Из этой беседы ты узнаешь, чем именно занимается дочерняя IT-компания Сбербанка «Сбербанк-Технологии», какие Telegram-каналы стоит читать Application Security специалисту и почему во время обучения нельзя забывать о практике.
INFO
«Сбербанк-Технологии» (СберТех) - дочерняя IT-компания Сбербанка, основанная в 2011 году. Все началось с команды из 500 человек. В основном это были IT-специалисты Сбербанка, которые перешли работать в отдельную IT-структуру.
На сегодняшний день штат СберТеха составляет около 11 тысяч человек в шестнадцати городах России. В этих городах сосредоточены ключевые центры разработки, в которых собираются региональные команды IT-специалистов: Москва, Санкт Петербург, Новосибирск, Иннополис и так далее.
СберТех занимается разработкой и внедрением ПО, а также поддержкой существующих ИТ-систем Сбербанка. На данный момент Сбербанк является единственным клиентом компании.
Артем Бачевский, руководитель направления по развитию IT-систем в отделе Application Security
Расскажите, чем занимается СберТех, над какими проектами вы сейчас работаете?
В настоящее время ключевым проектом является разработка новой технологической платформы для Сбербанка. Она трансформирует бизнес-модель в экосистему. Эта экосистема обеспечит оказание услуг нефинансового характера, подключение партнеров и подрядчиков, сможет обрабатывать большие объемы данных за короткое время, позволит иметь высокую производительность систем.
Давайте чуть подробнее остановимся на услугах нефинансового характера. О каких проектах идет речь?
Такие проекты существуют уже сейчас, так как экосистема развивается с 2016 года. Полный переход на новую технологическую платформу планируется до 2020 года. Сбербанк стремится уйти от предоставления только финансовых услуг и активно обрастает партнерами. К примеру, «Сбербанк-Недвижимость» (ООО «Центр недвижимости от Сбербанка» входит в группу компаний Сбербанка. - Прим. ред. ), «Сбербанк-Страхование», интернет-сервис по поиску врачей DocDoc и так далее. Таким образом, осуществляется трансформация в экосистему. Аналогичным путем идут такие компании, как Alibaba, Amazon, WeChat.
«Экосистема» и «технологическая платформа» - это красивые слова, но хочется услышать больше конкретики. В чем заключается суть вашей платформы, что именно вы разрабатываете и почему эти технологии выдающиеся?
Новая платформа состоит из трех ключевых программ.
Платформа поддержки развития бизнеса - универсальный инструмент для создания бизнес-приложений. Банк должен превратиться в Marketplace, объединяющий самые разные инструменты для достижения целей своих клиентов. Для этого необходим фундамент - новая платформа: масштабируемая, гибкая, надежная и открытая, способная изменяться в реальном времени. В разработке применяются новейшие технологии распределенных вычислений в памяти и работы приложений с большими объемами данных в реальном времени - In Memory Data Grid.
Программа «Фабрика данных» призвана повысить уровень качества, достоверности и доступности данных для анализа. Сотрудники банка смогут полноценно заниматься анализом и интерпретацией данных без дополнительных трудозатрат на их сбор и выверку. Big Data обеспечивает работу с супермассивами данных для монетизации информации и поведенческого анализа клиентов и сотрудников, для корректировки стратегий работы с разными сегментами.
Единая фронтальная система - кросс-функциональная платформа, собственная разработка Сбербанка. Инструменты платформы обеспечивают бесшовный кросс-канальный опыт для всех продуктов и сервисов. Технологический стек позволяет поддерживать высокую производительность, надежность и безопасность работы пользователей. Кроме того, за счет собственного API ЕФС позволяет партнерам заходить в систему, равно как и интегрироваться со сторонними площадками.
Теперь давайте поговорим о безопасности. Артем, расскажите, чем занимается ваше подразделение?
Наше подразделение занимается Application Security - безопасностью приложений. Отдел сравнительно молодой, ему около двух с половиной лет.
Наша главная обязанность - обеспечение безопасности приложений. В основном это критические для банка автоматизированные системы, но также в нашу область ответственности попадают все новые мобильные и mission critical разработки.
