Алиса Мельникова, генеральный директор «СберТех», довольно так буднично заявила, что «возглавляемая ею компания по итогом года стала крупнейшим в РФ разработчиком программного обеспечения с выручкой в 15,2 млрд. рублей (рост на 46%) и штатом в 6515 человек против 5300 человек в 2014 году».
«СберТех» взбаламутил ИТ-рынок
«СберТех» дочка «Сбербанка» и занимается разработкой и внедрением софта для этого банка. Многие ИТ-компании России давно невзлюбили этого вендора. На то есть несколько причин. Во-первых, такие крупнейшие интеграторы, как КРОК или Ланит, поставляют в «Сбербанк» теперь только аппаратные решения и жёстко отстранены от программного обеспечения.
Во-вторых, «СберТех» как пылесос вытягивает с рынка программистов, предлагая им существенно лучшие условия для работы. Нет ни одной ИТ-компании в РФ и Белоруссии, которая бы не лишилась сотрудников из-за него. Нет ни одного банка, из которого не ушли бы туда топ-менеджеры блока ИТ.
В-третьих, после сдачи в конце 2015 года в эксплуатацию проекта «Ла-Манш» (безбумажный мидл-офис на платформе Pega PRPC на 40 тыс. пользователей) большой зуб на них появился у HP, Canon, Xerox и других поставщиков принтеров. Если раньше раз в неделю только в центральный офис банка в Москве завозился целый грузовик бумаги, то теперь хватает и «Газели». И то только для подписания договоров с клиентами.
В приоритете open-source и собственная разработка
И, наконец, что интересно разработчикам ПО, «СберТех» целиком и полностью перешел на open-source и собственную разработку. С помощью этого набора инструментов в ближайшем будущем необходимо решить три сверхзадачи: создание единой фронтальной системы (ЕФС) для развития каналов обслуживания клиентов, платформы поддержки развития бизнеса и запуск фабрики данных на основе технологий BigData.
Именно более детальному анализу проекта ЕФС была посвящена конференция 6-го февраля. Зачем «Сбербанку» понадобилось проводить ее? Зачем выступать на нем перед программистами первым лицам банка? Ответ был дан топ-менеджером «Сбербанка» Вадимом Куликом , курирующим ИТ и управление рисками банка.
По его словам, банк уже давно стал подопытным кроликом корпорации Oracle. Такой крупной инсталляции базы данных этого вендором с такой нагрузкой на фронт-офис у них больше нет нигде. На такой нагрузке и масштабах из этой базы вылезает «такое количество тараканов», что непонятно, кто кому должен платить деньги за лицензии.
Как ответ на этот и множество других вызовов «СберТех» начал развивать собственные компетенции. Это и собственные разработки, и покупка стартапов. Например, это GridGain, специализирующаяся на разработке ПО для обработки больших объемов данных в оперативной памяти в режиме реального времени (технология In-Memory Computing, IMC).
При этом GridGain разрабатывает платформу распределенных вычислений с открытым кодом на Java, распространяемую под лицензиями LGPL и Apache 2.0. Этот факт, что называется, позволяет с успехом и минимальными финансовыми вложениями «импортозаместить», например, такое проприетарное немецкое решение, как SAP HANA. Так, что если финтех-стартапам есть, что показать, им надо срочно искать, где находится «Сбербанк».
Что касается фронта, то выбран путь унификации и централизации всех многочисленных продуктов в один как для собственных операционистов, так и для клиентов с удобным интерфейсом для всех устройств. В масштабах «Сбербанка» это действительно колоссальная работа. До недавних пор изменение, например, учетной ставки Центрального Банка РФ во всех системах занимало до 3-х месяцев. С такими темпами можно запросто проиграть в конкурентной борьбе тому же «Тинькофф Банку».
