Transferi novca 

Sberbank je jednaka Amazonu ili Googleu. Sberbank je izvijestila o rezultatima razvoja jedinstvenog frontalnog sistema Jedinstveni frontalni sistem

Alisa Melnikova, CEO„SberTech“ je prilično ležerno izjavio da je „kompanija na čijem je čelu krajem godine postala najveći programer softvera u Ruskoj Federaciji sa prihodom od 15,2 milijarde rubalja (povećanje od 46%) i osobljem od 6.515 ljudi u odnosu na 5.300 ljudi u Rusiji. 2014 "

SberTech je uzburkao IT tržište

SberTech je podružnica Sberbanke i bavi se razvojem i implementacijom softvera za ovu banku. Mnoge ruske IT kompanije odavno ne vole ovog dobavljača. Postoji nekoliko razloga za to. Prvo, veliki integratori kao što su CROC ili Lanit sada snabdijevaju Sberbanku samo hardverskim rješenjima i strogo su isključeni iz softvera.

Drugo, SberTech je poput usisivača koji izvlači programere sa tržišta, nudeći im značajno Bolji uslovi za rad. Ne postoji nijedna IT kompanija u Ruskoj Federaciji ili Bjelorusiji koja zbog njega ne bi izgubila zaposlene. Ne postoji nijedna banka iz koje nisu otišli top menadžeri IT bloka.

Treće, nakon što je krajem 2015. pušten u rad projekat „English Channel” (srednja kancelarija bez papira na Pega PRPC platformi za 40 hiljada korisnika), HP, Canon, Xerox i drugi dobavljači štampača počeli su da imaju veliki problem sa njima. Ako se ranije jednom sedmično dostavljao cijeli kamion papira u centralu banke u Moskvi, sada je dovoljna i Gazela. I to samo za potpisivanje ugovora sa klijentima.

Open-source i interni razvoj su prioritet

I na kraju, ono što je interesantno za programere softvera, SberTech je u potpunosti prešao na open-source i sopstveni razvoj. Uz pomoć ovog seta alata, u bliskoj budućnosti potrebno je riješiti tri glavna zadatka: stvaranje jedinstvenog front-end sistema (UFS) za razvoj kanala usluga korisnicima, platforme za podršku poslovnom razvoju i pokretanje fabrike podataka zasnovane na BigData tehnologijama.

Konferencija 6. februara bila je posvećena detaljnijoj analizi projekta ESF-a. Zašto je Sberbank morala da to sprovede? Zašto bi najviši zvaničnici banke govorili o tome pred programerima? Odgovor je dao top menadžer Sberbanke Vadim Kulik, koji nadgleda IT i upravljanje rizicima banke.

Prema njegovim riječima, banka je dugo bila pokusni kunić Oracle Corporation. Nigdje drugdje nemaju tako veliku instalaciju baze podataka od strane ovog dobavljača s takvim opterećenjem na front officeu. U takvom opterećenju i obimu, „toliko žohara“ puzi iz ove baze podataka da je nejasno ko kome treba da plaća licence.

Kao odgovor na ovaj i mnoge druge izazove, SberTech je počeo da razvija sopstvene kompetencije. To uključuje naše vlastite razvoje i kupovinu startupa. Na primjer, ovo je GridGain, koji je specijaliziran za razvoj softvera za obradu velikih količina podataka u RAM-u u realnom vremenu (In-Memory Computing, IMC tehnologija).

Istovremeno, GridGain razvija distribuiranu računarsku platformu otvorenog koda u Javi, distribuiranu pod LGPL i Apache 2.0 licencama. Ova činjenica, kako kažu, omogućava vam da uspješno i minimalno finansijske investicije„zamjena uvoza“, na primjer, takvo vlastito njemačko rješenje kao što je SAP HANA. Dakle, ako fintech startupi imaju šta da pokažu, hitno moraju potražiti gdje se nalazi Sberbank.

Što se tiče fronta, odabran je put objedinjavanja i centralizacije svih brojnih proizvoda u jedan kako za vlastite operatere tako i za klijente sa pogodnim interfejsom za sve uređaje. Na nivou Sberbanke, ovo je zaista kolosalan posao. Donedavno se mijenjala, na primjer, diskontna stopa Centralna banka RF u svim sistemima je trajalo do 3 mjeseca. Po ovoj stopi, lako možete izgubiti u konkurenciji od iste Tinkoff banke.

Sberbank je jednaka Amazonu ili Googleu

Cilj je postići skoro online lansiranje proizvoda na tržište zahvaljujući EFS-u i isti online odgovor na tržišne promjene zahvaljujući BI i BigData baziranim na SOA integracijskoj magistrali, za razliku od tradicionalnih bankarskih jezgri bankarskih sistema i ERP-a. Ovo, prema top menadžmentu, stavlja Sberbanku u ravan ne sa finansijskim institucijama, već sa tehnološkim divovima kao što su Amazon ili Google. Barem u Rusiji. Istovremeno, ne smijemo zaboraviti da je banka podložna sankcijama Zapada – dakle, naglasak je na vlastitom razvoju. I zato pristupi “ Tinkoff banka„mu baš i ne pristaje.

Ova činjenica prisiljava SberTech da uključi usisivač na novi način i traži programere koji su mentalno spremni za ove izazove. Kako su napomenuli govornici, informatičari koji rade u bankama su zaslepljeni i ne žele nepotrebne promjene. Stoga su se oči regrutera okrenule ka Yandexu i slično.