Сейчас в отделе работает пятнадцать человек. Условно их можно разделить на три команды: команда тестирования на проникновение, мобильный пентест и внутренняя разработка. В команде собрались сотрудники с разным техническим бэкграундом, в основном это различные сферы ИБ, но также есть ребята из IT-менеджмента и разработки. Вместе с коллегами из Сбербанка мы повышаем защищенность разрабатываемых АС, поддерживаем разумный компромисс между потребностями бизнеса, удобством пользователей и постоянно растущими рисками в сфере разработки ПО.
Всего этого мы добиваемся благодаря сильной экспертизе сотрудников Сбербанка и СберТеха, а также зрелому и фундаментальному SDL (Secure Development Lifecycle), который учитывает современные тенденции и подходы (Agile & DevOps) в области разработки ПО.
Команда веб-пентестеров занимается реализацией различных практик, разбором их результатов и проведением самого пентеста. Команда мобильного пентеста занимается тем же самым, но для мобильных приложений. Мобильных приложений в банке немало, это не только «Сбербанк-Онлайн», еще есть «Бизнес-Онлайн», корпоративные сервисы и так далее.
Каким образом построена данная инфраструктура, вы упомянули SDL?
Мы стараемся строить инфраструктуру таким образом, чтобы коллеги, которые находятся «в контексте кода», помогали нам в разборе результатов сканов, ревью кода и написании правил для SAST (static application security testing). В рамках инициативы беспрерывной поставки ценности для клиента мы обеспечиваем безопасность приложений, внося контекст Sec в DevOps, который строится в Сбербанке и СБТ, а без привлечения команд это попросту невозможно.
Очень хорошо себя зарекомендовала практика вовлечения разработчиков через секьюрити-чемпионов. Секьюрити-чемпионы - это сотрудники в командах разработки, заинтересованные в профессиональном развитии в области ИБ для повышения защищенности АС, снижения риска возникновения уязвимостей. Достигается это посредством повышения уровня компетенции команд разработки АС в вопросах обеспечения ИБ, тиражирования практик разработки защищенных приложений, сокращения длительности жизненного цикла дефекта ИБ.
Также мы регулярно проводим различные awareness-программы и тренинги. Раз в квартал у нас проходит общий awareness для всех желающих. У нас существует тренинг по погружению в безопасную разработку на Java. Дело в том, что это целевой язык программирования в банке, поэтому фокус на нем. Точно такие же целевые погружения существуют для Android и iOS.
Сколько примерно часов обучения в год получается у ваших разработчиков?
В сфере безопасности порядка сорока часов в год.
Как вы считаете, какова на сегодня роль обучения? Каждый день появляется нечто новое, как за этим успевать?
Мы обучаем азам и не стремимся сразу сделать из слушателей экспертов в области кибербезопасности. На данном этапе достаточно вовлечь их в тему и заложить базовые знания. Допустим, в контексте Java это будут практики безопасной разработки веб-приложений, потому что в этой сфере очень многое замыкается на безопасности веба.
Что нужно делать специалисту, чтобы всегда «оставаться на острие»?
Как минимум, рекомендую подписаться на тематические Telegram-каналы, чтобы оставаться в тренде и понимать свои интересы в профессии. Лично я читаю HackerNews, «Хабрахабр» и «Хакер». Можно форкать что-то на GitHub, пробовать, оценивать и затем, возможно, внедрять. Необязательно погружаться в тему максимально глубоко, но точно нужно постоянно пробовать что-то новое.
Также, на мой взгляд, хорошей практикой является участие в различных CTF и bug bounty программах. В CTF можно приобрести некоторые скиллы, а bug bounty позволяет легально «пощупать» безопасность интересных систем.
Конечно, учиться - это хорошо, но на одном только обучении, на мой взгляд, далеко не уедешь. Ведь без практики обучение ничего не стоит, а за любым реальным опытом в первую очередь стоит именно реальная работа.
Вы совершенно правы. Расскажите о ваших тренингах и awareness, как это происходит?
Мы стараемся внедрять различные активности и геймифицировать процессы для разработки. Например, на конференции ZeroNights 2017 мы представили капча-CTF. Это было интересное состязание, где каждый челлендж - это капча с логической или программной ошибкой в реализации. Мы предложили участникам конференции найти эти уязвимости, которые позволяют решать множество капч за короткое время.
Задача была проста: требовалось «решить» двадцать капч за десять секунд, по сути их не решая. Участники не должны набирать все это руками, они должны были, допустим, реализовать SQL-инъекцию, чтобы от введенного значения ничего не зависело. Например, в одном из заданий капчу можно было решить вероятностно - если все время вбивать ответ «5», то с вероятностью 25% капча будет пройдена.