«Сбербанк» равняется на Amazon или Google
Задача поставлена добиться практически он-лайнового вывода на рынок продуктов благодаря ЕФС и такой же он-лайновой реакции на изменения рынка благодаря BI и BigData на базе интеграционной шины SOA в проитвовес традиционным банковским АБС и ERP. Это, по мнению топ-менеджмента, ставит «Сбербанк» в ряд не с кредитно-финансовыми организациями, а с технологическими гигантами типа Amazon или Google. По крайней мере в России. При этом не надо забывать, что банк уязвим перед западными санкциями - поэтому упор на свою разработку. И поэтому же подходы «Тинькофф Банка» ему не совсем подходят.
Этот факт заставляет «СберТех» по-новому включить «пылесос» и искать программистов, которые ментально соответствуют этим вызовам. Как, отмечали спикеры, ИТ-специалисты, работающие в банках, зашорены и не хотят лишних изменений. Поэтому взгляд рекрутеров обратился к Яндексу и ему подобным.
Но там тоже не лыком шиты, готовы удерживать специалистов любой ценой. Поэтому «СберТех» готов рассматривать кандидатуры «джуниоров», открывает собственную школу подготовки программистов на Java и JavaScript (про PHP не было сказано ни слова). Очень много на круглых столах говорили о разработчиках интерфейсов и верстальщиках. Оказалось, что в РФ на рынке практически нет крутых специалистов в этой сфере, особенно в «мобайле».
Конференция длилась целый день со множеством круглых столов. Описать коротко всё нет возможности, организаторы конференции обещали выложить видео мероприятия для всех интересующихся. И это всё было про ЕФС! А ведь параллельно развиваются еще два мегапроекта, о которых писалось выше. Похоже, «СберТех» такими темпами может догнать и крупных американских вендоров.
Из этой беседы ты узнаешь, чем именно занимается дочерняя IT-компания Сбербанка «Сбербанк-Технологии», какие Telegram-каналы стоит читать Application Security специалисту и почему во время обучения нельзя забывать о практике.
INFO
«Сбербанк-Технологии» (СберТех) - дочерняя IT-компания Сбербанка, основанная в 2011 году. Все началось с команды из 500 человек. В основном это были IT-специалисты Сбербанка, которые перешли работать в отдельную IT-структуру.
На сегодняшний день штат СберТеха составляет около 11 тысяч человек в шестнадцати городах России. В этих городах сосредоточены ключевые центры разработки, в которых собираются региональные команды IT-специалистов: Москва, Санкт Петербург, Новосибирск, Иннополис и так далее.
СберТех занимается разработкой и внедрением ПО, а также поддержкой существующих ИТ-систем Сбербанка. На данный момент Сбербанк является единственным клиентом компании.
Артем Бачевский, руководитель направления по развитию IT-систем в отделе Application Security
Расскажите, чем занимается СберТех, над какими проектами вы сейчас работаете?
В настоящее время ключевым проектом является разработка новой технологической платформы для Сбербанка. Она трансформирует бизнес-модель в экосистему. Эта экосистема обеспечит оказание услуг нефинансового характера, подключение партнеров и подрядчиков, сможет обрабатывать большие объемы данных за короткое время, позволит иметь высокую производительность систем.
Давайте чуть подробнее остановимся на услугах нефинансового характера. О каких проектах идет речь?
Такие проекты существуют уже сейчас, так как экосистема развивается с 2016 года. Полный переход на новую технологическую платформу планируется до 2020 года. Сбербанк стремится уйти от предоставления только финансовых услуг и активно обрастает партнерами. К примеру, «Сбербанк-Недвижимость» (ООО «Центр недвижимости от Сбербанка» входит в группу компаний Сбербанка. - Прим. ред. ), «Сбербанк-Страхование», интернет-сервис по поиску врачей DocDoc и так далее. Таким образом, осуществляется трансформация в экосистему. Аналогичным путем идут такие компании, как Alibaba, Amazon, WeChat.
«Экосистема» и «технологическая платформа» - это красивые слова, но хочется услышать больше конкретики. В чем заключается суть вашей платформы, что именно вы разрабатываете и почему эти технологии выдающиеся?
Новая платформа состоит из трех ключевых программ.
