Pada platform Unified Frontal System (UFS), proses hadapan sedang dibangunkan untuk sistem Sberbank Online (aplikasi mudah alih dan versi web), serta untuk pekerja cawangan dan pakar jualan langsung peringkat pertama. Program untuk membangunkan sistem ini adalah salah satu yang penting dan strategik untuk Sberbank.

2018: Keputusan pembangunan untuk tahun

Pada 2018, seni bina UFS, proses untuk membangun dan melepaskan fungsi ke dalam persekitaran perindustrian telah dipertingkatkan, Sberbank melaporkan dalam laporan mengenai aktivitinya untuk suku ke-2 2019. Kemungkinan berbilang versi juga diperkenalkan, berkat perkhidmatan teknologi dan kefungsian pelanggan yang boleh berkembang secara bebas dan berulang dalam kitaran keluaran mereka sendiri.

Program EFS mencipta logik perkhidmatan bersatu dalam semua saluran, berdasarkan prinsip omnichannel (foto - svpressa.ru)

Sebagai sebahagian daripada pembangunan Sistem Kewangan Bersepadu pada 2018, Sberbank melaksanakan fungsi perkhidmatan perbankan jauh untuk transaksi dokumentari (surat kredit, koleksi) melalui Sberbank Business Online, yang membolehkan pelanggan menghantar permohonan/permintaan/surat kepada bank. secara elektronik, jejaki status mereka dalam talian dan lihat mendaftarkan transaksi mereka.

Perkhidmatan ini membolehkan anda mengurangkan masa yang dihabiskan untuk melayan pelanggan pada surat kredit dan kutipan serta meningkatkan kepuasan pelanggan, kata Sberbank.

Sberbank memanggil satu lagi peristiwa penting dalam bidang EFS sebagai permulaan peringkat peredaran besar-besaran sistem kepada semua pelanggan dalam tiga saluran perkhidmatan perbankan jauh pada tahun 2018.

2017: Versi baharu EFS

Pada 2017, versi baharu platform EFS 7.0 telah dibangunkan dengan tahap kebolehpercayaan dan prestasi yang lebih tinggi dengan menyokong mod penggunaan dalam seni bina berbilang blok dan mod Stand-In, yang memberikan peningkatan toleransi kesalahan dan kemas kini fungsi yang lancar. subsistem platform. Pelaksanaan besar-besaran proses sasaran baharu untuk membangunkan EFS menggunakan "alat pembangunan" juga telah dimulakan. Sberbank menjelaskan bahawa ini akan membolehkan satu pasukan melaksanakan penyelesaian untuk semua saluran, menggunakan semula objek dan perkhidmatan yang telah dilaksanakan sebanyak mungkin, mengurangkan bilangan ralat akibat penjanaan automatik blok berfungsi standard, dan juga mengurangkan masa latihan untuk yang baru. pekerja.

Kesan yang dijangkakan daripada melaksanakan proses pembangunan EFS yang disasarkan adalah untuk mengurangkan jumlah pembangunan manual sebanyak separuh.

Di samping itu, pada 2017, bank itu menentukan standard kualiti untuk platform ESF. Pelaksanaannya dipantau menggunakan 12 metrik. Menggunakan standard mengurangkan separuh bilangan ralat semasa fasa ujian dan membolehkan untuk memastikan bahawa 50% ralat dihapuskan dalam masa 8 jam.

2016: Pembangun Sistem Frontal Bersepadu Sberbank telah dikenal pasti

Kontraktor am Sberbank untuk penciptaan Sistem Frontal Bersepadu ialah syarikat Sberbank Technologies.

Syarikat yang berpengalaman dalam melaksanakan sekurang-kurangnya tiga projek untuk membangunkan sistem hadapan sejak 2013 telah dijemput untuk mengambil bahagian dalam perolehan (khalayak pengguna projek mestilah sekurang-kurangnya 10,000 pengguna). Peserta dalam pertandingan mesti mempunyai sekurang-kurangnya 40 pembangun dengan pengetahuan bahasa pengaturcaraan Java, 20 penganalisis sistem, 20 pembangun dengan pengetahuan tentang JavaScript, css, bahasa pengaturcaraan html dan 5 arkitek. Pakar pasukan projek peserta mesti mempunyai sijil Pakar Kanan Java (sekurang-kurangnya 10 pakar) dan Oracle Professional (sekurang-kurangnya 1).

Secara berasingan, dokumentasi menetapkan kadar maksimum untuk pakar:

Penilaian keseluruhan permohonan peserta bergantung 50% pada kos yang dicadangkan untuk menyiapkan kerja dan 50% pada kualiti tugas ujian.

Objektif sistem

Sistem ini menggaji pekerja cawangan bank dan pusat panggilan, pelanggan aplikasi mudah alih dan perbankan dalam talian (entiti undang-undang dan individu), dan rakan kongsi dalam penjualan produk bank. Sistem ini juga direka untuk mengawal ATM dan terminal layan diri.

Pelaksanaan sistem akan memastikan pengalaman pelanggan yang bersatu dengan mewujudkan pangkalan pelanggan tunggal untuk semua saluran perkhidmatan. Ia mungkin untuk memulakan interaksi melalui pusat panggilan bank, dan meneruskan, sebagai contoh, di bank Internet atau di cawangan dari saat di mana operasi itu terganggu.

Satu lagi matlamat ESF adalah untuk mempercepatkan pengenalan produk bank baharu ke pasaran. Dalam keadaan semasa, apabila aplikasi berbeza bertanggungjawab untuk mengurus perbankan dalam talian dan mudah alih, pemprosesan, ATM dan terminal, mengemas kini perkhidmatan dan produk Sberbank (contohnya, menukar kadar deposit) di seluruh negara boleh mengambil masa beberapa minggu. Matlamatnya adalah untuk mengurangkan tempoh masa kepada satu hari.

Juga, seperti yang dijangkakan, EFS akan mengurangkan masa operasi, memudahkan antara muka pekerja cawangan, mempercepatkan penyesuaian kepada kerja pendatang baru, dan mengurangkan bilangan ralat.

pengurusan program ESF

Pada akhir tahun 2018, Alexey Poddubny menjadi ketua program Sistem Frontal Bersatu. Menurut TAdviser, beliau dilantik ke jawatan ini selepas Elena Baturova, yang sebelum ini mengetuai projek ESF, meninggalkan Sberbank, serta Vadim Sharobaev, yang di bawah pimpinannya bertanggungjawab untuk projek ini di Sbertech. Baca lagi.