Ali ni oni nisu stranci, spremni su po svaku cijenu zadržati specijaliste. Stoga je SberTech spreman da razmotri kandidate za „juniore“ i otvara sopstvenu školu za obuku programera u Javi i JavaScriptu (o PHP-u nije rečeno ni reči). Na okruglim stolovima bilo je dosta govora o programerima interfejsa i layout dizajnerima. Pokazalo se da u Ruskoj Federaciji praktički nema velikih stručnjaka u ovoj oblasti na tržištu, posebno u mobilnom.

Konferencija je trajala cijeli dan uz mnoštvo okruglih stolova. Nije moguće sve ukratko opisati, organizatori konferencije su obećali da će za sve zainteresovane objaviti video sa događaja. I sve se radilo o ESF-u! Ali još dva megaprojekta, koja su gore opisana, razvijaju se paralelno. Čini se da ovim tempom SberTech može sustići velike američke dobavljače.

Ova podružnica banke, kao i obično, počela je implementirati sve IT projekte banke i planirala je krenuti u rad na otvoreno tržište. Ali sve je krenulo naopako. Informaciono-tehnološki temelj "najveće banke" istočne Evrope„Potreban je potpuni remont. Osnovana 2011. godine, kompanija nije ispunila očekivanja već 7 godina.

Možete, naravno, pokušati da se raspravljate brojkama. Reći da je sada najveći IT poslodavac u zemlji. Više od 10 hiljada programera! Možemo reći da su prihodi rasli prošle godine. Ali to je jasan dokaz da je banka počela da troši još više na IT bez poboljšanja kvaliteta usluga.

U junu prošle godine kompaniju je napustila izvršna direktorica Alisa Melnikova. Ali ovo nije mnogo pomoglo kompaniji. Za sve vreme postojanja podružnice i izuzetno važne kompanije za Sberbanku, nakupilo se toliko problema da svi počinju da tonu matičnu kompaniju.

1. Previše ljudi

Ovaj razlog je posljedica mješavine gigantomanije iz sovjetske ere i želje određenih top menadžera da imaju budžete i moć. Ali drugi razlog je to desna ruka ne razume šta radi levi. Sjećate li se Grefove sjajne izjave o programerima?

"Danas nam ne trebaju programeri. Imamo ogroman broj programera sa kojima se borimo", rekao je German Oskarovič.

Pola ministarstava i većina kompanija na tržištu vrišti i juri mrežom za izuzetno vrijednim i prijeko potrebnim za digitalna ekonomija„graditelji“, što bi programeri trebali biti, a Gref je odlučio da se bori s njima. Ko će realizovati budućnost? Zašto je kompaniji potrebno toliko ljudi? Isti VTB ili Alpha sa Tinkovim troše mnogo manje ljudskih resursa na implementaciju potpuno istih ili čak boljih karakteristika. Istovremeno, ljudi se odvlače sa tržišta duplim platama i obećanjima da će sigurno promijeniti svijet. Ali u stvari ispada da je to sasvim druga priča. Prema novinama, potrebno je 200 programera i nekoliko mjeseci napornog rada da se dugme stavi u CRM.

2. Nema proboja

EFS, PPRB i FD. Kompanija je ponosna na to i to otvoreno objavljuje na svojoj web stranici. Hajde da pogledamo konkretan primjer. EFS - Unified Frontal System. Šta je to?

Jedinstveni frontalni sistem ima za cilj povećanje nivoa udobnosti klijenata Sberbanke prilikom dobijanja usluga, kao i pogodnosti, brzine i efikasnosti rada zaposlenih u filijalama koji pružaju usluge klijentima. EFS je baziran na cross-channel. Odakle korisnik dolazi – putem aplikacije, pretraživača na kućnom računaru, putem poziva pozivnom centru ili kancelariji – može nastaviti uslugu putem bilo kojeg kanala od trenutka kada se završila posljednja interakcija na nekom od kanala – sistem mora prepoznati profil klijenta. Pored toga, EFS, preko sopstvenog API-ja, omogućava partnerima da se prijave u sistem, kao i da se integrišu sa platformama trećih strana.

Ali danas mnoge usluge to mogu učiniti! Šta vas je spriječilo da završite Bitrix24 ili ogroman broj drugih sistema kako biste implementirali gore napisano? Ovo nije neka vrsta prostora. Ovo je stvarnost. Pa, da, Sberbanka je velika. Ali ne jedini na svijetu. Bilo bi moguće špijunirati druge da to urade kako treba. Potpuno isto i sa drugim projektima. Apsolutno mršave gluposti se promiču kao proboj. A neke od ovih „gluposti“ još nisu ni stvorene, već postoje samo na papiru.

3. Jednostavno dosadno

Jedan od razloga zašto “holy agile i scrum” ne funkcionišu je taj što ih implementiraju određeni ljudi. U Sbertechu, uz uvjet anonimnosti, nekoliko kolega iz kompanije potvrdilo je da ponekad jednostavno ne razumiju šta rade i kako će to promijeniti svijet. Banci ne treba svih ovih 10 hiljada programera u ovolikom broju. Tako da stoje besposleni. Sa našim novcem.

4. Nametanje izuzetno čudnih funkcija kompaniji

Došlo je do skandala sa analitičarem Sberbank CIB. Cijela konstrukcija je demontirana. A sada je Gref najavio svoju namjeru da zamijeni analitičare "vještačkom inteligencijom".