Платформа поддержки развития бизнеса - универсальный инструмент для создания бизнес-приложений. Банк должен превратиться в Marketplace, объединяющий самые разные инструменты для достижения целей своих клиентов. Для этого необходим фундамент - новая платформа: масштабируемая, гибкая, надежная и открытая, способная изменяться в реальном времени. В разработке применяются новейшие технологии распределенных вычислений в памяти и работы приложений с большими объемами данных в реальном времени - In Memory Data Grid.
Программа «Фабрика данных» призвана повысить уровень качества, достоверности и доступности данных для анализа. Сотрудники банка смогут полноценно заниматься анализом и интерпретацией данных без дополнительных трудозатрат на их сбор и выверку. Big Data обеспечивает работу с супермассивами данных для монетизации информации и поведенческого анализа клиентов и сотрудников, для корректировки стратегий работы с разными сегментами.
Единая фронтальная система - кросс-функциональная платформа, собственная разработка Сбербанка. Инструменты платформы обеспечивают бесшовный кросс-канальный опыт для всех продуктов и сервисов. Технологический стек позволяет поддерживать высокую производительность, надежность и безопасность работы пользователей. Кроме того, за счет собственного API ЕФС позволяет партнерам заходить в систему, равно как и интегрироваться со сторонними площадками.
Теперь давайте поговорим о безопасности. Артем, расскажите, чем занимается ваше подразделение?
Наше подразделение занимается Application Security - безопасностью приложений. Отдел сравнительно молодой, ему около двух с половиной лет.
Наша главная обязанность - обеспечение безопасности приложений. В основном это критические для банка автоматизированные системы, но также в нашу область ответственности попадают все новые мобильные и mission critical разработки.
Сейчас в отделе работает пятнадцать человек. Условно их можно разделить на три команды: команда тестирования на проникновение, мобильный пентест и внутренняя разработка. В команде собрались сотрудники с разным техническим бэкграундом, в основном это различные сферы ИБ, но также есть ребята из IT-менеджмента и разработки. Вместе с коллегами из Сбербанка мы повышаем защищенность разрабатываемых АС, поддерживаем разумный компромисс между потребностями бизнеса, удобством пользователей и постоянно растущими рисками в сфере разработки ПО.
Всего этого мы добиваемся благодаря сильной экспертизе сотрудников Сбербанка и СберТеха, а также зрелому и фундаментальному SDL (Secure Development Lifecycle), который учитывает современные тенденции и подходы (Agile & DevOps) в области разработки ПО.
Команда веб-пентестеров занимается реализацией различных практик, разбором их результатов и проведением самого пентеста. Команда мобильного пентеста занимается тем же самым, но для мобильных приложений. Мобильных приложений в банке немало, это не только «Сбербанк-Онлайн», еще есть «Бизнес-Онлайн», корпоративные сервисы и так далее.
Каким образом построена данная инфраструктура, вы упомянули SDL?
Мы стараемся строить инфраструктуру таким образом, чтобы коллеги, которые находятся «в контексте кода», помогали нам в разборе результатов сканов, ревью кода и написании правил для SAST (static application security testing). В рамках инициативы беспрерывной поставки ценности для клиента мы обеспечиваем безопасность приложений, внося контекст Sec в DevOps, который строится в Сбербанке и СБТ, а без привлечения команд это попросту невозможно.
Очень хорошо себя зарекомендовала практика вовлечения разработчиков через секьюрити-чемпионов. Секьюрити-чемпионы - это сотрудники в командах разработки, заинтересованные в профессиональном развитии в области ИБ для повышения защищенности АС, снижения риска возникновения уязвимостей. Достигается это посредством повышения уровня компетенции команд разработки АС в вопросах обеспечения ИБ, тиражирования практик разработки защищенных приложений, сокращения длительности жизненного цикла дефекта ИБ.
Также мы регулярно проводим различные awareness-программы и тренинги. Раз в квартал у нас проходит общий awareness для всех желающих. У нас существует тренинг по погружению в безопасную разработку на Java. Дело в том, что это целевой язык программирования в банке, поэтому фокус на нем. Точно такие же целевые погружения существуют для Android и iOS.
Сколько примерно часов обучения в год получается у ваших разработчиков?
В сфере безопасности порядка сорока часов в год.