Sberbank sedang mencipta platform fleksibel baharu yang akan mengubah bank itu menjadi sebuah syarikat teknologi. Bank itu merancang untuk membuka akses kepada elemen platformnya melalui API, serta menerbitkan sebahagian kod perkembangannya, Sergei Ryabov, pengarah urusan kanan dan ketua arkitek IT Sberbank, berkata pada forum FinCore 2017. FutureBanking menyediakan petikan daripada ucapan ini.

Pepatah Charles Darwin menyatakan bahawa bukan spesies terkuat yang bertahan, bukan juga yang paling bijak, tetapi yang paling bertindak balas terhadap perubahan. Kami telah menetapkan keupayaan untuk berubah dengan cepat sebagai matlamat utama strategi teknologi kami dan sebagai keperluan asas untuk membina platform baharu.

Pendekatan umum untuk membina platform boleh diterangkan secara ringkas dengan tiga huruf "R": Rasionalkan- rasionalisasi dan pengoptimuman seni bina semasa, Arkitek semula- penciptaan platform baharu, Fikir semula- memikirkan semula skala dan mewujudkan ekosistem. Kami adalah bank, tetapi pada masa yang sama kami melihat pasaran lain. Dalam strategi, kami menyatakan bahawa kami akan memasuki pasaran baru, seperti penjagaan kesihatan, pasaran kereta, kami sudah bekerja dalam pasaran hartanah dan bukan sahaja dari segi gadai janji.

Apakah keperluan utama untuk membina platform baharu kami?

1. Mementingkan pelanggan. Kebanyakan perkhidmatan dan pendekatan baharu kepada perkhidmatan pelanggan memerlukan kami mengetahui sebanyak mungkin tentang pelanggan. Ini bukan sahaja apa yang ada dalam sistem teras kami, ia juga apa yang ada di sekeliling.

2. Ruang maklumat bersatu. Ini ialah pendekatan di mana maklumat tersedia untuk sistem membuat keputusan kami dalam masa nyata.

3. Mekanisme fleksibel untuk menyediakan produk yang kompleks dan proses STP. Kami berusaha untuk menghapuskan interaksi manusia sebanyak mungkin di mana mungkin; gunakan mekanisme seperti pemantauan proses kami dan pengurusan automatik bagi situasi yang rosak.

4. Blok yang sangat penting ialah API terbuka. Sehubungan itu, API meresap ke semua komponen platform. Kami membuka API luaran untuk rakan kongsi dan kontraktor kami.

5. Mekanisme pembelajaran mesin. Kami cuba membinanya ke dalam komponen platform kami, dan kami secara beransur-ansur membinanya ke dalam sistem membuat keputusan kami.

6. Kebolehpercayaan maksimum 24x7. Kami adalah bank yang penting secara sistemik, kebolehpercayaan adalah segala-galanya. Oleh itu, kami menghabiskan banyak usaha untuk memastikan sistem maklumat boleh dipercayai.

7. Skala mendatar pada peralatan rendah. Sistem maklumat semasa kami adalah stabil, berkuasa dan besar, tetapi kami mengusahakan yang besar mewah. Ramai vendor telah pun menghentikan beberapa baris mereka yang bertujuan untuk kelas atasan maksimum dan beralih ke julat pertengahan dan ke seni bina lain. Kami juga cuba menjauhi perkara ini, untuk mengurangkan kos pemilikan.

8. Penggunaan teknologi sumber terbuka. Ya, kami adalah sebuah bank yang besar, kami mempunyai pengalaman kami sendiri, kami tahu cara bekerja dengan seni bina tradisional, tetapi kami telah mula beralih secara beransur-ansur kepada sumber terbuka.

9. Penyimpanan dan pemprosesan data dalam ingatan. Kami mengadakan perbincangan besar sama ada mahu menggunakan teknologi ini atau tidak. Di satu pihak, ini adalah risiko yang besar, di sisi lain - peluang terbesar untuk kelajuan pemprosesan data. Pada persidangan Simposium Gartner terbaru di Barcelona, ​​​​perbincangan telah diadakan dengan arkitek dan penganalisis terkemuka tentang bagaimana sistem maklumat harus dibina, peluang dan batasan yang ada.

Apakah platform dan bagaimana kami menyampaikannya

Pertama, kami membina teras platform dan sebahagian daripada perkhidmatan utama yang kami klasifikasikan sebagai hab perniagaan (sistem membuat keputusan, profil pelanggan bersatu, katalog produk). Tetapi sekarang kami bergerak ke beberapa arah, termasuk kerana kami besar, lebih sukar untuk kami berayun.

Platform ini terdiri daripada beberapa lapisan seni bina. Di bawah adalah teras teknologi.
Anda boleh memasang beberapa lapisan lain dari blok Lego. Ini sebenarnya komponen yang boleh diguna semula,
yang digunakan pada peringkat lain.

Nadi platform baharu ialah hab perniagaan. Ini adalah blok seperti Profil Pelanggan Bersepadu,
katalog produk, sistem membuat keputusan. Ini adalah penyelesaian baharu yang sedang kami bina,
yang membolehkan penyesuaian proses dan produk yang fleksibel.

Di bahagian atas kami mempunyai Sistem Frontal Bersatu. Adalah penting untuk menyediakan pengalaman omnichannel untuk pelanggan kami.

Blok besar ialah kilang makanan. Ini termasuk pinjaman, deposit dan produk tradisional lain. Tetapi pada masa yang sama, kami membuat produk baru yang kompleks, contohnya, gabungan produk insurans dan kredit.

Anda boleh membuat sebarang perniagaan pada komponen platform

Matlamat kami adalah untuk menjadikan platform fleksibel dan boleh disesuaikan supaya kami boleh membina komponen baharu ke dalamnya. Kami telah pun bercakap tentang API dan komponenisasi, pendekatan perkhidmatan di semua peringkat platform. Ianya sangat penting. Platform ini menyediakan keupayaan untuk menyepadukan dan menyesuaikan di semua peringkat.

