рамках инициативы беспрерывной поставки ценности для клиента мы обеспечиваем безопасность приложений, внося контекст Sec в DevOps, который строится в Сбербанке и СБТ, а без привлечения команд это попросту невозможно.
Очень хорошо себя зарекомендовала практика вовлечения разработчиков через секьюрити-чемпионов. Секьюрити-чемпионы - это сотрудники в командах разработки, заинтересованные в профессиональном развитии в области ИБ для повышения защищенности АС, снижения риска возникновения уязвимостей. Достигается это посредством повышения уровня компетенции команд разработки АС в вопросах обеспечения ИБ, тиражирования практик разработки защищенных приложений, сокращения длительности жизненного цикла дефекта ИБ.
Также мы регулярно проводим различные awareness-программы и тренинги. Раз в квартал у нас проходит общий awareness для всех желающих. У нас существует тренинг по погружению в безопасную разработку на Java. Дело в том, что это целевой язык программирования в банке, поэтому фокус на нем. Точно такие же целевые погружения существуют для Android и iOS.
Сколько примерно часов обучения в год получается у ваших разработчиков?
В сфере безопасности порядка сорока часов в год.
Как вы считаете, какова на сегодня роль обучения? Каждый день появляется нечто новое, как за этим успевать?
Мы обучаем азам и не стремимся сразу сделать из слушателей экспертов в области кибербезопасности. На данном этапе достаточно вовлечь их в тему и заложить базовые знания. Допустим, в контексте Java это будут практики безопасной разработки веб-приложений, потому что в этой сфере очень многое замыкается на безопасности веба.
Что нужно делать специалисту, чтобы всегда «оставаться на острие»?
Как минимум, рекомендую подписаться на тематические Telegram-каналы, чтобы оставаться в тренде и понимать свои интересы в профессии. Лично я читаю HackerNews, «Хабрахабр» и «Хакер». Можно форкать что-то на GitHub, пробовать, оценивать и затем, возможно, внедрять. Необязательно погружаться в тему максимально глубоко, но точно нужно постоянно пробовать что-то новое.
Также, на мой взгляд, хорошей практикой является участие в различных CTF и bug bounty программах. В CTF можно приобрести некоторые скиллы, а bug bounty позволяет легально «пощупать» безопасность интересных систем.
Конечно, учиться - это хорошо, но на одном только обучении, на мой взгляд, далеко не уедешь. Ведь без практики обучение ничего не стоит, а за любым реальным опытом в первую очередь стоит именно реальная работа.
Вы совершенно правы. Расскажите о ваших тренингах и awareness, как это происходит?
Мы стараемся внедрять различные активности и геймифицировать процессы для разработки. Например, на конференции ZeroNights 2017 мы представили капча-CTF. Это было интересное состязание, где каждый челлендж - это капча с логической или программной ошибкой в реализации. Мы предложили участникам конференции найти эти уязвимости, которые позволяют решать множество капч за короткое время.
Задача была проста: требовалось «решить» двадцать капч за десять секунд, по сути их не решая. Участники не должны набирать все это руками, они должны были, допустим, реализовать SQL-инъекцию, чтобы от введенного значения ничего не зависело. Например, в одном из заданий капчу можно было решить вероятностно - если все время вбивать ответ «5», то с вероятностью 25% капча будет пройдена.
Какая задача у такого соревнования? Мало кто сегодня реализует капчи самостоятельно. Ведь есть готовая и относительно надежная reCAPTCHA, (если она правильно реализована), но можно ошибиться во внедрении этого механизма. Если кто-то все же решит реализовать собственную капчу, то участие в таком соревновании оставит гораздо меньше шансов на появление уязвимостей, так как многие ошибки человек мог увидеть во время состязания. К тому же эти проблемы применимы не только к капчам: существует множество других механизмов, где можно допустить схожие ошибки.
Существует ли в СберТехе централизованное обучение, к примеру программистов обучают?
