Unified Frontal System (UFS) -alustalla kehitetään etuprosesseja Sberbank Online -järjestelmää varten (mobiilisovellus ja verkkoversio) sekä konttorin työntekijöille, ensimmäisen tason suoramyynnin asiantuntijoille. Tämän järjestelmän kehittämisohjelma on yksi Sberbankin keskeisistä ja strategisista ohjelmista.

2018: Vuoden kehitystulokset

Vuonna 2018 UFS:n arkkitehtuuria, prosesseja toiminnallisuuden kehittämiseksi ja tuomiseksi teollisuusympäristöön parannettiin, Sberbank totesi toimintaraportissaan vuoden 2019 toiselle neljännekselle. Myös moniversion mahdollisuus otettiin käyttöön, jonka ansiosta teknisiä palveluita ja asiakastoiminnallisuutta voidaan kehittää itsenäisesti ja iteratiivisesti omissa julkaisusykleissään.

UFS-ohjelma luo yhtenäisen palvelulogiikan kaikkiin kanaviin omnichannel-periaatteella (kuva - svpressa.ru)

Osana UFS:n kehitystä Sberbank otti vuonna 2018 käyttöön Sberbank Business Onlinen kautta asiakirjojen (remburssien, perintä) etäpankkipalveluiden toiminnallisuuden, jonka avulla asiakas voi lähettää hakemuksia/pyyntöjä/kirjeitä pankkiin sähköisesti, seurata heidän tilaansa verkossa ja nähdä rekisteristä heidän tapahtumansa.

Tämä palvelu mahdollistaa remburssien ja perintätoimien asiakaspalvelun lyhentämisen ja asiakastyytyväisyyden lisäämisen, Sberbank sanoo.

Toinen tärkeä tapahtuma UFS-alalla, Sberbank kutsuu järjestelmän massakiertovaiheen alkamista kaikille asiakkaille kolmessa etäpankkipalvelukanavassa vuonna 2018.

2017: EFS:n uusi versio

Vuonna 2017 EFS 7.0 -alustaan ​​kehitettiin uusi versio, jonka luotettavuus ja suorituskyky on korkeampi tukemalla käyttöönottotilaa monilohkoarkkitehtuurissa ja Stand-In-tilaa, joka tarjoaa paremman vikasietoisuuden ja toiminnallisten alijärjestelmien saumattoman päivityksen. alusta. Myös uuden kohdeprosessin massakäyttöönotto UFS:n kehittämiseen käyttämällä "kehitystyökaluja. Sberbank selittää, että tämä antaa yhdelle tiimille mahdollisuuden toteuttaa ratkaisuja kaikille kanaville, käyttää uudelleen mahdollisimman paljon jo toteutettuja objekteja ja palveluita, vähentää tyypillisten toimintalohkojen automaattisen generoinnin aiheuttamien virheiden määrää ja myös vähentää uusien työntekijöiden koulutusaikaa. .

Kohdennettu UFS-kehitysprosessin käyttöönoton odotettu vaikutus on puolittaa manuaalisen kehityksen määrä.

Lisäksi vuonna 2017 pankki määritti UFS-alustan laatustandardin. Sen toteutumista valvotaan 12 mittarilla. Standardin käyttö puolitti virheiden määrän testausvaiheessa ja mahdollisti sen, että 50 % virheistä poistuu 8 tunnissa.

2016: Sberbankin yhtenäisen etujärjestelmän kehittäjät päätetään

Sberbankin pääurakoitsija Unified Frontal Systemin luomisessa on Sberbank-Technologies-yhtiö.

Hankintaan kutsuttiin yrityksiä, joilla on kokemusta vähintään kolmen etupään järjestelmäkehitysprojektin toteuttamisesta vuodesta 2013 lähtien (projektin käyttäjäyleisöllä vähintään 10 000 käyttäjää). Kilpailun osallistujilla tulee olla vähintään 40 Java-ohjelmointikielen tuntevaa kehittäjää, 20 järjestelmäanalyytikkoa, 20 JavaScript-ohjelmointikielen, css:n, html:n tuntevaa kehittäjää ja 5 arkkitehtia. Osallistuvien projektitiimien asiantuntijoilla tulee olla Java Senior Specialist (vähintään 10 asiantuntijaa) ja Oracle Professional (vähintään 1) sertifikaatit.

Asiakirjoissa määrättiin erikseen asiantuntijoiden enimmäismäärät:

Osallistujien hakemuksen kokonaisarviointi riippui 50 % ehdotetun työn hinnasta ja 50 % testitehtävän laadusta.

Järjestelmätehtävät

Järjestelmässä työskentelevät pankkikonttoreiden ja puhelinkeskuksen työntekijät, mobiilisovellusten ja verkkopankkien asiakkaat (juridiset ja yksityishenkilöt), pankkituotteiden myyntikumppanit. Tämä järjestelmä on myös suunniteltu hallitsemaan pankkiautomaatteja ja itsepalvelupäätteitä.

Järjestelmän käyttöönotto varmistaa yhtenäisen asiakaskokemuksen luomalla yhden asiakaskunnan kaikille palvelukanaville. Vuorovaikutus voidaan aloittaa pankin puhelinkeskuksen kautta ja jatkaa esimerkiksi verkkopankissa tai konttorissa siitä hetkestä, jolloin toiminta keskeytettiin.

EFS:n tavoitteena on myös nopeuttaa pankin uusien tuotteiden lanseerausta markkinoille. Nykyisessä ympäristössä, kun eri sovellukset vastaavat Internet- ja mobiilipankkien hallinnasta, käsittely, pankkiautomaatit, päätelaitteet, Sberbankin palveluiden ja tuotteiden päivittäminen (esimerkiksi talletuskoron muuttaminen) voi viedä useita viikkoja eri puolilla maata. Tavoitteena on lyhentää aika yhteen päivään.

Lisäksi UFS lyhentää odotetusti toiminta-aikaa, yksinkertaistaa osaston työntekijöiden käyttöliittymää, nopeuttaa sopeutumista uusien tulokkaiden työhön ja vähentää virheiden määrää.

ESR:n ohjelmaopas

Vuoden 2018 lopussa Alexey Poddubnysta tuli Unified Frontal System -ohjelman johtaja. TAdviserin mukaan hänet nimitettiin tähän tehtävään sen jälkeen, kun Elena Baturova, joka johti aiemmin EFS-projektia, sekä Vadim Sharobaev, joka hänen johdollaan vastasi tästä projektista Sbertechissä, lähti Sberbankista. Lue lisää.