Какая задача у такого соревнования? Мало кто сегодня реализует капчи самостоятельно. Ведь есть готовая и относительно надежная reCAPTCHA, (если она правильно реализована), но можно ошибиться во внедрении этого механизма. Если кто-то все же решит реализовать собственную капчу, то участие в таком соревновании оставит гораздо меньше шансов на появление уязвимостей, так как многие ошибки человек мог увидеть во время состязания. К тому же эти проблемы применимы не только к капчам: существует множество других механизмов, где можно допустить схожие ошибки.
Существует ли в СберТехе централизованное обучение, к примеру программистов обучают?
У всех сотрудников есть возможности учиться: внешние (курсы и мероприятия), внутренние (митапы, хакатоны, регулярный обмен опытом внутри команд и отделов). На митапах выступают внутренние и внешние эксперты: например, один из последних был посвящен квантовым вычислениям совместно с IBM.
Для студентов и начинающих специалистов СберТех проводит бесплатные школы по мобильной разработке на iOS и Android, Java и BPM. Лучших студентов по итогам обучения мы приглашаем на работу.
Перейдем к практике и вашему стеку. Расскажите, из чего он состоит.
Мы стараемся находить уязвимости как можно раньше, поэтому используем SAST (static application security testing) и DAST (dynamic application security testing) с момента написания первой строчки кода. На базе одного популярного SAST-продукта строим решение, которое добавляет Security в DevOps для множества разрабатываемых в СберТехе автоматизированных систем. Сейчас мы внедряем OWASP ZAP в DevSecOps, что позволит нам разрабатывать еще более безопасные и надежные приложения.
Также мы занимаемся поиском известных уязвимостей в публичных компонентах. Для этого была создана утилита, которая агрегирует результаты работы других подобных инструментов (OWASP dependency check, Retire.js), а также проводит сканирование исходного кода, вычленяя из него используемые компоненты, которые затем проверяются по публичным базам уязвимостей (NIST, CVEdetails).
В результате ручного разбора багов у нас накопился определенный набор данных с экспертной оценкой, и мы обучили модель (столь хайповое сейчас машинное обучение), которая определяет шанс уязвимости быть true positive. Эта модель очень помогает, ведь она как минимум занимается ранжированием. Допустим, у OWASP dependency check очень низкий false positive rate, но он дает очень мало результатов. У нашей утилиты false positive rate выше, но благодаря ранжированию и гораздо большему количеству результатов мы иногда вылавливаем уязвимости, которые ранее не обнаруживались другими инструментами.
Для систем, где это применимо, мы используем фаззинг - строим для всех систем модель нарушителя, модель угроз. Также проводим ревью кода, а именно его критических участков. И конечно, мы проводим тестирование на проникновение.
Мы не оставляем разработчиков наедине с багами, а полностью проходим с ними жизненный цикл бага, консультируем по устранению, тестируем после правки.
И еще немного расскажу о разработке внутри нашего отдела. В какой-то момент мы поняли, что управление SDL-процессом невозможно без Secure Apllication Lifecycle Manager. С учетом определенной специфики банка (множество автоматизированных систем, в каждой из которых свой «зоопарк» технологий и практик) было очевидно, что нужно писать что-то свое.
Поэтому мы создали продукт, в котором сосредоточены все процессы внедрения SDL и поддержания непрерывности процессов, управления потоками данных (ИБ и смежных). Он хранит все накопленные в результате различных практик данные и позволяет управлять ими, автоматически «накатывать» какие-то действия для их гладкого тиражирования. Также он распределяет баги по различным issue-трекерам, предоставляет интерфейсы для разбора багов по нашим инструментам. Все это обеспечивает построение SDL и эффективное взаимодействие с командами.
Сбербанк создает новую гибкую платформу, которая трансформирует банк в технологическую компанию. Банк планирует открыть доступ к элементам своей платформы через API, а также частично опубликовать код своих разработок, рассказал на форуме FinCore 2017 старший управляющий директор, главный IT-архитектор Сбербанка Сергей Рябов. FutureBanking приводит выдержки из этого выступления.
Высказывание Чарльза Дарвина гласит, что выживает не самый сильный вид, и не самый умный, а тот, кто лучше всех реагирует на изменения. Возможность быстрых изменений мы поставили в качестве ключевой цели нашей технологической стратегии и как основное требование для построения новой платформы.
