Alisa Melnikova, generalni direktor"SberTech" je sasvim ležerno izjavio da je "tvrtka na čijem je čelu do kraja godine postala najveći developer u Ruskoj Federaciji. softver s prihodom od 15,2 milijarde rubalja (povećanje od 46%) i osobljem od 6.515 ljudi u odnosu na 5.300 ljudi u 2014.
"SberTech" je uzburkao IT tržište
SberTech je podružnica Sberbanke i razvija i implementira softver za ovu banku. Mnoge IT tvrtke u Rusiji dugo nisu voljele ovog dobavljača. Za to postoji nekoliko razloga. Prvo, takvi veliki integratori kao što su CROC ili Lanit sada opskrbljuju Sberbank samo hardverskim rješenjima i strogo su uklonjeni iz softvera.
Drugo, SberTech, poput usisavača, izvlači programere s tržišta, nudeći im značajno Bolji uvjeti za posao. Ne postoji niti jedna IT tvrtka u Ruskoj Federaciji i Bjelorusiji koja zbog njega ne bi izgubila svoje zaposlenike. Ne postoji niti jedna banka iz koje tamo ne bi otišli vrhunski menadžeri informatičkog bloka.
Treće, nakon puštanja u rad projekta Engleskog kanala (bez papirnog središnjeg ureda baziranog na Pega PRPC platformi za 40 tisuća korisnika) krajem 2015. godine, HP, Canon, Xerox i drugi dobavljači pisača dobili su ih u velikoj mjeri. Ako ranije jednom tjedno samo u Glavni ured banka u Moskvu dovezena je u kamionu papira, sad je dosta Gazele. I to samo za potpisivanje ugovora s klijentima.
Prioritet se daje otvorenom kodu i vlastitom razvoju
I, konačno, ono što zanima programere softvera, SberTech je u potpunosti prešao na open-source i vlastiti razvoj. Uz pomoć ovog skupa alata u bliskoj budućnosti potrebno je riješiti tri super-zadatka: stvaranje jedinstvenog frontalnog sustava (EFS) za razvoj kanala usluga korisnicima, platforme za podršku poslovnom razvoju i pokretanje tvornice podataka temeljene na BigData tehnologijama.
Konferencija 6. veljače bila je posvećena detaljnijoj analizi ESF projekta. Zašto ga je Sberbank trebala provesti? Zašto bi najviši dužnosnici banke trebali govoriti pred programerima? Odgovor je dao vrhunski menadžer Sberbanke Vadim Kulik zadužen za informatiku i upravljanje rizicima banke.
Prema njegovim riječima, banka je odavno postala pokusni kunić Oracle korporacije. Nigdje drugdje nemaju tako veliku instalaciju baze podataka ovog dobavljača s takvim opterećenjem na front officeu. S takvim opterećenjem i razmjerom iz ove baze ispuzi "toliki broj žohara" da nije jasno tko bi kome trebao plaćati novac za licence.
Kao odgovor na ovaj i mnoge druge izazove, SberTech je počeo razvijati vlastite kompetencije. To su i naši vlastiti razvoji i kupnja startupa. Primjerice, ovo je GridGain, koji je specijaliziran za razvoj softvera za obradu velikih količina podataka u RAM-u u stvarnom vremenu (In-Memory Computing technology, IMC).
U isto vrijeme, GridGain razvija platformu za distribuirano računanje otvorenog koda u Javi, distribuiranu pod licencama LGPL i Apache 2.0. Ova činjenica, kako kažu, dopušta s uspjehom i minimalno financijska ulaganja"Zamjena uvoza", na primjer, takvo vlastito njemačko rješenje kao što je SAP HANA. Dakle, ako fintech startupi imaju što pokazati, hitno moraju potražiti gdje se nalazi Sberbank.
Što se tiče prednje strane, odabran je put objedinjavanja i centralizacije svih brojnih proizvoda u jedan, kako za vlastite operatere tako i za kupce s user-friendly sučeljem za sve uređaje. U mjerilu Sberbanke, ovo je uistinu kolosalan posao. Donedavno je promjena, primjerice, diskontne stope Centralne banke RF u svim sustavima trajalo je do 3 mjeseca. S takvim tempom lako možete izgubiti u konkurenciji od iste Tinkoff banke.
Sberbank je jednak Amazonu ili Googleu
Zadatak je postići gotovo online lansiranje proizvoda na tržište zahvaljujući EFS-u i istu on-line reakciju na promjene tržišta zahvaljujući BI i BigData baziranim na SOA integracijskoj sabirnici za razliku od tradicionalnih bankarskih ABS i ERP-a. To, prema top menadžmentu, stavlja Sberbank u red ne s financijskim institucijama, već s tehnološkim divovima poput Amazona ili Googlea. Barem u Rusiji. Istodobno, ne treba zaboraviti da je banka ranjiva na sankcije Zapada – dakle, naglasak je na njezinu razvoju. I stoga pristupi “ Tinkoff banka“Ne pristaju mu baš.
