CNews: Владимир, по вашему мнению, какой драйвер сейчас определяет развитие банковского ИТ?

Владимир Беляевский: Инфраструктура интернет-компаний устроена принципиально другим образом, в отличие от того, как ее обычно строили корпоративные заказчики. Она существует по принципам тотальной автоматизации, глубокой интеграцией с разработкой, микросервисным подходом и ориентирована, в первую очередь, на достижение минимального Time-to-Market (показатель вывода продуктов на рынок).

Если взять первую десятку банков, то они все либо уже похожи на такие компании, либо близки к тому, чтобы построить у себя такое же гибкое и быстрое ИТ. Внутри таких передовых банков разработчики вносят изменения не месяцами, как это было раньше, — теперь они делают это за несколько недель, а иногда и дней.

Конечно, для этого они используют новый технологический стек с базовым набором: оркестраторами для управления инфраструктурой, agile-подходом, фабрикой инноваций (быстрой проверкой бизнес-гипотез), решениями непрерывной интеграции и доставки (CI/CD), технологиями для обеспечения безопасности кода, защитой приложений в продуктиве и многими другими решениями.

CNews: Этот подход фокусируется исключительно на Time-to-Market?

Владимир Беляевский: Каждый новый востребованный сервис банка приносит ему новых клиентов. Всем остальным придется реализовать тот же сервис, иначе они уйдут с рынка. Но догоняющей компании новых клиентов это уже не принесет. Поэтому, да — Time-to-Market сейчас выходит на первый план. Это новая парадигма, где присущая enterprise-компаниям консервативность уходит на второй план, уступая место гибкости и ориентированности на результат. Но основная сложность здесь — обеспечить в океане постоянных изменений стабильность и доступность, которая должна быть у банка. Google может потерять пару почтовых ящиков своих пользователей, а банк пару счетов — нет.

Вместе с принятием новых ценностей в финансовые компании неизбежно пришли и множество инструментов, которыми пользовались в основном интернет-гиганты. Например, массовое внедрение Open Source решений, которые позволяют быстро и недорого разворачивать новые системы, а также облачный подход, где по запросу и автоматизированно выделяются ресурсы под релизы, разработку и тестирование.

CNews: Почему раньше никто не говорил про «Инфраструктуру 3.0»?

Владимир Беляевский: Мы пришли к новой реальности постепенно, путем эволюции. Все началось с того, что компании, и в первых рядах именно банки, начали самостоятельно разрабатывать, тестировать, обкатывать программные продукты, чтобы успевать за потребностями своих клиентов. Чтобы быстро освоиться, нужно было перенять знания ИТ-гигантов и agile-практики, подходы и стек технологий, которые формируют то, что сейчас мы называем «Инфраструктурой 3.0».

При этом технологии, которые используются в новом подходе, были готовы еще за пару лет до пандемии, которая выступила катализатором массового перехода в новую парадигму. Мы ведь по сути оказались в среде, в которой практически все взаимодействие пользователя с бизнесом происходит в онлайне, без физического визита в отделение банка. Теперь банки — это новые ИТ-компании, которые общаются с клиентами через мобильные приложения. И эти приложения стали их лицом: нужно максимально быстро предоставлять новые услуги, сервисы, выкатывать обновления. Поэтому в 2021 году многие крупные банки переписали свое дистанционное банковское обслуживание (ДБО) на базе микросервисов и активно его дорабатывают.

CNews: Многие до сих пор боятся Open Source. Как вы убеждаете заказчиков на него переходить?

Владимир Беляевский: Бояться решений с открытым кодом уже поздно: это новый тренд, и не использовать их — это как перестать двигаться. Сейчас для целого спектра задач в области разработки приложений и контейнеризации пока не существует промышленных решений, а многие «коробочные» продукты представляют собой тот же открытый код, только упакованный. При этом многие заблуждаются, что Open Source существенно дешевле коммерческих продуктов. Иногда эти решения стоят дороже, и все потому, что развитием и поддержкой этих решений занимаются квалифицированные и дорогие кадры.

Другая неотъемлемая часть нового подхода — облачные технологии. Темпы разработки новых релизов не позволяют постоянно ожидать по две-четыре недели выделения ресурсов, сталкиваясь с кучей бюрократических процедур и человеческих ошибок. Крупные банки активно внедряют и модернизируют частные облака, которые позволяют потребителям получать ресурсы и сервисы как в публичных облаках: по клику на портале или через API. Например, мы строили частные облака для группы ВТБ несколько лет назад, а в этом году сделали такой проект для Росбанка. Многие используют гибридную модель: сочетают локальные облака с публичными. Проще разместить среду разработки там, чем ждать, когда приедут необходимые серверы.

Еще один ключевой элемент новой инфраструктуры касается мониторинга. Теперь важна не работоспособность конкретного сервера, а скорость работы бизнес-процесса. Если пользователь трижды нажмет кнопку «Заказать» и ничего не произойдет, он уйдет в другой магазин. Мониторинг должен показывать, как работают бизнес-процессы — для этого мы? в том числе внедряем в него возможности AI для уменьшения ложных срабатываний и снижения «человеческого» фактора.

В нашем понимании разработка должна быть безопасной. В противном случае в продакшн попадут компоненты, безопасность которых никто не может гарантировать. В нынешних условиях, когда угрозы экспоненциально растут изо дня в день, а различные взломы стали привычным новостным фоном, так себя вести — безответственно. В какой-то момент это приведет к серьезным потерям. В начале XXI века информационная безопасность была бумажной, но сейчас этот подход неприменим. ИБ-решения нужно с самого начала встраивать в стек технологий.

Отдельная проблема, с которой необходимо работать, — это безопасность «цепочек поставки» для Open Source. Число инцидентов, связанных с компрометацией Open Source компонент, в результате которых были скомпрометированы крупные коммерческие проекты, в последний год-два выросло кратно. Мы учитываем эту проблему при создании архитектуры новых систем.

CNews: Тормозит ли безопасная разработка Time-to-Market?

Владимир Беляевский: В парадигме DevSecOps безопасность не увеличивает Time-to-Market. Наоборот, новые подходы позволяют производить изменения быстро и не беспокоиться, что это приведет к появлению уязвимостей в банковских сервисах. То есть правильно выстроенная безопасность позволяет бизнесу быть быстрее и больше зарабатывать.

CNews: Как в целом пандемия повлияла на рынок ИБ в банковской отрасли?

Владимир Беляевский: ИБ-рынок в целом не стоит на месте. До 2020 года это трудно было себе представить, но теперь банки массово строят системы защищенной удаленной работы для тысяч рядовых работников. Сохранить традиционно высокий уровень банковской информационной безопасности при массовой работе из дома действительно непросто. Такие проекты дают многократный рост спроса на системы защищенной публикации, второй фактор, защиту от фишинга. На фоне этого финансовые учреждения перестраивают свои центры мониторинга ИБ или переходят на внешние продвинутые сервисы мониторинга, так как старые системы в этой новой реальности не дают приемлемого уровня контроля и скорости реагирования.