Sberbank on luomassa uutta joustavaa alustaa, joka muuttaa pankin teknologiayritykseksi. Pankki aikoo avata pääsyn alustansa elementteihin API:n kautta sekä julkaista osittain kehitystensa koodin, Sberbankin vanhempi toimitusjohtaja, IT-pääarkkitehti Sergey Ryabov sanoi FinCore 2017 -foorumilla. FutureBanking lainauksia tästä puheesta.

Charles Darwinin sanonta on, että vahvin laji ei selviä eikä älykkäin, vaan se, joka reagoi parhaiten muutokseen. Olemme tehneet nopean muutoksen kyvystä teknologiastrategiamme keskeiseksi tavoitteeksi ja keskeiseksi vaatimuksen uuden alustan rakentamiselle.

Yleistä lähestymistapaa alustan rakentamiseen voidaan kuvata lyhyesti kolmella R:llä: Järkeistää- nykyisen arkkitehtuurin rationalisointi ja optimointi, Uudelleenarkkitehti- uuden alustan luominen, Mieti uudelleen- mittakaavan uudelleen miettiminen ja ekosysteemin luominen. Olemme pankki, mutta samalla katsomme muita markkinoita. Strategiassa totesimme, että tulemme uusille markkinoille, kuten terveydenhuoltoon, automarkkinoille, toimimme jo kiinteistömarkkinoilla emmekä vain asuntolainojen suhteen.

Mitkä ovat tärkeimmät vaatimukset uuden alustamme rakentamiselle

1. Asiakaslähtöisyys. Suurin osa palveluista ja uusi lähestymistapa asiakaspalveluun edellyttää, että tiedämme asiakkaasta mahdollisimman paljon. Tämä ei ole vain ydinjärjestelmiämme, vaan myös sitä, mitä on ympärillämme.

2. Yksittäinen tietotila. Tämä on lähestymistapa, jossa tiedot ovat päätöksentekojärjestelmiemme saatavilla reaaliajassa.

3. Joustavat mekanismit monimutkaisten tuotteiden ja STP-prosessien perustamiseen. Pyrimme mahdollisimman kauas ihmisen osallistumisesta mahdollisuuksien mukaan; käyttää mekanismeja, kuten prosessiemme seurantaa ja vikatilanteiden automaattista hallintaa.

4. Erittäin tärkeä lohko on avoin API. Näin ollen API:t läpäisevät kaikki alustan komponentit. Avaamme ulkoisen APIn kumppaneillemme ja urakoitsijoillemme.

5. Koneoppimismekanismi. Pyrimme rakentamaan sen alustakomponentteihimme ja rakentamaan sen vähitellen päätöksentekojärjestelmäämme.

6. Maksimi luotettavuus 24x7. Olemme valtava selkäranka, luotettavuus on meille kaikkemme. Siksi teemme paljon työtä varmistaaksemme, että tietojärjestelmä on mahdollisimman luotettava.

7. Vaakasuora skaalaus halvemmissa laitteissa. Nykyiset tietojärjestelmämme ovat vakaita, tehokkaita ja suuria, mutta toimimme suurella huipputasolla. Monet toimittajat ovat jo supistaneet osan huippuluokan linjauksistaan ​​siirtyen keskiluokkaan, muihin arkkitehtuureihin. Yritämme myös päästä eroon tästä, alentaa omistuskustannuksia.

8. Avoimen lähdekoodin tekniikoiden käyttö. Kyllä, olemme iso pankki, meillä on oma kehitystyömme, osaamme työskennellä perinteisten arkkitehtuurien kanssa, mutta aloimme vähitellen siirtyä avoimeen lähdekoodiin.

9. Tietojen tallennus ja käsittely muistissa. Meillä oli suuria keskusteluja siitä, käytetäänkö tätä tekniikkaa vai ei. Nämä ovat toisaalta suuria riskejä, toisaalta suurimmat mahdollisuudet tietojenkäsittelyn nopeuden kannalta. Viimeisimmässä Gartner Symposium -konferenssissa Barcelonassa keskusteltiin arkkitehtien ja suurten analyytikoiden kanssa tietojärjestelmien rakentamisesta, mahdollisuuksista ja rajoituksista.

Mikä on alusta, miten esittelemme sen

Ensin rakensimme alustan ytimen ja jotkin avainpalveluista, jotka omistamme liiketoimintakeskuksen (päätöksentekojärjestelmä, yhtenäinen asiakasprofiili, tuoteluettelo). Mutta nyt liikumme useisiin suuntiin, muun muassa koska olemme isoja, meidän on paljon vaikeampaa heilua.

Alusta koostuu useista arkkitehtonisista kerroksista. Alaosassa on tekninen ydin.
"Legopalikoista" voit kerätä osan muista kerroksista. Nämä ovat itse asiassa uudelleenkäytettäviä komponentteja,
joita käytetään muilla tasoilla.

Uuden alustan sydän on liiketoimintakeskus. Nämä ovat sellaisia ​​lohkoja kuin Unified Client Profile,
tuoteluettelo, päätöksentekojärjestelmä. Nämä ovat uusia ratkaisuja, joita olemme nyt rakentamassa,
jotka mahdollistavat prosessien ja tuotteiden joustavan räätälöinnin.

Yllä meillä on Unified frontaalijärjestelmä. On tärkeää tarjota asiakkaillemme monikanavainen kokemus.

Suurin lohko on elintarviketehtaat. Tämä sisältää lainat, talletukset ja muut perinteiset tuotteet. Mutta samalla kehitämme uusia monimutkaisia ​​tuotteita, esimerkiksi vakuutus- ja luottotuotteiden yhdistelmää.

Voit luoda mitä tahansa liiketoimintaa alustakomponenttien avulla

Tavoitteenamme on tehdä alustasta joustava ja muokattavissa, jotta voimme rakentaa siihen uusia komponentteja. Olemme jo puhuneet API:sta ja komponentoinnista, palvelulähestymistavasta kaikilla alustan tasoilla. Se on erittäin tärkeää. Alusta tarjoaa integroinnin ja mukauttamisen kaikilla tasoilla.

