Sberbank มีค่าเท่ากับ Amazon หรือ Google Sberbank รายงานผลการพัฒนาระบบหน้าผากแบบครบวงจร ระบบหน้าผากแบบครบวงจร
อลิสา เมลนิโควา ผู้บริหารสูงสุด“SberTech” ค่อนข้างกล่าวอย่างไม่เป็นทางการว่า “บริษัทที่เป็นผู้นำในช่วงปลายปีกลายเป็นผู้พัฒนาซอฟต์แวร์รายใหญ่ที่สุดในสหพันธรัฐรัสเซียโดยมีรายได้ 15.2 พันล้านรูเบิล (เพิ่มขึ้น 46%) และมีพนักงาน 6,515 คนต่อ 5,300 คนใน 2557 "
SberTech ปลุกปั่นตลาดไอที
SberTech เป็นบริษัทในเครือของ Sberbank และมีส่วนร่วมในการพัฒนาและใช้งานซอฟต์แวร์สำหรับธนาคารนี้ บริษัทไอทีในรัสเซียหลายแห่งไม่ชอบผู้ขายรายนี้มานานแล้ว มีหลายสาเหตุนี้. ประการแรก ขณะนี้ผู้รวมระบบรายใหญ่เช่น CROC หรือ Lanit จัดหาโซลูชันฮาร์ดแวร์ให้กับ Sberbank เท่านั้น และแยกออกจากซอฟต์แวร์อย่างเคร่งครัด
ประการที่สอง SberTech เปรียบเสมือนเครื่องดูดฝุ่นที่ดึงโปรแกรมเมอร์ออกจากตลาดและนำเสนอพวกเขาอย่างมีนัยสำคัญ เงื่อนไขที่ดีกว่าสำหรับการทำงาน. ไม่มีบริษัทไอทีแห่งเดียวในรัสเซียหรือเบลารุสที่จะไม่สูญเสียพนักงานเพราะเขา ไม่มีธนาคารแห่งเดียวที่ผู้จัดการระดับสูงของบล็อกไอทีไม่จากไป
ประการที่สาม หลังจากที่โครงการ "ช่องภาษาอังกฤษ" เริ่มดำเนินการเมื่อปลายปี 2558 (สำนักงานกลางไร้กระดาษบนแพลตฟอร์ม Pega PRPC สำหรับผู้ใช้ 40,000 ราย) HP, Canon, Xerox และซัพพลายเออร์เครื่องพิมพ์รายอื่นเริ่มประสบปัญหาใหญ่กับ พวกเขา. หากก่อนหน้านี้มีการจัดส่งกระดาษทั้งรถบรรทุกไปยังสำนักงานกลางของธนาคารในมอสโกสัปดาห์ละครั้ง ตอนนี้แม้แต่ละมั่งก็เพียงพอแล้ว จากนั้นสำหรับการเซ็นสัญญากับลูกค้าเท่านั้น
การพัฒนาโอเพ่นซอร์สและภายในองค์กรถือเป็นสิ่งสำคัญอันดับแรก
และสุดท้ายสิ่งที่น่าสนใจสำหรับนักพัฒนาซอฟต์แวร์คือ SberTech ได้เปลี่ยนมาใช้โอเพ่นซอร์สและการพัฒนาของตัวเองโดยสิ้นเชิง ด้วยความช่วยเหลือของชุดเครื่องมือนี้ ในอนาคตอันใกล้นี้จำเป็นต้องแก้ไขงานหลักสามประการ: การสร้างระบบส่วนหน้าแบบครบวงจร (UFS) เพื่อการพัฒนาช่องทางการบริการลูกค้า แพลตฟอร์มสนับสนุนการพัฒนาธุรกิจ และการเปิดตัว ของโรงงานข้อมูลบนพื้นฐานของเทคโนโลยี BigData
การประชุมเมื่อวันที่ 6 กุมภาพันธ์มุ่งเน้นไปที่การวิเคราะห์รายละเอียดเพิ่มเติมของโครงการ ESF เหตุใด Sberbank จึงต้องดำเนินการดังกล่าว เหตุใดเจ้าหน้าที่ระดับสูงของธนาคารจึงควรพูดต่อหน้าโปรแกรมเมอร์? ผู้จัดการระดับสูงของ Sberbank ให้คำตอบ วาดิม คูลิกซึ่งดูแลด้านไอทีและการบริหารความเสี่ยงของธนาคาร