Общий подход к построению платформы можно кратко описать тремя буквами «R»: Rationalize - рационализация и оптимизация текущей архитектуры, Rearchitect - создание новой платформы, Rethink - переосмысление масштабов и создание экосистемы. Мы - банк, но в то же время смотрим на другие рынки. В стратегии мы заявили, что будем выходить на новые рынки, такие как здравоохранение, авторынок, уже сейчас мы работаем на рынке недвижимости и не только с точки зрения ипотеки.
Какие мы поставили ключевые требования к построению нашей новой платформы
1. Клиентоцентричность. Большинство сервисов и новый подход к обслуживанию клиентов требуют, чтобы мы знали о клиенте максимум. Это не только то, что есть в наших core-системах, это и то, что есть вокруг.
2. Единое информационное пространство. Это подход, когда информация доступна нашим системам принятия решения в реальном времени.
3. Гибкие механизмы настройки сложных продуктов и STP-процессов. Мы стремимся максимально уйти от человеческого участия там, где это возможно; использовать такие механизмы как мониторинг наших процессов и автоматическое управление сбойными ситуациями.
4. Очень важный блок - это открытый API. Соответственно, API пронизывают все компоненты платформы. Внешний API мы открываем для наших партнеров и контрагентов.
5. Механизм машинного обучения. Мы стараемся встраивать его в наши компоненты платформы, и постепенно встраиваем его в нашу систему принятия решений.
6. Максимальная надежность 24х7. Мы огромный системообразующий банк, надежность - наше всё. Поэтому мы тратим очень большие усилия, чтобы информационная система была максимально надежна.
7. Горизонтальное масштабирование на low-end оборудовании. Наши текущие информационные системы стабильные, мощные и большие, но мы работаем на больших high-end. Многие вендоры уже свернули часть своих линеек, ориентированных на максимальный high-end, переходят на mid range, к другим архитектурам. Мы тоже стараемся уйти от этого, уменьшить стоимость владения.
8. Использование open source технологий. Да, мы крупный банк, у нас есть свои наработки, мы умеем работать с традиционным архитектурами, но начали постепенно переходить на open source.
9. Хранение и обработка данных в памяти. У нас были большие дискуссии, использовать эту технологию или не использовать. С одной стороны, это большиериски, с другой - самые большие возможности по скорости обработки данных. На последней конференции Gartner Symposium в Барселоне прошли дискуссии с архитекторами и крупнейшими аналитиками о том, как надо строить информационные системы, какие есть возможности и ограничения.
Что такое платформа, как мы ее представляем
Сначала мы построили ядро платформы и часть ключевых сервисов, которые мы относим к бизнес-хабу (система принятия решений, единый профиль клиента, продуктовый каталог). Но сейчас мы движемся по нескольким направлениям, в том числе потому что мы большие, нам гораздо сложнее раскачаться.
Платформа состоит из нескольких архитектурных слоев. Внизу находится технологическое ядро.
Из «лего-блоков» можно собирать часть других слоев. Это фактически reusable-компоненты,
которые используются на других уровнях.
Сердцем новой платформы является бизнес-хаб. Это такие блоки как Единый профиль клиента,
продуктовый каталог, система принятия решений. Это новые решения, которые мы сейчас строим,
которые дают возможность гибкой настройки процессов и продуктов.
Сверху у нас Единая фронтальная система. Важно обеспечить омниканальный опыт для наших клиентов.
Большой блок - это продуктовые фабрики. Сюда входят кредиты, депозиты, другие традиционные продукты. Но в то же время мы делаем новые сложные продукты, например, комбинацию из страховых и кредитных продуктов.
На компонентах платформы можно создавать любые бизнесы
Наша задача состоит в том, чтобы платформа была гибкой и настраиваемой, чтобы мы имели возможность встраивать туда новые компоненты. Мы уже говорили про API и компонентизацию, сервисный подход на всех уровнях платформы. Это очень важно. Платформа предоставляет возможность интеграции и настройки на всех уровнях.
Какие ключевые технологии мы используем
Вот лишь несколько из них:
1. Хранение и обработка данных в памяти. Мы сотрудничаем с компанией GridGain, проходим достаточно сложный путь, потому что другой стороной скорости работы является надежность системы. Часть элементов, которые отсутствует в этом продукте, мы фактически реализуем с нуля. Это сложно, где-то сдвигаются сроки, но мы идем по этому пути, потому что эффект - большие возможности масштабирования.