Mitkä ovat tärkeimmät käyttämämme tekniikat

Tässä on vain muutamia niistä:

1. Tietojen tallennus ja käsittely muistissa. Teemme yhteistyötä GridGain-yrityksen kanssa, käymme melko vaikean polun läpi, koska työn nopeuden toinen puoli on järjestelmän luotettavuus. Jotkut tästä tuotteesta puuttuvat elementit toteutamme itse asiassa tyhjästä. Se on vaikeaa, joskus aikarajat siirtyvät, mutta tällä tiellä mennään, koska vaikutus on suuri skaalautuvuus.

2. Vaakasuora skaalaus matalan luokan palvelimilla. Koko kokoonpanomme on x86-koneita.

3. Avoin lähdekoodi. Se myös sattui melkoisesti. Aloitimme muutama vuosi sitten siirtymisen avoimeen lähdekoodiin oppiaksemme. Integraatiokerroksessa käytämme ratkaisuja, kuten Kafka, ZeroMQ. BPM-ratkaisuna käytämme Activiti avoimen lähdekoodin ratkaisua. Käytämme WildFlyä sovelluspalvelimena.

Jos puhut suurten yritysten kanssa, useimmat niistä julkaisevat kaikki päätöksensä. Tutkimme esimerkiksi Alibaban kokemusta. Strategiamme sisältää myös tämän. Mutta tämä vaatii meiltä organisaatiolta tiettyä kypsyyttä. Olemme nyt matkan alussa, mutta julkaisemme sen ehdottomasti, koska se antaa täysin erilaiset mahdollisuudet.

Puhuin päätöksentekojärjestelmästä - alustamme ytimestä ja sydämestä. Tämä osa on tuskallista avata alusta alkaen. Aiomme avata osia, alkaen ei-tehtäväkriittisistä komponenteista. Tehtävämme on pystyä avaamaan tietyn komponentin koodi niin, että yhteisö voi jo jalostaa sitä. Meillä on nyt melko varovainen lähestymistapa.

Mikä on Unified Frontal System, miten se rakennetaan

Päävaatimus on monikanavaisten frontaalisten skenaarioiden toteuttaminen. Monimutkaisuus tässä on vähemmässä määrin teknistä, suuremmassa määrin organisatorista. Olen varma, että monissa pankeissa organisaatiorakenne on sellainen, että yksi vastaa etäkanavista, toinen vastaa brunsseista ja konttoreista ja kolmas vastaa puhelinkeskuksesta ja verkosta. Ja tietysti, kun puhutaan monikanavaisesta asiakaspalveluskenaariosta, sitä tulisi soveltaa mahdollisimman paljon kaikissa kanavissa. Tämän varmistamiseksi on tärkeää päästä sopimukseen kaikkien vastuussa olevien tahojen tasolla.

Meillä on laaja valikoima työkaluja. Käytämme nyt aktiivisesti React-teknologiaa. Siellä on myös Angular. Nämä ovat kaksi vaihtoehtoa. Päädyimme Reactiin.

Integraatiokerros luo etujärjestelmän eristyksen takatoimistosta ja muista tietojärjestelmistämme. Suurin haaste on varmistaa, että asiakaspalvelu toimii johdonmukaisesti eri kanavissa. Tämä on kohdennettu lähestymistapamme. Aloitimme ohjelman kaksi vuotta sitten, nyt olemme siirtymässä replikointivaiheeseen. Toimintoja on konttoreille ja yhteyskeskukselle. Ensi vuosi on varsin aktiivisesti omistettu etäkanaville.

Liiketoiminnan keskus

Historiallisesti jokainen Sberbankin asiakas asui omassa automatisoinnissaan
pankkijärjestelmä. Nyt olemme siirtymässä pois tästä lähestymistavasta ja siirtymässä mahdollisimman paljon verkkoon
asiakasprofiili isäntäjärjestelmään.

Muita tärkeitä liiketoimintakeskuksen osia ovat tuoteluettelo; päätöksentekojärjestelmä;
päästä päähän -prosessien toteuttaminen; sekä Kafkalle ja ZeroMQ:lle rakennettu integraatiokerros.

Kirjanpitopalvelut erotellaan kirjanpitokoneparadigmalla eli tuotekirjanpidolla
erillään kirjanpidosta.

datatehdas

Tämä on uusi strateginen ohjelma. Teimme suuren panoksen Hadoopista ja siihen liittyvistä teknologioista. Tiettyjä rajoituksia on, mutta yritämme ylittää ne. Käytämme klassisia ratkaisuja. Toteutamme myös Teradatan ratkaisuja.

Alustalle on tärkeää, että meidän on opittava työntämään dataa elintarviketehdastasolta analyyttiselle tasolle riittävän tehokkaasti, jotta voimme tehdä erittäin monimutkaista analytiikkaa, jota emme voi tehdä verkossa.

Työskentely tiimin kanssa

Suuri muutosvektori pankissa liittyy liiketoiminnan ja IT:n tiiviin vuorovaikutuksen rakentamiseen osana ketterää toteutusta. Kutsumme sitä Sbergileksi. Toisaalta kuulemme toisiamme, toisaalta tämä lähestymistapa tuo lisää heterogeenisyyttä, koska joukkueet kulkevat rinnakkain, ne täytyy jotenkin synkronoida. Tässä tapauksessa arkkitehtoninen valvonta on erittäin tärkeää. Mutta ilman yhteistä keskittymistä uuden alustan rakentamiseen, emme siirry mihinkään. Kun olemme ottaneet uuden tavoitteen, meidän on noudatettava sitä.

Alusta on perusta ekosysteemin rakentamiselle

Strategiamme suuri suunta liittyy ekosysteemien kehittämiseen. Nämä ovat tytäryhtiöidemme ja kumppaneidemme palveluita, joita meidän on kehitettävä. Yleisideana on antaa nopea alku niille sivustoille, jotka tulevat osaksi Sberbankin ekosysteemiä.

Pikakäynnistyksen voi antaa muun muassa alustan ydin, koska osa elementeistä voidaan käyttää uudelleen. Puhumme sellaisista palveluista kuin tunnistaminen, tiedonvaihto, API. Nämä ovat lohkot, joita kaikki tarvitsevat. Toisaalta, jos tämä on uusi liiketoiminta, niin alustaelementit auttavat sinua luomaan ratkaisun nopeammin.