ตามที่เขาพูดธนาคารเป็นหนูตะเภาของ Oracle Corporation มานานแล้ว พวกเขาไม่มีการติดตั้งฐานข้อมูลขนาดใหญ่โดยผู้จำหน่ายรายนี้และมีภาระงานที่แผนกต้อนรับส่วนหน้าที่อื่น ด้วยปริมาณและขนาดดังกล่าว “แมลงสาบจำนวนมาก” กำลังคลานออกมาจากฐานข้อมูลนี้ ซึ่งไม่มีความชัดเจนว่าใครควรจ่ายค่าใบอนุญาตให้กับใคร
เพื่อเป็นการตอบสนองต่อสิ่งนี้และความท้าทายอื่นๆ อีกมากมาย SberTech จึงเริ่มพัฒนาความสามารถของตนเอง ซึ่งรวมถึงการพัฒนาของเราเองและการซื้อสตาร์ทอัพ ตัวอย่างเช่น นี่คือ GridGain ซึ่งเชี่ยวชาญในการพัฒนาซอฟต์แวร์สำหรับการประมวลผลข้อมูลจำนวนมากใน RAM แบบเรียลไทม์ (In-Memory Computing, เทคโนโลยี IMC)
ในเวลาเดียวกัน GridGain กำลังพัฒนาแพลตฟอร์มคอมพิวเตอร์แบบกระจายโอเพ่นซอร์สใน Java ซึ่งเผยแพร่ภายใต้ใบอนุญาต LGPL และ Apache 2.0 ความจริงข้อนี้อย่างที่พวกเขาพูดกันช่วยให้คุณประสบความสำเร็จและน้อยที่สุด การลงทุนทางการเงิน“การทดแทนการนำเข้า” เช่น โซลูชันสัญชาติเยอรมันที่เป็นกรรมสิทธิ์ เช่น SAP HANA ดังนั้นหากสตาร์ทอัพฟินเทคมีอะไรจะโชว์ ก็จำเป็นต้องค้นหาที่ตั้งของ Sberbank อย่างเร่งด่วน
สำหรับส่วนหน้านั้น เส้นทางของการรวมและการรวมศูนย์ของผลิตภัณฑ์จำนวนมากทั้งหมดไว้ในที่เดียวได้รับการคัดเลือกทั้งสำหรับผู้ปฏิบัติงานของเราเองและสำหรับลูกค้าด้วยอินเทอร์เฟซที่สะดวกสบายสำหรับอุปกรณ์ทั้งหมด ในระดับของ Sberbank นี่เป็นงานที่ยิ่งใหญ่อย่างแท้จริง จนกระทั่งเมื่อเร็วๆ นี้ มีการเปลี่ยนแปลง เช่น อัตราคิดลด ธนาคารกลาง RF ในทุกระบบใช้เวลาสูงสุด 3 เดือน ในอัตรานี้คุณสามารถแพ้ในการแข่งขันกับ Tinkoff Bank เดียวกันได้อย่างง่ายดาย
Sberbank มีค่าเท่ากับ Amazon หรือ Google
เป้าหมายคือการบรรลุการเปิดตัวผลิตภัณฑ์ในตลาดเกือบทางออนไลน์ ต้องขอบคุณ EFS และการตอบสนองออนไลน์แบบเดียวกันต่อการเปลี่ยนแปลงของตลาด ต้องขอบคุณ BI และ BigData บนบัสการรวม SOA เมื่อเทียบกับระบบธนาคารหลักและ ERP ของระบบธนาคารแบบดั้งเดิม ตามที่ผู้บริหารระดับสูงกล่าวไว้ สิ่งนี้ทำให้ Sberbank ไม่ได้เทียบได้กับสถาบันการเงิน แต่กับยักษ์ใหญ่ด้านเทคโนโลยีเช่น Amazon หรือ Google อย่างน้อยก็ในรัสเซีย ในเวลาเดียวกัน เราต้องไม่ลืมว่าธนาคารมีความเสี่ยงต่อการคว่ำบาตรจากตะวันตก ดังนั้น สิ่งสำคัญจึงอยู่ที่การพัฒนาของตนเอง และนั่นคือสาเหตุที่แนวทาง” ธนาคารทิงคอฟฟ์“ไม่เหมาะกับเขาเลย..
