Alisa Melnikova, directorul general al SberTech, a declarat destul de lejer că „compania pe care o conduce până la sfârșitul anului a devenit cel mai mare dezvoltator din Federația Rusă software cu un venit de 15,2 miliarde de ruble (o creștere de 46%) și un personal de 6.515 oameni față de 5.300 de oameni în 2014”.
„SberTech” a agitat piața IT
SberTech este o subsidiară a Sberbank și dezvoltă și implementează software pentru această bancă. Multe companii IT din Rusia nu le-a plăcut de mult acest furnizor. Există mai multe motive pentru aceasta. În primul rând, integratori majori precum CROC sau Lanit furnizează acum Sberbank doar soluții hardware și sunt strict eliminați din software.
În al doilea rând, SberTech, ca un aspirator, scoate programatorii de pe piață, oferindu-le condiții de lucru substanțial mai bune. Nu există o singură companie de IT în Federația Rusă și Belarus care să nu-și fi pierdut angajații din cauza lui. Nu există o singură bancă de la care top managerii blocului IT să nu plece acolo.
În al treilea rând, după punerea în funcțiune a proiectului Canalului Mânecii (un middle office fără hârtie bazat pe platforma Pega PRPC pentru 40 de mii de utilizatori) la sfârșitul anului 2015, HP, Canon, Xerox și alți furnizori de imprimante s-au apucat de ei. Dacă mai devreme, o dată pe săptămână, un camion întreg de hârtie a fost livrat doar la biroul central al băncii din Moscova, acum există destulă Gazelle. Și apoi doar pentru semnarea contractelor cu clienții.
Dezvoltarea open-source și internă este o prioritate
Și, în sfârșit, ceea ce este interesant pentru dezvoltatorii de software, SberTech a trecut complet la open-source și la propria dezvoltare. Cu ajutorul acestui set de instrumente, în viitorul apropiat, este necesar să se rezolve trei super-sarcini: crearea unui sistem front-end unificat (EFS) pentru dezvoltarea canalelor de servicii pentru clienți, o platformă de sprijin pentru dezvoltarea afacerii și lansarea unei fabrici de date bazată pe tehnologii BigData.
Conferința din 6 februarie a fost dedicată unei analize mai detaliate a proiectului FSE. De ce a trebuit Sberbank să o conducă? De ce ar trebui să vorbească înalții oficiali ai băncii despre asta în fața programatorilor? Răspunsul a fost dat de managerul superior al Sberbank Vadim Kulik responsabil de IT și managementul riscului băncii.
Potrivit acestuia, banca a devenit de mult cobaiul Oracle Corporation. Nicăieri altundeva nu au o instalare atât de mare a bazei de date a acestui furnizor cu o astfel de încărcare pe front office. Cu o astfel de încărcare și scară, „atât de mulți gândaci” ies din această bază de date, încât nu este clar cine ar trebui să plătească bani cui pentru licențe.
Ca răspuns la aceasta și la multe alte provocări, SberTech a început să-și dezvolte propriile competențe. Acestea sunt atât propriile noastre dezvoltări, cât și achiziționarea de startup-uri. De exemplu, acesta este GridGain, care este specializată în dezvoltarea de software pentru procesarea unor cantități mari de date în RAM în timp real (tehnologia In-Memory Computing, IMC).
În același timp, GridGain dezvoltă o platformă de calcul distribuită open source în Java, distribuită sub licențe LGPL și Apache 2.0. Acest fapt, după cum se spune, face posibilă cu succes și cu investiții financiare minime „substituția importului”, de exemplu, o astfel de soluție germană proprietară precum SAP HANA. Deci, dacă startup-urile fintech au ceva de arătat, trebuie să caute urgent unde se află Sberbank.
În ceea ce privește fața, calea aleasă de unificare și centralizare a tuturor numeroaselor produse într-unul singur, atât pentru operatorii proprii, cât și pentru clienții cu o interfață ușor de utilizat pentru toate dispozitivele. La scara Sberbank, aceasta este o muncă cu adevărat colosală. Până de curând, o modificare, de exemplu, a ratei de actualizare Al Băncii Centrale RF în toate sistemele a durat până la 3 luni. Cu un asemenea ritm, poți pierde cu ușurință în competiție în fața aceleiași Tinkoff Bank.
Sberbank este egal cu Amazon sau Google
Sarcina este de a realiza lansarea aproape online a produselor pe piață datorită EFS și aceeași reacție online la schimbările pieței datorită BI și BigData bazate pe magistrala de integrare SOA, spre deosebire de ABS și ERP bancar tradițional. Acest lucru, conform conducerii de vârf, pune Sberbank la rând nu cu instituțiile financiare, ci cu giganții tehnologici precum Amazon sau Google. Cel putin in Rusia. În același timp, nu trebuie uitat că banca este vulnerabilă la sancțiunile occidentale - prin urmare, accentul se pune pe dezvoltarea sa. Și, prin urmare, abordările „ Banca Tinkoff„Nu prea i se potrivesc.
Acest fapt îl face pe SberTech să pornească „aspiratorul” într-un mod nou și să caute programatori care să facă față mental acestor provocări. După cum au menționat vorbitorii, specialiștii IT care lucrează în bănci sunt orbiți și nu doresc schimbări inutile. Prin urmare, ochii recrutorilor s-au îndreptat către Yandex și altele asemenea.
Dar și acolo nu sunt nenorociți, sunt gata să țină specialiști cu orice preț. Prin urmare, SberTech este gata să ia în considerare candidații pentru posturi de juniori, își deschide propria școală pentru formarea programatorilor Java și JavaScript (despre PHP nu s-a spus un cuvânt). Am vorbit mult la mese rotunde despre dezvoltatorii de interfețe și designerii de layout. S-a dovedit că pe piața rusă practic nu există specialiști duri în acest domeniu, în special în domeniul mobil.