Haluaisin lopettaa Mahatma Gandhin lainaukseen, jonka mukaan "tulevaisuus riippuu siitä, mitä teet tänään". Joten tehdään se. Olemme menossa tätä tietä.

Alisa Melnikova, SberTechin pääjohtaja totesi varsin välinpitämättömästi, että "hänen johtamasta yrityksestä tuli vuoden lopussa Venäjän federaation suurin ohjelmistokehittäjä 15,2 miljardin ruplan liikevaihdolla (46 %) ja 6515 työntekijällä. 5300 ihmistä vuonna 2014".

SberTech vauhditti IT-markkinoita

SberTech on Sberbankin tytäryhtiö ja kehittää ja toteuttaa ohjelmistoja tälle pankille. Monet venäläiset IT-yritykset ovat pitkään pitäneet tästä myyjästä. Tähän on useita syitä. Ensinnäkin sellaiset suuret integraattorit, kuten CROC tai Lanit, toimittavat nyt Sberbankille vain laitteistoratkaisuja, ja ne on tiukasti suljettu ohjelmistoista.

Toiseksi SberTech vetää pölynimurin tavoin ohjelmoijat pois markkinoilta ja tarjoaa heille huomattavasti paremmat työolosuhteet. Venäjällä ja Valko-Venäjällä ei ole yhtään IT-yritystä, joka ei olisi menettänyt työntekijöitään hänen takiaan. Ei ole ainuttakaan pankkia, josta IT-lohkon huippujohtajat eivät jättäisi.

Kolmanneksi Englannin kanaaliprojektin käyttöönoton jälkeen vuoden 2015 lopussa (paperiton keskitoimisto Pega PRPC -alustalla 40 tuhannelle käyttäjälle) HP, Canon, Xerox ja muut tulostintoimittajat saivat ison hampaan. Jos aiemmin kerran viikossa toimitettiin kokonainen rekkakuorma paperia Moskovan pankin keskustoimistoon, mutta nyt Gazellia riittää. Ja sitten vain sopimusten allekirjoittamiseen asiakkaiden kanssa.

Etusijalla avoin lähdekoodi ja oma kehitys

Ja lopuksi, mikä on mielenkiintoista ohjelmistokehittäjille, SberTech on täysin siirtynyt avoimeen lähdekoodiin ja omaan kehitykseensä. Tämän työkalusarjan avulla on lähitulevaisuudessa tarpeen ratkaista kolme supertehtävää: yhtenäisen front-end-järjestelmän (UFS) luominen asiakaspalvelukanavien kehittämiseen, liiketoiminnan kehittämisen tukialusta sekä BigData-teknologioihin perustuvan datatehtaan käynnistäminen.

Se oli tarkempi analyysi ESR-hankkeesta, joka oli omistettu konferenssille 6. helmikuuta. Miksi Sberbankin piti tehdä se? Miksi puhua siitä ohjelmoijien edessä pankin ensimmäisille henkilöille? Vastauksen antoi Sberbankin ylin johtaja Vadim Kulik vastaa pankin IT- ja riskienhallinnasta.

Hänen mukaansa pankki on pitkään ollut Oracle Corporationin marsu. Näin laaja tietokanta-asennus tämän toimittajan niin kuormitus front office ei ole missään muualla. Sellaisella kuormalla ja mittakaavassa tästä tukikohdasta ryömii "niin paljon torakoita", ettei ole selvää, kenen pitäisi maksaa lisenssit kenelle.

Vastauksena tähän ja moniin muihin haasteisiin SberTech alkoi kehittää omaa osaamistaan. Nämä ovat sekä omaa kehitystämme että startup-yritysten ostoa. Tämä on esimerkiksi GridGain, joka on erikoistunut ohjelmistojen kehittämiseen suurten tietomäärien käsittelyyn RAM-muistissa reaaliajassa (In-Memory Computing Technology, IMC).

Samaan aikaan GridGain kehittää avoimen lähdekoodin hajautetun laskenta-alustan Java-kielellä LGPL- ja Apache 2.0 -lisensseillä. Tämä tosiasia, kuten he sanovat, mahdollistaa menestyksellä ja minimaalisilla taloudellisilla investoinneilla "korvaamaan tuonnin", esimerkiksi sellaisen saksalaisen patentoidun ratkaisun kuin SAP HANA. Joten jos fintech-aloitusyrityksillä on jotain näytettävää, heidän on kiireesti etsittävä, missä Sberbank sijaitsee.

Etuosan osalta polku kaikkien lukuisten tuotteiden yhdistämiseen ja keskittämiseen yhdeksi on valittu sekä omille pankkimiehille että asiakkaille kätevällä käyttöliittymällä kaikille laitteille. Sberbankin mittakaavassa tämä on todella kolosaali teos. Viime aikoihin asti esimerkiksi Venäjän federaation keskuspankin diskonttokoron muuttaminen kaikissa järjestelmissä kesti jopa 3 kuukautta. Tällaisella tahdilla voit helposti hävitä kilpailussa samalle Tinkoff Bankille.

"Sberbank" on sama kuin Amazon tai Google

Tehtävänä oli saavuttaa tuotteiden lähes online-lanseeraus markkinoille EFS:n ansiosta ja sama online-reaktio markkinoiden muutoksiin SOA-integraatioväylään perustuvien BI:n ja BigDatan ansiosta perinteisen pankkitoiminnan ABS:n ja ERP:n ansiosta. Tämä ei ylimmän johdon mukaan aseta Sberbankin tasolle rahoituslaitosten, vaan Amazonin tai Googlen kaltaisten teknologiajättien kanssa. Ainakin Venäjällä. Samalla ei pidä unohtaa, että pankki on alttiina länsimaisille pakotteille - siksi painopiste on sen omassa kehityksessä. Ja siksi Tinkoff Bankin lähestymistavat eivät oikein sovi hänelle.

Tämä tosiasia pakottaa SberTechin käynnistämään "pölynimurin" uudella tavalla ja etsimään ohjelmoijia, jotka vastaavat henkisesti näihin haasteisiin. Kuten puhujat totesivat, pankeissa työskentelevät IT-ammattilaiset ovat hämmentyneitä eivätkä halua tarpeettomia muutoksia. Siksi rekrytoijien ilme kääntyi Yandexiin ja vastaaviin.