2. Горизонтальное масштабирование на low-end серверах. Вся наша сборка - это х86-е машины.
3. Open source. Это тоже было достаточно больно. Мы начали несколько лет назад переходить на open source, учиться. В интеграционном слое мы используем такие решения как Kafka, ZeroMQ. В качестве BPM-решения мы используем open-source решение Activiti. Мы используем WildFly в качестве сервера приложений.
Если поговорить с крупными компаниями, то большинство из них публикуют все свои решения. Например, мы изучали опыт Alibaba. В нашей стратегии - это тоже есть. Но это требует определенной нашей зрелости как организации. Мы сейчас в начале пути, но публиковать будем обязательно, потому что это даст абсолютно другие возможности.
Я говорил про систему принятия решений - ядро и сердце нашей платформы. Эту часть больно открыть с самого начала. Открыть мы собираемся части, начиная с не-mission critical компонентов. Наша задача заключается в том, чтобы иметь возможность открыть код определенной компоненты, чтобы уже комьюнити могло ее дорабатывать. У нас сейчас подход достаточно осторожный.
Что такое Единая фронтальная система, как мы ее строим
Основной требование - это реализация омниканальных фронтальных сценариев. Сложность здесь в меньшей степени техническая, в большей степени - организационная. Уверен, что во многих банках структура организации такая, что за удаленные каналы отвечает один человек, за бранчи и отделения отвечает другой человек, за колл-центр и сетку - третий. И, безусловно, когда мы говорим про омниканальный сценарий обслуживания клиента, то он должен максимально применяться во всех каналах. Чтобы это обеспечить важно договориться на уровне всех ответственных.
У нас большой набор инструментальных средств. Мы активно используем технологию React сейчас. Есть еще Angular. Это две альтернативы. Мы остановились на React.
Интеграционный слой создает изоляцию фронтальной системы от бэк-офиса и других наших информационных систем. Основная задача заключается в том, чтобы обслуживание клиентов в каналах происходило единым образом. Это наш целевой подход. Мы начали два года назад программу, сейчас выходим на фазу тиражирования. Есть функциональность для отделений и контактного-центра. Следующий год будет достаточно активно посвящен удаленным каналам.
Бизнес-хаб
Исторически сложилось, что каждый клиент Сбербанка жил в своей автоматизированной
банковской системе. Сейчас мы от этого подхода уходим, максимально переходим к онлайн-
профилю клиента, к мастер-системе.
Другие важные компоненты бизнес-хаба - это продуктовый каталог; система принятия решений;
исполнение сквозных процессов; и интеграционный слой, построенный на Kafka и ZeroMQ.
Учетные сервисы отделены при помощи парадигмы accounting engine, то есть продуктовый учет
отделяется от бухгалтерского учета.
Фабрика данных
Это новая стратегическая программа. Большую ставку мы сделали на Hadoop и соответствующие технологии. Есть определенные ограничения, но мы стараемся их преодолевать. Используем иклассические решения. У нас также внедряются решения от Teradata.
Что важно для платформы - мы должны научиться достаточно эффективно выталкивать данные с уровня продуктовых фабрик на аналитический уровень, чтобы делать очень сложную аналитику, которую мы не можем сделать онлайн.
Работа с командой
Большой вектор изменений в банке связан с построением тесного взаимодействия бизнеса и IT врамках внедрения Agile. У нас это называется Сберджайл. С одной стороны, мы слышим друг друга, с другой - такой подход вносит больше разнородности, потому что команды бегут параллельно, их надо как-то синхронизировать. В данном случае архитектурный контроль очень важен. Но без общего фокуса на построение новой платформы мы никуда не сдвинемся. Взяв новуюцель, мы должны ей соответствовать.
Платформа - основа построения экосистемы
Большое направление в нашей стратегии связано с развитием экосистем. Это сервисы наших дочерних компаний и наших партнеров, которые нам необходимо развивать. Общая идея заключается в том, чтобы дать быстрый старт тем площадкам, которые войдут в экосистему Сбербанка.
Быстрый старт может дать, в том числе, ядро платформы, потому что часть элементов можно будет переиспользовать. Речь идет про такие сервисы как идентификация, обмен данными, API. Это блоки, которые будут нужны всем. С другой стороны, если это новый бизнес, то элементы платформы помогут создать решение быстрее.