Ova činjenica tjera SberTech da na novi način uključi "usisavač" i traži programere koji mentalno odgovaraju tim izazovima. Kako su napomenuli govornici, informatičari koji rade u bankama su zaslijepljeni i ne žele nepotrebne promjene. Stoga su se oči regrutera okrenule prema Yandexu i slično.
Ali i tamo nisu gadovi, spremni su pod svaku cijenu zadržati specijaliste. Stoga je SberTech spreman razmotriti kandidate za mlađe pozicije, otvara vlastitu školu za obuku Java i JavaScript programera (o PHP-u nije rečeno ni riječi). Mnogo smo razgovarali na okruglim stolovima o programerima sučelja i dizajnerima izgleda. Ispostavilo se da na tržištu u Ruskoj Federaciji praktički nema čvrstih stručnjaka za ovo područje, posebno u mobilnom.
Konferencija je trajala cijeli dan uz mnoštvo okruglih stolova. Ne može se sve ukratko opisati, obećali su organizatori konferencije objaviti video s događaja za sve zainteresirane. I sve se radilo o ESF-u! No, paralelno se razvijaju još dva megaprojekta, o kojima je gore napisano. Čini se da SberTech može sustići velike američke dobavljače takvim tempom.
Ova podružnica banke, kao i obično, počela je provoditi sve IT projekte banke i planirala je raditi za otvoreno tržište... Ali sve je krenulo po zlu. Temelj informacijske tehnologije" najveća banka istočne Europe"potreban je potpuni remont. Osnovana 2011. godine, tvrtka već 7 godina nije opravdala očekivanja.
Možete, naravno, pokušati raspravljati s brojkama. Reći da je sada najveći IT poslodavac u zemlji. Više od 10 tisuća programera! Možemo reći da su prihodi porasli za prošle godine... No, to je jasan pokazatelj da je banka počela još više trošiti na IT, bez poboljšanja kvalitete usluga.
Generalna direktorica Alisa Melnikova napustila je tvrtku u lipnju prošle godine. Ali to nije baš pomoglo tvrtki. Tijekom cijelog postojanja podružnice i iznimno važne za Sberbank, nakupilo se toliko problema da svi zajedno već počinju utapati glavu.
1. Previše ljudi
Taj je razlog rezultat mješavine gigantomanije sovjetske ere i želje određenih top menadžera da imaju proračune i moć. Ali drugi razlog je taj što desna ruka ne razumije što radi lijeva. Sjećate li se Grefove prekrasne izreke o programerima?
"Programeri danas nisu potrebni. Imamo ogroman broj programera s kojima se borimo", rekao je German Oskarovich.
Polovica ministarstava i većina tvrtki na tržištu viče i juri mrežom za precijenjenim i prijeko potrebnim za digitalna ekonomija"graditelji", što bi programeri trebali biti, a Gref se odlučio boriti s njima. S kim ćemo realizirati budućnost? Zašto tvrtkama treba toliko ljudi? Isti VTB ili "Alfa" s Tinkovim troše puno manje ljudskih resursa na implementaciju potpuno istih ili još boljih karakteristika. Pritom se ljudi mame s tržišta duplim plaćama i obećanjima da će ovdje sigurno promijeniti svijet. No, zapravo, ispada da je to sasvim druga priča. Na papiru, potrebno je 200 programera i nekoliko mjeseci napornog rada da se gumb stavi u CRM.
2. Nema proboja
EFS, PPRB i FD. Tvrtka je ponosna na to i to otvoreno objavljuje na svojoj web stranici. Pogledajmo konkretan primjer... EFS - Unified Frontal System. Što je?
Jedinstveni frontalni sustav usmjeren je na povećanje razine udobnosti za klijente Sberbank prilikom primanja usluga, kao i na udobnost, brzinu i učinkovitost zaposlenika poslovnica koji se bave pružanjem usluga korisnicima. ESF se temelji na više kanala. Odakle god korisnik dolazi - putem aplikacije, preglednika na kućnom računalu, putem poziva pozivnom centru ili uredu - može nastaviti pružati usluge putem bilo kojeg kanala od trenutka kada je završila posljednja interakcija na bilo kojem od kanala - sustav mora prepoznati profil klijenta... Osim toga, ESF, zbog vlastitog API-ja, omogućuje partnerima ulazak u sustav, kao i integraciju sa stranicama trećih strana.
Ali hrpa usluga to može učiniti danas! Što vas je spriječilo da dovršite Bitrix24 ili ogroman broj drugih sustava kako biste implementirali gore napisano? Ovo nije nekakav prostor. Ovo je stvarnost. Pa da, Sberbank je velika. Ali ne i jedini na svijetu. Bilo bi moguće špijunirati druge kako bi učinili pravu stvar. Potpuno isto s ostalim projektima. Za proboj se izdaju apsolutno mršave gluposti. A neke od tih "gluposti" još nisu ni stvorene, već postoje samo na papiru.