Pa, to su gluposti! Ali mnogi slušaju otvorenih usta. I očekuju da će Sbertech učiniti sve sada. Toliko programera! Ali kao što 9 žena neće napraviti dijete za mjesec dana, tako eto - pa, nećete moći ove godine analitičare zamijeniti kompjuterom ili neuronskom mrežom. A sada zamislite kakvi su to strateški rizici za matičnu kompaniju.

5. Stalni poremećaji u matičnoj kompaniji

Šta reći, čak i ako je na SPIEF-u čitava gomila insajdera na forumu glasno najavljivala velike poremećaje u radu Sberbanke. Što je samo šteta. Kompanija to, inače, nije potvrdila, ali nije ni demantovala, što indirektno dokazuje istinitost glasina. Ali redovni kvarovi, blokada računa za transfer 666 rubalja i slične priče dodatni su dokaz nemoći menadžera. Da, bilo je teško, da, postojala je obična štedionica. Ali niko vas nije štedio novca i vremena za transformaciju. Nada je bila da ćeš biti najbolji na svijetu. U međuvremenu, ispostavilo se da uopšte niste opravdali naše nade.

Na platformi Jedinstvenog frontalnog sistema (UFS) razvijaju se frontalni procesi za sistem Sberbank Online (mobilna aplikacija i web verzija), kao i za zaposlene u filijalama i stručnjake za direktnu prodaju prvog nivoa. Program razvoja ovog sistema jedan je od ključnih i strateških za Sberbanku.

2018: Rezultati razvoja za godinu

U 2018. godini poboljšana je UFS arhitektura, procesi za razvoj i puštanje funkcionalnosti u industrijsko okruženje, objavila je Sberbanka u izvještaju o svojim aktivnostima za 2. kvartal 2019. godine. Uvedena je i mogućnost multiverzioniranja, zahvaljujući kojoj se tehnološke usluge i funkcionalnost klijenta mogu razvijati nezavisno i iterativno u vlastitim ciklusima izdavanja.

EFS program kreira jedinstvenu servisnu logiku u svim kanalima, zasnovanu na omnichannel principu (fotografija - svpressa.ru)

U sklopu razvoja Jedinstvenog finansijskog sistema u 2018. godini, Sberbank je implementirala funkcionalnost usluga daljinskog bankarstva za dokumentarne transakcije (akreditivi, naplate) putem Sberbank Business Online, što omogućava klijentu slanje aplikacija/zahtjeva/pisma u banku elektronski, pratiti njihove statuse na mreži i vidjeti registraciju njihovih transakcija.

Ova usluga vam omogućava da smanjite vrijeme provedeno na servisiranju klijenata na akreditivima i naplati i povećate zadovoljstvo klijenata, poručuju iz Sberbanke.

Sberbank naziva još jedan ključni događaj na polju ESF-a početak faze masovne cirkulacije sistema svim klijentima u tri udaljena kanala bankarske usluge u 2018.

2017: Nova verzija ESF-a

U 2017. godini razvijena je nova verzija EFS 7.0 platforme sa više visoki nivo pouzdanost i performanse zahvaljujući podršci za režim implementacije u arhitekturi sa više jedinica i Stand-In režimu, koji obezbeđuje povećanu toleranciju grešaka i besprekorno ažuriranje funkcionalnih podsistema platforme. Započela je i masovna implementacija novog ciljanog procesa za razvoj EFS-a koristeći „razvojne alate“. Sberbank objašnjava da će to omogućiti jednom timu da implementira rješenja za sve kanale, ponovo koristi već implementirane objekte i usluge što je više moguće, smanji broj grešaka zbog automatskog generiranja standardnih funkcionalnih blokova, a također i smanji vrijeme obuke za nove zaposlenima.

Očekivani efekat od implementacije ciljanog procesa razvoja EFS-a je smanjenje količine ručnog razvoja za polovinu.

Pored toga, 2017. godine banka je definisala standard kvaliteta za ESF platformu. Njegova implementacija se prati pomoću 12 metrika. Upotreba standarda je prepolovila broj grešaka tokom faze testiranja i omogućila da se 50% grešaka eliminiše u roku od 8 sati.

2016: Identifikovani su programeri Jedinstvenog frontalnog sistema Sberbanke

Generalni izvođač Sberbanke za izradu Jedinstvenog frontalnog sistema je kompanija Sberbank Technologies.

Kompanije sa iskustvom u implementaciji najmanje tri projekta za razvoj front-end sistema od 2013. godine su pozvane da učestvuju u nabavci (korisnička publika projekta mora biti najmanje 10.000 korisnika). Učesnici konkursa moraju imati najmanje 40 programera sa znanjem programskog jezika Java, 20 sistemskih analitičara, 20 programera sa znanjem JavaScript, css, html programskog jezika i 5 arhitekata. Specijalisti projektnog tima učesnika moraju imati sertifikate Java Senior Specialist (najmanje 10 stručnjaka) i Oracle Professional (najmanje 1).

Posebno je predviđena dokumentacija maksimalne opklade specijalisti:

Ukupna ocjena prijave učesnika zavisila je 50% od predloženih troškova izvođenja rada i 50% od kvaliteta testnog zadatka.

