Алиса Мельникова,Генералният директор на SberTech, съвсем небрежно заяви, че „до края на годината компанията, която тя ръководи, стана най-големият разработчик в Руската федерация софтуерс приходи от 15,2 милиарда рубли (увеличение от 46%) и персонал от 6515 души срещу 5300 души през 2014 г.
SberTech раздвижи ИТ пазара
SberTech е дъщерно дружество на Sberbank и разработва и внедрява софтуер за тази банка. Много ИТ компании в Русия отдавна не харесват този доставчик. Има няколко причини за това. Първо, такива големи интегратори като CROC или Lanit вече доставят на Сбербанк само хардуерни решения и са строго изключени от софтуера.
Второ, SberTech като прахосмукачка издърпва програмистите от пазара, предлагайки им значително по-добри условия на работа. Няма нито една IT компания в Русия и Беларус, която да не е загубила служители заради него. Няма банка, която топ мениджърите на ИТ блока да не напуснат.
На трето място, след пускането в експлоатация на проекта за Ламанша в края на 2015 г. (безхартиен среден офис на платформата Pega PRPC за 40 хил. потребители), HP, Canon, Xerox и други доставчици на принтери получиха големи зъби. Ако по-рано, веднъж седмично, в централния офис на банката в Москва се доставяше цял камион хартия, но сега има достатъчно Газела. И то само за подписване на договори с клиенти.
Приоритет отворен код и собствена разработка
И накрая, това, което е интересно за разработчиците на софтуер, SberTech напълно премина към отворен код и собствена разработка. С помощта на този набор от инструменти в близко бъдеще е необходимо да се решат три суперзадачи: създаване на унифицирана предна система (UFS) за развитие на канали за обслужване на клиенти, платформа за поддръжка на бизнес развитие и стартирането на фабрика за данни, базирана на технологиите BigData.
Това беше по-подробен анализ на проекта на ЕСФ, който беше посветен на конференцията на 6 февруари. Защо Сбербанк трябваше да го проведе? Защо да говорим за него пред програмисти пред първите лица на банката? Отговорът даде топ мениджърът на Сбербанк Вадим Куликотговаря за ИТ и управление на риска на банката.
Според него банката отдавна е опитното свинче на Oracle Corporation. Такава голяма инсталация на база данни от този доставчик с такова натоварване на предния офис не е никъде другаде. При такъв товар и мащаб „толкова много хлебарки” изпълзяват от тази база, че не е ясно кой на кого трябва да плаща пари за лицензи.
В отговор на това и много други предизвикателства, SberTech започна да развива свои собствени компетенции. Това са както наши собствени разработки, така и покупка на стартиращи фирми. Например, това е GridGain, който е специализиран в разработването на софтуер за обработка на големи количества данни в RAM в реално време (In-Memory Computing технология, IMC).
В същото време GridGain разработва разпределена изчислителна платформа с отворен код на Java, разпространявана под лицензите LGPL и Apache 2.0. Този факт, както се казва, позволява с успех и минимални финансови инвестиции да „замени вноса“, например, такова собствено немско решение като SAP HANA. Така че, ако финтех стартъпите имат какво да покажат, те спешно трябва да потърсят къде се намира Сбербанк.
Що се отнася до предната част, пътят на обединяване и централизиране на всички многобройни продукти в едно е избран както за собствени каси, така и за клиенти с удобен интерфейс за всички устройства. В мащаба на Сбербанк това наистина е колосална работа. Доскоро промяната, например, на сконтовия процент на Централната банка на Руската федерация във всички системи отне до 3 месеца. С такова темпо можете лесно да загубите в конкуренцията от същата Tinkoff Bank.
"Сбербанк" е равен на Amazon или Google
Задачата беше да се постигне почти онлайн пускане на продукти на пазара благодарение на EFS и същият онлайн отговор на пазарните промени благодарение на BI и BigData, базирани на SOA интеграционната шина, за разлика от традиционните банкови ABS и ERP. Това, според висшето ръководство, поставя Сбербанк наравно не с финансовите институции, а с технологични гиганти като Amazon или Google. Поне в Русия. В същото време не бива да се забравя, че банката е уязвима от западните санкции – следователно акцентът е върху собственото й развитие. И така подходите Тинкоф Банк' наистина не му подхождат.
Този факт принуждава SberTech да включи „прахосмукачката“ по нов начин и да потърси програмисти, които психически се справят с тези предизвикателства. Както отбелязаха лекторите, ИТ специалистите, работещи в банките, са замъглени и не желаят ненужни промени. Поради това видът на рекрутерите се обърна към Yandex и други подобни.
Но и там не са много обидени, готови са да задържат специалисти на всяка цена. Ето защо SberTech е готов да разгледа кандидати за младши и открива собствено училище за обучение на Java и JavaScript програмисти (нито дума не беше казана за PHP). На кръглите маси се говори много за разработчиците на интерфейси и дизайнерите на оформление. Оказа се, че в Руската федерация практически няма готини специалисти в тази област на пазара, особено в мобилните.