Apakah teknologi utama yang kami gunakan?

Berikut adalah beberapa daripada mereka:

1. Penyimpanan dan pemprosesan data dalam ingatan. Kami bekerjasama dengan syarikat GridGain, kami melalui jalan yang agak sukar, kerana sisi lain dari kelajuan kerja adalah kebolehpercayaan sistem. Kami sebenarnya melaksanakan beberapa elemen yang tiada dalam produk ini dari awal. Ini sukar, tarikh akhir sedang dialihkan ke suatu tempat, tetapi kami mengikuti laluan ini kerana kesannya ialah peluang skala besar.

2. Penskalaan mendatar pada pelayan rendah. Keseluruhan pemasangan kami ialah mesin x86.

3. Sumber terbuka. Ini juga agak menyakitkan. Kami mula bertukar kepada sumber terbuka beberapa tahun lalu dan belajar. Dalam lapisan integrasi kami menggunakan penyelesaian seperti Kafka, ZeroMQ. Kami menggunakan penyelesaian Activiti sumber terbuka sebagai penyelesaian BPM. Kami menggunakan WildFly sebagai pelayan aplikasi kami.

Jika anda bercakap dengan syarikat besar, kebanyakan mereka menerbitkan semua penyelesaian mereka. Sebagai contoh, kami mengkaji pengalaman Alibaba. Strategi kami juga termasuk ini. Tetapi ini memerlukan kematangan tertentu kita sebagai sebuah organisasi. Kami kini berada di permulaan perjalanan kami, tetapi kami pasti akan menerbitkannya, kerana ia akan memberikan peluang yang sama sekali berbeza.

Saya bercakap tentang sistem membuat keputusan - teras dan nadi platform kami. Bahagian ini menyakitkan untuk dibuka dari awal. Kami akan membuka bahagian, bermula dengan komponen kritikal bukan misi. Tugas kami adalah untuk dapat membuka kod komponen tertentu supaya komuniti boleh memperhalusinya. Pendekatan kami sekarang agak berhati-hati.

Apakah Sistem Frontal Bersatu dan cara kami membinanya

Keperluan utama ialah pelaksanaan senario bahagian hadapan omnichannel. Kerumitan di sini adalah kurang teknikal dan lebih organisasi. Saya pasti bahawa di banyak bank struktur organisasi adalah sedemikian rupa sehingga seorang bertanggungjawab untuk saluran jauh, seorang lagi bertanggungjawab untuk cawangan dan cawangan, dan satu pertiga bertanggungjawab untuk pusat panggilan dan rangkaian. Dan, sudah tentu, apabila kita bercakap tentang senario perkhidmatan pelanggan omnichannel, ia harus digunakan pada tahap maksimum yang mungkin dalam semua saluran. Untuk memastikan ini, adalah penting untuk mencapai persetujuan di peringkat semua pihak yang bertanggungjawab.

Kami mempunyai satu set alat yang besar. Kami sedang aktif menggunakan teknologi React sekarang. Terdapat juga Angular. Ini adalah dua alternatif. Kami memutuskan pada React.

Lapisan integrasi mencipta pengasingan sistem bahagian hadapan daripada pejabat belakang dan sistem maklumat kami yang lain. Cabaran utama ialah memastikan pelanggan dilayan secara konsisten merentas saluran. Ini adalah pendekatan sasaran kami. Kami memulakan program dua tahun lalu dan kini memasuki fasa replikasi. Terdapat fungsi untuk cawangan dan pusat hubungan. Tahun depan akan ditumpukan secara aktif kepada saluran jauh.

Hab perniagaan

Dari segi sejarah, setiap pelanggan Sberbank hidup dalam automatiknya sendiri
sistem perbankan. Kini kami beralih daripada pendekatan ini, beralih ke dalam talian sebanyak mungkin.
profil pelanggan, kepada sistem induk.

Komponen penting lain hab perniagaan ialah katalog produk; sistem membuat keputusan;
pelaksanaan proses hujung ke hujung; dan lapisan integrasi yang dibina pada Kafka dan ZeroMQ.

Perkhidmatan perakaunan diasingkan menggunakan paradigma enjin perakaunan, iaitu perakaunan produk
dipisahkan daripada perakaunan.

Kilang Data

Ini adalah program strategik baharu. Kami meletakkan pertaruhan besar pada Hadoop dan teknologi yang berkaitan. Terdapat batasan tertentu, tetapi kami cuba mengatasinya. Kami menggunakan penyelesaian klasik. Kami juga melaksanakan penyelesaian daripada Teradata.

Apa yang penting untuk platform ini ialah kita mesti belajar untuk menolak data dari peringkat kilang makanan ke peringkat analitik dengan agak cekap untuk melakukan analisis yang sangat kompleks yang tidak dapat kita lakukan dalam talian.

Bekerja dengan pasukan

Vektor besar perubahan dalam bank dikaitkan dengan membina interaksi rapat antara perniagaan dan IT sebagai sebahagian daripada pelaksanaan Agile. Kami memanggilnya Sbergile. Di satu pihak, kami mendengar antara satu sama lain, sebaliknya, pendekatan ini memperkenalkan lebih banyak heterogen, kerana pasukan berjalan selari, mereka perlu disegerakkan. Dalam kes ini, kawalan seni bina adalah sangat penting. Tetapi tanpa tumpuan bersama untuk membina platform baharu, kami tidak akan bergerak ke mana-mana. Setelah mengambil matlamat baru, kita mesti sepadan dengannya.

Platform adalah asas untuk membina ekosistem

Satu hala tuju besar dalam strategi kami adalah berkaitan dengan pembangunan ekosistem. Ini adalah perkhidmatan anak syarikat dan rakan kongsi kami yang perlu kami bangunkan. Idea umum adalah untuk memberi permulaan pantas kepada tapak yang akan menjadi sebahagian daripada ekosistem Sberbank.