Ciljevi sistema

Sistem zapošljava djelatnike filijala banaka i call centara, klijente mobilnih aplikacija i online bankarstva (pravna i fizička lica), te partnere u prodaji bankarskih proizvoda. Ovaj sistem je takođe dizajniran za kontrolu bankomata i samouslužnih terminala.

Implementacija sistema će kreiranjem osigurati jedinstveno korisničko iskustvo single base klijente za sve kanale usluga. Interakciju će biti moguće započeti preko call centra banke, a nastaviti, na primjer, u internet banci ili u poslovnici od trenutka kada je operacija prekinuta.

Drugi cilj ESF-a je ubrzanje uvođenja novih bankarskih proizvoda na tržište. U sadašnjim uslovima, kada je upravljanje internetom i mobilno bankarstvo, obradu, bankomate i terminale rukuju različite aplikacije; ažuriranje usluga i proizvoda Sberbanke (na primjer, promjena stope depozita) u cijeloj zemlji može potrajati nekoliko sedmica. Cilj je svesti vremenski okvir na jedan dan.

Takođe, kako se očekuje, EFS će smanjiti vreme rada, pojednostaviti interfejs zaposlenih u filijali, ubrzati prilagođavanje na rad novopridošlica i smanjiti broj grešaka.

Upravljanje programom ESF-a

Krajem 2018. Aleksej Poddubny postao je šef programa Ujedinjenog frontalnog sistema. Kako prenosi TAdviser, on je imenovan na ovu poziciju nakon što je Sberbanku napustila Elena Baturova, koja je ranije vodila ESF projekat, kao i Vadim Šarobajev, koji je pod njenim vodstvom bio odgovoran za ovaj projekat u Sbertechu. Čitaj više.

Iz ovog razgovora saznaćete šta tačno radi Sberbankova IT podružnica Sberbank Technologies, koje Telegram kanale treba da čita stručnjak za bezbednost aplikacija i zašto ne treba zaboraviti na praksu tokom obuke.

INFO

Sberbank Technologies (SberTech) je ćerka IT kompanija Sberbanke, osnovana 2011. Sve je počelo sa timom od 500 ljudi. To su uglavnom bili IT stručnjaci iz Sberbanke koji su prešli da rade u zasebnoj IT strukturi.

Danas SberTech ima oko 11 hiljada zaposlenih u šesnaest gradova Rusije. Ključni razvojni centri koncentrisani su u ovim gradovima, gde se okupljaju regionalni timovi IT stručnjaka: Moskva, Sankt Peterburg, Novosibirsk, Innopolis i tako dalje.

SberTech se bavi razvojem i implementacijom softvera, kao i podrškom postojećih IT sistema Sberbank. On ovog trenutka Sberbank je jedini klijent kompanije.


Artem Bačevski, šef razvoja IT sistema u odeljenju za bezbednost aplikacija

Recite nam šta SberTech radi, na kojim projektima trenutno radite?

Trenutno je ključni projekat razvoj nove tehnološke platforme za Sberbank. On transformiše poslovni model u ekosistem. Ovaj ekosistem će pružati nefinansijske usluge, povezivati ​​partnere i izvođače radova i moći će da obrađuje velike količine podataka unutar kratko vrijeme, omogućit će visoke performanse sistema.

Pogledajmo bliže nefinansijske usluge. O kojim projektima je riječ?

Ovakvi projekti već postoje, jer se ekosistem razvija od 2016. godine. Potpuni prelazak na novu tehnološku platformu planiran je prije 2020. godine. Sberbank nastoji da se odmakne od samo pružanja finansijske usluge i aktivno stiče partnere. Na primjer, Sberbank-Nekretnine ( DOO "Centar za nekretnine iz Sberbanke" dio je Sberbank grupe kompanija. - Pribl. ed.), „Sberbank-Osiguranje“, Internet servis za pronalaženje doktora DocDoc i tako dalje. Tako dolazi do transformacije u ekosistem. Kompanije kao što su Alibaba, Amazon i WeChat idu sličnim putem.

"Ekosistem" i " tehnološka platforma“Ovo su prelijepe riječi, ali bih volio da čujem više pojedinosti. Šta je suština vaše platforme, šta tačno razvijate i zašto su ove tehnologije izvanredne?

Nova platforma se sastoji od tri ključna programa.

Platforma za podršku poslovnom razvoju- univerzalni alat za kreiranje poslovnih aplikacija. Banka mora postati Tržište koje objedinjuje različite alate za postizanje ciljeva svojih klijenata. Za to je potreban temelj – nova platforma: skalabilna, fleksibilna, pouzdana i otvorena, sposobna da se mijenja u realnom vremenu. U razvoju koriste Najnovije tehnologije distribuirano računarstvo u memoriji i pokretanje aplikacija sa velikim količinama podataka u realnom vremenu - In Memory Data Grid.

Program Tvornica podataka dizajniran da poveća nivo kvaliteta, pouzdanosti i dostupnosti podataka za analizu. Zaposleni u banci moći će u potpunosti analizirati i interpretirati podatke bez dodatnih troškova rada za njihovo prikupljanje i usaglašavanje. Big Data osigurava rad sa super-nizovima podataka za monetizaciju informacija i analizu ponašanja kupaca i zaposlenih, za prilagođavanje strategija za rad sa različitim segmentima.