Конференцията продължи цял ден с множество кръгли маси. Не е възможно да се опише всичко накратко, обещаха организаторите на конференцията да публикуват видео от събитието за всички желаещи. И всичко беше за EFS! Но успоредно с това се разработват още два мегапроекта, които бяха описани по-горе. Изглежда, че SberTech може да настигне големите американски доставчици с такова темпо.
Това дъщерно дружество на банката, както обикновено, започна да изпълнява всички ИТ проекти на банката и планираше да работи за отворен магазин. Но всичко се обърка. Информационно-технологичната фондация на "най-голямата банка в Източна Европа" се нуждае от цялостен ремонт. Създадена през 2011 г., за 7 години компанията не оправдава очакванията.
Можете, разбира се, да се опитате да спорите с числа. Да кажем, че сега е най-големият ИТ работодател в страната. Повече от 10 хиляди програмисти! Можем да кажем, че приходите са нараснали през последната година. Но това е ясно доказателство, че банката започна да харчи още повече за ИТ, без да подобрява качеството на услугите.
През юни миналата година Алиса Мельникова, главен изпълнителен директор, напусна компанията. Но това не помогна много на компанията. През цялото съществуване на дъщерна и изключително важна компания за Сбербанк се натрупаха толкова много проблеми, че всички заедно вече започват да удавят компанията майка.
1. Твърде много хора
Тази причина е резултат от смесица от мегаломания от съветската епоха и желанието на определени топ мениджъри да имат бюджети и власт. Но друга причина е, че дясната ръка не разбира какво прави лявата. Помните ли шикозното изказване на Греф за програмистите?
„Програмисти не са необходими днес. Имаме огромен брой програмисти, с които се борим“, каза Герман Оскарович.
Половината министерства и повечето компании на пазара крещят и гонят крайно необходими за дигиталната икономика надценени „строители“, каквито трябва да бъдат програмистите и Греф реши да се бори с тях. Кой ще формира бъдещето? Защо компаниите се нуждаят от толкова много хора? Същият VTB или Alfa с Тинков харчат много по-малко човешки ресурси за внедряването на абсолютно същите или дори по-добри характеристики. В същото време хората са примамвани от пазара с двойни заплати и обещания, че определено ще променят света тук. Но всъщност се оказва съвсем различна история. Според документите са необходими 200 програмисти и няколко месеца упорита работа, за да се постави бутон в CRM.
2. Без пробиви
EFS, PPRB и FD. Компанията се гордее с това и го публикува открито на своя уебсайт. Нека разгледаме конкретен пример. UFS - Единна фронтална система. Какво е?
Единната фронтална система е насочена към повишаване нивото на комфорт за клиентите на Сбербанк при получаване на услуги, както и към удобството, бързината и ефективността на служителите на клоновете, които предоставят обслужване на клиенти. EFS се основава на кръстосани канали. Откъдето и да идва потребителят - чрез приложение, браузър на домашен компютър, чрез обаждане до кол център или офис - той може да продължи да обслужва през всеки канал от момента, в който приключи последното взаимодействие в някой от каналите - системата трябва да разпознава клиентския профил. В допълнение, UFS, благодарение на собствения си API, позволява на партньорите да влизат в системата, както и да се интегрират със сайтове на трети страни.
Но днес куп услуги могат да направят това! Какво ви попречи да завършите Bitrix24 или огромен брой други системи, за да приложите написаното по-горе? Не е някакво пространство. Това е реалността. Е, да, Сбербанк е голяма. Но не единственият в света. Би било възможно да надникнете в други, за да го направят правилно. Абсолютно същото с други проекти. За пробив се издават напълно постни глупости. И част от тези „глупости“ дори още не са създадени, а съществуват само на хартия.
3. Банално скучен
Една от причините "holy agile и scrum" да не работят е, че се прилагат от конкретни хора. В Sbertech, при условие за анонимност, няколко колеги от компанията потвърдиха, че понякога просто не разбират какво правят и как това ще промени света. Всички тези 10 000 програмисти не са необходими на банката в такъв брой. Тук те бездействат. С нашите пари.
4. Налагане на изключително странни функции на компанията
Ето скандал с анализатор от Sberbank CIB. Разпръсна цялата структура. И сега Греф обяви намерението си да замени анализаторите с „изкуствен интелект“.
Е, глупости! Но мнозина слушат с отворена уста. И чакат Сбертех да направи всичко сега. Толкова много програмисти! Но както 9 жени не правят дете за месец, така и ето - ами тази година няма да можете да замените анализаторите с компютър или невронна мрежа. А сега си представете какви са тези стратегически рискове за компанията майка.
5. Постоянни неуспехи в работата на компанията майка
Какво можем да кажем, дори ако на SPIEF цял облак от вътрешни лица гръмко обявиха масови провали в работата на Сбербанк във форума. Какъв срам. Компанията, между другото, не потвърди това, но не и отрече, което косвено доказва верността на слуховете. Но редовните неуспехи, блокирането на сметки за прехвърляне на 666 рубли и подобни истории са още едно доказателство за импотентността на мениджърите. Да, беше трудно, да, имаше обикновена спестовна каса. Но никой не ви спести пари и време за трансформация. Надеждите бяха, че ще бъдеш най-добрият в света. Междувременно се оказва, че изобщо не оправдахте надеждите ни.