Conferința a durat o zi întreagă cu multe mese rotunde. Nu există nicio modalitate de a descrie totul pe scurt, organizatorii conferinței au promis că vor posta un videoclip al evenimentului pentru toți cei interesați. Și totul a fost despre ESF! Dar în paralel se dezvoltă încă două megaproiecte, despre care s-a scris mai sus. Se pare că SberTech poate ajunge din urmă cu marii furnizori americani într-un asemenea ritm.
Această structură subsidiară a băncii, ca de obicei, a început să implementeze toate proiectele IT ale băncii și a planificat să lucreze pentru piata deschisa... Dar totul a mers prost. Fundația de tehnologia informației a „cea mai mare bancă din Europa de Est” are nevoie de o revizuire completă. Înființată în 2011, compania nu a fost la înălțimea așteptărilor de 7 ani.
Puteți încerca, desigur, să vă certați cu cifrele. Să spun că acum este cel mai mare angajator IT din țară. Peste 10 mii de programatori! Putem spune că veniturile au crescut în ultimul an. Dar acesta este un indiciu clar că banca a început să cheltuiască și mai mult pe IT, fără a îmbunătăți calitatea serviciilor.
Directorul general Alisa Melnikova a părăsit compania în iunie anul trecut. Dar nu a ajutat cu adevărat compania. Pe întreaga existență a subsidiarei și extrem de importantă pentru Sberbank, compania a acumulat atât de multe probleme încât toți împreună încep deja să o înece pe cea de cap.
1. Prea multi oameni
Acest motiv este rezultatul unui amestec de gigantomanie a erei sovietice și dorința unor manageri de vârf specifici de a avea bugete și putere. Dar un alt motiv este că mâna dreaptă nu înțelege ce face stânga. Îți amintești minunata zicală a lui Gref despre programatori?
"Nu este nevoie de programatori astăzi. Avem un număr mare de programatori cu care ne luptăm", a spus German Oskarovich.
Jumătate dintre ministere și majoritatea companiilor de pe piață țipă și urmăresc cu plasa după „constructorii” supraevaluați și extrem de necesari economiei digitale, care ar trebui să fie programatori, iar Gref a decis să lupte cu ei. Cu cine vom realiza viitorul? De ce companiile au nevoie de atât de mulți oameni? Același VTB sau „Alpha” cu Tinkov cheltuiește mult mai puține resurse umane pentru implementarea caracteristicilor exact aceleași sau chiar mai bune. În același timp, oamenii sunt ademeniți din piață cu salarii duble și promit că vor schimba cu siguranță lumea de aici. Dar, de fapt, se dovedește a fi o cu totul altă poveste. Pe hârtie, este nevoie de 200 de programatori și câteva luni de muncă grea pentru a pune un buton într-un CRM.
2. Fără descoperiri
EFS, PPRB și FD. Compania este mândră de acest lucru și îl publică deschis pe site-ul său web. Să aruncăm o privire la un exemplu concret. EFS - Sistem frontal unificat. Ce este?
Sistemul Unificat Frontal are ca scop creșterea nivelului de confort pentru clienții Sberbank atunci când primesc servicii, precum și confortul, rapiditatea și eficiența angajaților sucursalelor care sunt angajați în serviciul clienți. ESF este bazat pe canale încrucișate. Oriunde vine utilizatorul - printr-o aplicație, un browser pe un computer de acasă, printr-un apel către un call center sau un birou - el poate continua să servească prin orice canal din momentul în care s-a încheiat ultima interacțiune pe oricare dintre canale - sistemul trebuie să recunoască profilul clientului... În plus, ESF, datorită propriei API-uri, permite partenerilor să intre în sistem, precum și să se integreze cu platforme terțe.
Dar o grămadă de servicii pot face asta astăzi! Ce v-a împiedicat să finalizați Bitrix24 sau un număr mare de alte sisteme pentru a implementa ceea ce este scris mai sus? Acesta nu este un fel de spațiu. Aceasta este realitatea. Ei bine, da, Sberbank este mare. Dar nu singurul din lume. Ar fi posibil să-i spionezi pe alții pentru a face ceea ce trebuie. Exact la fel cu restul proiectelor. Pentru o descoperire, sunt emise prostii absolut slabe. Iar unele din aceste „prostii” nici nu au fost create încă, ci există doar pe hârtie.
3. Tris plictisitor
Unul dintre motivele pentru care „holy agile and scrum” nu funcționează este că sunt implementate de anumite persoane. La Sbertech, sub condiția anonimatului, mai mulți colegi din companie au confirmat că uneori pur și simplu nu înțeleg ce fac și cum va schimba lumea. Toți acești 10 mii de programatori nu sunt necesari de bancă într-o asemenea cantitate. Deci sunt inactivi. Pentru banii noștri.
4. Impunerea unor funcții extrem de ciudate companiei
Iată scandalul cu un analist de la Sberbank CIB. A dispersat întreaga structură. Și acum Gref și-a anunțat intenția de a înlocui analiștii cu „inteligență artificială”.
Ei bine, prostii! Dar mulți ascultă cu gura deschisă. Și se așteaptă ca Sbertech să facă totul acum. Atâția programatori! Dar la fel cum 9 femei nu vor avea un copil într-o lună, la fel aici - ei bine, nu vei putea înlocui analiștii cu un computer sau o rețea neuronală anul acesta. Și imaginați-vă acum care sunt riscurile strategice pentru compania-mamă.