Unified Frontal System- međufunkcionalna platforma, vlastiti razvoj Sberbanke. Alati platforme pružaju besprijekorno iskustvo na različitim kanalima za sve proizvode i usluge. Tehnološki skup vam omogućava da održite visoke performanse, pouzdanost i sigurnost za korisnike. Pored toga, preko sopstvenog API-ja, EFS omogućava partnerima da se prijave u sistem, kao i da se integrišu sa platformama trećih strana.



Hajde sada da pričamo o bezbednosti. Artem, reci nam šta radi tvoje odeljenje?

Naš odjel se bavi sigurnošću aplikacija - sigurnošću aplikacija. Odjel je relativno mlad, star oko dvije i po godine.
Naš glavna odgovornost- osiguranje sigurnosti aplikacije. To su uglavnom automatizirani sistemi koji su kritični za banku, ali svi novi mobilni i kritični razvoji također spadaju u naše područje odgovornosti.

Trenutno odjel zapošljava petnaestak ljudi. Konvencionalno se mogu podijeliti u tri tima: tim za testiranje penetracije, mobilni pentest i interni razvoj. Tim je okupio zaposlene sa različitim tehničkim iskustvom, uglavnom iz različitih oblasti informacione bezbednosti, ali ima i momaka iz IT menadžmenta i razvoja. Zajedno sa kolegama iz Sberbanke povećavamo sigurnost sistema koji se razvijaju, održavajući razuman kompromis između poslovnih potreba, udobnosti korisnika i stalno rastućih rizika u oblasti razvoja softvera.

Sve to postižemo zahvaljujući snažnoj stručnosti zaposlenih u Sberbank i SberTech, kao i zrelom i fundamentalnom SDL-u (Secure Development Lifecycle), koji uzima u obzir moderne tendencije i pristupi (Agile & DevOps) u oblasti razvoja softvera.

Tim web pentestera se bavi implementacijom različitih praksi, analiziranjem njihovih rezultata i provođenjem samog pentestiranja. Mobilni pentest tim radi istu stvar, ali za mobilne aplikacije. Mobilne aplikacije Banka ima mnogo, nije samo Sberbank Online, tu su i Business Online, korporativni servisi i tako dalje.

Kako se gradi ova infrastruktura, spomenuli ste SDL?

Trudimo se da izgradimo infrastrukturu na način da nam kolege koji su „u kontekstu koda“ pomognu u analizi rezultata skeniranja, pregledu koda i pisanju pravila za SAST (statičko testiranje sigurnosti aplikacije). U sklopu inicijative da kontinuirano isporučujemo vrijednost klijentu, osiguravamo sigurnost aplikacije uvođenjem Sec konteksta u DevOps, koji se gradi u Sberbank i SBT, a bez angažmana timova to je jednostavno nemoguće.

Praksa uključivanja programera preko sigurnosnih šampiona se vrlo dobro pokazala. Šampioni bezbednosti su zaposleni u razvojnim timovima zainteresovani za profesionalni razvoj u oblasti informacione bezbednosti kako bi se povećala bezbednost sistema i smanjio rizik od ranjivosti. Ovo se postiže povećanjem nivoa kompetentnosti razvojnih timova AS u pitanjima informacione bezbednosti, repliciranjem bezbednih praksi razvoja aplikacija i smanjenjem trajanja životnog ciklusa defekta bezbednosti informacija.

Također redovno provodimo razne programe podizanja svijesti i obuke. Jednom kvartalno održavamo opštu svijest za sve. Imamo obuku o uranjanju u siguran razvoj u Javi. Poenta je da je to ciljni programski jezik u banci, pa je fokus na njemu. Potpuno isti ciljani skokovi postoje za Android i iOS.

Otprilike koliko sati obuke godišnje dobiju vaši programeri?

U oblasti bezbednosti, oko četrdeset sati godišnje.

Koja je po vama uloga obrazovanja danas? Svaki dan se pojavi nešto novo, kako to pratiti?

Mi podučavamo osnove i ne težimo odmah da studente pretvorimo u stručnjake u oblasti sajber sigurnosti. U ovoj fazi dovoljno ih je uključiti u temu i položiti osnovna znanja. Recimo u kontekstu Jave to će biti prakse sigurnog razvoja web aplikacija, jer se u ovoj oblasti mnogo toga vrti oko web sigurnosti.



Šta specijalista treba da uradi da bi uvek „ostao na vrhuncu“?

U najmanju ruku, preporučujem da se pretplatite na tematske Telegram kanale kako biste ostali u trendu i razumjeli svoja interesovanja u profesiji. Lično čitam HackerNews, Habrahabr i Hacker. Možete nešto razdvojiti na GitHubu, isprobati, procijeniti i onda možda implementirati. Nije potrebno što dublje uranjati u temu, ali svakako morate stalno pokušavati nešto novo.

Takođe, po mom mišljenju, dobra je praksa učestvovati u raznim CTF i bug bounty programima. U CTF-u možete kupiti neke vještine, a bug bounty vam omogućava da legalno testirate sigurnost zanimljivih sistema.

Naravno, učiti je dobro, ali samo učenje, po mom mišljenju, neće stići daleko. Na kraju krajeva, bez prakse učenje je bezvrijedno, i bilo koje pravo iskustvo Pravi posao je na prvom mjestu.

Potpuno ste u pravu. Recite nam o vašim treninzima i svijesti, kako se to događa?