Сбербанк успешно реализира стратегически инициативи, насочени към изграждане на технологична платформа и трансформиране в технологична компания до края на 2018 г.
Стратегическа програма "Надеждност 99,99"
Сбербанк свърши много работа, за да гарантира високата надеждност на своите системи. Сред важните етапи на тази работа е организирането на гео-резервация на услугите на контактния център на Сбербанк; създаване на ядрото на нова високонадеждна локална мрежа; работата на обслужването на клиенти при извършване на транзакции в онлайн магазини, преводи, издаване на заеми, обслужване по дистанционни канали в режим Stand-In 24 × 7 по време на инциденти и технологична работа. Времето за престой на критични автоматизирани системи на центъра за данни на пристанище Южни не надвишава 1,6 часа годишно. Този център за данни е сертифициран по програмата за оперативна устойчивост на сертифициране на ниво ниво, Uptime Institute, ниво GOLD.
Изключително критичните услуги за транспортиране на данни между автоматизирани системи на Сбербанк са превключени в 99,999% режим на работа, тоест времето на престой на системата е не повече от 5 минути годишно. Това осигурява непрекъснатост на предоставянето на основни услуги на частни и корпоративни клиенти.
Системата Sberbank Online има пилотен блок за служителите, където новите версии на Sberbank Online се тестват преди мащабна репликация, което минимизира рисковете и намалява времето за внедряване.
Програма за трансформация на ИТ организацията
Сбербанк въведе през производствен процеси планиране на ресурсите, което увеличи контрола върху стартирането и изпълнението на проекти, намалявайки средната продължителност на проектите от 30 на 18 месеца. Нов процесизпълнението на непроектни задачи позволи да се намали периодът на тяхното изпълнение с 1,9 пъти. Нарасна удовлетворението на вътрешните клиенти, което в областта на внедряването на ИТ компонента на проекти нараства с 3,8 пъти, в сферата на изпълнение на извънпроектни задачи - с 3 пъти. Сбербанк завърши трансформацията на своята ИТ организация. Създадена е платформа за технологична трансформация.
Програма за технологична трансформация
Agile трансформацията започна в Сбербанк, която се състои в преход към метода за гъвкава разработка, наречен Sbergile. Екипите на Sbergile разполагат с основна автоматизация, разработен е процес за итеративно развитие на услугите.
Сбербанк създаде унифициран процес за управление на оперативното и ИТ производство, инциденти и технологични стандарти.
Броят на служителите на функцията за поддръжка на клиентски операции беше намален с 13%. Регионалните центрове за подпомагане на клиентските операции в Хабаровск и Воронеж бяха трансформирани. Поддръжка за ИТ операции се осигурява във всички часови зони.
Програма за платформа за подкрепа на бизнес развитие (18+).
Платформата е проектирана да се превърне в универсален конструктор за създаване на бизнес приложения.
Производителността и мащабируемостта на архитектурата In-Memory Data Grid са практически потвърдени, по-специално е постигната висока производителност от 35 хиляди транзакции в секунда. Създадено е единно информационно пространство, в което успешно са качени данни за 100 милиона клиенти. Разработени са механизмите за одит, оторизация, достъп до данни и тяхната пакетна обработка. Въведени са най-важните услуги за бизнеса: унифициран профил на клиента Retail Block, единен каталог с продукти и тарифи по отношение на депозити и банкови карти, динамично ценообразуване. Стартираха първите фабрики за продукти: P2P преводи, търговско придобиване, депозити.
Екипът на програмата получи статут на разработчици на общността с отворен код на Apache Software Foundation. Проектите на програмата получиха възможност за разработване на компоненти с отворен код на технологичния стек от платформи.
Програма "Единна фронтална система"
Целта на програмата е да създаде единен стандарт във всички канали за обслужване на клиенти.
Основният акцент на Програмата през 2016 г. беше поставен върху растежа на активните продажби на частни клиенти чрез контактния център, повишаване на лоялността на корпоративните клиенти чрез услугата за дистанционна резервация на сметка без посещение в офиса на Сбербанк и намаляване на разходите за услуги на външни контактни центрове за корпоративни клиенти.
От техническа страна за тази цел е създадена единна библиотека от интерфейсни компоненти на основните системни услуги, които се използват за създаване на потребителския интерфейс. Използването на библиотеката ви позволява да увеличите скоростта на разработване на екранни форми с 30–35% и да намалите разходите за тяхното разработване с 15–20%. Разработени са редица компоненти с отворен код, които се представят за повторна употреба в свободен достъп до интернет общността. Въведен е конвейер за автоматично сглобяване на приложения и се пилотира технология за автоматично разгръщане на системата във всички среди. Използването на технологията DevOps ще доведе до значително намаляване на времето за пускане на пазара и ще ви позволи да пускате продукти на пазара много пъти по-бързо.