Как вы считаете, какова на сегодня роль обучения? Каждый день появляется нечто новое, как за этим успевать?
Мы обучаем азам и не стремимся сразу сделать из слушателей экспертов в области кибербезопасности. На данном этапе достаточно вовлечь их в тему и заложить базовые знания. Допустим, в контексте Java это будут практики безопасной разработки веб-приложений, потому что в этой сфере очень многое замыкается на безопасности веба.
Что нужно делать специалисту, чтобы всегда «оставаться на острие»?
Как минимум, рекомендую подписаться на тематические Telegram-каналы, чтобы оставаться в тренде и понимать свои интересы в профессии. Лично я читаю HackerNews, «Хабрахабр» и «Хакер». Можно форкать что-то на GitHub, пробовать, оценивать и затем, возможно, внедрять. Необязательно погружаться в тему максимально глубоко, но точно нужно постоянно пробовать что-то новое.
Также, на мой взгляд, хорошей практикой является участие в различных CTF и bug bounty программах. В CTF можно приобрести некоторые скиллы, а bug bounty позволяет легально «пощупать» безопасность интересных систем.
Конечно, учиться - это хорошо, но на одном только обучении, на мой взгляд, далеко не уедешь. Ведь без практики обучение ничего не стоит, а за любым реальным опытом в первую очередь стоит именно реальная работа.
Вы совершенно правы. Расскажите о ваших тренингах и awareness, как это происходит?
Мы стараемся внедрять различные активности и геймифицировать процессы для разработки. Например, на конференции ZeroNights 2017 мы представили капча-CTF. Это было интересное состязание, где каждый челлендж - это капча с логической или программной ошибкой в реализации. Мы предложили участникам конференции найти эти уязвимости, которые позволяют решать множество капч за короткое время.
Задача была проста: требовалось «решить» двадцать капч за десять секунд, по сути их не решая. Участники не должны набирать все это руками, они должны были, допустим, реализовать SQL-инъекцию, чтобы от введенного значения ничего не зависело. Например, в одном из заданий капчу можно было решить вероятностно - если все время вбивать ответ «5», то с вероятностью 25% капча будет пройдена.
Какая задача у такого соревнования? Мало кто сегодня реализует капчи самостоятельно. Ведь есть готовая и относительно надежная reCAPTCHA, (если она правильно реализована), но можно ошибиться во внедрении этого механизма. Если кто-то все же решит реализовать собственную капчу, то участие в таком соревновании оставит гораздо меньше шансов на появление уязвимостей, так как многие ошибки человек мог увидеть во время состязания. К тому же эти проблемы применимы не только к капчам: существует множество других механизмов, где можно допустить схожие ошибки.
Существует ли в СберТехе централизованное обучение, к примеру программистов обучают?
У всех сотрудников есть возможности учиться: внешние (курсы и мероприятия), внутренние (митапы, хакатоны, регулярный обмен опытом внутри команд и отделов). На митапах выступают внутренние и внешние эксперты: например, один из последних был посвящен квантовым вычислениям совместно с IBM.
Для студентов и начинающих специалистов СберТех проводит бесплатные школы по мобильной разработке на iOS и Android, Java и BPM. Лучших студентов по итогам обучения мы приглашаем на работу.
Перейдем к практике и вашему стеку. Расскажите, из чего он состоит.
Мы стараемся находить уязвимости как можно раньше, поэтому используем SAST (static application security testing) и DAST (dynamic application security testing) с момента написания первой строчки кода. На базе одного популярного SAST-продукта строим решение, которое добавляет Security в DevOps для множества разрабатываемых в СберТехе автоматизированных систем. Сейчас мы внедряем OWASP ZAP в DevSecOps, что позволит нам разрабатывать еще более безопасные и надежные приложения.
Также мы занимаемся поиском известных уязвимостей в публичных компонентах. Для этого была создана утилита, которая агрегирует результаты работы других подобных инструментов (OWASP dependency check, Retire.js), а также проводит сканирование исходного кода, вычленяя из него используемые компоненты, которые затем проверяются по публичным базам уязвимостей (NIST, CVEdetails).