Trudimo se da uvedemo različite aktivnosti i gamificiramo razvojne procese. Na primjer, na konferenciji ZeroNights 2017 predstavili smo captcha-CTF. Bilo je to zanimljivo takmičenje, gdje je svaki izazov captcha sa logičkom ili softverskom greškom u implementaciji. Pozvali smo učesnike konferencije da pronađu ove ranjivosti, koje omogućavaju rješavanje mnogih captcha u kratkom vremenu.

Zadatak je bio jednostavan: bilo je potrebno "riješiti" dvadeset captcha za deset sekundi, a da ih zapravo ne riješite. Učesnici ne bi trebali sve ovo upisivati ​​ručno, već bi trebali, na primjer, implementirati SQL injekciju tako da ništa ne ovisi o unesenoj vrijednosti. Na primjer, u jednom od zadataka captcha bi se mogla riješiti vjerovatno - ako stalno unosite odgovor "5", tada će sa 25% vjerovatnoće captcha biti prošla.

Koja je svrha ovakvog takmičenja? Malo ljudi danas samostalno implementira captcha. Uostalom, postoji gotova i relativno pouzdana reCAPTCHA (ako je pravilno implementirana), ali možete pogriješiti u implementaciji ovog mehanizma. Ako se neko ipak odluči da implementira sopstveni captcha, onda će učešće u takvom takmičenju ostaviti mnogo manje šanse da se pojave ranjivosti, jer bi osoba mogla da vidi mnogo grešaka tokom takmičenja. Štaviše, ovi problemi se ne odnose samo na captcha: postoje mnogi drugi mehanizmi u kojima se mogu napraviti slične greške.

Da li SberTech ima centralizovanu obuku, na primer, da li obučava programere?

Svi zaposleni imaju prilike za učenje: eksterno (kursevi i događaji), interno (meetups, hackathons, redovna razmjena iskustava unutar timova i odjela). Na sastancima govore interni i eksterni stručnjaci: na primjer, jedan od najnovijih je bio posvećen kvantnom računarstvu zajedno sa IBM-om.

Za studente i buduće profesionalce, SberTech provodi besplatne škole mobilnog razvoja na iOS-u i Androidu, Javi i BPM-u. Pozivamo najbolje studente da rade na osnovu njihovih rezultata obuke.

Idemo dalje na vježbu i vaš stack. Recite nam od čega se sastoji.

Trudimo se da pronađemo ranjivosti što je ranije moguće, tako da koristimo SAST (statičko testiranje sigurnosti aplikacije) i DAST (dinamičko testiranje sigurnosti aplikacije) od trenutka kada je napisan prvi red koda. Na osnovu jednog popularnog SAST proizvoda, gradimo rješenje koje dodaje sigurnost DevOps-u za mnoge stvari koje se razvijaju u SberTechu automatizovani sistemi. Trenutno implementiramo OWASP ZAP u DevSecOps, što će nam omogućiti da razvijemo još sigurnije i pouzdanije aplikacije.

Također tražimo poznate ranjivosti u javnim komponentama. U tu svrhu kreiran je uslužni program koji agregira rezultate drugih sličnih alata (OWASP provjera zavisnosti, Retire.js), a također skenira izvorni kod, izolirajući od njega korištene komponente, koje se zatim provjeravaju u odnosu na javne baze podataka ranjivosti (NIST , CVEdetalji).

Kao rezultat ručne analize grešaka, akumulirali smo određeni skup podataka sa stručnom procjenom, te smo obučili model (mašinsko učenje, koje je sada toliko razvikano) koji određuje šansu da ranjivost bude zaista pozitivna. Ovaj model puno pomaže, jer se bar bavi rangiranjem. Recimo da OWASP provjera ovisnosti ima vrlo nisku stopu lažnih pozitivnih rezultata, ali daje vrlo malo rezultata. Naš uslužni program ima veću stopu lažnih pozitivnih rezultata, ali zahvaljujući rangiranju i mnogo većem broju rezultata, ponekad uhvatimo ranjivosti koje drugi alati ranije nisu otkrili.

Za sisteme u kojima je ovo primjenjivo koristimo fuzzing - gradimo model uljeza i model prijetnje za sve sisteme. Također pregledamo kod, odnosno njegove kritične dijelove. I naravno, provodimo testiranje penetracije.

Ne ostavljamo programere same sa greškama, već ih prolazimo u potpunosti životni ciklus bug, savjetujemo o eliminaciji, testiramo nakon uređivanja.

I reći ću vam nešto više o razvoju unutar našeg odjela. U nekom trenutku smo shvatili da je upravljanje SDL procesom nemoguće bez Secure Application Lifecycle Managera. Uzimajući u obzir specifičnosti banke (mnogi automatizovani sistemi, od kojih svaki ima svoj „zoološki vrt” tehnologija i praksi), bilo je očigledno da treba da napišemo nešto svoje.

Stoga smo kreirali proizvod koji koncentriše sve procese implementacije SDL-a i održavanja kontinuiteta procesa, upravljanja tokovima podataka (informaciona sigurnost i slično). On pohranjuje sve podatke akumulirane kao rezultat različitih praksi i omogućava vam da njima upravljate, automatski "izvodeći" neke radnje za njihovu nesmetanu replikaciju. Takođe distribuira greške u raznim alatima za praćenje problema i pruža interfejse za analizu grešaka pomoću naših alata. Sve to osigurava izgradnju SDL-a i efikasnu interakciju s timovima.