У всех сотрудников есть возможности учиться: внешние (курсы и мероприятия), внутренние (митапы, хакатоны, регулярный обмен опытом внутри команд и отделов). На митапах выступают внутренние и внешние эксперты: например, один из последних был посвящен квантовым вычислениям совместно с IBM.
Для студентов и начинающих специалистов СберТех проводит бесплатные школы по мобильной разработке на iOS и Android, Java и BPM. Лучших студентов по итогам обучения мы приглашаем на работу.
Перейдем к практике и вашему стеку. Расскажите, из чего он состоит.
Мы стараемся находить уязвимости как можно раньше, поэтому используем SAST (static application security testing) и DAST (dynamic application security testing) с момента написания первой строчки кода. На базе одного популярного SAST-продукта строим решение, которое добавляет Security в DevOps для множества разрабатываемых в СберТехе автоматизированных систем. Сейчас мы внедряем OWASP ZAP в DevSecOps, что позволит нам разрабатывать еще более безопасные и надежные приложения.
Также мы занимаемся поиском известных уязвимостей в публичных компонентах. Для этого была создана утилита, которая агрегирует результаты работы других подобных инструментов (OWASP dependency check, Retire.js), а также проводит сканирование исходного кода, вычленяя из него используемые компоненты, которые затем проверяются по публичным базам уязвимостей (NIST, CVEdetails).
В результате ручного разбора багов у нас накопился определенный набор данных с экспертной оценкой, и мы обучили модель (столь хайповое сейчас машинное обучение), которая определяет шанс уязвимости быть true positive. Эта модель очень помогает, ведь она как минимум занимается ранжированием. Допустим, у OWASP dependency check очень низкий false positive rate, но он дает очень мало результатов. У нашей утилиты false positive rate выше, но благодаря ранжированию и гораздо большему количеству результатов мы иногда вылавливаем уязвимости, которые ранее не обнаруживались другими инструментами.
Для систем, где это применимо, мы используем фаззинг - строим для всех систем модель нарушителя, модель угроз. Также проводим ревью кода, а именно его критических участков. И конечно, мы проводим тестирование на проникновение.
Мы не оставляем разработчиков наедине с багами, а полностью проходим с ними жизненный цикл бага, консультируем по устранению, тестируем после правки.
И еще немного расскажу о разработке внутри нашего отдела. В какой-то момент мы поняли, что управление SDL-процессом невозможно без Secure Apllication Lifecycle Manager. С учетом определенной специфики банка (множество автоматизированных систем, в каждой из которых свой «зоопарк» технологий и практик) было очевидно, что нужно писать что-то свое.
Поэтому мы создали продукт, в котором сосредоточены все процессы внедрения SDL и поддержания непрерывности процессов, управления потоками данных (ИБ и смежных). Он хранит все накопленные в результате различных практик данные и позволяет управлять ими, автоматически «накатывать» какие-то действия для их гладкого тиражирования. Также он распределяет баги по различным issue-трекерам, предоставляет интерфейсы для разбора багов по нашим инструментам. Все это обеспечивает построение SDL и эффективное взаимодействие с командами.
Алиса Мельникова, генеральный директор «СберТех», довольно так буднично заявила, что «возглавляемая ею компания по итогом года стала крупнейшим в РФ разработчиком программного обеспечения с выручкой в 15,2 млрд. рублей (рост на 46%) и штатом в 6515 человек против 5300 человек в 2014 году».
«СберТех» взбаламутил ИТ-рынок
«СберТех» дочка «Сбербанка» и занимается разработкой и внедрением софта для этого банка. Многие ИТ-компании России давно невзлюбили этого вендора. На то есть несколько причин. Во-первых, такие крупнейшие интеграторы, как КРОК или Ланит, поставляют в «Сбербанк» теперь только аппаратные решения и жёстко отстранены от программного обеспечения.