5. Eșecuri permanente în activitatea societății-mamă
Ce putem spune, dacă chiar și la SPIEF un întreg nor de persoane din interior a vorbit cu voce tare despre perturbări masive în activitatea Sberbank pe forum. Ceea ce este doar o rușine. Compania, de altfel, nu a confirmat acest lucru, dar nici nu a negat, ceea ce demonstrează indirect corectitudinea zvonurilor. Dar eșecurile regulate, blocarea conturilor pentru transferul a 666 de ruble și povești similare sunt o altă dovadă a impotenței managerilor. Da, a fost greu, da, era o bancă de economii obișnuită. Dar nimeni nu te-a scutit de bani și timp pentru transformare. Speranța era că vei fi cel mai bun din lume. Între timp, se dovedește că nu ne-ați justificat deloc speranțele.
Sberbank implementează cu succes inițiative strategice care vizează construirea unei platforme tehnologice și transformarea într-o companie de tehnologie până la sfârșitul anului 2018.
Program strategic „Fiabilitate 99,99”
Sberbank a făcut multe pentru a asigura fiabilitatea ridicată a sistemelor sale. Printre reperele importante ale acestei lucrări se numără organizarea geo-rezervării serviciilor centrului de contact al Sberbank; crearea nucleului unei noi rețele locale foarte fiabile; munca serviciilor clienților la efectuarea de tranzacții în magazine online, transferuri, acordare de împrumuturi, deservire prin canale la distanță în modul Stand-In 24 × 7 în timpul incidentelor și lucrări tehnologice. Timpul de nefuncționare al sistemelor automate critice ale centrului de date Yuzhny Port nu depășește 1,6 ore pe an. Acest centru de date este certificat conform Tier Certification Operational Sustainability, Uptime Institute, nivelul GOLD.
Serviciile extrem de critice pentru transportul datelor între sistemele automate ale Sberbank au fost trecute la modul de funcționare 99,999%, adică timpul de nefuncționare al sistemului nu este mai mare de 5 minute pe an. Acest lucru asigură continuitatea furnizării serviciilor de bază către clienții privați și corporativi.
În sistemul Sberbank Online, angajaților a fost alocat un bloc pilot, în care noi versiuni de Sberbank Online sunt testate înainte de replicarea pe scară largă, ceea ce reduce riscurile și scurtează timpul de implementare.
Programul de transformare a organizației IT
Sberbank a introdus prin proces de fabricațieși planificarea resurselor, datorită cărora a crescut controlul asupra lansării și implementării proiectelor, durata medie a proiectelor a fost redusă de la 30 la 18 luni. Proces nou implementarea sarcinilor non-proiectare a permis reducerea timpului de implementare a acestora de 1,9 ori. A crescut satisfacția clienților interni, care în domeniul implementării componentei IT a proiectelor a crescut de 3,8 ori, în domeniul implementării sarcinilor non-proiect - de 3 ori. Sberbank a finalizat transformarea organizației sale IT. A fost creată o platformă pentru transformarea tehnologică.
Programul de Transformare Tehnologică
La Sberbank a început transformarea agilă, care constă în trecerea la o metodă de dezvoltare agilă numită Sbergile. Echipele Sbergile sunt dotate cu automatizare de bază, a fost dezvoltat un proces iterativ de dezvoltare a serviciilor.
Sberbank a creat un proces unificat pentru gestionarea producției operaționale și IT, a incidentelor și a standardelor tehnologice.
Numărul funcției de suport pentru operațiunile clienților a fost redus cu 13%. Au fost transformate centrele regionale de sprijinire a operațiunilor clienților din orașele Khabarovsk și Voronezh. Operațiunile IT sunt acceptate în toate fusurile orare.
Program Platforma de sprijin pentru dezvoltarea afacerilor (18+).
Platforma este concepută pentru a deveni un designer universal pentru crearea de aplicații de afaceri.
Performanța și scalabilitatea arhitecturii In-Memory Data Grid au fost practic confirmate, în special, s-a atins o performanță ridicată de 35 de mii de tranzacții pe secundă. A fost creat un singur spațiu de informare, unde au fost încărcate cu succes datele despre 100 de milioane de clienți. Au fost dezvoltate mecanisme de audit, autorizare, acces la date și procesare în loturi. Au fost introduse cele mai importante servicii pentru afaceri: un profil unificat de client al blocului Retail, un catalog unificat de produse și tarife în ceea ce privește depozitele și carduri bancare, prețuri dinamice. Au fost lansate primele fabrici de produse alimentare: transferuri P2P, achiziții de comercianți și depozite.
Echipa Programului a primit statutul de dezvoltatori ai comunității open-source a Apache Software Foundation. Proiectelor Programului li sa oferit oportunitatea de a dezvolta componente open-source ale stivei tehnologice de platforme.
Program cu un singur sistem frontal
Scopul Programului este de a crea un standard uniform pe toate canalele de servicii pentru clienți.
Accentul principal al Programului în 2016 a fost pus pe creșterea vânzărilor active către clienții privați prin intermediul centrului de contact, creșterea loialității clienților corporativi prin serviciul de rezervare de cont la distanță fără a vizita biroul Sberbank și reducerea costului serviciilor de centre de contact externe pentru clienți corporativi.
Din punct de vedere tehnic, pentru aceasta, a fost creată o bibliotecă unificată de componente de interfață ale serviciilor de bază ale sistemului, care sunt folosite pentru a crea o interfață cu utilizatorul. Utilizarea bibliotecii permite creșterea vitezei de dezvoltare a formularelor de ecran cu 30–35% și reducerea costului dezvoltării lor cu 15–20%. Au fost dezvoltate o serie de componente open-source, care sunt prezentate pentru reutilizare pentru acces gratuit la comunitatea Internet. A fost implementată o conductă pentru asamblarea automată a aplicațiilor, iar tehnologia de implementare automată a sistemului în toate mediile este în curs de pilotare. Utilizarea tehnologiei DevOps va duce la o reducere semnificativă a timpului de lansare pe piață și va permite ca produsele să fie introduse pe piață de multe ori mai rapid.