Sberbank kreira novu fleksibilnu platformu koja će banku transformisati u tehnološku kompaniju. Banka planira otvoriti pristup elementima svoje platforme putem API-ja, kao i djelimično objaviti kod svog razvoja, rekao je Sergej Rjabov, viši izvršni direktor i glavni IT arhitekta Sberbanke na forumu FinCore 2017. FutureBanking donosi izvode iz ovog govora.

Izreka Charlesa Darwina kaže da ne opstaje najjača vrsta, niti najinteligentnija, već ona koja najbolje reagira na promjene. Mogućnost brze promjene postavili smo kao ključni cilj naše tehnološke strategije i kao osnovni zahtjev za izgradnju nove platforme.

Opšti pristup izgradnji platforme može se ukratko opisati sa tri slova “R”: Racionalizirajte- racionalizacija i optimizacija postojeće arhitekture, Rearchitect- kreiranje nove platforme, Promisli- preispitivanje obima i stvaranje ekosistema. Mi smo banka, ali istovremeno gledamo i na druga tržišta. U strategiji smo naveli da ćemo ući na nova tržišta, kao što su zdravstvo, tržište automobila, već radimo na tržištu nekretnina i to ne samo u smislu hipoteka.

Koji su ključni zahtjevi za izgradnju naše nove platforme?

1. Usmjerenost na korisnika. Većina usluga i novi pristup Korisnički servis zahtijeva da znamo što je više moguće o klijentu. To nije samo ono što je u našim osnovnim sistemima, već je i ono što je oko nas.

2. Jedinstveni informacioni prostor. Ovo je pristup u kojem su informacije dostupne našim sistemima za donošenje odluka u realnom vremenu.

3. Fleksibilni mehanizmi za postavljanje složenih proizvoda i STP procesa. Trudimo se da uklonimo što je moguće više ljudske interakcije gdje je to moguće; koristiti mehanizme kao što su praćenje naših procesa i automatsko upravljanje pogrešnim situacijama.

4. Vrlo važan blok je otvoreni API. Shodno tome, API-ji prožimaju sve komponente platforme. Otvaramo eksterni API za naše partnere i izvođače.

5. Mehanizam mašinskog učenja. Pokušavamo da ga ugradimo u komponente naše platforme i postepeno ga ugrađujemo u naš sistem donošenja odluka.

6. Maksimalna pouzdanost 24x7. Mi smo ogromna sistemski važna banka, pouzdanost nam je sve. Stoga ulažemo mnogo truda da informacioni sistem bude što pouzdaniji.

7. Horizontalno skaliranje na low-end opremi. Naši trenutni informacioni sistemi su stabilni, moćni i veliki, ali radimo na velikim high-end sistemima. Mnogi dobavljači su već ukinuli neke od svojih linija koje imaju za cilj maksimalan high-end i prelaze na srednji opseg i na druge arhitekture. Pokušavamo i da pobjegnemo od ovoga, da smanjimo cijenu vlasništva.

8. Upotreba tehnologija otvorenog koda. Da, mi smo velika banka, imamo vlastito iskustvo, znamo raditi sa tradicionalnim arhitekturama, ali smo počeli postepeno prelaziti na open source.

9. Čuvanje i obrada podataka u memoriji. Imali smo velike rasprave o tome da li da koristimo ovu tehnologiju ili ne. S jedne strane, to su veliki rizici, s druge - najveće mogućnosti za brzinu obrade podataka. Na najnovijoj konferenciji Gartner Symposium u Barseloni, vođeni su razgovori sa arhitektima i vodećim analitičarima o tome kako treba graditi informacijske sisteme, koje mogućnosti i ograničenja postoje.

Šta je platforma i kako je predstavljamo

Prvo smo izgradili jezgro platforme i dio ključnih usluga koje svrstavamo u poslovno čvorište (sistem donošenja odluka, jedinstven profil korisnika, katalog proizvoda). Ali sada se krećemo u nekoliko pravaca, uključujući i zato što smo veliki, mnogo nam je teže zamahnuti.



Platforma se sastoji od nekoliko arhitektonskih slojeva. Ispod je tehnološko jezgro.
Možete sastaviti neke od drugih slojeva od Lego kockica. To su zapravo komponente za višekratnu upotrebu,
koji se koriste na drugim nivoima.

Srce nove platforme je poslovni centar. To su blokovi kao što su Unified Client Profile,
katalog proizvoda, sistem odlučivanja. Ovo su nova rješenja koja sada gradimo,
koji omogućavaju fleksibilno prilagođavanje procesa i proizvoda.

Na vrhu imamo Unificirani frontalni sistem. Važno je našim klijentima pružiti omnikanalno iskustvo.

Veliki blok su fabrike hrane. Ovo uključuje zajmove, depozite i druge tradicionalne proizvode. Ali u isto vrijeme pravimo nove kompleksne proizvode, na primjer, kombinaciju osiguranja i kreditnih proizvoda.

Na komponentama platforme možete kreirati bilo koji posao



Naš cilj je da platformu učinimo fleksibilnom i prilagodljivom kako bismo u nju mogli ugraditi nove komponente. Već smo govorili o API-ju i komponentizaciji, servisnom pristupu na svim nivoima platforme. To je veoma važno. Platforma pruža mogućnost integracije i prilagođavanja na svim nivoima.

Koje ključne tehnologije koristimo?