Закончить я бы хотел цитатой Махатмы Ганди, что «будущее зависит от того, что вы делаете сегодня». Поэтому давайте его делать. Мы идем таким путем.
Сбербанк успешно выполняет стратегические инициативы, целью которых являются построение технологической платформы и трансформация в технологическую компанию к концу 2018 года.
Стратегическая программа «Надежность 99,99»
Сбербанк провел большую работу по обеспечению высокой надежности своих систем. Среди важных вех этой работы – организация георезервирования сервисов контактного центра Сбербанка; создание ядра новой высоконадежной локальной вычислительной сети; работа клиентских сервисов при совершении операций в интернет-магазинах, переводов, выдаче кредитов, обслуживании через удаленные каналы в режиме Stand-In 24 × 7 в период инцидентов и технологических работ. Простои критичных автоматизированных систем ЦОД «Южный порт» не превышают 1,6 часа в год. Данный ЦОД сертифицирован по программе Tier Certification Operational Sustainability, Uptime Institute, уровень GOLD.
Высококритичные сервисы транспортирования данных между автоматизированными системами Сбербанка переведены в режим функционирования 99,999 %, то есть простой системы составляет не более 5 минут в год. Это обеспечивает непрерывность предоставления основных услуг частным и корпоративным клиентам.
В системе «Сбербанк Онлайн» выделен пилотный блок для сотрудников, в котором происходит тестирование новых версий Сбербанк Онлайн до масштабного тиражирования, что минимизирует риски и сокращает сроки внедрения.
Программа «Трансформация ИТ-организации»
В Сбербанке внедрены сквозной производственный процесс и ресурсное планирование, благодаря чему усилился контроль за запуском и реализацией проектов, сократилась средняя длительность проектов с 30 до 18 месяцев. Новый процесс реализации непроектных задач позволил сократить срок их внедрения в 1,9 раза. Выросла удовлетворенность внутренних клиентов, которая в области реализации ИТ-составляющей проектов выросла в 3,8 раза, в области реализации непроектных задач – в 3 раза. Сбербанк завершил трансформацию ИТ-организации. Создана платформа для технологической трансформации.
Программа «Технологическая трансформация»
В Сбербанке началась Agile-трансформация, которая заключается в переходе на метод гибкой разработки, получившей название Sbergile. Sbergile-команды обеспечены базовой автоматизацией, разработан процесс итеративной разработки сервисов.
В Сбербанке создан единый процесс управления операционным и ИТ-производством, инцидентами и технологическими стандартами.
На 13 % сокращена численность функции сопровождения клиентских операций. Трансформированы региональные центры сопровождения клиентских операций в г. Хабаровске и Воронеже. Сопровождение ИТ-операций обеспечено во всех часовых поясах.
Программа «Платформа поддержки развития бизнеса (18+)»
Платформа призвана стать универсальным конструктором для создания бизнес-приложений.
Практически подтверждена производительность и масштабируемость In-Memory Data Grid архитектуры, в частности достигнута высокая производительность в 35 тыс. транзакций в секунду. Создано единое информационное пространство, куда успешно загружены данные по 100 млн клиентов. Разработаны механизмы аудита, авторизации, доступа к данным и их пакетной обработки. Внедрены важнейшие сервисы для бизнеса: единый профиль клиента Розничного блока, единый каталог продуктов и тарифов в части вкладов и банковских карт, динамическое ценообразование. Запущены первые продуктовые фабрики: переводов Р2Р, торгового эквайринга, вкладов.
Команда Программы получила статус разработчиков open-source-сообщества Apache Software Foundation. Проекты Программы получили возможность развивать open-source-компоненты технологического стека платформ.
Программа «Единая фронтальная система»
Цель Программы – создать единый стандарт во всех каналах обслуживания клиентов.
Основной акцент Программы в 2016 году был сделан на росте активных продаж частным клиентам через контактный центр, повышении лояльности корпоративных клиентов за счет сервиса удаленного резервирования счета без визита в офис Сбербанка, снижении стоимости услуг внешних контактных центров корпоративных клиентов.