Во-вторых, «СберТех» как пылесос вытягивает с рынка программистов, предлагая им существенно лучшие условия для работы. Нет ни одной ИТ-компании в РФ и Белоруссии, которая бы не лишилась сотрудников из-за него. Нет ни одного банка, из которого не ушли бы туда топ-менеджеры блока ИТ.
В-третьих, после сдачи в конце 2015 года в эксплуатацию проекта «Ла-Манш» (безбумажный мидл-офис на платформе Pega PRPC на 40 тыс. пользователей) большой зуб на них появился у HP, Canon, Xerox и других поставщиков принтеров. Если раньше раз в неделю только в центральный офис банка в Москве завозился целый грузовик бумаги, то теперь хватает и «Газели». И то только для подписания договоров с клиентами.
В приоритете open-source и собственная разработка
И, наконец, что интересно разработчикам ПО, «СберТех» целиком и полностью перешел на open-source и собственную разработку. С помощью этого набора инструментов в ближайшем будущем необходимо решить три сверхзадачи: создание единой фронтальной системы (ЕФС) для развития каналов обслуживания клиентов, платформы поддержки развития бизнеса и запуск фабрики данных на основе технологий BigData.
Именно более детальному анализу проекта ЕФС была посвящена конференция 6-го февраля. Зачем «Сбербанку» понадобилось проводить ее? Зачем выступать на нем перед программистами первым лицам банка? Ответ был дан топ-менеджером «Сбербанка» Вадимом Куликом , курирующим ИТ и управление рисками банка.
По его словам, банк уже давно стал подопытным кроликом корпорации Oracle. Такой крупной инсталляции базы данных этого вендором с такой нагрузкой на фронт-офис у них больше нет нигде. На такой нагрузке и масштабах из этой базы вылезает «такое количество тараканов», что непонятно, кто кому должен платить деньги за лицензии.
Как ответ на этот и множество других вызовов «СберТех» начал развивать собственные компетенции. Это и собственные разработки, и покупка стартапов. Например, это GridGain, специализирующаяся на разработке ПО для обработки больших объемов данных в оперативной памяти в режиме реального времени (технология In-Memory Computing, IMC).
При этом GridGain разрабатывает платформу распределенных вычислений с открытым кодом на Java, распространяемую под лицензиями LGPL и Apache 2.0. Этот факт, что называется, позволяет с успехом и минимальными финансовыми вложениями «импортозаместить», например, такое проприетарное немецкое решение, как SAP HANA. Так, что если финтех-стартапам есть, что показать, им надо срочно искать, где находится «Сбербанк».
Что касается фронта, то выбран путь унификации и централизации всех многочисленных продуктов в один как для собственных операционистов, так и для клиентов с удобным интерфейсом для всех устройств. В масштабах «Сбербанка» это действительно колоссальная работа. До недавних пор изменение, например, учетной ставки Центрального Банка РФ во всех системах занимало до 3-х месяцев. С такими темпами можно запросто проиграть в конкурентной борьбе тому же «Тинькофф Банку».
«Сбербанк» равняется на Amazon или Google
Задача поставлена добиться практически он-лайнового вывода на рынок продуктов благодаря ЕФС и такой же он-лайновой реакции на изменения рынка благодаря BI и BigData на базе интеграционной шины SOA в проитвовес традиционным банковским АБС и ERP. Это, по мнению топ-менеджмента, ставит «Сбербанк» в ряд не с кредитно-финансовыми организациями, а с технологическими гигантами типа Amazon или Google. По крайней мере в России. При этом не надо забывать, что банк уязвим перед западными санкциями - поэтому упор на свою разработку. И поэтому же подходы «Тинькофф Банка» ему не совсем подходят.
Этот факт заставляет «СберТех» по-новому включить «пылесос» и искать программистов, которые ментально соответствуют этим вызовам. Как, отмечали спикеры, ИТ-специалисты, работающие в банках, зашорены и не хотят лишних изменений. Поэтому взгляд рекрутеров обратился к Яндексу и ему подобным.