В результате ручного разбора багов у нас накопился определенный набор данных с экспертной оценкой, и мы обучили модель (столь хайповое сейчас машинное обучение), которая определяет шанс уязвимости быть true positive. Эта модель очень помогает, ведь она как минимум занимается ранжированием. Допустим, у OWASP dependency check очень низкий false positive rate, но он дает очень мало результатов. У нашей утилиты false positive rate выше, но благодаря ранжированию и гораздо большему количеству результатов мы иногда вылавливаем уязвимости, которые ранее не обнаруживались другими инструментами.
Для систем, где это применимо, мы используем фаззинг - строим для всех систем модель нарушителя, модель угроз. Также проводим ревью кода, а именно его критических участков. И конечно, мы проводим тестирование на проникновение.
Мы не оставляем разработчиков наедине с багами, а полностью проходим с ними жизненный цикл бага, консультируем по устранению, тестируем после правки.
И еще немного расскажу о разработке внутри нашего отдела. В какой-то момент мы поняли, что управление SDL-процессом невозможно без Secure Apllication Lifecycle Manager. С учетом определенной специфики банка (множество автоматизированных систем, в каждой из которых свой «зоопарк» технологий и практик) было очевидно, что нужно писать что-то свое.
Поэтому мы создали продукт, в котором сосредоточены все процессы внедрения SDL и поддержания непрерывности процессов, управления потоками данных (ИБ и смежных). Он хранит все накопленные в результате различных практик данные и позволяет управлять ими, автоматически «накатывать» какие-то действия для их гладкого тиражирования. Также он распределяет баги по различным issue-трекерам, предоставляет интерфейсы для разбора багов по нашим инструментам. Все это обеспечивает построение SDL и эффективное взаимодействие с командами.
Сбербанк создает новую гибкую платформу, которая трансформирует банк в технологическую компанию. Банк планирует открыть доступ к элементам своей платформы через API, а также частично опубликовать код своих разработок, рассказал на форуме FinCore 2017 старший управляющий директор, главный IT-архитектор Сбербанка Сергей Рябов. FutureBanking приводит выдержки из этого выступления.
Высказывание Чарльза Дарвина гласит, что выживает не самый сильный вид, и не самый умный, а тот, кто лучше всех реагирует на изменения. Возможность быстрых изменений мы поставили в качестве ключевой цели нашей технологической стратегии и как основное требование для построения новой платформы.
Общий подход к построению платформы можно кратко описать тремя буквами «R»: Rationalize - рационализация и оптимизация текущей архитектуры, Rearchitect - создание новой платформы, Rethink - переосмысление масштабов и создание экосистемы. Мы - банк, но в то же время смотрим на другие рынки. В стратегии мы заявили, что будем выходить на новые рынки, такие как здравоохранение, авторынок, уже сейчас мы работаем на рынке недвижимости и не только с точки зрения ипотеки.
Какие мы поставили ключевые требования к построению нашей новой платформы
1. Клиентоцентричность. Большинство сервисов и новый подход к обслуживанию клиентов требуют, чтобы мы знали о клиенте максимум. Это не только то, что есть в наших core-системах, это и то, что есть вокруг.
2. Единое информационное пространство. Это подход, когда информация доступна нашим системам принятия решения в реальном времени.
3. Гибкие механизмы настройки сложных продуктов и STP-процессов. Мы стремимся максимально уйти от человеческого участия там, где это возможно; использовать такие механизмы как мониторинг наших процессов и автоматическое управление сбойными ситуациями.
4. Очень важный блок - это открытый API. Соответственно, API пронизывают все компоненты платформы. Внешний API мы открываем для наших партнеров и контрагентов.
5. Механизм машинного обучения. Мы стараемся встраивать его в наши компоненты платформы, и постепенно встраиваем его в нашу систему принятия решений.
6. Максимальная надежность 24х7. Мы огромный системообразующий банк, надежность - наше всё. Поэтому мы тратим очень большие усилия, чтобы информационная система была максимально надежна.