С технической стороны для этого была создана единая библиотека интерфейсных компонентов базовых системных сервисов, которые используются для создания пользовательского интерфейса. Использование библиотеки позволяет повысить на 30–35 % скорость разработки экранных форм и снизить стоимость их разработки на 15–20 %. Разработан ряд open-source-компонент, которые представлены для переиспользования в свободный доступ интернет-сообществу. Внедрен конвейер автоматической сборки приложений, и пилотируется технология автоматического развертывания системы на все среды. Использование технологии DevOps приведет к существенному снижению time-to-market и позволит в разы быстрее выводить продукты на рынок.
Функционал дистанционного открытия счетов, зарплатных проектов, корпоративных карт перенесен на новую цифровую корпоративную платформу. Это является первым шагом на пути к переходу на Единую фронтальную систему.
Создано мобильное рабочее место агента прямых продаж, что позволит планировать встречи и оптимизировать маршруты передвижения с учетом географического расположения клиентов.
Программа полностью реализуется по методу Agile. От идеи до открытия проходит восемь недель. По Программе работают более 90 Agile-команд. В 2016 году удалось сформировать лучшую команду ИТ-специалистов и бизнес-экспертов. Команда насчитывает более 1 тыс. сотрудников из бизнес-блоков Сбербанка и 17 центров компетенции «Сбербанк-Технологии». Для привлечения лучших специалистов Сбербанк провел день открытых дверей и Международный дизайн-хакатон.
Программа «Фабрика данных»
Цель Программы – обеспечить Группе условия для достижения конкурентной скорости вывода на рынок новых продуктов, монетизации данных, повышения скорости принятия управленческих решений, снижения стоимости владения данными. Программа объединила активности по созданию data-сервисов и развитию инфраструктуры с учетом актуальных тенденций в построении корпоративных хранилищ данных и аналитических платформ.
Ключевые проекты Программы:
- профиль клиента «4D» – повышает полноту информации и глубину истории о корпоративном клиенте;
- «Массовая персонализация» – повышает эффективность одноименных процессов розничного бизнеса за счет быстрого получения достоверных сведений о клиентах на основе данных;
- «Бутиковый конвейер» – увеличивает доход от клиентов CIB за счет сокращения сроков и повышения эффективности принятия решений в части информации о клиентах;
- проект «Геомаркетинг 2.0» – предоставляет внешним клиентам Сбербанка информацию об экономическом потенциале отдельных географических локаций.
В рамках Программы увеличена производительность аналитического хранилища данных. Создан новый важнейший элемент архитектуры – облако данных – это распределенное хранилище данных для последующей обработки, куда загружены первые данные крупнейших систем Сбербанка – Единая корпоративная система и Единый кредитный портфель. Запущена область экспериментов с данными и проверки гипотез моделей для бизнес-пользователей. Сбербанку удалось сократить до 10 дней время разовой поставки данных по запросам подразделений Сбербанка (ранее срок составлял более четырех месяцев).
Программа «Централизация 3.0»
Цель Программы – завершить централизацию ландшафта, существенно повысив экономическую эффективность ИТ-активов. В 2016 году в рамках Программы выведены из эксплуатации 682 нецелевые автоматизированные системы (при плане 410) и два ЦОД. В 2017 году планируется вывести еще 270 нецелевых систем и семь центров обработки данных и заменить ИТ-оборудование.
Алиса Мельникова, генеральный директор «СберТех», довольно так буднично заявила, что «возглавляемая ею компания по итогом года стала крупнейшим в РФ разработчиком программного обеспечения с выручкой в 15,2 млрд. рублей (рост на 46%) и штатом в 6515 человек против 5300 человек в 2014 году».
«СберТех» взбаламутил ИТ-рынок
«СберТех» дочка «Сбербанка» и занимается разработкой и внедрением софта для этого банка. Многие ИТ-компании России давно невзлюбили этого вендора. На то есть несколько причин. Во-первых, такие крупнейшие интеграторы, как КРОК или Ланит, поставляют в «Сбербанк» теперь только аппаратные решения и жёстко отстранены от программного обеспечения.
Во-вторых, «СберТех» как пылесос вытягивает с рынка программистов, предлагая им существенно лучшие условия для работы. Нет ни одной ИТ-компании в РФ и Белоруссии, которая бы не лишилась сотрудников из-за него. Нет ни одного банка, из которого не ушли бы туда топ-менеджеры блока ИТ.