Но там тоже не лыком шиты, готовы удерживать специалистов любой ценой. Поэтому «СберТех» готов рассматривать кандидатуры «джуниоров», открывает собственную школу подготовки программистов на Java и JavaScript (про PHP не было сказано ни слова). Очень много на круглых столах говорили о разработчиках интерфейсов и верстальщиках. Оказалось, что в РФ на рынке практически нет крутых специалистов в этой сфере, особенно в «мобайле».
Конференция длилась целый день со множеством круглых столов. Описать коротко всё нет возможности, организаторы конференции обещали выложить видео мероприятия для всех интересующихся. И это всё было про ЕФС! А ведь параллельно развиваются еще два мегапроекта, о которых писалось выше. Похоже, «СберТех» такими темпами может догнать и крупных американских вендоров.
На платформе Единой фронтальной системы (ЕФС) разрабатываются фронтальные процессы для системы «Сбербанк Онлайн» (мобильное приложение и веб-версия), а также для сотрудников отделений, специалистов по прямым продажам первого уровня. Программа по разработке этой системы является одной из ключевых и стратегических для Сбербанка.
2018: Результаты разработки за год
В 2018 году были усовершенствованы архитектура ЕФС, процессы разработки и вывода функционала в промышленную среду, сообщил Сбербанк в отчете о своей деятельности за 2 квартал 2019 года. Также была внедрена возможность многоверсионности, благодаря которой технологические сервисы и клиентский функционал могут развиваться независимо и итерационно в собственных релизных циклах.
Программа ЕФС создает единую логику обслуживания во всех каналах, основываясь на принципе омниканальности (фото - svpressa.ru)
В рамках разработки ЕФС в 2018 году Сбербанк реализовал функционал дистанционного банковского обслуживания по документарным операциям (аккредитивы, инкассо) через «Сбербанк Бизнес Онлайн», который позволяет клиенту направлять заявления/запросы/письма в банк в электронном виде, отслеживать их статусы онлайн и видеть реестр своих сделок.
Этот сервис позволяет сократить время обслуживания клиентов по аккредитивам и инкассо и повысить удовлетворенность клиентов, заявляют в Сбербанке.
Еще одним ключевым событием в области ЕФС Сбербанк называет начало этапа массового тиража системы на всех клиентов в трех каналах дистанционного банковского обслуживания в 2018 году.
2017: Новая версия ЕФС
В 2017 году была разработана новая версия платформы ЕФС 7.0 с более высоким уровнем надежности и производительности за счет поддержки режима развертывания в многоблочной архитектуре и режима Stand-In, обеспечивающего повышение отказоустойчивости и бесшовное обновление функциональных подсистем платформы. Также было начато массовое внедрение нового целевого процесса разработки ЕФС с использованием «инструментальных средств разработки. В Сбербанке поясняют, что это позволит одной команде реализовывать решения для всех каналов, максимально переиспользовать уже реализованные объекты и сервисы, уменьшить число ошибок за счет авто-генерации типовых функциональных блоков, а также сократить время обучения новых сотрудников.
Ожидаемый эффект от внедрения целевого процесса разработки ЕФС – сокращение объема ручной разработки в два раза.
Кроме этого, в 2017 году банк определил стандарт качества платформы ЕФС. Его выполнение контролируется по 12 метрикам. Использование стандарта вдвое сократило количество ошибок на этапе тестирования и позволило добиться того, что 50% ошибок устраняются в течение 8 часов.
2016: Определены разработчики Единой фронтальной системы Сбербанка
Генеральным подрядчиком Сбербанка по созданию Единой фронтальной системы является компания "Сбербанк-Технологии" .