Функционална дистанционно отварянесметки, проекти за заплати, корпоративни картимигрира към нова цифрова корпоративна платформа. Това е първата стъпка към прехода към Единната фронтална система.
Създадено е мобилно работно място за агент по директни продажби, което ще позволи насрочване на срещи и оптимизиране на маршрутите за пътуване, като се вземат предвид географско местоположениеклиенти.
Програмата е изпълнена изцяло по метода Agile. От идеята до откриването са нужни осем седмици. По програмата работят повече от 90 Agile екипа. През 2016 г. успяхме да сформираме най-добрия екип от ИТ специалисти и бизнес експерти. Екипът включва над 1000 служители от бизнес звената на Сбербанк и 17 центъра за компетентност на Sberbank Technologies. За да привлече най-добрите специалисти, Сбербанк проведе ден на отворените врати и международен хакатон за дизайн.
Програма Data Factory
Целта на програмата е да предостави на Групата условия за постигане на конкурентна скорост на пускане на нови продукти на пазара, монетизиране на данни, повишаване на скоростта на вземане на управленски решения и намаляване на разходите за притежаване на данни. Програмата комбинира дейности за създаване на услуги за данни и развитие на инфраструктура, като се вземат предвид съвременните тенденции в изграждането на корпоративни складове за данни и аналитични платформи.
Основни проекти на програмата:
- клиентски профил "4D" - увеличава пълнотата на информацията и дълбочината на историята на корпоративен клиент;
- „Масова персонализация“ – повишава ефективността на едноименните бизнес процеси на дребно чрез бързо получаване на достоверна информация за клиенти на базата на данни;
- „Бутиков конвейер“ – увеличава приходите от клиенти на CIB чрез намаляване на времето и подобряване на ефективността на вземане на решения по отношение на клиентската информация;
- проектът Geomarketing 2.0 предоставя на външните клиенти на Сбербанк информация за икономическия потенциал на отделните географски локации.
Като част от програмата е повишена производителността на хранилището за аналитични данни. Създаден е нов ключов елемент от архитектурата - облак от данни - разпределено съхранение на данни за по-нататъшна обработка, където се зареждат първите данни от най-големите системи на Сбербанк - Единната корпоративна система и Единния кредитен портфейл. Стартира експериментиране с данни и тестване на хипотези на модела за бизнес потребители. Сбербанк успя да намали времето за еднократна доставка на данни по искане на подразделенията на Сбербанк до 10 дни (преди това периодът беше повече от четири месеца).
Програма "Централизация 3.0"
Целта на Програмата е да завърши централизацията на ландшафта чрез значително увеличаване икономическа ефективностИТ активи. През 2016 г. в рамките на Програмата са изведени от експлоатация 682 нецелеви автоматизирани системи (при план 410) и два центъра за данни. През 2017 г. се планира извеждане от експлоатация на допълнителни 270 нецелеви системи и седем центъра за данни и подмяна на ИТ оборудване.
От този разговор ще разберете какво точно прави Sberbank-Technologies, ИТ филиал на Sberbank, кои канали на Telegram трябва да бъдат прочетени от специалист по сигурността на приложенията и защо не трябва да се забравя практиката по време на обучението.
ИНФО
Sberbank Technologies (SberTech) е ИТ филиал на Sberbank, основан през 2011 г. Всичко започна с екип от 500 души. По принцип това бяха ИТ специалисти на Сбербанк, които се преместиха да работят в отделна ИТ структура.
Днес в SberTech работят около 11 000 души в шестнадесет руски града. Ключови центрове за разработка са съсредоточени в тези градове, където се събират регионални екипи от ИТ специалисти: Москва, Санкт Петербург, Новосибирск, Иннополис и така нататък.
SberTech се занимава с разработване и внедряване на софтуер, както и поддръжка на съществуващи ИТ системи на Сбербанк. В момента Сбербанк е единственият клиент на компанията.
Артем Бачевски, ръководител развитие на ИТ системи в отдел „Сигурност на приложенията“.
Разкажете ни с какво се занимава SberTech, по какви проекти работите в момента?
В момента ключовият проект е разработването на нова технологична платформа за Сбербанк. Той трансформира бизнес модела в екосистема. Тази екосистема ще гарантира предоставянето на нефинансови услуги, свързването на партньори и изпълнители, ще може да обработва големи количества данни за кратко време и ще позволи висока производителност на системата.
Нека разгледаме по-отблизо нефинансовите услуги. За какви проекти говорим?
Такива проекти вече съществуват, тъй като екосистемата се развива от 2016 г. Планиран е пълен преход към новата технологична платформа до 2020 г. Сбербанк се стреми да се отдалечи от предоставянето само на финансови услуги и активно придобива партньори. Например "Сбербанк-Недвижими имоти" ( Центърът за недвижими имоти от Sberbank LLC е част от групата компании на Sberbank. - Прибл. изд.), Sberbank-Insurance, интернет услуга за намиране на лекари DocDoc и т.н. Така се осъществява трансформацията в екосистема. Компании като Alibaba, Amazon, WeChat вървят по подобен път.