Teras platform juga boleh memberikan permulaan yang cepat, kerana beberapa elemen boleh digunakan semula. Kami bercakap tentang perkhidmatan seperti pengenalan, pertukaran data, API. Ini adalah blok yang semua orang perlukan. Sebaliknya, jika ini adalah perniagaan baharu, elemen platform akan membantu mencipta penyelesaian dengan lebih cepat.

Saya ingin mengakhiri dengan petikan daripada Mahatma Gandhi bahawa "masa depan bergantung pada apa yang anda lakukan hari ini." Jadi mari kita lakukannya. Kami akan pergi ke arah ini.

Alisa Melnikova, Ketua Pengarah SberTech, dengan agak bersahaja menyatakan bahawa "syarikat yang diketuainya pada akhir tahun menjadi pembangun perisian terbesar di Persekutuan Rusia dengan hasil 15.2 bilion rubel (peningkatan 46%) dan kakitangan 6515 orang berbanding 5300 orang pada 2014."

SberTech telah menggerakkan pasaran IT

SberTech ialah anak syarikat Sberbank dan terlibat dalam pembangunan dan pelaksanaan perisian untuk bank ini. Banyak syarikat IT Rusia telah lama tidak menyukai vendor ini. Terdapat beberapa sebab untuk ini. Pertama, penyepadu utama seperti CROC atau Lanit kini membekalkan Sberbank hanya dengan penyelesaian perkakasan dan dikecualikan daripada perisian.

Kedua, SberTech adalah seperti pembersih vakum yang menarik pengaturcara keluar dari pasaran, menawarkan keadaan kerja yang jauh lebih baik. Tidak ada satu syarikat IT pun di Persekutuan Rusia atau Belarus yang tidak akan kehilangan pekerja kerana dia. Tidak ada satu bank pun yang tidak meninggalkan pengurus atasan blok IT.

Ketiga, selepas projek "Saluran Inggeris" mula beroperasi pada penghujung tahun 2015 (pejabat tengah tanpa kertas di platform Pega PRPC untuk 40 ribu pengguna), HP, Canon, Xerox dan pembekal pencetak lain mula menghadapi masalah besar dengan mereka. Jika sebelum ini satu trak penuh kertas dihantar ke pejabat pusat bank di Moscow sekali seminggu, kini walaupun Gazelle sudah memadai. Dan kemudian hanya untuk menandatangani kontrak dengan pelanggan.

Pembangunan sumber terbuka dan dalaman adalah keutamaan

Dan akhirnya, apa yang menarik untuk pembangun perisian, SberTech telah beralih sepenuhnya kepada sumber terbuka dan pembangunannya sendiri. Dengan bantuan set alat ini, dalam masa terdekat adalah perlu untuk menyelesaikan tiga tugas utama: penciptaan sistem front-end bersatu (UFS) untuk pembangunan saluran perkhidmatan pelanggan, platform sokongan pembangunan perniagaan dan pelancaran sebuah kilang data berdasarkan teknologi BigData.

Persidangan pada 6 Februari ditumpukan kepada analisis yang lebih terperinci mengenai projek ESF. Mengapa Sberbank perlu melaksanakannya? Mengapakah pegawai tertinggi bank perlu bercakap mengenainya di hadapan pengaturcara? Jawapannya diberikan oleh pengurus tertinggi Sberbank Vadim Kulik, yang menyelia IT dan pengurusan risiko bank.

Menurutnya, bank itu telah lama menjadi babi guinea Oracle Corporation. Mereka tidak mempunyai pemasangan pangkalan data yang begitu besar oleh vendor ini dengan beban sedemikian di pejabat depan di tempat lain. Pada beban dan skala sedemikian, "sebegitu banyak lipas" merangkak keluar dari pangkalan data ini sehingga tidak jelas siapa yang harus membayar kepada siapa untuk mendapatkan lesen.

Sebagai tindak balas kepada ini dan banyak cabaran lain, SberTech mula membangunkan kecekapannya sendiri. Ini termasuk pembangunan kami sendiri dan pembelian syarikat permulaan. Sebagai contoh, ini ialah GridGain, yang pakar dalam membangunkan perisian untuk memproses sejumlah besar data dalam RAM dalam masa nyata (Pengkomputeran Dalam Memori, teknologi IMC).

Pada masa yang sama, GridGain sedang membangunkan platform pengkomputeran teragih sumber terbuka di Java, diedarkan di bawah lesen LGPL dan Apache 2.0. Fakta ini, seperti yang mereka katakan, memungkinkan untuk "pengganti import", contohnya, penyelesaian Jerman proprietari seperti SAP HANA dengan kejayaan dan pelaburan kewangan yang minimum. Jadi, jika syarikat permulaan fintech mempunyai sesuatu untuk ditunjukkan, mereka perlu segera mencari lokasi Sberbank.

Bagi bahagian hadapan, laluan penyatuan dan pemusatan semua produk menjadi satu telah dipilih untuk kedua-dua pengendali kami sendiri dan untuk pelanggan dengan antara muka yang mudah untuk semua peranti. Pada skala Sberbank, ini benar-benar pekerjaan yang besar. Sehingga baru-baru ini, mengubah, sebagai contoh, kadar diskaun Bank Pusat Persekutuan Rusia dalam semua sistem mengambil masa sehingga 3 bulan. Pada kadar ini, anda boleh kalah dengan mudah dalam persaingan dengan Tinkoff Bank yang sama.

Sberbank adalah sama dengan Amazon atau Google

Matlamatnya adalah untuk mencapai pelancaran produk hampir dalam talian di pasaran terima kasih kepada EFS dan tindak balas dalam talian yang sama terhadap perubahan pasaran terima kasih kepada BI dan BigData berdasarkan bas integrasi SOA, berbanding sistem perbankan teras perbankan tradisional dan ERP. Ini, menurut pengurusan tertinggi, meletakkan Sberbank setanding bukan dengan institusi kewangan, tetapi dengan gergasi teknologi seperti Amazon atau Google. Sekurang-kurangnya di Rusia. Pada masa yang sama, kita tidak boleh lupa bahawa bank itu terdedah kepada sekatan Barat - oleh itu, penekanan adalah pada pembangunan sendiri. Dan itulah sebabnya pendekatan Tinkoff Bank tidak begitu sesuai dengannya.