К участию в закупке были приглашены компании, имеющие опыт реализации не менее трех проектов по разработке фронтальных систем в период с 2013 г. (при этом пользовательская аудитория проекта должна составлять не менее 10 000 пользователей). Участники конкурса должны иметь не менее 40 разработчиков со знаниями языка программирования Java , 20 системных аналитиков, 20 разработчиков со знанием языка программирования JavaScript, css, html и 5 архитекторов. Специалисты проектной команды участника должны обладать сертификатами Java Senior Specialist (не менее 10 специалистов) и Oracle Professional (не менее 1).
Отдельно в документации оговаривались максимальные ставки специалистов:
Общая оценка заявки участников зависела на 50% от предложенной стоимости выполнения работ и на 50% от качества выполнения тестового задания.
Задачи системы
В системе работают сотрудники отделений и колл-центра банка, клиенты мобильных приложений и интернет-банка (юр. и физлица), партнеры по продаже продуктов банка. Эта система предназначена и для управление банкоматами и терминалами самообслуживания.
Внедрение системы позволит обеспечить единый клиентский опыт за счет создания единой базы клиентов для всех каналов обслуживания. Начать взаимодействие можно будет через колл-центр банка, а продолжить, например, в интернет-банке или в отделении с того момента, на котором операция была прервана.
Еще одна задача ЕФС – ускорить вывод на рынок новых продуктов банка. В нынешних условиях, когда за управление интернет- и мобильным банком, процессингом, банкоматами, терминалами отвечают разные приложения, обновление услуг и продуктов Сбербанка (например, изменение ставки по вкладу) по всей стране может занимать несколько недель. Цель – сократить сроки до одного дня.
Также, как ожидается, ЕФС позволит сократить время проведения операций, упростить интерфейс сотрудников отделений, ускорить адаптацию к работе новичков, снизить количество ошибок.
Руководство программы ЕФС
В конце 2018 года руководителем программы «Единая фронтальная система» стал Алексей Поддубный . По информации TAdviser, он был назначен на эту должность после того, как из Сбербанка ушла Елена Батурова , которая ранее руководила проектом ЕФС, а также Вадим Шаробаев , который под ее руководством отвечал за этот проект в Сбертехе . Подробнее .
Сбербанк создает новую гибкую платформу, которая трансформирует банк в технологическую компанию. Банк планирует открыть доступ к элементам своей платформы через API, а также частично опубликовать код своих разработок, рассказал на форуме FinCore 2017 старший управляющий директор, главный IT-архитектор Сбербанка Сергей Рябов. FutureBanking приводит выдержки из этого выступления.
Высказывание Чарльза Дарвина гласит, что выживает не самый сильный вид, и не самый умный, а тот, кто лучше всех реагирует на изменения. Возможность быстрых изменений мы поставили в качестве ключевой цели нашей технологической стратегии и как основное требование для построения новой платформы.
Общий подход к построению платформы можно кратко описать тремя буквами «R»: Rationalize - рационализация и оптимизация текущей архитектуры, Rearchitect - создание новой платформы, Rethink - переосмысление масштабов и создание экосистемы. Мы - банк, но в то же время смотрим на другие рынки. В стратегии мы заявили, что будем выходить на новые рынки, такие как здравоохранение, авторынок, уже сейчас мы работаем на рынке недвижимости и не только с точки зрения ипотеки.
Какие мы поставили ключевые требования к построению нашей новой платформы
1. Клиентоцентричность. Большинство сервисов и новый подход к обслуживанию клиентов требуют, чтобы мы знали о клиенте максимум. Это не только то, что есть в наших core-системах, это и то, что есть вокруг.
2. Единое информационное пространство. Это подход, когда информация доступна нашим системам принятия решения в реальном времени.
3. Гибкие механизмы настройки сложных продуктов и STP-процессов. Мы стремимся максимально уйти от человеческого участия там, где это возможно; использовать такие механизмы как мониторинг наших процессов и автоматическое управление сбойными ситуациями.