Mutta sielläkään he eivät ole pahasti loukkaantuneet, he ovat valmiita pitämään asiantuntijoita hinnalla millä hyvänsä. Siksi SberTech on valmis harkitsemaan nuorempia ehdokkaita, avaa oman koulunsa ohjelmoijien kouluttamiseen Javalla ja JavaScriptillä (PHP:sta ei puhuttu sanaakaan). Pyöreän pöydän keskusteluissa puhuttiin paljon käyttöliittymäkehittäjistä ja taittosuunnittelijoista. Kävi ilmi, että Venäjän federaatiossa ei käytännössä ole tämän alan hienoja asiantuntijoita markkinoilla, etenkään mobiilissa.

Konferenssi kesti koko päivän monen pyöreän pöydän kera. Kaikkea ei voi kuvailla lyhyesti, konferenssin järjestäjät lupasivat julkaista tapahtumasta videon kaikille kiinnostuneille. Ja kaikki oli EFS:stä! Mutta samanaikaisesti kehitetään kahta muuta megaprojektia, jotka kuvattiin edellä. Näyttää siltä, ​​​​että SberTech voi saavuttaa suuret amerikkalaiset myyjät tällä vauhdilla.

Tämä pankin tytäryhtiö ryhtyi tuttuun tapaan toteuttamaan kaikkia pankin IT-projekteja ja suunnittelee pääsyä avoimille markkinoille. Mutta kaikki meni pieleen. "Itä-Euroopan suurimman pankin" tietotekniikkapohja tarvitsee täydellisen uudistuksen. Vuonna 2011 perustettu yritys ei ole 7 vuoden ajan täyttänyt odotuksia.

Voit tietysti yrittää kiistellä numeroiden kanssa. Sanoa, että se on nyt maan suurin IT-työnantaja. Yli 10 tuhatta ohjelmoijaa! Voimme sanoa, että liikevaihto on kasvanut viimeisen vuoden aikana. Mutta tämä on selvä todiste siitä, että pankki alkoi käyttää vielä enemmän IT-hankkeisiin parantamatta palvelujen laatua.

Viime vuoden kesäkuussa toimitusjohtaja Alisa Melnikova jätti yhtiön. Mutta tämä ei auttanut yhtiötä paljon. Tytäryhtiön ja Sberbankille erittäin tärkeän yrityksen koko olemassaolon aikana on kertynyt niin paljon ongelmia, että ne kaikki yhdessä alkavat jo hukuttaa emoyhtiötä.

1. Liian monta ihmistä

Tämä syy on seurausta neuvostoajan megalomaniasta ja tiettyjen huippujohtajien halusta saada budjettia ja valtaa. Mutta toinen syy on se, että oikea käsi ei ymmärrä mitä vasen tekee. Muistatko Grefin tyylikkään lausunnon ohjelmoijista?

"Ohjelmoijia ei tarvita tänään. Meillä on valtava määrä ohjelmoijia, joiden kanssa taistelemme", German Oskarovich sanoi.

Puolet ministeriöistä ja suurin osa markkinoilla olevista yrityksistä huutaa ja jahtaa yliarvostettuja "rakentajia", jotka ovat äärimmäisen tärkeitä digitaalitaloudelle, jota ohjelmoijien pitäisi olla, ja Gref päätti taistella heidän kanssaan. Kuka muokkaa tulevaisuutta? Miksi yritykset tarvitsevat niin paljon ihmisiä? Sama VTB tai Alfa Tinkovin kanssa käyttää paljon vähemmän henkilöresursseja täsmälleen samojen tai jopa parempien ominaisuuksien toteuttamiseen. Samaan aikaan ihmisiä houkutellaan pois markkinoilta tuplapalkoilla ja lupauksilla, että he varmasti muuttavat maailmaa täällä. Mutta itse asiassa siitä tulee täysin erilainen tarina. Paperien mukaan painikkeen laittaminen CRM:ään vaatii 200 ohjelmoijaa ja useita kuukausia kovaa työtä.

2. Ei läpimurtoja

EFS, PPRB ja FD. Yritys on ylpeä tästä ja julkaisee sen avoimesti verkkosivuillaan. Katsotaanpa konkreettista esimerkkiä. UFS - Unified Frontal System. Mikä se on?

Unified Frontal System -järjestelmän tavoitteena on lisätä Sberbankin asiakkaiden mukavuutta palveluita vastaanottaessaan sekä asiakaspalvelua tarjoavien konttoreiden työntekijöiden mukavuutta, nopeutta ja tehokkuutta. EFS perustuu kanavien väliseen toimintaan. Mistä tahansa käyttäjä tulee - sovelluksen, kotitietokoneen selaimen kautta, soittamalla puhelinkeskukseen tai toimistoon - hän voi jatkaa palvelua minkä tahansa kanavan kautta siitä hetkestä, kun viimeinen vuorovaikutus jossakin kanavassa päättyi - järjestelmä täytyy tunnistaa asiakasprofiili. Lisäksi UFS mahdollistaa oman APInsa ansiosta kumppaneiden pääsyn järjestelmään sekä integroitumisen kolmansien osapuolien sivustoihin.

Mutta nykyään joukko palveluita pystyy tähän! Mikä esti sinua viimeistelemästä Bitrix24:ää tai valtavaa määrää muita järjestelmiä yllä kirjoitetun toteuttamiseksi? Se ei ole jonkinlainen tila. Tämä on todellisuutta. No, kyllä, Sberbank on suuri. Mutta ei ainoa maailmassa. Olisi mahdollista kurkistaa muita tekemään se oikein. Täsmälleen sama muiden projektien kanssa. Läpimurtoa varten julkaistaan ​​täysin laiha hölynpöly. Ja osaa tästä "hölynpölystä" ei ole vielä edes luotu, vaan se on olemassa vain paperilla.

3. Banaalin tylsää

Yksi syy siihen, miksi "pyhä ketterä ja scrum" eivät toimi, on se, että tietyt ihmiset toteuttavat niitä. Sbertechissä nimettömänä pysytellessä useat kollegat yhtiöstä vahvistivat, että joskus he eivät yksinkertaisesti ymmärrä, mitä ovat tekemässä ja kuinka se muuttaa maailmaa. Pankki ei tarvitse kaikkia näitä 10 000 ohjelmoijaa niin paljon. Täällä he ovat tyhjäkäynnillä. Meidän rahoillamme.