Fakta ini memaksa SberTech untuk menghidupkan pembersih hampagas dengan cara baharu dan mencari pengaturcara yang secara mental menghadapi cabaran ini. Seperti yang dinyatakan oleh penceramah, pakar IT yang bekerja di bank berkelip dan tidak mahu perubahan yang tidak perlu. Oleh itu, mata perekrut beralih kepada Yandex dan sebagainya.

Tetapi mereka juga bukan orang asing, mereka bersedia untuk mengekalkan pakar pada sebarang kos. Oleh itu, SberTech bersedia untuk mempertimbangkan calon untuk "junior" dan membuka sekolahnya sendiri untuk melatih pengaturcara dalam Java dan JavaScript (tidak ada satu perkataan pun yang dikatakan tentang PHP). Terdapat banyak perbincangan di meja bulat tentang pembangun antara muka dan pereka susun atur. Ternyata di Persekutuan Rusia hampir tidak ada pakar yang hebat dalam bidang ini di pasaran, terutamanya dalam mudah alih.

Persidangan itu berlangsung sepanjang hari dengan banyak meja bulat. Tidak mungkin untuk menerangkan semuanya secara ringkas; penganjur persidangan berjanji untuk menyiarkan video acara itu untuk semua yang berminat. Dan ini semua tentang ESF! Tetapi dua lagi projek mega, yang diterangkan di atas, sedang dibangunkan secara selari. Nampaknya pada kadar ini SberTech boleh mengejar vendor besar Amerika.

Anak syarikat bank ini, seperti biasa, mula melaksanakan semua projek IT bank dan merancang untuk memasuki pasaran terbuka. Tetapi semuanya menjadi salah. Asas teknologi maklumat "bank terbesar di Eropah Timur" memerlukan baik pulih sepenuhnya. Dicipta pada tahun 2011, dalam 7 tahun syarikat itu tidak memenuhi jangkaan.

Anda boleh, tentu saja, cuba berhujah dengan nombor. Untuk mengatakan bahawa ia kini merupakan majikan IT terbesar di negara ini. Lebih daripada 10 ribu pengaturcara! Kita boleh katakan bahawa pendapatan telah berkembang sepanjang tahun lalu. Tetapi ini adalah bukti jelas bahawa bank mula membelanjakan lebih banyak lagi untuk IT tanpa meningkatkan kualiti perkhidmatan.

Pada Jun tahun lepas, Ketua Pegawai Eksekutif Alisa Melnikova meninggalkan syarikat itu. Tetapi ini tidak banyak membantu syarikat. Sepanjang kewujudan anak syarikat dan syarikat yang sangat penting untuk Sberbank, begitu banyak masalah telah terkumpul sehingga mereka semua mula menenggelamkan syarikat induk.

1. Terlalu ramai orang

Sebab ini adalah akibat daripada campuran gigantomania dari era Soviet dan keinginan pengurus atasan tertentu untuk mempunyai belanjawan dan kuasa. Tetapi satu lagi sebab ialah tangan kanan tidak faham apa yang dilakukan oleh tangan kiri. Ingat kenyataan hebat Gref tentang pengaturcara?

"Kami tidak memerlukan pengaturcara hari ini. Kami mempunyai sejumlah besar pengaturcara yang kami lawan," kata German Oskarovich.

Separuh daripada kementerian dan kebanyakan syarikat di pasaran menjerit dan mengejar "pembina" yang sangat berharga dan sangat diperlukan untuk ekonomi digital, yang sepatutnya menjadi pengaturcara, dan Gref memutuskan untuk berjuang dengan mereka. Siapa yang akan menyedari masa depan? Mengapa syarikat memerlukan begitu ramai orang? VTB atau Alpha yang sama dengan Tinkov membelanjakan lebih sedikit sumber manusia untuk melaksanakan ciri yang sama atau lebih baik. Pada masa yang sama, orang ramai terpedaya dari pasaran dengan gaji berganda dan berjanji bahawa mereka pasti akan mengubah dunia. Tetapi sebenarnya ia ternyata menjadi cerita yang sama sekali berbeza. Menurut kertas, diperlukan 200 pengaturcara dan beberapa bulan kerja keras untuk meletakkan butang dalam CRM.

2. Tiada kejayaan

EFS, PPRB dan FD. Syarikat berbangga dengan ini dan menerbitkannya secara terbuka di laman webnya. Mari lihat contoh khusus. EFS - Sistem Frontal Bersatu. Apa ini?

Sistem Frontal Bersepadu bertujuan untuk meningkatkan tahap keselesaan pelanggan Sberbank apabila menerima perkhidmatan, serta kemudahan, kelajuan dan kecekapan kerja pekerja cawangan yang menyediakan perkhidmatan pelanggan. EFS adalah berdasarkan saluran silang. Di mana sahaja pengguna berasal - melalui aplikasi, penyemak imbas pada komputer rumah, melalui panggilan ke pusat panggilan atau pejabat - dia boleh meneruskan perkhidmatan melalui mana-mana saluran dari saat interaksi terakhir dalam mana-mana saluran berakhir - sistem mesti mengenali profil pelanggan . Di samping itu, EFS, melalui APInya sendiri, membenarkan rakan kongsi log masuk ke sistem, serta menyepadukan dengan platform pihak ketiga.

Tetapi hari ini banyak perkhidmatan boleh melakukan ini! Apakah yang menghalang anda daripada menyelesaikan Bitrix24 atau sebilangan besar sistem lain untuk melaksanakan apa yang ditulis di atas? Ini bukan sejenis ruang. Ini adalah realiti. Nah, ya, Sberbank besar. Tetapi bukan satu-satunya di dunia. Adalah mungkin untuk mengintip orang lain untuk melakukannya dengan betul. Sama juga dengan projek lain. Omong kosong yang benar-benar kurus dilepaskan sebagai satu kejayaan. Dan beberapa "karut" ini belum lagi dicipta, tetapi hanya wujud di atas kertas.