„Екосистема“ и „технологична платформа“ са красиви думи, но искам да чуя повече подробности. Каква е същността на вашата платформа, какво точно разработвате и защо тези технологии са изключителни?
Новата платформа се състои от три ключови програми.
Платформа за подкрепа на бизнес развитие- универсален инструмент за създаване на бизнес приложения. Банката трябва да се превърне в пазар, който обединява различни инструменти за постигане на целите на своите клиенти. За това е необходима основа - нова платформа: мащабируема, гъвкава, надеждна и отворена, способна да се променя в реално време. Използва се в разработката най-новата технологияразпределени изчисления в паметта и работни приложения с големи количества данни в реално време - In Memory Data Grid.
Програма Data Factoryе предназначена да подобри качеството, надеждността и наличността на данните за анализ. Служителите на банката ще могат пълноценно да се ангажират с анализа и интерпретацията на данни без допълнителни разходи за труд за тяхното събиране и съгласуване. Big Data осигурява работа със супер масиви от данни за монетизиране на информация и анализ на поведението на клиенти и служители, за коригиране на стратегии за работа с различни сегменти.
Единична фронтална система- многофункционална платформа, собствена разработка на Сбербанк. Инструментите на платформата осигуряват безпроблемно изживяване на различни канали във всички продукти и услуги. Технологичният стек ви позволява да поддържате висока производителност, надеждност и сигурност на потребителското изживяване. Освен това, благодарение на собствения си API, UFS позволява на партньорите да влизат в системата, както и да се интегрират със сайтове на трети страни.
Сега нека поговорим за сигурността. Артем, кажи ни с какво се занимава твоята единица?
Нашият отдел се занимава със сигурност на приложенията - сигурност на приложенията. Отделът е сравнително млад, на около две години и половина.
Нашите основно задължение- Осигуряване на сигурност на приложението. По принцип това са автоматизирани системи, които са критични за банката, но всички нови мобилни и критични разработки също попадат в нашата област на отговорност.
Сега в отдела работят петнадесет души. Те могат условно да бъдат разделени на три екипа: екип за тестване на проникване, мобилен пентест и вътрешна разработка. Екипът събра служители с различен технически опит, предимно от различни области на информационната сигурност, но има и момчета от ИТ управление и развитие. Заедно с нашите колеги от Сбербанк подобряваме сигурността на системите, които разработваме, поддържаме разумен компромис между бизнес нуждите, удобството на потребителите и непрекъснато нарастващите рискове при разработката на софтуер.
Всичко това постигаме благодарение на силния опит на служителите на Sberbank и SberTech, както и на зрял и фундаментален SDL (Secure Development Lifecycle), който отчита съвременните тенденции и подходи (Agile & DevOps) в областта на разработката на софтуер.
Екип от уеб пентестъри се занимава с внедряване на различни практики, анализ на резултатите от тях и провеждане на самия тест за проникване. Мобилният пентест екип прави същото, но за мобилни приложения. мобилни приложенияима много в банката, не е само Sberbank Online, има и Business Online, корпоративни услуги и т.н.
Как се изгражда тази инфраструктура, споменахте ли SDL?
Опитваме се да изградим инфраструктурата по такъв начин, че колегите, които са „в контекста на кода“ да ни помогнат при анализирането на резултатите от сканирането, прегледа на кода и писането на правила за SAST (статично тестване на сигурността на приложението). Като част от инициативата за непрекъснато предоставяне на стойност за клиента, ние гарантираме сигурността на приложението, като въвеждаме контекста на Sec в DevOps, който се изгражда в Sberbank и SBT, и без участието на екипи това е просто невъзможно.
Практиката за включване на разработчици чрез шампиони по сигурността се доказа много добре. Шампионите по сигурността са служители в екипи за разработка, които се интересуват от професионално развитие в областта на информационната сигурност с цел повишаване на сигурността на AS и намаляване на риска от уязвимости. Това се постига чрез повишаване нивото на компетентност на екипите за разработка на AS по въпросите на информационната сигурност, възпроизвеждане на практики за разработване на защитени приложения и намаляване на продължителността на жизнения цикъл на дефект в информационната сигурност.
Ние също така редовно провеждаме различни програми за информираност и обучения. Веднъж на тримесечие имаме обща осведоменост за всички. Имаме обучение за гмуркане в защитена Java разработка. Факт е, че това е целевият език за програмиране в банката, така че фокусът е върху него. Точно същите целеви гмуркания съществуват за Android и iOS.
Приблизително колко часа обучение годишно получават вашите разработчици?
В областта на сигурността около четиридесет часа годишно.
Каква според вас е ролята на образованието днес? Всеки ден има нещо ново, как да бъдем в крак с него?
Ние преподаваме основите и не целим веднага да превърнем учениците в експерти в областта на киберсигурността. На този етап е достатъчно да ги включите в темата и да положите основните знания. Например, в контекста на Java, това ще бъдат сигурни практики за разработка на уеб приложения, тъй като в тази област много се фокусира върху уеб сигурността.
Какво трябва да направи специалистът, за да „стои винаги на върха“?