7. Горизонтальное масштабирование на low-end оборудовании. Наши текущие информационные системы стабильные, мощные и большие, но мы работаем на больших high-end. Многие вендоры уже свернули часть своих линеек, ориентированных на максимальный high-end, переходят на mid range, к другим архитектурам. Мы тоже стараемся уйти от этого, уменьшить стоимость владения.
8. Использование open source технологий. Да, мы крупный банк, у нас есть свои наработки, мы умеем работать с традиционным архитектурами, но начали постепенно переходить на open source.
9. Хранение и обработка данных в памяти. У нас были большие дискуссии, использовать эту технологию или не использовать. С одной стороны, это большиериски, с другой - самые большие возможности по скорости обработки данных. На последней конференции Gartner Symposium в Барселоне прошли дискуссии с архитекторами и крупнейшими аналитиками о том, как надо строить информационные системы, какие есть возможности и ограничения.
Что такое платформа, как мы ее представляем
Сначала мы построили ядро платформы и часть ключевых сервисов, которые мы относим к бизнес-хабу (система принятия решений, единый профиль клиента, продуктовый каталог). Но сейчас мы движемся по нескольким направлениям, в том числе потому что мы большие, нам гораздо сложнее раскачаться.
Платформа состоит из нескольких архитектурных слоев. Внизу находится технологическое ядро.
Из «лего-блоков» можно собирать часть других слоев. Это фактически reusable-компоненты,
которые используются на других уровнях.
Сердцем новой платформы является бизнес-хаб. Это такие блоки как Единый профиль клиента,
продуктовый каталог, система принятия решений. Это новые решения, которые мы сейчас строим,
которые дают возможность гибкой настройки процессов и продуктов.
Сверху у нас Единая фронтальная система. Важно обеспечить омниканальный опыт для наших клиентов.
Большой блок - это продуктовые фабрики. Сюда входят кредиты, депозиты, другие традиционные продукты. Но в то же время мы делаем новые сложные продукты, например, комбинацию из страховых и кредитных продуктов.
На компонентах платформы можно создавать любые бизнесы
Наша задача состоит в том, чтобы платформа была гибкой и настраиваемой, чтобы мы имели возможность встраивать туда новые компоненты. Мы уже говорили про API и компонентизацию, сервисный подход на всех уровнях платформы. Это очень важно. Платформа предоставляет возможность интеграции и настройки на всех уровнях.
Какие ключевые технологии мы используем
Вот лишь несколько из них:
1. Хранение и обработка данных в памяти. Мы сотрудничаем с компанией GridGain, проходим достаточно сложный путь, потому что другой стороной скорости работы является надежность системы. Часть элементов, которые отсутствует в этом продукте, мы фактически реализуем с нуля. Это сложно, где-то сдвигаются сроки, но мы идем по этому пути, потому что эффект - большие возможности масштабирования.
2. Горизонтальное масштабирование на low-end серверах. Вся наша сборка - это х86-е машины.
3. Open source. Это тоже было достаточно больно. Мы начали несколько лет назад переходить на open source, учиться. В интеграционном слое мы используем такие решения как Kafka, ZeroMQ. В качестве BPM-решения мы используем open-source решение Activiti. Мы используем WildFly в качестве сервера приложений.
Если поговорить с крупными компаниями, то большинство из них публикуют все свои решения. Например, мы изучали опыт Alibaba. В нашей стратегии - это тоже есть. Но это требует определенной нашей зрелости как организации. Мы сейчас в начале пути, но публиковать будем обязательно, потому что это даст абсолютно другие возможности.
Я говорил про систему принятия решений - ядро и сердце нашей платформы. Эту часть больно открыть с самого начала. Открыть мы собираемся части, начиная с не-mission critical компонентов. Наша задача заключается в том, чтобы иметь возможность открыть код определенной компоненты, чтобы уже комьюнити могло ее дорабатывать. У нас сейчас подход достаточно осторожный.