3. Otrcano dosadno
Jedan od razloga zašto "sveti agile i scrum" ne funkcioniraju je taj što ih provode konkretni ljudi. U Sbertechu je, uz uvjet anonimnosti, nekoliko kolega iz tvrtke potvrdilo da ponekad jednostavno ne razumiju što rade i kako će to promijeniti svijet. Svih ovih 10 tisuća programera banci nije potrebno u tolikoj količini. Dakle, ne rade. Za naš novac.
4. Nametanje krajnje čudnih funkcija tvrtki
Evo skandala s analitičarem Sberbank CIB. Raspršio cijelu strukturu. A sada je Gref najavio svoju namjeru da analitičare zamijeni “umjetnom inteligencijom”.
Pa gluposti! Ali mnogi slušaju otvorenih usta. I očekuju da će Sbertech sada učiniti sve. Toliko programera! Ali kao što 9 žena neće dobiti bebu za mjesec dana, tako eto – eto, ove godine nećete moći analitičare zamijeniti računalom ili neuronskom mrežom. A sada zamislite koji su strateški rizici za matičnu tvrtku.
5. Trajni propusti u radu matične tvrtke
Što reći, čak i ako je na SPIEF-u čitav oblak insajdera na forumu glasno progovorio o velikim poremećajima u radu Sberbanke. Što je samo šteta. Iz tvrtke to, inače, nisu potvrdili, ali nisu ni demantirali, što posredno dokazuje točnost glasina. Ali redoviti kvarovi, blokada računa za prijenos 666 rubalja i slične priče još su jedan dokaz nemoći menadžera. Da, bilo je teško, da, postojala je obična štedionica. Ali nitko vas nije štedio novca i vremena za transformaciju. Nadali su se da ćeš biti najbolji na svijetu. U međuvremenu se ispostavilo da nimalo niste opravdali naše nade.
Sberbank uspješno provodi strateške inicijative usmjerene na izgradnju tehnološke platforme i transformaciju u tehnološku tvrtku do kraja 2018. godine.
Strateški program "Pouzdanost 99,99"
Sberbank je napravio veliki posao kako bi osigurao visoku pouzdanost svojih sustava. Među važnim prekretnicama ovog rada - organizacija geo-rezervacije usluga kontakt centra Sberbanka; stvaranje jezgre nove visokopouzdane lokalne mreže; rad usluga za klijente prilikom obavljanja transakcija u internetskim trgovinama, prijenosa, izdavanja kredita, servisiranja putem udaljeni kanali u Stand-In načinu rada 24 × 7 tijekom incidenata i tehnološke radove... Vrijeme zastoja od kritičnog automatizirani sustavi Data centar "Yuzhny Port" ne prelazi 1,6 sati godišnje. Ovaj podatkovni centar certificiran je prema Tier Certification Operational Sustainability, Uptime Institute, GOLD razini.
Vrlo kritične usluge za prijenos podataka između automatiziranih sustava Sberbanke prebačene su na 99,999% načina rada, odnosno vrijeme zastoja sustava nije više od 5 minuta godišnje. Time se osigurava kontinuitet pružanja osnovnih usluga privatnim i korporativnim klijentima.
U sustavu Sberbank Online zaposlenicima je dodijeljen pilot blok u kojem se nove verzije Sberbank Online testiraju prije masovne replikacije, što smanjuje rizike i skraćuje vrijeme implementacije.
Program transformacije IT organizacije
Sberbank je uveo end-to-end proizvodni proces i planiranje resursa, čime je pojačana kontrola pokretanja i provedbe projekata, te smanjeno prosječno trajanje projekata s 30 na 18 mjeseci. Novi proces provedba nedizajnerskih zadataka omogućila je smanjenje vremena njihove provedbe za 1,9 puta. Povećano je zadovoljstvo internih kupaca, koje je u području provedbe IT komponente projekata poraslo 3,8 puta, u području provedbe neprojektnih zadataka - 3 puta. Sberbank je završio transformaciju svoje IT organizacije. Stvorena je platforma za tehnološku transformaciju.
Program tehnološke transformacije
U Sberbanku je započela agilna transformacija koja se sastoji u prijelazu na agilnu razvojnu metodu pod nazivom Sbergile. Sbergile timovima je osigurana osnovna automatizacija, razvijen je iterativni proces razvoja usluge.
Sberbank je stvorila jedinstveni proces za upravljanje operativnom i IT proizvodnjom, incidentima i tehnološkim standardima.
Broj funkcija podrške klijentskim operacijama smanjen je za 13%. Transformirana regionalni centri podrška operacijama klijenata u Habarovsku i Voronježu. IT operacije su podržane u svim vremenskim zonama.
Program za podršku poslovnom razvoju (18+).
Platforma je dizajnirana da postane univerzalni konstruktor za izradu poslovnih aplikacija.