Funcţional deschidere de la distanță conturi, proiecte salariale, carduri corporative au fost mutate pe o nouă platformă digitală corporativă. Acesta este primul pas către tranziția la Sistemul Frontal Unificat.
A fost creat un loc de muncă mobil pentru un agent de vânzări directe, care va permite planificarea întâlnirilor și optimizarea rutelor de călătorie, ținând cont locatie geografica clientii.
Programul este implementat integral conform metodei Agile. Durează opt săptămâni de la idee până la deschidere. Peste 90 de echipe Agile lucrează în cadrul Programului. În 2016, s-a format cea mai bună echipă de profesioniști IT și experți în afaceri. Echipa are peste 1.000 de angajați din unitățile de afaceri Sberbank și 17 centre de competență Sberbank-Technologies. Pentru a atrage cei mai buni specialiști, Sberbank a organizat o zi a porților deschise și un hackathon internațional de design.
Programul Data Factory
Scopul Programului este de a oferi Grupului condiții pentru atingerea unei viteze competitive de lansare pe piață a produselor noi, monetizarea datelor, creșterea vitezei de luare a deciziilor de management și reducerea costului deținerii datelor. Programul a combinat activități pentru crearea de servicii de date și dezvoltarea infrastructurii, ținând cont de tendințele actuale în construcția de depozite de date corporative și platforme analitice.
Proiecte cheie ale programului:
- profil client „4D” – mărește caracterul complet al informațiilor și profunzimea istoriei clientului corporativ;
- „Personalizarea în masă” – crește eficiența proceselor cu același nume din afacerea de retail prin obținerea rapidă a unor informații fiabile despre clienți pe baza datelor;
- „Boutique conveyor” – crește veniturile de la clienții CIB prin reducerea intervalului de timp și creșterea eficienței luării deciziilor în ceea ce privește informarea clienților;
- proiectul Geomarketing 2.0 oferă clienților externi ai Sberbank informații despre potențialul economic al anumitor locații geografice.
În cadrul Programului, performanța depozitului de date analitice a fost crescută. A fost creat un nou, cel mai important element al arhitecturii - cloud-ul de date este un depozit de date distribuit pentru prelucrare ulterioară, unde sunt încărcate primele date ale celor mai mari sisteme Sberbank - Unified Corporate System și Unified Loan Portfolio. A lansat o zonă de experimentare a datelor și de testare a ipotezelor de model pentru utilizatorii de afaceri. Sberbank a reușit să reducă la 10 zile timpul pentru livrarea unică a datelor la solicitarea diviziilor Sberbank (anterior, perioada era mai mare de patru luni).
Program de centralizare 3.0
Scopul Programului este de a finaliza centralizarea peisajului prin creșterea semnificativă eficiență economică active IT. În 2016, în cadrul Programului, au fost dezafectate 682 de sisteme automate non-țintă (cu un plan de 410) și două centre de date. Alte 270 de sisteme non-țintă și șapte centre de date sunt planificate să fie eliminate treptat în 2017 și înlocuite cu echipamente IT.
Din această conversație, veți afla ce face exact Sberbank-Technologies, o companie IT subsidiară a Sberbank, care canale Telegram ar trebui să fie citite de specialiștii în securitatea aplicațiilor și de ce în timpul antrenamentului nu trebuie uitat de practică.
INFO
Sberbank Technologies (SberTech) este o filială IT a Sberbank, fondată în 2011. Totul a început cu o echipă de 500 de oameni. Aceștia au fost în principal specialiști IT ai Sberbank, care s-au mutat să lucreze într-o structură IT separată.
Astăzi, personalul SberTech este de aproximativ 11 mii de oameni în șaisprezece orașe din Rusia. Centrele cheie de dezvoltare sunt concentrate în aceste orașe, unde se adună echipe regionale de specialiști IT: Moscova, Saint Petersburg, Novosibirsk, Innopolis și așa mai departe.
SberTech dezvoltă și implementează software, precum și susține sistemele IT existente ale Sberbank. În acest moment, Sberbank este singurul client al companiei.
Artem Bachevsky, șeful dezvoltării sistemelor IT în cadrul Departamentului de securitate a aplicațiilor
Spune-ne ce face SberTech, la ce proiecte lucrezi acum?
În prezent, proiectul cheie este dezvoltarea unei noi platforme tehnologice pentru Sberbank. Transformă modelul de afaceri într-un ecosistem. Acest ecosistem va oferi servicii non-financiare, va conecta parteneri și contractori, va putea procesa cantități mari de date într-un timp scurt și va avea performanțe ridicate ale sistemului.
Să aruncăm o privire mai atentă la serviciile non-financiare. Despre ce proiecte vorbim?
Astfel de proiecte există deja acum, deoarece ecosistemul se dezvoltă din 2016. Tranziția completă la noua platformă tehnologică este planificată până în 2020. Sberbank se străduiește să nu furnizeze doar servicii financiare și achiziționează în mod activ parteneri. De exemplu, Sberbank-Real Estate ( SRL „Centrul imobiliar de la Sberbank” face parte din grupul de companii Sberbank. - Aprox. ed.), „Sberbank-Insurance”, serviciu de internet pentru găsirea medicilor DocDoc și așa mai departe. Astfel, se realizează transformarea într-un ecosistem. Companii precum Alibaba, Amazon, WeChat urmează o cale similară.