4. Äärimmäisen outojen toimintojen asettaminen yritykselle

Tässä on skandaali Sberbank CIB:n analyytikon kanssa. Hajallaan koko rakennetta. Ja nyt Gref on ilmoittanut aikovansa korvata analyytikot "keinoälyllä".

No hölynpölyä! Mutta monet kuuntelevat suu auki. Ja he odottavat, että Sbertech tekee kaiken nyt. Niin paljon ohjelmoijia! Mutta aivan kuten 9 naista ei tee lasta kuukaudessa, niin täällä - no, et voi tänä vuonna korvata analyytikot tietokoneella tai hermoverkolla. Ja nyt kuvittele, mitä nämä strategiset riskit ovat emoyhtiölle.

5. Jatkuvat epäonnistumiset emoyhtiön työssä

Mitä voimme sanoa, vaikka SPIEFissä koko pilvi sisäpiiriläisiä ilmoitti äänekkäästi massiivisista epäonnistumisista Sberbankin työssä foorumilla. Mikä sääli. Yritys ei muuten vahvistanut tätä, mutta ei myöskään kiistänyt sitä, mikä epäsuorasti todistaa huhujen oikeellisuuden. Mutta säännölliset epäonnistumiset, tilien estäminen 666 ruplan siirtämiseksi ja vastaavat tarinat ovat toinen todiste johtajien kyvyttömyydestä. Kyllä, se oli vaikeaa, kyllä, siellä oli tavallinen säästöpankki. Mutta kukaan ei säästänyt rahaa ja aikaa muutokseen. Toiveena oli, että olisit maailman paras. Sillä välin käy ilmi, että et perustellut toiveitamme ollenkaan.

Tästä keskustelusta saat selville, mitä Sberbank IT:n tytäryhtiö Sberbank-Technologies tarkalleen tekee, mitkä Telegram-kanavat sovellusten suojausasiantuntijan tulisi lukea ja miksi harjoittelua ei pidä unohtaa koulutuksen aikana.

TIEDOT

Sberbank Technologies (SberTech) on Sberbankin vuonna 2011 perustettu IT-tytäryhtiö. Kaikki alkoi 500 hengen tiimistä. Periaatteessa nämä olivat Sberbankin IT-asiantuntijoita, jotka siirtyivät työskentelemään erillisessä IT-rakenteessa.

Nykyään SberTech työllistää noin 11 000 henkilöä kuudessatoista Venäjän kaupungissa. Näihin kaupunkeihin on keskittynyt keskeiset kehityskeskukset, joihin kokoontuvat alueelliset IT-asiantuntijoiden tiimit: Moskova, Pietari, Novosibirsk, Innopolis ja niin edelleen.

SberTech harjoittaa ohjelmistojen kehittämistä ja käyttöönottoa sekä tukea Sberbankin olemassa oleville IT-järjestelmille. Tällä hetkellä Sberbank on yrityksen ainoa asiakas.

Artem Bachevsky, IT-järjestelmien kehitysjohtaja sovellusturvallisuusosastolla

Kerro meille, mitä SberTech tekee, mitä projekteja työskentelet parhaillaan?

Tällä hetkellä avainhanke on uuden teknologia-alustan kehittäminen Sberbankille. Se muuttaa liiketoimintamallin ekosysteemiksi. Tämä ekosysteemi varmistaa ei-taloudellisten palvelujen tarjoamisen, kumppaneiden ja urakoitsijoiden yhteyden, pystyy käsittelemään suuria tietomääriä lyhyessä ajassa ja mahdollistaa järjestelmän korkean suorituskyvyn.

Katsotaanpa tarkemmin ei-taloudellisia palveluita. Mistä projekteista puhumme?

Tällaisia ​​hankkeita on jo olemassa, sillä ekosysteemi on kehittynyt vuodesta 2016 lähtien. Täysi siirtyminen uuteen teknologiseen alustaan ​​on suunniteltu vuoteen 2020 asti. Sberbank pyrkii luopumaan pelkästään rahoituspalvelujen tarjoamisesta ja hankkii aktiivisesti kumppaneita. Esimerkiksi "Sberbank-Real Estate" ( Sberbank LLC:n kiinteistökeskus on osa Sberbank-konsernia. - Noin toim.), Sberbank-Insurance, Internet-palvelu lääkäreiden etsimiseen DocDoc ja niin edelleen. Näin tapahtuu muunnos ekosysteemiksi. Yritykset, kuten Alibaba, Amazon, WeChat, seuraavat samanlaista polkua.

"Ekosysteemi" ja "teknologinen alusta" ovat kauniita sanoja, mutta haluan kuulla lisää yksityiskohtia. Mikä on alustasi ydin, mitä tarkalleen ottaen kehität ja miksi nämä tekniikat ovat erinomaisia?

Uusi alusta koostuu kolmesta avainohjelmasta.

Liiketoiminnan kehittämisen tukialusta- yleinen työkalu yrityssovellusten luomiseen. Pankista on tultava Markkinapaikka, joka kokoaa yhteen erilaisia ​​työkaluja asiakkaidensa tavoitteiden saavuttamiseksi. Tätä varten tarvitaan perusta - uusi alusta: skaalautuva, joustava, luotettava ja avoin, reaaliajassa muuttuva. Kehitys käyttää uusinta teknologiaa hajautettuun laskemiseen muistissa ja sovelluksissa, joissa on suuria tietomääriä reaaliajassa - In Memory Data Grid.

Data Factory -ohjelma on suunniteltu parantamaan analysoitavien tietojen laatua, luotettavuutta ja saatavuutta. Pankkien työntekijät voivat osallistua täysimääräisesti tietojen analysointiin ja tulkintaan ilman lisätyövoimakustannuksia niiden keräämisestä ja täsmäyttämisestä. Big Data tarjoaa työskentelyä superjoukkoilla dataa tietojen kaupallistamiseen ja asiakkaiden ja työntekijöiden käyttäytymisanalyysiin sekä eri segmenttien kanssa työskentelyn strategioiden mukauttamiseen.