Что такое Единая фронтальная система, как мы ее строим
Основной требование - это реализация омниканальных фронтальных сценариев. Сложность здесь в меньшей степени техническая, в большей степени - организационная. Уверен, что во многих банках структура организации такая, что за удаленные каналы отвечает один человек, за бранчи и отделения отвечает другой человек, за колл-центр и сетку - третий. И, безусловно, когда мы говорим про омниканальный сценарий обслуживания клиента, то он должен максимально применяться во всех каналах. Чтобы это обеспечить важно договориться на уровне всех ответственных.
У нас большой набор инструментальных средств. Мы активно используем технологию React сейчас. Есть еще Angular. Это две альтернативы. Мы остановились на React.
Интеграционный слой создает изоляцию фронтальной системы от бэк-офиса и других наших информационных систем. Основная задача заключается в том, чтобы обслуживание клиентов в каналах происходило единым образом. Это наш целевой подход. Мы начали два года назад программу, сейчас выходим на фазу тиражирования. Есть функциональность для отделений и контактного-центра. Следующий год будет достаточно активно посвящен удаленным каналам.
Бизнес-хаб
Исторически сложилось, что каждый клиент Сбербанка жил в своей автоматизированной
банковской системе. Сейчас мы от этого подхода уходим, максимально переходим к онлайн-
профилю клиента, к мастер-системе.
Другие важные компоненты бизнес-хаба - это продуктовый каталог; система принятия решений;
исполнение сквозных процессов; и интеграционный слой, построенный на Kafka и ZeroMQ.
Учетные сервисы отделены при помощи парадигмы accounting engine, то есть продуктовый учет
отделяется от бухгалтерского учета.
Фабрика данных
Это новая стратегическая программа. Большую ставку мы сделали на Hadoop и соответствующие технологии. Есть определенные ограничения, но мы стараемся их преодолевать. Используем иклассические решения. У нас также внедряются решения от Teradata.
Что важно для платформы - мы должны научиться достаточно эффективно выталкивать данные с уровня продуктовых фабрик на аналитический уровень, чтобы делать очень сложную аналитику, которую мы не можем сделать онлайн.
Работа с командой
Большой вектор изменений в банке связан с построением тесного взаимодействия бизнеса и IT врамках внедрения Agile. У нас это называется Сберджайл. С одной стороны, мы слышим друг друга, с другой - такой подход вносит больше разнородности, потому что команды бегут параллельно, их надо как-то синхронизировать. В данном случае архитектурный контроль очень важен. Но без общего фокуса на построение новой платформы мы никуда не сдвинемся. Взяв новуюцель, мы должны ей соответствовать.
Платформа - основа построения экосистемы
Большое направление в нашей стратегии связано с развитием экосистем. Это сервисы наших дочерних компаний и наших партнеров, которые нам необходимо развивать. Общая идея заключается в том, чтобы дать быстрый старт тем площадкам, которые войдут в экосистему Сбербанка.
Быстрый старт может дать, в том числе, ядро платформы, потому что часть элементов можно будет переиспользовать. Речь идет про такие сервисы как идентификация, обмен данными, API. Это блоки, которые будут нужны всем. С другой стороны, если это новый бизнес, то элементы платформы помогут создать решение быстрее.
Закончить я бы хотел цитатой Махатмы Ганди, что «будущее зависит от того, что вы делаете сегодня». Поэтому давайте его делать. Мы идем таким путем.
Эта дочерняя структура банка, как водится, стала реализовывать все ИТ-проекты банка и планировала выйти работать на открытый рынок. Но всё пошло не так. Информационно-технологический фундамент "крупнейшего банка Восточной Европы" нуждается в полной перестройке. Созданная в 2011 году, за 7 лет компания не оправдала надежд.
Можно, конечно, попробовать возразить цифрами. Сказать, что это теперь крупнейший ИТ-работодатель в стране. Более 10 тысяч программистов! Можно сказать, что выручка выросла за прошлый год. Но это яркое свидетельство того, что банк стал ещё больше тратить на ИТ, не повышая при этом качество услуг.
В июне прошлого года компанию покинула генеральный директор Алиса Мельникова. Но компании это не сильно и помогло. За всё время существования дочерней и крайне важной для Сбербанка компании накопилось столько проблем, что они все вместе уже начинают топить и головную.