„Ecosistem” și „platformă tehnologică” sunt cuvinte frumoase, dar vreau să aud mai multe detalii. Care este esența platformei tale, ce anume dezvoltați și de ce sunt aceste tehnologii remarcabile?
Noua platformă constă din trei programe cheie.
Platforma de sprijin pentru dezvoltarea afacerilor- un instrument universal pentru crearea de aplicații de afaceri. Banca trebuie să se transforme într-o Piață care să reunească o varietate de instrumente pentru a atinge obiectivele clienților săi. Acest lucru necesită o fundație - o nouă platformă: scalabilă, flexibilă, fiabilă și deschisă, capabilă să se schimbe în timp real. Folosit în dezvoltare Cele mai noi tehnologii calcul distribuit în memorie și aplicații cu cantități mari de date în timp real - În Memory Data Grid.
Programul Data Factory este conceput pentru a îmbunătăți calitatea, fiabilitatea și disponibilitatea datelor pentru analiză. Angajații băncii se vor putea angaja pe deplin în analiza și interpretarea datelor fără costuri suplimentare cu forța de muncă pentru colectarea și reconcilierea acestora. Big Data oferă lucru cu date supermasive pentru a monetiza informațiile și analiza comportamentală a clienților și angajaților, pentru a ajusta strategiile de lucru cu diferite segmente.
Sistem frontal unificat- platformă cross-funcțională, dezvoltare proprie Sberbank. Instrumentele platformei oferă o experiență trans-canal perfectă pentru toate produsele și serviciile. Stiva de tehnologie menține performanța ridicată, fiabilitatea și siguranța utilizatorului. În plus, datorită propriei API, ESF permite partenerilor să intre în sistem, precum și să se integreze cu platforme terțe.
Acum să vorbim despre securitate. Artem, spune-ne ce face departamentul tău?
Divizia noastră se ocupă de Securitatea aplicațiilor - securitatea aplicațiilor. Secția este relativ tânără, de aproximativ doi ani și jumătate.
Al nostru datorie principală- asigurarea securitatii aplicatiilor. Practic, acestea sunt sisteme automate care sunt critice pentru bancă, dar toate noile dezvoltări mobile și critice de misiune intră și în domeniul nostru de responsabilitate.
Acum, departamentul are cincisprezece oameni. Ele pot fi împărțite condiționat în trei echipe: echipa de testare de penetrare, testare de penetrare mobilă și dezvoltare internă. Echipa a reunit angajați cu diferite medii tehnice, în principal din diverse domenii ale securității informațiilor, dar sunt și băieți din management și dezvoltare IT. Împreună cu colegii noștri de la Sberbank, creștem securitatea AS dezvoltat, menținem un compromis rezonabil între nevoile de afaceri, confortul utilizatorului și riscurile în continuă creștere în domeniul dezvoltării software.
Toate acestea le realizăm datorită expertizei puternice a angajaților Sberbank și SberTech, precum și unui SDL (Secure Development Lifecycle) matur și fundamental, care ține cont de tendințele și abordările moderne (Agile & DevOps) în domeniul dezvoltării software.
Echipa de pentesteri web este angajată în implementarea diferitelor practici, analiza rezultatelor acestora și desfășurarea pentestului în sine. Echipa pentest mobil face același lucru, dar pentru aplicații mobile. Aplicatii mobile banca are multe, aceasta nu este doar Sberbank-Online, există și Business-Online, servicii corporative și așa mai departe.
Cum este construită această infrastructură, ați menționat SDL?
Încercăm să construim infrastructura în așa fel încât colegii care se află „în contextul codului” să ne ajute în analizarea rezultatelor scanării, revizuirea codului și scrierea regulilor pentru SAST (testarea de securitate statică a aplicațiilor). Ca parte a inițiativei de a oferi valoare continuă pentru client, asigurăm securitatea aplicației prin introducerea contextului Sec în DevOps, care este construit la Sberbank și SBT, iar fără implicarea echipelor, acest lucru este pur și simplu imposibil.
Practica de a implica dezvoltatori prin campioni ai securității s-a dovedit foarte bine. Campionii securității sunt angajați din echipele de dezvoltare interesați de dezvoltarea profesională în domeniul securității informațiilor pentru îmbunătățirea securității sistemului, reducerea riscului de vulnerabilități. Acest lucru se realizează prin creșterea nivelului de competență al echipelor de dezvoltare AS în materie de securitate a informațiilor, replicarea practicilor de dezvoltare a aplicațiilor securizate și reducerea ciclului de viață al unui defect de securitate a informațiilor.
De asemenea, desfășurăm în mod regulat diverse programe de conștientizare și instruire. O dată pe trimestru, avem o conștientizare generală pentru toți veniți. Avem un training de imersiune în dezvoltarea securizată Java. Ideea este că este limbajul de programare țintă la bancă, așa că accentul este pus pe el. Există exact aceleași scufundări vizate pentru Android și iOS.
Aproximativ câte ore de pregătire primesc dezvoltatorii tăi pe an?
În domeniul securității, aproximativ patruzeci de ore pe an.
Care credeți că este rolul educației astăzi? În fiecare zi există ceva nou, cum să ții pasul cu el?
Predăm elementele de bază și nu ne străduim imediat să transformăm publicul în experți în securitate cibernetică. În această etapă, este suficient să-i implicați în subiect și să puneți cunoștințele de bază. Să spunem că, în contextul Java, acestea vor fi practicile dezvoltării securizate de aplicații web, pentru că în acest domeniu multe sunt blocate pe securitatea web.
Ce trebuie să facă un specialist pentru a „rămâne mereu pe vârf”?