3. Hanya membosankan

Salah satu sebab mengapa "holy agile and scrum" tidak berfungsi ialah ia dilaksanakan oleh orang tertentu. Di Sbertech, dengan syarat tidak mahu namanya disiarkan, beberapa rakan sekerja dari syarikat itu mengesahkan bahawa kadangkala mereka tidak faham apa yang mereka lakukan dan bagaimana ia akan mengubah dunia. Bank tidak memerlukan semua 10 ribu pengaturcara ini dalam jumlah sedemikian. Jadi mereka terbiar. Dengan wang kita.

4. Mengenakan fungsi yang sangat pelik kepada syarikat

Terdapat skandal dengan penganalisis dari Sberbank CIB. Seluruh struktur telah dibongkar. Dan kini Gref telah mengumumkan hasratnya untuk menggantikan penganalisis dengan "kecerdasan buatan."

Nah, itu mengarut! Tetapi ramai yang mendengar dengan mulut terbuka. Dan mereka mengharapkan Sbertech melakukan segala-galanya sekarang. Ramai pengaturcara! Tetapi sama seperti 9 wanita tidak akan membuat anak dalam sebulan, jadi di sini - baik, anda tidak akan dapat menggantikan penganalisis dengan komputer atau rangkaian saraf tahun ini. Dan sekarang bayangkan apakah risiko strategik ini untuk syarikat induk.

5. Gangguan berterusan kepada syarikat induk

Apa yang boleh kita katakan, walaupun di SPIEF sekumpulan orang dalam dengan lantang mengumumkan gangguan besar-besaran dalam kerja Sberbank di forum. Yang hanya memalukan. Syarikat itu, dengan cara, tidak mengesahkan ini, tetapi tidak menafikannya, yang secara tidak langsung membuktikan kebenaran khabar angin tersebut. Tetapi kegagalan tetap, menyekat akaun untuk pemindahan 666 rubel dan cerita serupa adalah bukti lanjut tentang mati pucuk pengurus. Ya, sukar, ya, ada bank simpanan biasa. Tetapi tiada siapa yang menyelamatkan anda wang dan masa untuk transformasi. Harapannya ialah anda akan menjadi yang terbaik di dunia. Dalam pada itu, ternyata anda sama sekali tidak membenarkan harapan kami.

Daripada perbualan ini, anda akan mengetahui apa sebenarnya yang dilakukan oleh anak syarikat IT Sberbank, Sberbank Technologies, saluran Telegram yang perlu dibaca oleh pakar Keselamatan Aplikasi, dan mengapa seseorang tidak boleh melupakan latihan semasa latihan.

INFO

Sberbank Technologies (SberTech) ialah anak syarikat IT Sberbank, yang diasaskan pada 2011. Semuanya bermula dengan pasukan seramai 500 orang. Mereka ini kebanyakannya pakar IT dari Sberbank yang berpindah untuk bekerja dalam struktur IT yang berasingan.

Hari ini, SberTech mempunyai kakitangan kira-kira 11 ribu orang di enam belas bandar di Rusia. Pusat pembangunan utama tertumpu di bandar-bandar ini, di mana pasukan serantau pakar IT berkumpul: Moscow, St. Petersburg, Novosibirsk, Innopolis, dan sebagainya.

SberTech terlibat dalam pembangunan dan pelaksanaan perisian, serta sokongan sistem IT Sberbank sedia ada. Pada masa ini, Sberbank adalah satu-satunya pelanggan syarikat itu.

Artem Bachevsky, ketua pembangunan sistem IT di jabatan Keselamatan Aplikasi

Beritahu kami apa yang SberTech lakukan, apakah projek yang anda sedang kerjakan sekarang?

Pada masa ini, projek utama ialah pembangunan platform teknologi baharu untuk Sberbank. Ia mengubah model perniagaan menjadi ekosistem. Ekosistem ini akan menyediakan perkhidmatan bukan kewangan, menghubungkan rakan kongsi dan kontraktor, akan dapat memproses jumlah data yang besar dalam masa yang singkat, dan akan membolehkan prestasi sistem yang tinggi.

Mari kita lihat lebih dekat perkhidmatan bukan kewangan. Projek apa yang kita bincangkan?

Projek sedemikian sudah wujud, kerana ekosistem telah dibangunkan sejak 2016. Peralihan lengkap kepada platform teknologi baharu dirancang sebelum 2020. Sberbank sedang berusaha untuk beralih daripada menyediakan hanya perkhidmatan kewangan dan secara aktif memperoleh rakan kongsi. Sebagai contoh, Sberbank-Hartanah ( LLC "Pusat Harta Tanah dari Sberbank" adalah sebahagian daripada kumpulan syarikat Sberbank. - Lebih kurang. ed.), "Sberbank-Insurance", perkhidmatan Internet untuk mencari doktor DocDoc dan sebagainya. Oleh itu, transformasi menjadi ekosistem berlaku. Syarikat seperti Alibaba, Amazon, dan WeChat mengikuti jalan yang sama.

"Ekosistem" dan "platform teknologi" adalah perkataan yang indah, tetapi saya ingin mendengar lebih spesifik. Apakah intipati platform anda, apakah sebenarnya yang anda bangunkan dan mengapa teknologi ini cemerlang?

Platform baharu ini terdiri daripada tiga program utama.

Platform sokongan pembangunan perniagaan- alat universal untuk mencipta aplikasi perniagaan. Bank mesti menjadi Pasaran, menghimpunkan pelbagai alat untuk mencapai matlamat pelanggannya. Ini memerlukan asas - platform baharu: berskala, fleksibel, boleh dipercayai dan terbuka, mampu berubah dalam masa nyata. Pembangunan menggunakan teknologi terkini untuk pengkomputeran teragih dalam memori dan menjalankan aplikasi dengan jumlah data yang besar dalam masa nyata - Dalam Grid Data Memori.

Program Kilang Data direka untuk meningkatkan tahap kualiti, kebolehpercayaan dan ketersediaan data untuk analisis. Kakitangan bank akan dapat menganalisis dan mentafsir data sepenuhnya tanpa kos buruh tambahan untuk pengumpulan dan penyelarasan mereka. Big Data memastikan kerja dengan tatasusunan super data untuk mengewangkan maklumat dan analisis tingkah laku pelanggan dan pekerja, untuk melaraskan strategi untuk bekerja dengan segmen yang berbeza.