Yksi etujärjestelmä- monitoimialusta, Sberbankin oma kehitys. Alustatyökalut tarjoavat saumattoman kanavien välisen kokemuksen kaikissa tuotteissa ja palveluissa. Teknologiapinon avulla voit ylläpitää korkeaa suorituskykyä, luotettavuutta ja käyttökokemuksen turvallisuutta. Lisäksi oman API:nsa ansiosta UFS mahdollistaa kumppanien pääsyn järjestelmään sekä integroitumisen kolmansien osapuolien sivustoihin.

Puhutaan nyt turvallisuudesta. Artem, kerro mitä yksikkösi tekee?

Divisioonamme käsittelee Application Security -sovellusturvallisuutta. Osasto on suhteellisen nuori, noin kaksi ja puoli vuotta vanha.
Ensisijainen vastuumme on varmistaa sovellusten turvallisuus. Pohjimmiltaan nämä ovat automatisoituja järjestelmiä, jotka ovat pankille kriittisiä, mutta myös kaikki uudet mobiili- ja missionkriittiset kehitystyöt kuuluvat vastuualueeseemme.

Nyt osasto työllistää viisitoista henkilöä. Ne voidaan jakaa ehdollisesti kolmeen tiimiin: penetraatiotestaustiimi, mobiilipentesti ja sisäinen kehitys. Tiimi kokosi eri teknisiä taustoja omaavia työntekijöitä pääasiassa tietoturvan eri osa-alueilta, mutta mukana on myös tyyppejä IT-hallinnosta ja -kehityksestä. Yhdessä Sberbank-kollegoidemme kanssa parannamme kehittämiemme järjestelmien turvallisuutta, ylläpidämme kohtuullista kompromissia liiketoiminnan tarpeiden, käyttömukavuuden ja ohjelmistokehityksen jatkuvasti kasvavien riskien välillä.

Saavutamme kaiken tämän Sberbankin ja SberTechin työntekijöiden vahvan asiantuntemuksen sekä kypsän ja perustavanlaatuisen SDL:n (Secure Development Lifecycle) ansiosta, joka ottaa huomioon nykyaikaiset trendit ja lähestymistavat (Agile & DevOps) ohjelmistokehityksen alalla.

Webin testaajien tiimi on mukana erilaisten käytäntöjen toteuttamisessa, niiden tulosten analysoinnissa ja itse penetraatiotestin tekemisessä. Mobiilipentest-tiimi tekee saman asian, mutta mobiilisovelluksille. Pankissa on paljon mobiilisovelluksia, tämä ei ole vain Sberbank Online, siellä on myös Business Online, yrityspalvelut ja niin edelleen.

Miten tämä infrastruktuuri on rakennettu, mainitsitko SDL:n?

Pyrimme rakentamaan infrastruktuurin siten, että "koodin kontekstissa" olevat kollegat auttavat meitä jäsentämään skannaustuloksia, tarkistamaan koodia ja kirjoittamaan sääntöjä SAST:lle (staattinen sovellusturvatestaus). Osana jatkuvaa arvontoimitusaloitetta asiakkaalle varmistamme sovellusten turvallisuuden tuomalla Sec-kontekstin DevOpsiin, jota rakennetaan Sberbankissa ja SBT:ssä, ja ilman tiimien osallistumista tämä on yksinkertaisesti mahdotonta.

Käytäntö, jossa kehittäjät otetaan mukaan tietoturvamestareiden kautta, on osoittautunut erittäin hyvin. Tietoturvamestarit ovat kehitystiimien työntekijöitä, jotka ovat kiinnostuneita ammatillisesta kehittymisestä tietoturva-alalla AS:n turvallisuuden lisäämiseksi ja haavoittuvuuksien riskin vähentämiseksi. Tämä saavutetaan nostamalla AS-kehitystiimien osaamistasoa tietoturvan tarjoamisessa, kopioimalla turvallisten sovellusten kehittämisen käytäntöjä ja lyhentämällä tietoturvavian elinkaaren kestoa.

Järjestämme myös säännöllisesti erilaisia ​​tiedotusohjelmia ja koulutuksia. Kerran vuosineljänneksessä meillä on yleinen tietoisuus kaikille. Meillä on koulutusta sukeltamiseen turvalliseen Java-kehitykseen. Tosiasia on, että tämä on kohdeohjelmointikieli pankissa, joten painopiste on siinä. Täsmälleen samat kohdesukellukset ovat olemassa Androidille ja iOS:lle.

Kuinka monta tuntia koulutusta suunnilleen kehittäjäsi saavat vuodessa?

Turvallisuusalalla noin neljäkymmentä tuntia vuodessa.

Mikä on mielestäsi koulutuksen rooli nykyään? Joka päivä on jotain uutta, miten pysyä mukana?

Opetamme perusasiat, emmekä pyri tekemään opiskelijoista välittömästi kyberturvallisuuden asiantuntijoita. Tässä vaiheessa riittää, että heidät otetaan mukaan aiheeseen ja annetaan perustiedot. Esimerkiksi Javan yhteydessä nämä tulevat olemaan turvallisia web-sovelluskehityskäytäntöjä, koska tällä alueella panostetaan paljon verkkoturvallisuuteen.

Mitä asiantuntijan tulee tehdä pysyäkseen aina kärjessä?

Suosittelen vähintään temaattisten Telegram-kanavien tilaamista pysyäksesi trendissä ja ymmärtääksesi kiinnostuksesi ammattia kohtaan. Itse luen HackerNewsin, Habrahabrin ja Hackerin. Voit hakea jotain GitHubissa, kokeilla sitä, arvioida sitä ja sitten ehkä toteuttaa sen. Aiheeseen ei tarvitse sukeltaa mahdollisimman syvälle, mutta sinun on ehdottomasti kokeiltava jatkuvasti jotain uutta.

Lisäksi mielestäni on hyvä käytäntö osallistua erilaisiin CTF- ja bug-palkkio-ohjelmiin. Voit ostaa joitain taitoja CTF:stä, ja bug bounty antaa sinun laillisesti "tuntea" mielenkiintoisten järjestelmien turvallisuuden.

Opiskelu on tietysti hyvästä, mutta mielestäni yksin koulutuksella ei pitkälle pääse. Ilman harjoittelua harjoittelu on todellakin arvotonta, ja todellisen kokemuksen takana se on ennen kaikkea todellista työtä.

Olet täysin oikeassa. Kerro koulutuksistasi ja tietoisuudestasi, miten menee?