1. Слишком много людей
Эта причина — следствие смеси гигантомании времён Советов и желание конкретных топ-менеджеров обладать бюджетами и властью. Но ещё одна причина — то, что правая рука не понимает, что же делает левая. Помните шикарное высказывание Грефа о программистах?
"Не нужны сегодня программисты. У нас огромное количество программистов, с которыми мы боремся", - сказал Герман Оскарович.
Половина министерств и большинство компаний на рынке вопят и с сачком гоняются за сверхценными и крайне нужными для цифровой экономики "строителями", которыми и должны быть программисты, а Греф с ними решил побороться. Кем будем реализовывать будущее? Зачем вообще компании столько людей? Те же ВТБ или "Альфа" с Тиньковым тратят гораздо меньше людских ресурсов на реализацию ровно того же или даже лучших характеристик. При этом людей переманивают с рынка двойными зарплатами и обещаниями, что уж тут-то они точно изменят мир. Но по факту получается совсем иная история. По бумагам, чтобы поставить кнопку в CRM, требуется 200 программистов и несколько месяцев напряженной работы.
2. Никаких прорывов
ЕФС, ППРБ и ФД. Этим гордится компания и публикует открыто у себя на сайте. Давайте посмотрим на конкретном примере. ЕФС — Единая Фронтальная Система. Что это такое?
Единая Фронтальная Система нацелена на повышение уровня комфорта клиентов Сбербанка при получении услуг, а также на удобство, скорость и эффективность работы сотрудников отделений, которые занимаются обслуживанием клиентов. ЕФС основывается на кросс-канальности. Откуда бы ни пришёл пользователь - через приложение, браузер на домашнем компьютере, через звонок в колл-центр или офис, - он может продолжить обслуживание через любой канал с того момента, где закончилось последнее взаимодействие в любом из каналов, — система должна узнавать профиль клиента. Кроме того, ЕФС за счёт собственного API позволяет заходить в систему партнёрам, равно как и интегрироваться со сторонними площадками.
Но это сегодня умеет делать куча сервисов! Что мешало допилить "Битрикс24" или огромное количество других систем, чтобы реализовать то, что написано выше? Это ведь не какой-то космос. Это реальность. Ну да, Сбербанк крупный. Но не единственный в мире. Можно было бы у других подсмотреть, чтобы сделать, как надо. Ровно так же с остальными проектами. За прорыв выдаётся совершенно постная ерунда. А что-то из этой "ерунды" ещё и не создано даже, а существуют только на бумаге.
3. Банально скучно
Одна из причин, почему не работают "святой agile и scrum" — это то, что их реализуют конкретные люди. В "Сбертехе" на условиях анонимности несколько коллег из компании подтвердили, что иногда они просто не понимают, чем занимаются и как это будет менять мир. Все эти 10 тысяч программистов не нужны банку в таком количестве. Вот и простаивают. На наши с вами деньги.
4. Наложение крайне странных функций на компанию
Вот прошёл скандал с аналитиком из Sberbank CIB. Разогнали всю структуру. И теперь Греф заявил о намерении заменить аналитиков "искусственным интеллектом".
Ну чушь же! Но многие слушают с открытым ртом. И ждут, что "Сбертех" сейчас всё сделает. Столько программистов! Но как 9 женщин не сделают ребёнка за месяц, так и здесь — ну никак у вас не выйдет заменить аналитиков компьютером или нейросетью в этом году. И представьте теперь, какие это стратегические риски для головной компании.
5. Постоянные сбои в работе материнской компании
Что уж говорить, если даже на ПМЭФ целая туча инсайдеров в голос заявляли о массовых сбоях в работе Сбербанка на форуме. Что просто позор. Компания, кстати, не подтвердила этого, но и не опровергла, что косвенно доказывает правоту слухов. Но регулярные сбои, блокировки счетов за перевод 666 рублей и подобные истории — это ещё одно свидетельство импотенции управленцев. Да, было сложно, да, была обычная сберкасса. Но денег и времени вам никто не жалел для трансформации. Надежды были на то, что вы будете лучшими в мире. А пока, получается, надежд вы наших совершенно не оправдали.