Sistem Frontal Bersatu- platform silang fungsi, pembangunan Sberbank sendiri. Alat platform menyediakan pengalaman merentas saluran yang lancar untuk semua produk dan perkhidmatan. Tindanan teknologi membolehkan anda mengekalkan prestasi tinggi, kebolehpercayaan dan keselamatan untuk pengguna. Di samping itu, melalui APInya sendiri, EFS membenarkan rakan kongsi untuk log masuk ke sistem, serta menyepadukan dengan platform pihak ketiga.

Sekarang mari kita bercakap tentang keselamatan. Artem, beritahu kami apa yang jabatan anda lakukan?

Bahagian kami berurusan dengan Keselamatan Aplikasi - keselamatan aplikasi. Jabatan ini agak muda, kira-kira dua setengah tahun.
Tanggungjawab utama kami ialah memastikan keselamatan aplikasi. Ini terutamanya sistem automatik yang penting untuk bank, tetapi semua perkembangan penting mudah alih dan misi baharu juga termasuk dalam bidang tanggungjawab kami.

Pada masa ini jabatan itu menggaji lima belas orang. Secara konvensional, mereka boleh dibahagikan kepada tiga pasukan: pasukan ujian penembusan, pentest mudah alih dan pembangunan dalaman. Pasukan ini mengumpulkan pekerja dengan latar belakang teknikal yang berbeza, terutamanya dari pelbagai bidang keselamatan maklumat, tetapi terdapat juga pekerja dari pengurusan dan pembangunan IT. Bersama-sama dengan rakan sekerja kami dari Sberbank, kami meningkatkan keselamatan sistem yang sedang dibangunkan, mengekalkan kompromi yang munasabah antara keperluan perniagaan, kemudahan pengguna dan risiko yang semakin meningkat dalam bidang pembangunan perisian.

Kami mencapai semua ini berkat kepakaran kukuh pekerja Sberbank dan SberTech, serta SDL (Kitaran Hayat Pembangunan Selamat) yang matang dan asas, yang mengambil kira trend dan pendekatan moden (Agile & DevOps) dalam bidang pembangunan perisian.

Satu pasukan pentester web terlibat dalam melaksanakan pelbagai amalan, menganalisis keputusan mereka dan menjalankan pentest itu sendiri. Pasukan pentest mudah alih melakukan perkara yang sama, tetapi untuk aplikasi mudah alih. Terdapat banyak aplikasi mudah alih di bank, ini bukan sahaja Sberbank Online, terdapat juga Perniagaan Online, perkhidmatan korporat dan sebagainya.

Bagaimanakah infrastruktur ini dibina, anda menyebut SDL?

Kami cuba membina infrastruktur dengan cara yang rakan sekerja yang "dalam konteks kod" membantu kami dalam menganalisis hasil imbasan, menyemak kod dan menulis peraturan untuk SAST (ujian keselamatan aplikasi statik). Sebagai sebahagian daripada inisiatif untuk menyampaikan nilai secara berterusan kepada pelanggan, kami memastikan keselamatan aplikasi dengan memperkenalkan konteks Sec ke dalam DevOps, yang sedang dibina di Sberbank dan SBT, dan tanpa penglibatan pasukan ini adalah mustahil.

Amalan melibatkan pemaju melalui juara keselamatan telah terbukti dengan baik. Juara keselamatan ialah pekerja dalam pasukan pembangunan yang berminat dalam pembangunan profesional dalam bidang keselamatan maklumat untuk meningkatkan keselamatan sistem dan mengurangkan risiko kelemahan. Ini dicapai dengan meningkatkan tahap kecekapan pasukan pembangunan AS dalam hal keselamatan maklumat, mereplikasi amalan pembangunan aplikasi selamat dan mengurangkan tempoh kitaran hayat kecacatan keselamatan maklumat.

Kami juga kerap mengadakan pelbagai program dan latihan kesedaran. Sekali suku tahun kami mengadakan kesedaran umum untuk semua orang. Kami mempunyai latihan tentang rendaman dalam pembangunan selamat di Jawa. Intinya ialah ini adalah bahasa pengaturcaraan sasaran di bank, jadi tumpuan adalah padanya. Penyelaman sasaran yang sama wujud untuk Android dan iOS.

Kira-kira berapa jam latihan yang diterima oleh pembangun anda setiap tahun?

Dalam bidang keselamatan, kira-kira empat puluh jam setahun.

Pada pendapat anda, apakah peranan pendidikan masa kini? Setiap hari sesuatu yang baru muncul, bagaimana untuk mengikutinya?

Kami mengajar asas-asas dan tidak segera berusaha untuk menjadikan pelajar pakar dalam bidang keselamatan siber. Pada peringkat ini, sudah cukup untuk melibatkan mereka dalam topik dan meletakkan pengetahuan asas. Katakan dalam konteks Java ini akan menjadi amalan pembangunan aplikasi web yang selamat, kerana dalam bidang ini banyak berkisar tentang keselamatan web.

Apakah yang perlu dilakukan oleh pakar untuk sentiasa "kekal di peringkat canggih"?

Sekurang-kurangnya, saya mengesyorkan melanggan saluran Telegram bertema untuk kekal mengikut aliran dan memahami minat anda dalam profesion. Secara peribadi, saya membaca HackerNews, Habrahabr dan Hacker. Anda boleh membuat sesuatu pada GitHub, mencubanya, menilainya, dan kemudian mungkin melaksanakannya. Tidak perlu menyelami topik itu sedalam mungkin, tetapi anda pasti perlu sentiasa mencuba sesuatu yang baharu.

Juga, pada pendapat saya, adalah amalan yang baik untuk mengambil bahagian dalam pelbagai program CTF dan hadiah pepijat. Dalam CTF anda boleh membeli beberapa kemahiran, dan hadiah pepijat membolehkan anda menguji keselamatan sistem yang menarik secara sah.

Sudah tentu, belajar adalah baik, tetapi belajar sahaja, pada pendapat saya, tidak akan membawa anda jauh. Lagipun, tanpa latihan, pembelajaran tidak bernilai, dan di sebalik pengalaman sebenar, pertama sekali, terdapat kerja sebenar.

Anda betul-betul betul. Beritahu kami tentang latihan dan kesedaran anda, bagaimanakah perkara ini berlaku?