Praktično je potvrđena izvedba i skalabilnost arhitekture In-Memory Data Grid, a posebno je postignuta visoka izvedba od 35 tisuća transakcija u sekundi. Stvoren je jedinstveni informacijski prostor u koji su uspješno učitani podaci o 100 milijuna korisnika. Razvijeni su mehanizmi revizije, autorizacije, pristupa podacima i skupne obrade. Uvedene su najvažnije usluge za poslovanje: jedinstveni profil korisnika bloka Maloprodaja, jedinstveni katalog proizvoda i tarifa u smislu depozita i bankovne kartice, dinamičke cijene. Pokrenute su prve tvornice hrane: P2P prijevodi, trgovačko stjecanje, depoziti.
Tim Programa dobio je status programera zajednice otvorenog koda Apache Software Foundation. Projekti Programa dobili su priliku razviti komponente otvorenog koda tehnološkog hrpa platformi.
Program jednog frontalnog sustava
Cilj Programa je stvoriti jedinstveni standard za sve kanale korisničke podrške.
Glavni naglasak Programa u 2016. godini stavljen je na rast aktivne prodaje privatnim klijentima putem kontakt centra, povećanje lojalnosti korporativnih klijenata putem usluge rezervacije računa na daljinu bez posjeta uredu Sberbanke, smanjenje troškova eksternih usluge. kontakt centri korporativni klijenti.
S tehničkog stajališta, za to je stvorena objedinjena biblioteka komponenti sučelja osnovnih sistemskih usluga koje se koriste za izradu korisničkog sučelja. Korištenje knjižnice omogućuje povećanje brzine razvoja obrazaca zaslona za 30-35% i smanjenje troškova njihovog razvoja za 15-20%. Razvijeno je više komponenti otvorenog koda koje su predstavljene za ponovnu upotrebu Besplatan pristup internetsku zajednicu. Implementiran je cjevovod za automatsko sklapanje aplikacija, a pilotira se tehnologija automatskog postavljanja sustava na sva okruženja. Korištenje DevOps tehnologije dovest će do značajnog smanjenja vremena izlaska na tržište i omogućit će višestruko brže dovođenje proizvoda na tržište.
Funkcionalnost daljinskog otvaranja računa, platni projekti, korporativne kartice preneseno na novu digitalnu platformu poduzeća. Ovo je prvi korak prema prijelazu na Unificirani frontalni sustav.
Stvoren mobilni radno mjesto agent za izravnu prodaju, koji će vam omogućiti planiranje sastanaka i optimizaciju putnih ruta, uzimajući u obzir zemljopisni položaj klijenata.
Program je u potpunosti implementiran prema Agile metodi. Od ideje do otvaranja potrebno je osam tjedana. U okviru Programa radi više od 90 Agile timova. 2016. godine formiran je najbolji tim IT stručnjaka i poslovnih stručnjaka. Tim ima preko 1000 zaposlenika iz poslovnih jedinica Sberbanka i 17 centara kompetencija Sberbank-Technologies. Kako bi privukao najbolje stručnjake, Sberbank je proveo jedan dan otvorena vrata i Međunarodni hakaton dizajna.
Program Tvornica podataka
Cilj Programa je omogućiti Grupi uvjete za postizanje konkurentske brzine lansiranja novih proizvoda na tržište, monetizaciju podataka, povećanje brzine usvajanja. upravljačke odluke, smanjujući troškove posjedovanja podataka. Program je kombinirao aktivnosti za stvaranje podatkovnih usluga i razvoj infrastrukture, uzimajući u obzir aktualne trendove u izgradnji korporativnih skladišta podataka i analitičkih platformi.
Ključni projekti Programa:
- profil korisnika "4D" - povećava cjelovitost informacija i dubinu priče o korporativni klijent;
- „Bulk personalizacija“ – povećava učinkovitost istoimenih procesa u maloprodaji brzim dobivanjem pouzdanih informacija o kupcima na temelju podataka;
- „Boutique conveyor“ – povećava prihod od CIB kupaca smanjenjem vremenskog okvira i povećanjem učinkovitosti donošenja odluka u smislu informiranja kupaca;
- projekt "Geomarketing 2.0" - pruža vanjskim klijentima Sberbanke informacije o gospodarskom potencijalu pojedinih geografskih lokacija.
U okviru Programa povećana je učinkovitost skladišta analitičkih podataka. Stvoren je novi najvažniji element arhitekture - oblak podataka je distribuirano skladište podataka za naknadnu obradu, gdje se nalaze prvi podaci najvećih sustava Sberbank - Unified Corporate System i Unified kreditni portfelj... Pokrenuo je područje eksperimentiranja podataka i testiranja hipoteza modela za poslovne korisnike. Sberbank je uspio smanjiti na 10 dana vrijeme za jednokratnu dostavu podataka na zahtjev odjela Sberbanke (prije je razdoblje bilo više od četiri mjeseca).
Program centralizacije 3.0
Cilj Programa je dovršiti centralizaciju krajolika značajnim povećanjem ekonomska učinkovitost IT sredstva. U 2016. godini, u okviru Programa, stavljena su iz pogona 682 neciljana automatizirana sustava (s planom od 410) i dva podatkovna centra. U 2017. planira se postupno ukidanje dodatnih 270 neciljanih sustava i sedam podatkovnih centara i njihova zamjena IT opremom.