Pyrimme toteuttamaan erilaisia ​​toimintoja ja pelillistämään prosesseja kehitystä varten. Esimerkiksi ZeroNights 2017 -konferenssissa esitimme CTF-captchan. Oli mielenkiintoinen kilpailu, jossa jokainen haaste on captcha, jonka toteutuksessa on looginen tai ohjelmistovirhe. Kutsuimme konferenssin osallistujia löytämään nämä haavoittuvuudet, jotka mahdollistavat useiden captchien ratkaisemisen lyhyessä ajassa.

Tehtävä oli yksinkertainen: sen piti "ratkaista" kaksikymmentä captchaa kymmenessä sekunnissa, itse asiassa ratkaisematta niitä. Osallistujien ei tule kirjoittaa kaikkea käsin, vaan heidän tulee esimerkiksi toteuttaa SQL-injektio, jotta mikään ei riipu syötetystä arvosta. Esimerkiksi yhdessä tehtävässä captcha voidaan ratkaista todennäköisyydellä - jos ajat vastauksessa "5" koko ajan, niin 25% todennäköisyydellä captcha ohitetaan.

Mikä on tällaisen kilpailun tarkoitus? Nykyään harvat ihmiset ottavat captchaja käyttöönsä yksin. Loppujen lopuksi on olemassa valmis ja suhteellisen luotettava reCAPTCHA (jos se on toteutettu oikein), mutta voit tehdä virheen tämän mekanismin toteuttamisessa. Jos joku kuitenkin päättää ottaa käyttöön oman captchansa, osallistuminen tällaiseen kilpailuun jättää paljon vähemmän mahdollisuuksia haavoittuvuuksien ilmaantumiseen, koska henkilö voi nähdä kilpailun aikana monia virheitä. Lisäksi nämä ongelmat eivät koske vain captchoja: on monia muita mekanismeja, joissa samanlaisia ​​virheitä voidaan tehdä.

Onko SberTechillä keskitetty koulutus, esimerkiksi koulutetaanko ohjelmoijia?

Kaikilla työntekijöillä on mahdollisuus oppia: ulkoinen (kurssit ja tapahtumat), sisäinen (tapaamiset, hackathonit, säännöllinen kokemusten vaihto tiimien ja osastojen sisällä). Tapaamisiin osallistuu sisäisiä ja ulkoisia asiantuntijoita: esimerkiksi yksi viimeisistä oli omistettu kvanttilaskentaan yhteistyössä IBM:n kanssa.

SberTech järjestää opiskelijoille ja aloittelijoille ilmaisia ​​kouluja mobiilikehityksestä iOS:lle ja Androidille, Javalle ja BPM:lle. Koulutuksen tulosten perusteella kutsumme parhaat opiskelijat töihin.

Jatketaan harjoituksia ja pinoasi. Kerro meille, mistä se koostuu.

Pyrimme löytämään haavoittuvuudet mahdollisimman varhaisessa vaiheessa, joten olemme käyttäneet SAST:ia (staattinen sovelluksen tietoturvatestaus) ja DAST:ia (dynaaminen sovellusten turvatestaus) ensimmäisen koodirivin kirjoittamisesta lähtien. Rakennamme yhteen suosittuun SAST-tuotteeseen perustuen ratkaisua, joka lisää DevOpsiin tietoturvaa moniin SberTechin kehittämiin automatisoituihin järjestelmiin. Käytämme parhaillaan OWASP ZAP:ia DevSecOpsissa, jonka avulla voimme kehittää entistä turvallisempia ja luotettavampia sovelluksia.

Etsimme myös tunnettuja haavoittuvuuksia julkisista komponenteista. Tätä varten luotiin apuohjelma, joka kokoaa muiden vastaavien työkalujen tulokset (OWASP-riippuvuustarkistus, Retire.js) ja skannaa myös lähdekoodin, eristää siitä käytetyt komponentit, jotka sitten tarkistetaan julkisiin haavoittuvuustietokantoihin (NIST). , CVE-tiedot).

Virheiden manuaalisen analyysin tuloksena olemme keränneet tietyn datajoukon asiantuntija-arvioinnilla ja kouluttaneet mallin (koneoppiminen on nyt niin hypetetty), joka määrittää haavoittuvuuden mahdollisuuden todella positiiviseksi. Tämä malli auttaa paljon, koska se käsittelee ainakin sijoitusta. Oletetaan, että OWASP-riippuvuustarkistuksessa on erittäin alhainen väärien positiivisten tulosten määrä, mutta se tuottaa hyvin vähän tuloksia. Virheellisten positiivisten prosenttiosuutemme on korkeampi, mutta sijoituksen ja paljon enemmän tulosten vuoksi havaitsemme joskus haavoittuvuuksia, joita muut työkalut eivät ole aiemmin havainneet.

Järjestelmiin soveltuvin osin käytämme fuzzingia – rakennamme tunkeilijamallin, uhkamallin kaikille järjestelmille. Tarkistamme myös koodin, eli sen kriittiset osat. Ja tietysti teemme läpäisytestejä.

Emme jätä kehittäjiä yksin virheiden kanssa, vaan käymme niiden kanssa läpi vian elinkaaren, neuvomme korjaamisessa ja testaamme muokkauksen jälkeen.

Ja kerron sinulle hieman lisää osastomme kehityksestä. Jossain vaiheessa ymmärsimme, että SDL-prosessin hallinta on mahdotonta ilman Secure Application Lifecycle Manageria. Ottaen huomioon tietyt pankin erityispiirteet (monet automatisoidut järjestelmät, joista jokaisella on oma "eläintarha" teknologioista ja käytännöistä), oli ilmeistä, että oli tarpeen kirjoittaa jotain omaa.

Siksi olemme luoneet tuotteen, joka keskittää kaikki SDL:n käyttöönottoprosessit ja prosessien jatkuvuuden ylläpito, tietovirran hallinta (IS ja vastaavat). Se tallentaa kaikki eri käytäntöjen tuloksena kertyneet tiedot ja antaa sinun hallita niitä, automaattisesti "rullaa" joitain toimia niiden sujuvan replikoinnin varmistamiseksi. Se jakaa myös bugeja erilaisiin ongelmanseurantaohjelmiin, tarjoaa käyttöliittymiä virheiden jäsentämiseen työkalujemme avulla. Kaikki tämä varmistaa SDL:n rakentamisen ja tehokkaan vuorovaikutuksen tiimien kanssa.