Kami cuba memperkenalkan pelbagai aktiviti dan memperagakan proses pembangunan. Sebagai contoh, pada persidangan ZeroNights 2017 kami membentangkan captcha-CTF. Ia adalah pertandingan yang menarik, di mana setiap cabaran adalah captcha dengan ralat logik atau perisian dalam pelaksanaannya. Kami menjemput peserta persidangan untuk mencari kelemahan ini, yang membolehkan menyelesaikan banyak captcha dalam masa yang singkat.

Tugasnya adalah mudah: adalah perlu untuk "menyelesaikan" dua puluh captcha dalam sepuluh saat, tanpa benar-benar menyelesaikannya. Peserta tidak boleh menaip semua ini dengan tangan; mereka harus, sebagai contoh, melaksanakan suntikan SQL supaya tiada apa-apa bergantung pada nilai yang dimasukkan. Sebagai contoh, dalam salah satu tugas captcha boleh diselesaikan secara probabilistik - jika anda sentiasa memasukkan jawapan "5", maka dengan kebarangkalian 25% captcha akan diluluskan.

Apakah tujuan pertandingan sedemikian? Beberapa orang hari ini melaksanakan captcha sendiri. Lagipun, terdapat reCAPTCHA yang sudah siap dan boleh dipercayai (jika ia dilaksanakan dengan betul), tetapi anda boleh membuat kesilapan dalam melaksanakan mekanisme ini. Walau bagaimanapun, jika seseorang memutuskan untuk melaksanakan captcha mereka sendiri, maka penyertaan dalam pertandingan sebegini akan meninggalkan lebih sedikit peluang untuk kelemahan muncul, kerana seseorang itu dapat melihat banyak kesilapan semasa pertandingan. Selain itu, masalah ini bukan sahaja digunakan pada captcha: terdapat banyak mekanisme lain di mana ralat serupa boleh dibuat.

Adakah SberTech mempunyai latihan terpusat, sebagai contoh, adakah mereka melatih pengaturcara?

Semua pekerja mempunyai peluang untuk belajar: luaran (kursus dan acara), dalaman (pertemuan, hackathon, pertukaran pengalaman yang kerap dalam pasukan dan jabatan). Pakar dalaman dan luaran bercakap pada pertemuan itu: contohnya, salah satu yang terbaru didedikasikan untuk pengkomputeran kuantum bersama-sama dengan IBM.

Untuk pelajar dan bakal profesional, SberTech menjalankan sekolah percuma mengenai pembangunan mudah alih pada iOS dan Android, Java dan BPM. Kami menjemput pelajar terbaik untuk bekerja berdasarkan hasil latihan mereka.

Mari teruskan latihan dan timbunan anda. Beritahu kami kandungannya.

Kami cuba mencari kelemahan seawal mungkin, jadi kami menggunakan SAST (ujian keselamatan aplikasi statik) dan DAST (ujian keselamatan aplikasi dinamik) dari saat baris pertama kod ditulis. Berdasarkan satu produk SAST yang popular, kami sedang membina penyelesaian yang menambahkan Keselamatan pada DevOps untuk banyak sistem automatik yang dibangunkan di SberTech. Kami sedang melaksanakan OWASP ZAP ke dalam DevSecOps, yang akan membolehkan kami membangunkan aplikasi yang lebih selamat dan boleh dipercayai.

Kami juga mencari kelemahan yang diketahui dalam komponen awam. Untuk tujuan ini, utiliti telah dicipta yang mengagregatkan hasil alatan lain yang serupa (semakan kebergantungan OWASP, Retire.js), dan juga mengimbas kod sumber, mengasingkan daripadanya komponen yang digunakan, yang kemudiannya disemak terhadap pangkalan data kerentanan awam (NIST , CVEdetails).

Hasil daripada analisis manual pepijat, kami telah mengumpul set data tertentu dengan penilaian pakar dan kami melatih model (pembelajaran mesin, yang sangat digembar-gemburkan sekarang), yang menentukan peluang kerentanan menjadi positif benar. Model ini banyak membantu, kerana ia sekurang-kurangnya berkaitan dengan kedudukan. Katakan semakan pergantungan OWASP mempunyai kadar positif palsu yang sangat rendah, tetapi ia menghasilkan keputusan yang sangat sedikit. Utiliti kami mempunyai kadar positif palsu yang lebih tinggi, tetapi terima kasih kepada kedudukan dan bilangan hasil yang lebih besar, kadangkala kami menangkap kelemahan yang tidak dikesan oleh alatan lain sebelum ini.

Untuk sistem di mana ini terpakai, kami menggunakan fuzzing - kami membina model penceroboh dan model ancaman untuk semua sistem. Kami juga menyemak kod tersebut, iaitu bahagian kritikalnya. Dan sudah tentu, kami menjalankan ujian penembusan.

Kami tidak membiarkan pembangun bersendirian dengan pepijat, tetapi melalui keseluruhan kitaran hayat pepijat dengan mereka, menasihati mereka tentang penghapusan dan mengujinya selepas pembetulan.

Dan saya akan memberitahu anda lebih sedikit tentang perkembangan dalam jabatan kami. Pada satu ketika kami menyedari bahawa mengurus proses SDL adalah mustahil tanpa Pengurus Kitaran Hayat Aplikasi Selamat. Mengambil kira butiran khusus bank (banyak sistem automatik, yang masing-masing mempunyai "zoo" teknologi dan amalannya sendiri), adalah jelas bahawa kami perlu menulis sesuatu sendiri.

Oleh itu, kami telah mencipta produk yang menumpukan semua proses pelaksanaan SDL dan mengekalkan kesinambungan proses, mengurus aliran data (keselamatan maklumat dan yang berkaitan). Ia menyimpan semua data yang terkumpul hasil daripada pelbagai amalan dan membolehkan anda mengurusnya, secara automatik "melancarkan" beberapa tindakan untuk replikasi yang lancar. Ia juga mengedarkan pepijat merentas pelbagai penjejak isu dan menyediakan antara muka untuk menganalisis pepijat menggunakan alatan kami. Semua ini memastikan pembinaan SDL dan interaksi berkesan dengan pasukan.