Като минимум препоръчвам да се абонирате за тематични канали в Telegram, за да останете в тенденция и да разберете интересите си в професията. Лично аз чета HackerNews, Habrahabr и Hacker. Можете да разклоните нещо в GitHub, да го опитате, да го оцените и след това може би да го приложите. Не е необходимо да се гмуркате в темата възможно най-дълбоко, но определено трябва постоянно да опитвате нещо ново.
Също така според мен е добра практика да участвате в различни CTF и програми за награждаване на грешки. Можете да закупите някои умения в CTF, а наградата за бъгове ви позволява законно да „почувствате“ сигурността на интересни системи.
Разбира се, ученето е добро, но според мен няма да стигнете далеч само с образованието. Наистина, без практика обучението е безполезно и зад всеки реален опит на първо място стои истинска работа.
Напълно си прав. Разкажете ни за вашите обучения и информираност, как вървят нещата?
Опитваме се да реализираме различни дейности и геймифицираме процеси за развитие. Например на конференцията ZeroNights 2017 представихме CTF captcha. Беше интересно състезание, в което всяко предизвикателство е капча с логическа или софтуерна грешка при изпълнението. Поканихме участниците в конференцията да намерят тези уязвимости, които позволяват решаването на много captcha за кратко време.
Задачата беше проста: изискваше се да се „решат“ двадесет captcha за десет секунди, всъщност без да се решават. Участниците не трябва да въвеждат всичко това на ръка, те трябва например да внедрят SQL инжекция, така че нищо да не зависи от въведената стойност. Например, в една от задачите, captcha може да бъде решена вероятностно - ако през цялото време въвеждате отговор "5", тогава с вероятност от 25% captcha ще бъде предадена.
Каква е целта на подобно състезание? Малко хора днес прилагат captchas сами. В крайна сметка има готова и относително надеждна reCAPTCHA (ако е внедрена правилно), но можете да направите грешка при прилагането на този механизъм. Ако някой все пак реши да приложи своя собствена captcha, тогава участието в такова състезание ще остави много по-малко шансове за поява на уязвимости, тъй като човек може да види много грешки по време на състезанието. В допълнение, тези проблеми се отнасят не само за captchas: има много други механизми, при които могат да бъдат направени подобни грешки.
Има ли SberTech централизирано обучение, например, обучават ли се програмисти?
Всички служители имат възможности за обучение: външни (курсове и събития), вътрешни (срещи, хакатони, редовен обмен на опит в рамките на екипи и отдели). На срещите присъстват вътрешни и външни експерти: например една от последните е посветена на квантовите изчисления в сътрудничество с IBM.
За студенти и начинаещи, SberTech провежда безплатни училища по мобилно развитие на iOS и Android, Java и BPM. Въз основа на резултатите от обучението каним най-добрите студенти да работят.
Нека да преминем към практиката и вашия куп. Кажете ни от какво се състои.
Опитваме се да открием уязвимостите възможно най-рано, така че използваме SAST (статично тестване на сигурността на приложения) и DAST (динамично тестване на сигурността на приложенията), откакто беше написан първият ред код. Въз основа на един популярен продукт на SAST, ние изграждаме решение, което добавя сигурност към DevOps за много автоматизирани системи, разработени в SberTech. В момента внедряваме OWASP ZAP в DevSecOps, което ще ни позволи да разработваме още по-сигурни и надеждни приложения.
Ние също така търсим известни уязвимости в публичните компоненти. За да направите това, беше създадена помощна програма, която обобщава резултатите от други подобни инструменти (OWASP проверка на зависимостта, Retire.js) и също така сканира изходния код, изолира използваните компоненти от него, които след това се проверяват спрямо публични бази данни за уязвимости (NIST , CVE подробности).
В резултат на ръчен анализ на грешки сме натрупали определен набор от данни с експертна оценка и сме обучили модел (машинното обучение е толкова разпространено сега), който определя шанса уязвимостта да бъде наистина положителна. Този модел помага много, защото поне се занимава с класиране. Да кажем, че проверката на зависимостта на OWASP има много нисък процент на фалшиви положителни резултати, но дава много малко резултати. Нашият процент на фалшиви положителни резултати е по-висок, но поради класирането и много повече резултати понякога улавяме уязвимости, които преди това не са били открити от други инструменти.
За системи, където е приложимо, използваме fuzzing - изграждаме модел на натрапник, модел на заплаха за всички системи. Ние също така преглеждаме кода, а именно неговите критични секции. И, разбира се, правим тестове за проникване.
Ние не оставяме разработчиците сами с бъговете, а преминаваме през тях напълно жизнен цикълбъг, съветваме за елиминиране, тестваме след редактиране.
И ще ви разкажа малко повече за развитието в нашия отдел. В един момент осъзнахме, че управлението на SDL процеса е невъзможно без Secure Application Lifecycle Manager. Като се има предвид определената специфика на банката (много автоматизирани системи, всяка от които има свой „зоопарк” от технологии и практики), беше очевидно, че е необходимо да напишем нещо свое.