Na platformi Jedinstvenog frontalnog sustava (EFS) razvijeni su frontalni procesi za sustav Sberbank Online (mobilna aplikacija i web verzija), kao i za zaposlenike odjela, stručnjake za izravnu prodaju prve razine. Program razvoja ovog sustava jedan je od ključnih i strateških za Sberbank.
2018: Rezultati razvoja za godinu
U 2018. godini poboljšana je arhitektura EFS-a, procesi razvoja i dovođenja funkcionalnosti u industrijsko okruženje, navodi Sberbank u svom izvješću o radu za 2. tromjesečje 2019. godine. Također, uvedena je mogućnost više verzija, zahvaljujući kojoj se tehnološke usluge i funkcionalnost klijenta mogu razvijati neovisno i iterativno u vlastitim ciklusima izdavanja.
ESF program stvara jedinstvenu logiku usluge u svim kanalima, temeljenu na principu omnichannel (fotografija - svpressa.ru)
U sklopu razvoja EFS-a 2018. Sberbank je implementirala funkcionalnost usluga daljinskog bankarstva za dokumentarne poslove(akreditivi, naplata) putem Sberbank Business Online, što klijentu omogućuje slanje zahtjeva/zahtjeva/pisama banci u u elektroničkom formatu, pratiti njihove statuse na mreži i vidjeti registar njihovih transakcija.
Ova usluga omogućuje smanjenje vremena servisiranja klijenata na akreditivima i naplatu te povećanje zadovoljstva korisnika, poručuju iz Sberbanke.
Sberbank početak faze masovne cirkulacije sustava svim klijentima u tri udaljena kanala naziva još jednim ključnim događajem u području EFS-a. bankarske usluge u 2018. godini.
2017: Nova verzija ESF-a
Razvijen je 2017 novu verziju ESF 7.0 platforme s višom razinom pouzdanosti i performansi zbog podrške načina implementacije u arhitekturi s više blokova i Stand-In modu, koji osigurava povećanu toleranciju na greške i besprijekorno ažuriranje funkcionalnih podsustava platforme. Također, započelo je masovno uvođenje novog ciljanog procesa za razvoj ESF-a korištenjem „razvojnih alata. Sberbank objašnjava da će to omogućiti jednom timu implementaciju rješenja za sve kanale, maksimalizirati ponovnu upotrebu već implementiranih objekata i usluga, smanjiti broj pogrešaka zbog automatskog generiranja standardnih funkcionalnih blokova, a također smanjiti vrijeme obuke za nove zaposlenike.
Očekivani učinak uvođenja ciljanog procesa razvoja ESF-a je prepolovljenje obujma ručnog razvoja.
Osim toga, u 2017. godini banka je definirala standard kvalitete za EFS platformu. Njegovu provedbu prati 12 metrika. Korištenje standarda prepolovilo je broj pogrešaka u fazi testiranja i omogućilo da se 50% pogrešaka eliminira unutar 8 sati.
2016: Određeni su programeri Jedinstvenog frontalnog sustava Sberbanka
Sberbank-Technologies je glavni izvođač Sberbanke za stvaranje Jedinstvenog frontalnog sustava.
Na sudjelovanje u nabavi pozvane su tvrtke s iskustvom u implementaciji najmanje tri projekta za razvoj front-end sustava od 2013. (dok korisnička publika projekta mora biti najmanje 10.000 korisnika). Natjecatelji moraju imati najmanje 40 programera sa poznavanjem programskog jezika Java, 20 sistemskih analitičara, 20 programera sa poznavanjem programskog jezika JavaScript, css, html i 5 arhitekata. Stručnjaci projektnog tima sudionika moraju imati certifikate Java Senior Specialist (najmanje 10 stručnjaka) i Oracle Professional (najmanje 1).
Zasebno, dokumentacija je propisivala maksimalne stope stručnjaka:
Ukupna ocjena prijave sudionika ovisila je o 50% predloženog troška rada i 50% o kvaliteti testnog zadatka.
Zadaci sustava
Sustav zapošljava djelatnike poslovnica i call centra banke, klijente mobilnih aplikacija i internet bankarstva (pravne i fizičke osobe), partnere u prodaji bankarskih proizvoda. Ovaj sustav je također namijenjen za upravljanje bankomatima i samoposlužnim terminalima.
Implementacijom sustava osigurat će se jedinstveno korisničko iskustvo stvaranjem jedinstvene korisničke baze za sve kanale usluga. Interakciju će biti moguće započeti preko pozivnog centra banke, a nastaviti, primjerice, u Internet banci ili poslovnici od trenutka kada je operacija prekinuta.
Druga zadaća EFS-a je ubrzanje lansiranja novih proizvoda banke na tržište. U sadašnjim uvjetima, kada je za upravljanje internetom i mobilna banka, obrada, bankomati, terminali odgovorni su za različite aplikacije, ažuriranje usluga i proizvoda Sberbanke (na primjer, promjena stope depozita) u cijeloj zemlji može potrajati nekoliko tjedana. Cilj je svesti vremenski okvir na jedan dan.