В-третьих, после сдачи в конце 2015 года в эксплуатацию проекта «Ла-Манш» (безбумажный мидл-офис на платформе Pega PRPC на 40 тыс. пользователей) большой зуб на них появился у HP, Canon, Xerox и других поставщиков принтеров. Если раньше раз в неделю только в центральный офис банка в Москве завозился целый грузовик бумаги, то теперь хватает и «Газели». И то только для подписания договоров с клиентами.
В приоритете open-source и собственная разработка
И, наконец, что интересно разработчикам ПО, «СберТех» целиком и полностью перешел на open-source и собственную разработку. С помощью этого набора инструментов в ближайшем будущем необходимо решить три сверхзадачи: создание единой фронтальной системы (ЕФС) для развития каналов обслуживания клиентов, платформы поддержки развития бизнеса и запуск фабрики данных на основе технологий BigData.
Именно более детальному анализу проекта ЕФС была посвящена конференция 6-го февраля. Зачем «Сбербанку» понадобилось проводить ее? Зачем выступать на нем перед программистами первым лицам банка? Ответ был дан топ-менеджером «Сбербанка» Вадимом Куликом , курирующим ИТ и управление рисками банка.
По его словам, банк уже давно стал подопытным кроликом корпорации Oracle. Такой крупной инсталляции базы данных этого вендором с такой нагрузкой на фронт-офис у них больше нет нигде. На такой нагрузке и масштабах из этой базы вылезает «такое количество тараканов», что непонятно, кто кому должен платить деньги за лицензии.
Как ответ на этот и множество других вызовов «СберТех» начал развивать собственные компетенции. Это и собственные разработки, и покупка стартапов. Например, это GridGain, специализирующаяся на разработке ПО для обработки больших объемов данных в оперативной памяти в режиме реального времени (технология In-Memory Computing, IMC).
При этом GridGain разрабатывает платформу распределенных вычислений с открытым кодом на Java, распространяемую под лицензиями LGPL и Apache 2.0. Этот факт, что называется, позволяет с успехом и минимальными финансовыми вложениями «импортозаместить», например, такое проприетарное немецкое решение, как SAP HANA. Так, что если финтех-стартапам есть, что показать, им надо срочно искать, где находится «Сбербанк».
Что касается фронта, то выбран путь унификации и централизации всех многочисленных продуктов в один как для собственных операционистов, так и для клиентов с удобным интерфейсом для всех устройств. В масштабах «Сбербанка» это действительно колоссальная работа. До недавних пор изменение, например, учетной ставки Центрального Банка РФ во всех системах занимало до 3-х месяцев. С такими темпами можно запросто проиграть в конкурентной борьбе тому же «Тинькофф Банку».
«Сбербанк» равняется на Amazon или Google
Задача поставлена добиться практически он-лайнового вывода на рынок продуктов благодаря ЕФС и такой же он-лайновой реакции на изменения рынка благодаря BI и BigData на базе интеграционной шины SOA в проитвовес традиционным банковским АБС и ERP. Это, по мнению топ-менеджмента, ставит «Сбербанк» в ряд не с кредитно-финансовыми организациями, а с технологическими гигантами типа Amazon или Google. По крайней мере в России. При этом не надо забывать, что банк уязвим перед западными санкциями - поэтому упор на свою разработку. И поэтому же подходы «Тинькофф Банка» ему не совсем подходят.
Этот факт заставляет «СберТех» по-новому включить «пылесос» и искать программистов, которые ментально соответствуют этим вызовам. Как, отмечали спикеры, ИТ-специалисты, работающие в банках, зашорены и не хотят лишних изменений. Поэтому взгляд рекрутеров обратился к Яндексу и ему подобным.
Но там тоже не лыком шиты, готовы удерживать специалистов любой ценой. Поэтому «СберТех» готов рассматривать кандидатуры «джуниоров», открывает собственную школу подготовки программистов на Java и JavaScript (про PHP не было сказано ни слова). Очень много на круглых столах говорили о разработчиках интерфейсов и верстальщиках. Оказалось, что в РФ на рынке практически нет крутых специалистов в этой сфере, особенно в «мобайле».
Конференция длилась целый день со множеством круглых столов. Описать коротко всё нет возможности, организаторы конференции обещали выложить видео мероприятия для всех интересующихся. И это всё было про ЕФС! А ведь параллельно развиваются еще два мегапроекта, о которых писалось выше. Похоже, «СберТех» такими темпами может догнать и крупных американских вендоров.
Загрузка...