Затова създадохме продукт, който концентрира всички процеси по внедряване на SDL и поддържане на непрекъснатостта на процесите, управление на потока от данни (IS и свързаните). Той съхранява всички данни, натрупани в резултат на различни практики, и ви позволява да ги управлявате, автоматично да "превъртате" някои действия за плавното им възпроизвеждане. Той също така разпространява грешки до различни проследяващи проблеми, предоставя интерфейси за анализиране на грешки с помощта на нашите инструменти. Всичко това гарантира изграждането на SDL и ефективно взаимодействие с екипите.
Сбербанк създава нова гъвкава платформа, която ще превърне банката в технологична компания. Банката планира да отвори достъп до елементите на своята платформа чрез API, както и частично да публикува кода на своите разработки, каза на форума FinCore 2017 Сергей Рябов, старши управляващ директор, главен ИТ архитект на Сбербанк. FutureBanking цитати от тази реч.
Поговорката на Чарлз Дарвин е, че не оцелява най-силният вид, нито най-интелигентният, а този, който реагира най-добре на промяната. Направихме възможността за бърза промяна в ключова цел на нашата технологична стратегия и ключово изискване за изграждане на нова платформа.
Общият подход към изграждането на платформа може да бъде описан накратко с три R: Рационализирайте- рационализиране и оптимизиране на текущата архитектура, Преархитект- създаване на нова платформа, Преосмислете- преосмисляне на мащаба и създаване на екосистема. Ние сме банка, но в същото време гледаме към други пазари. В стратегията заявихме, че ще навлизаме в нови пазари, като здравеопазване, автомобилния пазар, ние вече работим на пазара на недвижими имоти и не само по отношение на ипотеките.
Кои са основните изисквания за изграждане на нашата нова платформа
1. Ориентация към клиента. Повечето от услугите и новият подход към обслужването на клиенти изискват от нас да знаем колкото е възможно повече за клиента. Това е не само това, което е в нашите основни системи, това е и това, което е наоколо.
2. Единно информационно пространство. Това е подход, при който информацията е достъпна за нашите системи за вземане на решения в реално време.
3. Гъвкави механизми за настройка на сложни продукти и STP процеси. Стремим се да се отдалечим възможно най-далеч от човешкото участие, където е възможно; да използваме механизми като наблюдение на нашите процеси и автоматично управление на ситуации на отказ.
4. Много важен блок е отвореният API. Съответно API проникват във всички компоненти на платформата. Отваряме външен API за нашите партньори и изпълнители.
5. Механизъм за машинно обучение. Опитваме се да го вградим в компонентите на нашата платформа и постепенно да го вградим в нашата система за вземане на решения.
6. Максимална надеждност 24x7. Ние сме огромна гръбначна банка, надеждността е нашето всичко. Затова полагаме много усилия, за да гарантираме, че информационната система е възможно най-надеждна.
7. Хоризонтално мащабиране на хардуер от нисък клас. Нашите настоящи информационни системи са стабилни, мощни и големи, но ние работим на голям висок клас. Много доставчици вече са ограничили част от своите линии, фокусирани върху максималния висок клас, преминавайки към средния диапазон, към други архитектури. Ние също се опитваме да се измъкнем от това, да намалим цената на собственост.
8. Използване на технологии с отворен код. Да, ние сме голяма банка, имаме собствени разработки, знаем как да работим с традиционни архитектури, но започнахме постепенно да преминаваме към отворен код.
9. Съхранение и обработка на данни в паметта. Имахме големи дискусии дали да използваме тази технология или не. От една страна, това са големи рискове, от друга – най-големите възможности по отношение на скоростта на обработка на данните. На последната конференция на Gartner Symposium в Барселона се проведоха дискусии с архитекти и големи анализатори за това как да се изградят информационни системи, какви са възможностите и ограниченията.
Какво е платформа, как да я представим
Първо, изградихме ядрото на платформата и някои от ключовите услуги, които приписваме на бизнес центъра (система за вземане на решения, унифициран клиентски профил, продуктов каталог). Но сега се движим в няколко посоки, включително защото сме големи, много по-трудно ни е да се люлеем.
Платформата се състои от няколко архитектурни слоя. В долната част е технологичното ядро.
От "лего блокчетата" можете да съберете част от останалите слоеве. Това всъщност са компоненти за многократна употреба,
които се използват на други нива.
Сърцето на новата платформа е бизнес центърът. Това са блокове като унифицирания клиентски профил,
продуктов каталог, система за вземане на решения. Това са новите решения, които сега изграждаме,
които позволяват гъвкаво персонализиране на процеси и продукти.
По-горе имаме Единна фронтална система. Важно е да осигурим омниканален опит за нашите клиенти.
Големият блок са хранителни фабрики. Това включва заеми, депозити и други традиционни продукти. Но в същото време разработваме нови комплексни продукти, например комбинация от застрахователни и кредитни продукти.
Можете да създадете всеки бизнес на компонентите на платформата
Нашата цел е да направим платформата гъвкава и адаптивна, така че да можем да вграждаме нови компоненти в нея. Вече говорихме за API и компонентизация, сервизния подход на всички нива на платформата. Много е важно. Платформата осигурява интеграция и персонализиране на всички нива.