Također, kako se očekuje, ESF će omogućiti smanjenje vremena rada, pojednostavljenje sučelja zaposlenika odjela, ubrzanje prilagodbe na rad novopridošlica i smanjenje broja pogrešaka.
Upravljanje programom ESF-a
Krajem 2018. Aleksej Poddubny postao je voditelj programa Unified Frontal System. Prema TAdviseru, on je na tu poziciju imenovan nakon što su Sberbanku napustili Elena Baturova, koja je prethodno vodila projekt EFS, i Vadim Sharobaev, koji je pod njezinim vodstvom bio odgovoran za ovaj projekt u Sbertechu. Više detalja.
Iz ovog razgovora saznat ćete što točno radi IT-tvrtka kćer Sberbank "Sberbank-Technologies", koje Telegram kanale trebaju čitati stručnjaci za sigurnost aplikacija i zašto tijekom obuke ne treba zaboraviti na praksu.
INFO
Sberbank Technologies (SberTech) je IT podružnica Sberbanke, osnovana 2011. godine. Sve je počelo s timom od 500 ljudi. To su uglavnom bili IT stručnjaci Sberbanka, koji su prešli raditi u zasebnu IT strukturu.
Danas osoblje SberTecha čini oko 11 tisuća ljudi u šesnaest gradova Rusije. U tim gradovima koncentrirani su ključni razvojni centri u kojima se okupljaju regionalni timovi IT stručnjaka: Moskva, Sankt Peterburg, Novosibirsk, Innopolis i tako dalje.
SberTech razvija i implementira softver, kao i podržava postojeće IT sustave Sberbanka. Trenutno je Sberbank jedini klijent tvrtke.
Artem Bachevsky, voditelj razvoja IT sustava u Odjelu za sigurnost aplikacija
Recite nam čime se bavi SberTech, na kojim projektima trenutno radite?
Trenutno ključni projekt je razvoj nove tehnološke platforme za Sberbank. Transformira poslovni model u ekosustav. Ovaj ekosustav će osigurati pružanje nefinancijskih usluga, povezivanje partnera i izvođača, moći će obraditi velike količine podataka u kratkom vremenu, te će omogućiti visoke performanse sustava.
Pogledajmo pobliže nefinancijske usluge. O kojim projektima je riječ?
Takvi projekti već postoje, budući da se ekosustav razvija od 2016. godine. Potpuni prijelaz na novu tehnološku platformu planiran je do 2020. godine. Sberbank nastoji pobjeći od samo pružanja financijske usluge i aktivno stječe partnere. Na primjer, Sberbank-Nekretnine ( LLC "Centar za nekretnine iz Sberbanka" dio je grupe tvrtki Sberbank. - Cca. izd.), "Sberbank-Osiguranje", Internet usluga za pronalaženje liječnika DocDoc i tako dalje. Tako se provodi transformacija u ekosustav. Tvrtke kao što su Alibaba, Amazon, WeChat slijede sličan put.
“Ekosustav” i “tehnološka platforma” su lijepe riječi, ali volio bih čuti više pojedinosti. Koja je bit vaše platforme, što točno razvijate i zašto su ove tehnologije izvanredne?
Nova platforma sastoji se od tri ključna programa.
Platforma za podršku poslovnom razvoju- univerzalni alat za izradu poslovnih aplikacija. Banka se mora pretvoriti u Marketplace koje objedinjuje razne alate za postizanje ciljeva svojih klijenata. Za to je potreban temelj - nova platforma: skalabilan, fleksibilan, pouzdan i otvoren, sposoban za promjenu u stvarnom vremenu. Koristi se u razvoju Najnovije tehnologije distribuirano računalstvo u memoriji i aplikacije s velikim količinama podataka u stvarnom vremenu - In Memory Data Grid.
Program Tvornica podataka dizajniran je za poboljšanje kvalitete, pouzdanosti i dostupnosti podataka za analizu. Zaposlenici banke moći će se u potpunosti uključiti u analizu i interpretaciju podataka bez dodatnih troškova rada za njihovo prikupljanje i usklađivanje. Big Data omogućuje rad s supermasivnim podacima za unovčavanje informacija i analize ponašanja kupaca i zaposlenika, za prilagodbu strategija za rad s različitim segmentima.
Jedinstveni frontalni sustav- višefunkcionalna platforma, vlastiti razvoj Sberbanke. Platformski alati pružaju besprijekorno višekanalno iskustvo u svim proizvodima i uslugama. Tehnološki stog održava visoke performanse, pouzdanost i sigurnost korisnika. Osim toga, zbog vlastitog API-ja, ESF omogućuje partnerima ulazak u sustav, kao i integraciju sa stranicama trećih strana.
Sada razgovarajmo o sigurnosti. Artem, reci nam što radi tvoj odjel?
Naš odjel se bavi sigurnošću aplikacija - sigurnošću aplikacija. Odjel je relativno mlad, star oko dvije i pol godine.