4. Очень важный блок - это открытый API. Соответственно, API пронизывают все компоненты платформы. Внешний API мы открываем для наших партнеров и контрагентов.
5. Механизм машинного обучения. Мы стараемся встраивать его в наши компоненты платформы, и постепенно встраиваем его в нашу систему принятия решений.
6. Максимальная надежность 24х7. Мы огромный системообразующий банк, надежность - наше всё. Поэтому мы тратим очень большие усилия, чтобы информационная система была максимально надежна.
7. Горизонтальное масштабирование на low-end оборудовании. Наши текущие информационные системы стабильные, мощные и большие, но мы работаем на больших high-end. Многие вендоры уже свернули часть своих линеек, ориентированных на максимальный high-end, переходят на mid range, к другим архитектурам. Мы тоже стараемся уйти от этого, уменьшить стоимость владения.
8. Использование open source технологий. Да, мы крупный банк, у нас есть свои наработки, мы умеем работать с традиционным архитектурами, но начали постепенно переходить на open source.
9. Хранение и обработка данных в памяти. У нас были большие дискуссии, использовать эту технологию или не использовать. С одной стороны, это большиериски, с другой - самые большие возможности по скорости обработки данных. На последней конференции Gartner Symposium в Барселоне прошли дискуссии с архитекторами и крупнейшими аналитиками о том, как надо строить информационные системы, какие есть возможности и ограничения.
Что такое платформа, как мы ее представляем
Сначала мы построили ядро платформы и часть ключевых сервисов, которые мы относим к бизнес-хабу (система принятия решений, единый профиль клиента, продуктовый каталог). Но сейчас мы движемся по нескольким направлениям, в том числе потому что мы большие, нам гораздо сложнее раскачаться.
Платформа состоит из нескольких архитектурных слоев. Внизу находится технологическое ядро.
Из «лего-блоков» можно собирать часть других слоев. Это фактически reusable-компоненты,
которые используются на других уровнях.
Сердцем новой платформы является бизнес-хаб. Это такие блоки как Единый профиль клиента,
продуктовый каталог, система принятия решений. Это новые решения, которые мы сейчас строим,
которые дают возможность гибкой настройки процессов и продуктов.
Сверху у нас Единая фронтальная система. Важно обеспечить омниканальный опыт для наших клиентов.
Большой блок - это продуктовые фабрики. Сюда входят кредиты, депозиты, другие традиционные продукты. Но в то же время мы делаем новые сложные продукты, например, комбинацию из страховых и кредитных продуктов.
На компонентах платформы можно создавать любые бизнесы
Наша задача состоит в том, чтобы платформа была гибкой и настраиваемой, чтобы мы имели возможность встраивать туда новые компоненты. Мы уже говорили про API и компонентизацию, сервисный подход на всех уровнях платформы. Это очень важно. Платформа предоставляет возможность интеграции и настройки на всех уровнях.
Какие ключевые технологии мы используем
Вот лишь несколько из них:
1. Хранение и обработка данных в памяти. Мы сотрудничаем с компанией GridGain, проходим достаточно сложный путь, потому что другой стороной скорости работы является надежность системы. Часть элементов, которые отсутствует в этом продукте, мы фактически реализуем с нуля. Это сложно, где-то сдвигаются сроки, но мы идем по этому пути, потому что эффект - большие возможности масштабирования.
2. Горизонтальное масштабирование на low-end серверах. Вся наша сборка - это х86-е машины.
3. Open source. Это тоже было достаточно больно. Мы начали несколько лет назад переходить на open source, учиться. В интеграционном слое мы используем такие решения как Kafka, ZeroMQ. В качестве BPM-решения мы используем open-source решение Activiti. Мы используем WildFly в качестве сервера приложений.
Если поговорить с крупными компаниями, то большинство из них публикуют все свои решения. Например, мы изучали опыт Alibaba. В нашей стратегии - это тоже есть. Но это требует определенной нашей зрелости как организации. Мы сейчас в начале пути, но публиковать будем обязательно, потому что это даст абсолютно другие возможности.