Кои са основните технологии, които използваме
Ето само няколко от тях:
1. Съхранение и обработка на данни в паметта. Ние си сътрудничим с компанията GridGain, минаваме по доста труден път, защото другата страна на скоростта на работа е надеждността на системата. Някои от елементите, които липсват в този продукт, ние всъщност внедряваме от нулата. Трудно е, понякога сроковете се изместват, но ние вървим по този път, защото ефектът е голяма мащабируемост.
2. Хоризонтално мащабиране на сървъри от нисък клас. Цялата ни сглобка е x86 машини.
3. Отворен код. Боли и доста. Започнахме преди няколко години да преминем към отворен код, да се учим. В интеграционния слой използваме решения като Kafka, ZeroMQ. Като BPM решение ние използваме решението с отворен код Activiti. Използваме WildFly като сървър на приложения.
Ако говорите с големи компании, повечето от тях публикуват всичките си решения. Например изучавахме опита на Alibaba. Нашата стратегия също включва това. Но това изисква известна наша зрялост като организация. Сега сме в началото на пътуването, но определено ще го публикуваме, защото ще даде съвсем различни възможности.
Говорих за системата за вземане на решения - ядрото и сърцето на нашата платформа. Тази част е болезнена за отваряне от самото начало. Ще отворим части, започвайки с компоненти, които не са критични за мисията. Нашата задача е да можем да отворим кода на определен компонент, така че общността вече да може да го прецизира. Сега имаме доста предпазлив подход.
Какво представлява Единната фронтална система, как да я изградим
Основното изискване е изпълнението на омниканални фронтални сценарии. Сложността тук е в по-малка степен техническа, в по-голяма степен - организационна. Сигурен съм, че в много банки организационната структура е такава, че един човек отговаря за дистанционните канали, друг отговаря за брънчовете и клоновете, а трети отговаря за кол центъра и мрежата. И, разбира се, когато говорим за сценария за омниканално обслужване на клиенти, той трябва да се прилага колкото е възможно повече във всички канали. За да се гарантира това, е важно да се постигне споразумение на ниво всички отговорни лица.
Разполагаме с голям набор от инструменти. В момента активно използваме технологията React. Има и Angular. Това са две алтернативи. Ние се спряхме на React.
Интеграционният слой създава изолация на предната система от бек офиса и нашата друга информационни системи. Основното предизвикателство е да се гарантира, че обслужването на клиентите в различните канали се извършва по последователен начин. Това е нашият целенасочен подход. Стартирахме програмата преди две години, сега навлизаме във фазата на репликация. Има функционалност за клонове и контакт център. Следващата година ще бъде доста активно посветена на дистанционните канали.
Бизнес център
Исторически всеки клиент на Сбербанк е живял в собствен автоматизиран
банкова система. Сега се отдалечаваме от този подход, като се движим колкото е възможно повече към онлайн
клиентски профил към главната система.
Други важни компоненти на бизнес център са продуктовият каталог; система за вземане на решения;
изпълнение на процеси от край до край; и интеграционен слой, изграден върху Kafka и ZeroMQ.
Счетоводните услуги са разделени с помощта на парадигмата на счетоводната машина, тоест продуктовото счетоводство
отделени от счетоводството.
фабрика за данни
Това е нова стратегическа програма. Направихме голям залог на Hadoop и свързаните с него технологии. Има определени ограничения, но ние се опитваме да ги преодолеем. Използваме класически решения. Внедряваме и решения от Teradata.
Важното за платформата е, че трябва да се научим как да прокарваме данни от нивото на хранителната фабрика до аналитичното ниво достатъчно ефективно, за да правим много сложни анализи, които не можем да правим онлайн.
Работа с екип
Голям вектор на промени в банката е свързан с изграждането на тясно взаимодействие между бизнеса и ИТ като част от внедряването на Agile. Ние го наричаме Sbergile. От една страна се чуваме, от друга, този подход внася повече хетерогенност, защото отборите работят паралелно, трябва някак си да се синхронизират. IN този случайархитектурният контрол е много важен. Но без общ фокус върху изграждането на нова платформа, няма да мръднем никъде. След като сме си поставили нова цел, трябва да се съобразим с нея.
Платформата е основата за изграждане на екосистема
Голямо направление в нашата стратегия е свързано с развитието на екосистемите. Това са услугите на нашите дъщерни дружества и нашите партньори, които трябва да развиваме. Общата идея е да се даде бърз старт на тези сайтове, които ще бъдат част от екосистемата на Сбербанк.
Бърз старт може да бъде даден, наред с други неща, от ядрото на платформата, защото някои от елементите могат да бъдат използвани повторно. Говорим за такива услуги като идентификация, обмен на данни, API. Това са блоковете, от които всеки ще се нуждае. От друга страна, ако това е нов бизнес, тогава елементите на платформата ще ви помогнат да създадете решение по-бързо.
Бих искал да завърша с цитат от Махатма Ганди, че „бъдещето зависи от това, което правите днес“. Така че нека го направим. вървим по този път.