Naša glavna odgovornost je osigurati sigurnost aplikacije. U osnovi, to su automatizirani sustavi koji su kritični za banku, ali i novi mobilni i kritični razvoji spadaju u naše područje odgovornosti.
Sada odjel zapošljava petnaestak ljudi. Ugrubo ih je moguće podijeliti u tri tima: tim za testiranje penetracije, testiranje penetracije na mobilnim uređajima i interni razvoj. Tim je okupio djelatnike različitih tehničkih podloga, uglavnom različitih područja informacijske sigurnosti, ali tu su i dečki iz IT menadžmenta i razvoja. Zajedno s našim kolegama iz Sberbanka povećavamo sigurnost razvijenog AS-a, održavamo razuman kompromis između poslovnih potreba, udobnosti korisnika i stalno rastućih rizika u području razvoja softvera.
Sve to postižemo zahvaljujući snažnoj stručnosti zaposlenika Sberbanke i SberTecha, kao i zrelom i temeljnom SDL-u (Secure Development Lifecycle), koji uzima u obzir moderne tendencije te pristupi (Agile & DevOps) u području razvoja softvera.
Tim web pentestera bavi se implementacijom raznih praksi, analizom njihovih rezultata i provođenjem samog pentesta. Mobilni pentest tim radi isto, ali za mobilne aplikacije. Mobilne aplikacije banka ima puno, ovo nije samo Sberbank Online, tu su i Business Online, korporativne usluge i tako dalje.
Kako se gradi ta infrastruktura, jeste li spomenuli SDL?
Trudimo se izgraditi infrastrukturu na način da nam kolege koji su “u kontekstu koda” pomognu u raščlanjivanju rezultata skeniranja, pregledima koda i pisanju pravila za SAST (statičko testiranje sigurnosti aplikacije). U sklopu inicijative za pružanje kontinuirane vrijednosti za klijenta, osiguravamo sigurnost aplikacije uvođenjem Sec konteksta u DevOps, koji se gradi u Sberbanku i SBT-u, a bez uključivanja timova to je jednostavno nemoguće.
Praksa uključivanja programera preko sigurnosnih prvaka se jako dobro pokazala. Prvaci sigurnosti su zaposlenici u razvojnim timovima zainteresirani za profesionalni razvoj u području informacijske sigurnosti kako bi se poboljšala sigurnost sustava, smanjio rizik od ranjivosti. To se postiže povećanjem razine kompetencije razvojnih timova AS-a u pitanjima informacijske sigurnosti, repliciranjem razvojnih praksi sigurnih aplikacija i skraćivanjem životnog ciklusa defekta informacijske sigurnosti.
Također redovito provodimo razne programe podizanja svijesti i edukacije. Jednom u tromjesečju održavamo opću svijest za sve koji dolaze. Imamo obuku o uranjanju u siguran Java razvoj. Poanta je da je to ciljni programski jezik u banci, pa je fokus na njemu. Potpuno ista ciljana ronjenja postoje za Android i iOS.
Otprilike koliko sati obuke godišnje dobiju vaši programeri?
U području sigurnosti, četrdesetak sati godišnje.
Koja je po vama uloga obrazovanja danas? Svaki dan se pojavi nešto novo, kako to pratiti?
Učimo osnove i ne nastojimo odmah publiku pretvoriti u stručnjake za kibernetičku sigurnost. U ovoj fazi dovoljno ih je uključiti u temu i položiti osnovna znanja. Recimo, u kontekstu Jave, to će biti prakse sigurnog razvoja web aplikacija, jer se u tom području mnogo toga zaključuje na web sigurnosti.
Što stručnjak treba učiniti kako bi uvijek "ostao na vrhuncu"?
U najmanju ruku preporučujem pretplatu na tematske Telegram kanale kako biste ostali u trendu i razumjeli svoje interese u struci. Osobno čitam HackerNews, Habrahabr i Hacker. Možete nešto forkirati na GitHubu, isprobati, procijeniti i onda eventualno implementirati. Ne morate što dublje uranjati u temu, ali svakako morate stalno pokušavati nešto novo.
Također, po mom mišljenju, dobra je praksa sudjelovati u raznim CTF i bug bounty programima. Neke se vještine mogu kupiti u CTF-u, a bug bounty vam omogućuje da legalno "osjetite" sigurnost zanimljivih sustava.
Naravno, studiranje je dobro, ali sama obuka, po meni, neće daleko stići. Uostalom, bez prakse trening je bezvrijedan, a pravi rad je prva stvar iza svakog pravog iskustva.
Apsolutno si u pravu. Recite nam nešto o svojim treninzima i osvješćivanju, kako se to događa?
Nastojimo implementirati različite aktivnosti i gamificirati razvojne procese. Na primjer, na konferenciji ZeroNights 2017. predstavili smo CAPTCHA-CTF. Bilo je to zanimljivo natjecanje, gdje je svaki izazov captcha s logičkom ili programskom pogreškom u implementaciji. Pozvali smo sudionike konferencije da pronađu ove ranjivosti, koje omogućuju rješavanje mnogih captcha u kratkom vremenu.