Vă recomand cel puțin să vă abonați la canalele tematice Telegram pentru a rămâne în tendințe și a vă înțelege interesele în profesie. Personal, am citit HackerNews, Habrahabr și Hacker. Puteți să bifurcați ceva pe GitHub, să îl încercați, să îl evaluați și apoi, eventual, să îl implementați. Nu trebuie să vă scufundați în subiect cât mai profund posibil, dar cu siguranță trebuie să încercați constant ceva nou.
De asemenea, după părerea mea, este o bună practică să participați la diferite programe CTF și bug bounty. Unele abilități pot fi achiziționate în CTF, iar bug bounty vă permite să „simți” legal securitatea sistemelor interesante.
Desigur, studiul este bine, dar antrenamentul singur, după părerea mea, nu va duce departe. La urma urmei, fără practică, învățarea nu are valoare, iar în spatele oricărei experiențe reale, în primul rând, se află munca adevărată.
Ai absoluta dreptate. Povestește-ne despre antrenamentele și gradul de conștientizare, cum se întâmplă?
Încercăm să implementăm diverse activități și să gamificăm procesele de dezvoltare. De exemplu, la conferința ZeroNights 2017, am prezentat un CAPTCHA-CTF. A fost o competiție interesantă, în care fiecare provocare este un captcha cu o eroare logică sau programatică în implementarea sa. Am invitat participanții la conferință să găsească aceste vulnerabilități, care permit rezolvarea multor captch-uri într-un timp scurt.
Sarcina era simplă: era necesar să se „rezolve” douăzeci de captch-uri în zece secunde, fără a le rezolva efectiv. Participanții nu au fost nevoiți să tasteze toate acestea manual, trebuiau, de exemplu, să implementeze injecția SQL, astfel încât nimic să nu depindă de valoarea introdusă. De exemplu, într-una dintre sarcini, captcha-ul ar putea fi rezolvat probabil - dacă continuați să tastați răspunsul „5”, atunci cu o probabilitate de 25% captcha va fi trecut.
Care este sarcina unui astfel de concurs? Puțini oameni implementează captcha-uri singuri astăzi. La urma urmei, există un reCAPTCHA gata făcut și relativ de încredere (dacă este implementat corect), dar puteți face o greșeală în implementarea acestui mecanism. Dacă totuși cineva decide să-și implementeze propriul captcha, atunci participarea la o astfel de competiție va lăsa mult mai puține șanse de apariție a vulnerabilităților, deoarece o persoană poate vedea multe greșeli în timpul competiției. Mai mult, aceste probleme se aplică nu numai captch-urilor: există multe alte mecanisme prin care poți face greșeli similare.
Are SberTech instruire centralizată, de exemplu, programatorii sunt instruiți?
Toți angajații au oportunități de a învăța: extern (cursuri și evenimente), intern (meetups, hackathon-uri, schimb regulat de experiență în cadrul echipelor și departamentelor). Experții interni și externi vorbesc la întâlniri: de exemplu, unul dintre ultimii a fost dedicat calculului cuantic împreună cu IBM.
Pentru studenți și specialiști începători, SberTech organizează școli gratuite de dezvoltare mobilă pentru iOS și Android, Java și BPM. Pe baza rezultatelor studiilor, îi invităm pe cei mai buni studenți să lucreze.
Să trecem la exersare și la stiva ta. Spune-ne în ce constă.
Încercăm să găsim vulnerabilități cât mai devreme posibil, așa că am folosit SAST (testare de securitate statică a aplicațiilor) și DAST (testare dinamică de securitate a aplicațiilor) de când a fost scrisă prima linie de cod. Pe baza unui produs SAST popular, construim o soluție care adaugă securitate la DevOps pentru multe sisteme automatizate dezvoltate la SberTech. Acum implementăm OWASP ZAP în DevSecOps, ceea ce ne va permite să dezvoltăm aplicații și mai sigure și mai fiabile.
De asemenea, căutăm vulnerabilități cunoscute în componentele publice. Pentru aceasta, a fost creat un utilitar care adună rezultatele altor instrumente similare (verificarea dependenței OWASP, Retire.js), precum și scanează codul sursă, izolând componentele utilizate de acesta, care sunt apoi verificate în bazele de date publice de vulnerabilități (NIST, CVEdetalii).
Ca urmare a analizei manuale a erorilor, am acumulat un anumit set de date cu aprecierea experților și am antrenat un model (învățarea automată este atât de hype acum), care determină șansa ca o vulnerabilitate să fie cu adevărat pozitivă. Acest model ajută foarte mult, pentru că măcar se ocupă de clasament. Să presupunem că verificarea dependenței OWASP are o rată de fals pozitive foarte scăzută, dar dă foarte puține rezultate. Utilitatea noastră are o rată de fals pozitive mai mare, dar datorită clasamentului și mult mai multor rezultate, uneori surprindem vulnerabilități care nu au fost detectate anterior de alte instrumente.
Pentru sisteme, acolo unde este cazul, folosim fuzzing - construim pentru toate sistemele un model al intrusului, un model al amenințărilor. De asemenea, efectuăm o revizuire a codului, și anume secțiunile sale critice. Și, desigur, facem teste de penetrare.
Nu lăsăm dezvoltatorii singuri cu erori, ci trecem cu ele complet ciclu de viață bug, vă sfătuim cum să îl remediați, îl testăm după editare.
Și vă voi spune puțin mai multe despre dezvoltarea în cadrul departamentului nostru. La un moment dat, ne-am dat seama că managementul proceselor SDL este imposibil fără Secure Application Lifecycle Manager. Ținând cont de specificul specific al băncii (multe sisteme automatizate, fiecare având propria „grădina zoologică” de tehnologii și practici), era evident că trebuie să scrii ceva al tău.