Evo samo neke od njih:

1. Čuvanje i obrada podataka u memoriji. Sarađujemo sa kompanijom GridGain, prolazimo prilično težak put, jer je druga strana brzine rada pouzdanost sistema. Neke elemente koji nedostaju u ovom proizvodu zapravo implementiramo od nule. Ovo je teško, rokovi se negdje pomjeraju, ali mi idemo ovim putem jer je efekat velike mogućnosti skaliranja.

2. Horizontalno skaliranje na serverima niske klase. Naš kompletan sklop je x86 mašina.

3. Otvoreni izvor. Ovo je takođe bilo prilično bolno. Počeli smo prelaziti na open source prije nekoliko godina i učiti. U integracijskom sloju koristimo rješenja kao što su Kafka, ZeroMQ. Koristimo open-source Activiti rješenje kao BPM rješenje. Koristimo WildFly kao naš server aplikacija.

Ako razgovarate sa velike kompanije, tada većina njih objavljuje sva svoja rješenja. Na primjer, proučavali smo iskustvo Alibabe. Naša strategija takođe uključuje ovo. Ali za to je potrebna određena zrelost od nas kao organizacije. Sada smo na početku našeg puta, ali ćemo ga svakako objaviti, jer će nam pružiti sasvim druge mogućnosti.

Govorio sam o sistemu donošenja odluka – srži i srcu naše platforme. Ovaj dio je bolno otvoriti od samog početka. Otvorit ćemo dijelove, počevši od komponenti koje nisu kritične za misiju. Naš zadatak je da budemo u mogućnosti da otvorimo kod određene komponente tako da ga zajednica može precizirati. Naš pristup je sada prilično oprezan.

Šta je Unificirani frontalni sistem i kako ga gradimo


Glavni zahtjev je implementacija omnichannel front-end scenarija. Složenost je ovdje manje tehnička, a više organizacijska. Siguran sam da je u mnogim bankama organizaciona struktura takva da je jedna osoba zadužena za daljinske kanale, druga osoba je zadužena za filijale i ekspoziture, a treća je zadužena za call centar i mrežu. I, naravno, kada govorimo o scenariju omnichannel korisničke službe, treba ga primijeniti u maksimalnoj mogućoj mjeri na svim kanalima. Da bi se to osiguralo, važno je postići dogovor na nivou svih odgovornih.

Imamo veliki set alata. Sada aktivno koristimo React tehnologiju. Tu je i Angular. Ovo su dvije alternative. Odlučili smo se za React.

Integracioni sloj stvara izolaciju front-end sistema od back officea i našeg drugog informacioni sistemi. Glavni izazov je osigurati da se klijenti uslužuju dosljedno na svim kanalima. Ovo je naš ciljni pristup. Program smo započeli prije dvije godine i sada ulazimo u fazu replikacije. Postoji funkcionalnost za poslovnice i kontakt centre. Sljedeća godina bit će prilično aktivno posvećena daljinskim kanalima.

Poslovni centar



Istorijski gledano, svaki klijent Sberbanke je živio u svom automatizovanom sistemu
bankarski sistem. Sada se udaljavamo od ovog pristupa, prelazimo na online što je više moguće.
profil klijenta, na glavni sistem.

Druge važne komponente poslovnog čvorišta su katalog proizvoda; sistem donošenja odluka;
izvršenje procesi od kraja do kraja; i sloj integracije izgrađen na Kafki i ZeroMQ.

Računovodstvene usluge su razdvojene pomoću paradigme računovodstvenog mehanizma, odnosno računovodstva proizvoda
odvojeno od računovodstva.

Fabrika podataka


Ovo je novi strateški program. Dali smo veliku opkladu na Hadoop i srodne tehnologije. Postoje određena ograničenja, ali mi se trudimo da ih prevaziđemo. Koristimo klasična rješenja. Također implementiramo rješenja iz Teradata.

Ono što je važno za platformu je da moramo naučiti kako efikasno progurati podatke sa nivoa tvornica proizvoda na analitički nivo da radimo veoma složenu analitiku koju ne možemo da uradimo na mreži.

Rad sa timom



Veliki vektor promjena u banci povezan je sa izgradnjom bliske interakcije između poslovanja i IT-a u sklopu implementacije Agile. Zovemo ga Sbergile. S jedne strane se čujemo, s druge, ovaj pristup unosi veću heterogenost, jer timovi rade paralelno, treba ih nekako sinhronizirati. U ovom slučaju, arhitektonska kontrola je vrlo važna. Ali bez zajedničkog fokusa na izgradnju nove platforme, nećemo se maknuti nigdje. Pošto smo preuzeli novi cilj, moramo mu odgovarati.

Platforma je osnova za izgradnju ekosistema



Veliki pravac u našoj strategiji je vezan za razvoj ekosistema. To su usluge naših podružnica i naših partnera koje trebamo razvijati. Opća ideja je da se brzo pokrene onim stranicama koje će biti dio ekosistema Sberbanke.

Jezgro platforme takođe može dati brz početak, jer se neki elementi mogu ponovo koristiti. Riječ je o uslugama kao što su identifikacija, razmjena podataka, API. Ovo su blokovi koji će svima trebati. S druge strane, ako je ovo novi posao, tada će vam elementi platforme pomoći da brže kreirate rješenje.

Želeo bih da završim citatom Mahatme Gandija da „budućnost zavisi od toga šta radite danas“. Pa hajde da to uradimo. Idemo ovim putem.