Zadatak je bio jednostavan: bilo je potrebno "riješiti" dvadeset captcha u deset sekundi, a da ih se zapravo ne riješi. Sudionici nisu morali sve to upisivati ručno, morali su npr. implementirati SQL injekciju kako ništa ne bi ovisilo o unesenoj vrijednosti. Primjerice, u jednom od zadataka captcha bi se mogla riješiti vjerojatnostno - ako nastavite upisivati odgovor "5", tada će s vjerojatnošću od 25% captcha biti prošla.
Koja je zadaća takvog natjecanja? Malo ljudi danas samostalno implementira captcha. Uostalom, postoji gotova i relativno pouzdana reCAPTCHA (ako je ispravno implementirana), ali možete pogriješiti u implementaciji ovog mehanizma. Ako se netko ipak odluči implementirati vlastiti captcha, tada će sudjelovanje u takvom natjecanju ostaviti mnogo manje šanse za pojavu ranjivosti, jer bi osoba mogla vidjeti mnogo pogrešaka tijekom natjecanja. Štoviše, ovi se problemi ne odnose samo na captcha: postoje mnogi drugi mehanizmi u kojima možete napraviti slične pogreške.
Ima li SberTech centraliziranu obuku, na primjer, obučavaju se programeri?
Svi zaposlenici imaju prilike za učenje: eksterno (tečajevi i događanja), interno (meetupi, hackathoni, redovita razmjena iskustava unutar timova i odjela). Interni i vanjski stručnjaci govore na sastancima: na primjer, jedan od posljednjih bio je posvećen kvantnom računarstvu zajedno s IBM-om.
Za studente i stručnjake početnike, SberTech provodi besplatne škole razvoja mobilnih uređaja za iOS i Android, Javu i BPM. Na temelju rezultata studija pozivamo najbolje studente na rad.
Prijeđimo na praksu i vaš stog. Recite nam od čega se sastoji.
Pokušavamo pronaći ranjivosti što je prije moguće, stoga koristimo SAST (statičko testiranje sigurnosti aplikacije) i DAST (dinamičko testiranje sigurnosti aplikacija) od kada je napisan prvi redak koda. Na temelju jednog popularnog SAST proizvoda, gradimo rješenje koje dodaje sigurnost DevOpsu za mnoge automatizirane sustave koje je razvio SberTech. Sada implementiramo OWASP ZAP u DevSecOps, što će nam omogućiti razvoj još sigurnijih i pouzdanijih aplikacija.
Također tražimo poznate ranjivosti u javnim komponentama. Za to je stvoren uslužni program koji objedinjuje rezultate drugih sličnih alata (OWASP provjera ovisnosti, Retire.js), a također obavlja skeniranje izvorni kod, izolirajući od njega korištene komponente, koje se zatim provjeravaju u javnim bazama podataka o ranjivostima (NIST, CVEdetails).
Kao rezultat ručne analize bugova, prikupili smo određeni skup podataka sa stručnom prosudbom, te smo istrenirali model (kao što je sada hype strojno učenje), koji određuje mogućnost da ranjivost bude istinski pozitivna. Ovaj model puno pomaže, jer se barem bavi rangiranjem. Recimo da OWASP provjera ovisnosti ima vrlo nisku stopu lažnih pozitivnih rezultata, ali daje vrlo malo rezultata. Naš uslužni program ima veću stopu lažnih pozitivnih rezultata, ali zahvaljujući rangiranju i puno više rezultata ponekad uhvatimo ranjivosti koje drugi alati prethodno nisu otkrili.
Za sustave, gdje je primjenjivo, koristimo fuzzing - gradimo model uljeza, model prijetnji za sve sustave. Također provodimo pregled koda, odnosno njegovih kritičnih dijelova. I naravno radimo testiranje penetracije.
Ne ostavljamo programere same s bugovima, već ih u potpunosti rješavamo životni ciklus bug, savjetujemo kako ga popraviti, testiramo ga nakon uređivanja.
A ja ću vam reći nešto više o razvoju unutar našeg odjela. U nekom trenutku smo shvatili da je upravljanje SDL procesima nemoguće bez Secure Apllication Lifecycle Managera. Uzimajući u obzir specifičnosti banke (mnogi automatizirani sustavi, od kojih svaki ima svoj "zoološki vrt" tehnologija i praksi), bilo je očito da morate napisati nešto svoje.
Stoga smo kreirali proizvod u kojem su koncentrirani svi procesi implementacije SDL-a i održavanja kontinuiteta procesa, upravljanja protokom podataka (informacijska sigurnost i ostalo). Pohranjuje sve podatke akumulirane kao rezultat različitih praksi i omogućuje vam upravljanje njima, automatski "roll" neke radnje za njihovu nesmetanu replikaciju. Također distribuira bugove raznim alatima za praćenje problema, pruža sučelja za analizu bugova za naše alate. Sve to osigurava izgradnju SDL-a i učinkovitu interakciju s timovima.