Prin urmare, am creat un produs care concentrează toate procesele de implementare a SDL și menținerea continuității proceselor, managementul fluxului de date (securitatea informațiilor și conexe). Stochează toate datele acumulate ca urmare a diverselor practici și vă permite să le gestionați, să „rulați” automat unele acțiuni pentru replicarea lor fără probleme. De asemenea, distribuie erori către diverse instrumente de urmărire a problemelor, oferă interfețe pentru analiza erorilor pentru instrumentele noastre. Toate acestea asigură construirea SDL-ului și interacțiunea eficientă cu echipele.
Sberbank creează o nouă platformă flexibilă care transformă banca într-o companie de tehnologie. Banca intenționează să deschidă accesul la elementele platformei sale prin intermediul API-ului, precum și să publice parțial codul dezvoltărilor sale, a declarat directorul senior, arhitect șef IT al Sberbank, Sergey Ryabov, la forumul FinCore 2017. FutureBanking oferă extrase din această discuție.
Zicala lui Charles Darwin este că nu cea mai puternică specie supraviețuiește, nici cea mai inteligentă, ci cea care răspunde cel mai bine la schimbare. Am stabilit posibilitatea unei schimbări rapide ca obiectiv cheie al strategiei noastre tehnologice și ca o cerință de bază pentru construirea unei noi platforme.
Abordarea generală a construirii platformei poate fi rezumată cu trei litere „R”: Raţionaliza- raționalizarea și optimizarea arhitecturii actuale, Rearhitect- crearea unei noi platforme, Gândește-te- regândirea scarei și crearea unui ecosistem. Suntem o bancă, dar în același timp ne uităm la alte piețe. În strategie, am precizat că vom intra pe noi piețe, precum sănătatea, piața auto, iar acum lucrăm pe piața imobiliară și nu doar în ceea ce privește creditele ipotecare.
Care sunt cerințele cheie pentru construcția noii noastre platforme?
1. Orientarea către client. Majoritatea serviciilor și o nouă abordare a serviciului clienți ne impun să cunoaștem cât mai mult despre client. Acest lucru nu este doar ceea ce este în sistemele noastre de bază, este și ceea ce este în jur.
2. Spațiu informațional unificat. Aceasta este o abordare în care informațiile sunt disponibile pentru sistemele noastre de decizie în timp real.
3. Mecanisme flexibile pentru configurarea produselor complexe și a proceselor STP. Ne străduim să ne depărtăm cât mai mult de participarea umană, acolo unde este posibil; utilizați mecanisme precum monitorizarea proceselor noastre și gestionarea automată a erorilor.
4. Un bloc foarte important este API-ul deschis. În consecință, API-urile pătrund în toate componentele platformei. Deschidem API externe pentru partenerii și contractorii noștri.
5. Mecanism de învățare automată. Încercăm să o integrăm în componentele platformei noastre și să o integrăm treptat în sistemul nostru de luare a deciziilor.
6. Fiabilitate maximă 24x7. Suntem o bancă uriașă, fiabilitatea este totul. Prin urmare, depunem mult efort pentru a face sistemul informatic cât mai fiabil posibil.
7. Scalare orizontală pe echipamente low-end. Sistemele noastre informatice actuale sunt stabile, puternice și mari, dar operăm la cele de înaltă calitate. Mulți furnizori și-au redus deja unele dintre liniile lor de produse concentrate pe high-end maxim, trecând la gama medie, la alte arhitecturi. De asemenea, încercăm să scăpăm de acest lucru, să reducem costul de proprietate.
8. Utilizarea tehnologiilor open source. Da, suntem o bancă mare, avem propriile noastre baze, știm să lucrăm cu arhitecturi tradiționale, dar am început să trecem treptat la open source.
9. Stocarea si prelucrarea datelor in memorie. Am avut o mulțime de discuții despre dacă să folosim această tehnologie sau nu. Pe de o parte, acestea sunt mari riscuri, pe de altă parte, cele mai mari oportunități pentru viteza de prelucrare a datelor. La ultima conferință Gartner Symposium din Barcelona, s-au purtat discuții cu arhitecți și analiști de top despre cum să construim sisteme informatice, care sunt oportunitățile și limitările.
Ce este platforma, cum o reprezentăm
În primul rând, am construit nucleul platformei și unele dintre serviciile cheie pe care le numim ca centru de afaceri (sistem de luare a deciziilor, profil unificat al clientului, catalog de produse). Dar acum ne mișcăm în mai multe direcții, inclusiv pentru că suntem mari, ne este mult mai greu să ne balansăm.
Platforma este formată din mai multe straturi arhitecturale. În partea de jos este nucleul tehnologic.
Din „Blocuri Lego” puteți colecta unele dintre celelalte straturi. Acestea sunt de fapt componente reutilizabile,
care sunt folosite la alte niveluri.
Inima noii platforme este centrul de afaceri. Acestea sunt blocuri precum Profilul client unificat,
catalog de produse, sistem decizional. Acestea sunt noile soluții pe care le construim acum,
care permit personalizarea flexibilă a proceselor și produselor.
Mai sus avem un sistem frontal unificat. Este important să oferim clienților noștri o experiență omnicanal.
Blocul mare sunt fabricile de alimente. Acestea includ împrumuturi, depozite și alte produse tradiționale. Dar, în același timp, facem noi produse complexe, de exemplu, o combinație de produse de asigurare și de împrumut.