Я говорил про систему принятия решений - ядро и сердце нашей платформы. Эту часть больно открыть с самого начала. Открыть мы собираемся части, начиная с не-mission critical компонентов. Наша задача заключается в том, чтобы иметь возможность открыть код определенной компоненты, чтобы уже комьюнити могло ее дорабатывать. У нас сейчас подход достаточно осторожный.
Что такое Единая фронтальная система, как мы ее строим
Основной требование - это реализация омниканальных фронтальных сценариев. Сложность здесь в меньшей степени техническая, в большей степени - организационная. Уверен, что во многих банках структура организации такая, что за удаленные каналы отвечает один человек, за бранчи и отделения отвечает другой человек, за колл-центр и сетку - третий. И, безусловно, когда мы говорим про омниканальный сценарий обслуживания клиента, то он должен максимально применяться во всех каналах. Чтобы это обеспечить важно договориться на уровне всех ответственных.
У нас большой набор инструментальных средств. Мы активно используем технологию React сейчас. Есть еще Angular. Это две альтернативы. Мы остановились на React.
Интеграционный слой создает изоляцию фронтальной системы от бэк-офиса и других наших информационных систем. Основная задача заключается в том, чтобы обслуживание клиентов в каналах происходило единым образом. Это наш целевой подход. Мы начали два года назад программу, сейчас выходим на фазу тиражирования. Есть функциональность для отделений и контактного-центра. Следующий год будет достаточно активно посвящен удаленным каналам.
Бизнес-хаб
Исторически сложилось, что каждый клиент Сбербанка жил в своей автоматизированной
банковской системе. Сейчас мы от этого подхода уходим, максимально переходим к онлайн-
профилю клиента, к мастер-системе.
Другие важные компоненты бизнес-хаба - это продуктовый каталог; система принятия решений;
исполнение сквозных процессов; и интеграционный слой, построенный на Kafka и ZeroMQ.
Учетные сервисы отделены при помощи парадигмы accounting engine, то есть продуктовый учет
отделяется от бухгалтерского учета.
Фабрика данных
Это новая стратегическая программа. Большую ставку мы сделали на Hadoop и соответствующие технологии. Есть определенные ограничения, но мы стараемся их преодолевать. Используем иклассические решения. У нас также внедряются решения от Teradata.
Что важно для платформы - мы должны научиться достаточно эффективно выталкивать данные с уровня продуктовых фабрик на аналитический уровень, чтобы делать очень сложную аналитику, которую мы не можем сделать онлайн.
Работа с командой
Большой вектор изменений в банке связан с построением тесного взаимодействия бизнеса и IT врамках внедрения Agile. У нас это называется Сберджайл. С одной стороны, мы слышим друг друга, с другой - такой подход вносит больше разнородности, потому что команды бегут параллельно, их надо как-то синхронизировать. В данном случае архитектурный контроль очень важен. Но без общего фокуса на построение новой платформы мы никуда не сдвинемся. Взяв новуюцель, мы должны ей соответствовать.
Платформа - основа построения экосистемы
Большое направление в нашей стратегии связано с развитием экосистем. Это сервисы наших дочерних компаний и наших партнеров, которые нам необходимо развивать. Общая идея заключается в том, чтобы дать быстрый старт тем площадкам, которые войдут в экосистему Сбербанка.
Быстрый старт может дать, в том числе, ядро платформы, потому что часть элементов можно будет переиспользовать. Речь идет про такие сервисы как идентификация, обмен данными, API. Это блоки, которые будут нужны всем. С другой стороны, если это новый бизнес, то элементы платформы помогут создать решение быстрее.
Закончить я бы хотел цитатой Махатмы Ганди, что «будущее зависит от того, что вы делаете сегодня». Поэтому давайте его делать. Мы идем таким путем.