Orice afacere poate fi creată pe componentele platformei
Sarcina noastră este să facem platforma flexibilă și personalizabilă, astfel încât să putem încorpora noi componente acolo. Am vorbit deja despre API și componentizare, o abordare a serviciilor la toate nivelurile platformei. Este foarte important. Platforma oferă posibilitatea de a integra și personaliza la toate nivelurile.
Care sunt tehnologiile cheie pe care le folosim
Iată doar câteva dintre ele:
1. Stocarea și prelucrarea datelor în memorie. Cooperăm cu compania GridGain, trecem printr-o cale destul de dificilă, deoarece cealaltă parte a vitezei de lucru este fiabilitatea sistemului. Unele dintre elementele care lipsesc din acest produs, chiar le implementăm de la zero. Este dificil, termenii se schimbă undeva, dar mergem pe această cale, pentru că efectul este o mare scalabilitate.
2. Scalare orizontală pe servere low-end. Întregul nostru ansamblu este mașini x86.
3. Open source. A durut destul de mult. Am început să trecem la open source acum câțiva ani, pentru a învăța. În stratul de integrare, folosim soluții precum Kafka, ZeroMQ. Folosim soluția open-source Activiti ca soluție BPM. Folosim WildFly ca server de aplicații.
Dacă vorbești cu companii mari, atunci majoritatea își publică toate deciziile. De exemplu, am studiat experiența Alibaba. Strategia noastră include și asta. Dar acest lucru necesită o anumită maturitate a noastră ca organizație. Suntem acum la început de drum, dar cu siguranță vom publica, pentru că va oferi cu totul alte oportunități.
Vorbeam despre sistemul de luare a deciziilor - nucleul și inima platformei noastre. Această parte este dureros de deschis încă de la început. Vom deschide părțile, începând cu componentele care nu sunt esențiale pentru misiune. Sarcina noastră este să putem deschide codul unei anumite componente, astfel încât comunitatea să o poată modifica. Acum avem o abordare destul de prudentă.
Ce este un sistem frontal unificat, cum îl construim
Cerința principală este implementarea scripturilor frontale omnicanale. Complexitatea aici este mai puțin tehnică, mai organizatorică. Sunt sigur că în multe bănci structura organizației este astfel încât o persoană este responsabilă pentru canalele de la distanță, o altă persoană este responsabilă pentru sucursale și sucursale, iar o a treia persoană este responsabilă pentru call center și rețea. Și, bineînțeles, atunci când vorbim despre un scenariu de servicii pentru clienți omnicanal, atunci ar trebui să fie aplicat la maximum pe toate canalele. Pentru a asigura acest lucru, este important să fim de acord la nivelul tuturor celor responsabili.
Avem o gamă largă de instrumente. Acum folosim în mod activ tehnologia React. Există și Angular. Acestea sunt două alternative. Ne-am hotărât pe React.
Stratul de integrare creează o izolare a sistemului frontal de back office și de celălalt sisteme de informare... Principala provocare este să ne asigurăm că serviciul pentru clienți pe toate canalele este consecvent. Aceasta este abordarea noastră vizată. Am început programul în urmă cu doi ani, acum intrăm în faza de replicare. Există funcționalități pentru birouri și un centru de contact. Anul următor va fi dedicat în mod destul de activ canalelor de la distanță.
Centru de afaceri
Din punct de vedere istoric, fiecare client al Sberbank a trăit în propriul său automat
sistem bancar... Acum ne îndepărtăm de această abordare, trecem pe cât posibil la online
profilul clientului, către sistemul principal.
Alte componente importante ale unui hub de afaceri sunt catalogul de produse; sistem decizional;
executarea proceselor end-to-end; și un strat de integrare construit pe Kafka și ZeroMQ.
Serviciile de contabilitate sunt separate folosind paradigma motorului de contabilitate, adică contabilitatea alimentară
separat de contabilitate.
Fabrica de date
Acesta este un nou program strategic. Am făcut un mare pariu pe Hadoop și pe tehnologiile conexe. Există anumite limitări, dar încercăm să le depășim. Folosim soluții clasice. Implementăm și soluții de la Teradata.
Ceea ce este important pentru platformă este că trebuie să învățăm să împingem datele suficient de eficient de la nivelul fabricilor de alimente la nivelul analitic pentru a face analize foarte complexe pe care nu le putem face online.
Lucrul cu echipa
Un vector mare de schimbări în bancă este asociat cu construirea unei interacțiuni strânse între afaceri și IT în cadrul implementării Agile. Îi spunem Sbergile. Pe de o parte, ne auzim, pe de altă parte, această abordare introduce mai multă eterogenitate, pentru că echipele merg în paralel, trebuie să fie sincronizate cumva. V acest caz controlul arhitectural este foarte important. Dar fără un accent comun pe construirea unei noi platforme, nu ne vom deplasa nicăieri. Având un nou obiectiv, trebuie să îi corespundem.
Platforma este baza pentru construirea unui ecosistem
O direcție mare în strategia noastră este legată de dezvoltarea ecosistemelor. Acestea sunt serviciile subsidiarelor noastre și ale partenerilor noștri pe care trebuie să le dezvoltăm. Ideea generală este de a da un început rapid acelor site-uri care vor fi incluse în ecosistemul Sberbank.
Un start rapid poate fi dat, printre altele, de miezul platformei, deoarece unele dintre elemente pot fi refolosite. Vorbim despre servicii precum identificare, schimb de date, API. Acestea sunt blocurile de care toată lumea va avea nevoie. Pe de altă parte, dacă este o afacere nouă, atunci elementele platformei vor ajuta la crearea mai rapidă a unei soluții.
Aș dori să închei cu un citat din Mahatma Gandhi că „viitorul depinde de ceea ce faci astăzi”. Deci hai sa o facem. Mergem pe aici.