ข้อเท็จจริงนี้บังคับให้ SberTech เปิดเครื่องดูดฝุ่นในรูปแบบใหม่และมองหาโปรแกรมเมอร์ที่มีจิตใจพร้อมรับมือกับความท้าทายเหล่านี้ ดังที่วิทยากรระบุไว้ ผู้เชี่ยวชาญด้านไอทีที่ทำงานในธนาคารต่างกระพริบตาและไม่ต้องการการเปลี่ยนแปลงที่ไม่จำเป็น ดังนั้นสายตาของนายหน้าจึงหันไปหายานเดกซ์และสิ่งที่คล้ายกัน
แต่พวกเขาไม่ใช่คนแปลกหน้าเช่นกัน พวกเขาพร้อมที่จะจ้างผู้เชี่ยวชาญไม่ว่าจะด้วยวิธีใดก็ตาม ดังนั้น SberTech พร้อมที่จะพิจารณาผู้สมัครสำหรับ "รุ่นน้อง" และกำลังเปิดโรงเรียนของตนเองเพื่อฝึกอบรมโปรแกรมเมอร์ใน Java และ JavaScript (ไม่มีการพูดถึง PHP เลย) มีการพูดคุยกันมากมายที่โต๊ะกลมเกี่ยวกับนักพัฒนาอินเทอร์เฟซและผู้ออกแบบโครงร่าง ปรากฎว่าในสหพันธรัฐรัสเซียไม่มีผู้เชี่ยวชาญที่เก่งกาจในด้านนี้ในตลาดโดยเฉพาะในอุปกรณ์เคลื่อนที่
การประชุมดำเนินไปตลอดทั้งวันโดยมีโต๊ะกลมจำนวนมาก ไม่สามารถอธิบายทุกอย่างสั้น ๆ ได้ ผู้จัดงานประชุมสัญญาว่าจะโพสต์วิดีโอของงานสำหรับผู้ที่สนใจทุกคน และมันคือทั้งหมดที่เกี่ยวกับ ESF! แต่ยังมีโครงการขนาดใหญ่อีกสองโครงการที่อธิบายไว้ข้างต้น กำลังได้รับการพัฒนาควบคู่กันไป ดูเหมือนว่าในอัตรานี้ SberTech จะตามทันผู้ค้ารายใหญ่ในอเมริกาได้
บริษัทในเครือของธนาคารแห่งนี้ตามปกติได้เริ่มดำเนินโครงการด้านไอทีทั้งหมดของธนาคารและวางแผนที่จะออกไปทำงานต่อ ตลาดเสรี. แต่ทุกอย่างผิดพลาด รากฐานข้อมูลและเทคโนโลยีของ "ธนาคารที่ใหญ่ที่สุด" ของยุโรปตะวันออก"จำเป็นต้องยกเครื่องใหม่ทั้งหมด ก่อตั้งในปี 2554 บริษัทไม่สามารถทำตามความคาดหวังได้ตลอด 7 ปี
แน่นอนคุณสามารถพยายามโต้เถียงกับตัวเลขได้ เรียกได้ว่าตอนนี้เป็นนายจ้างไอทีรายใหญ่ที่สุดในประเทศแล้ว โปรแกรมเมอร์มากกว่า 10,000 คน! เราบอกได้เลยว่ารายได้โตตาม ปีที่แล้ว. แต่นี่เป็นหลักฐานที่ชัดเจนว่าธนาคารเริ่มใช้จ่ายด้านไอทีมากขึ้นโดยไม่ได้ปรับปรุงคุณภาพการบริการ
ในเดือนมิถุนายนปีที่แล้ว CEO Alisa Melnikova ออกจากบริษัท แต่สิ่งนี้ไม่ได้ช่วยบริษัทมากนัก ตลอดการดำรงอยู่ของบริษัทย่อยและบริษัทที่สำคัญอย่างยิ่งสำหรับ Sberbank ปัญหามากมายได้สะสมจนพวกเขาทั้งหมดเริ่มที่จะจมบริษัทแม่
1. คนมากเกินไป
เหตุผลนี้เป็นผลมาจากการผสมผสานระหว่างยักษ์ใหญ่ในยุคโซเวียตและความปรารถนาของผู้จัดการระดับสูงโดยเฉพาะที่จะมีงบประมาณและอำนาจ แต่อีกเหตุผลหนึ่งก็คือว่า มือขวาไม่เข้าใจว่าคนซ้ายกำลังทำอะไร จำคำพูดที่ยอดเยี่ยมของ Gref เกี่ยวกับโปรแกรมเมอร์ได้ไหม?
“ทุกวันนี้เราไม่ต้องการโปรแกรมเมอร์ เรามีโปรแกรมเมอร์จำนวนมากที่เรากำลังต่อสู้ด้วย” ชาวเยอรมัน ออสคาโรวิช กล่าว
ครึ่งหนึ่งของกระทรวงและบริษัทส่วนใหญ่ในตลาดต่างกรีดร้องและไล่ล่าหาสิ่งที่มีค่าอย่างยิ่งและจำเป็นอย่างยิ่งสำหรับ เศรษฐกิจดิจิทัล“ผู้สร้าง” ซึ่งโปรแกรมเมอร์ควรจะเป็น และ Gref ตัดสินใจต่อสู้กับพวกเขา ใครจะตระหนักถึงอนาคต? ทำไมบริษัทถึงต้องการคนจำนวนมาก? VTB หรือ Alpha เดียวกันกับ Tinkov ใช้ทรัพยากรมนุษย์น้อยกว่ามากในการปรับใช้คุณลักษณะที่เหมือนกันทุกประการหรือดียิ่งขึ้นไปอีก ในขณะเดียวกัน ผู้คนก็ถูกล่อลวงให้ออกจากตลาดด้วยเงินเดือนสองเท่า และสัญญาว่าจะเปลี่ยนโลกอย่างแน่นอน แต่ในความเป็นจริงมันกลับกลายเป็นเรื่องราวที่แตกต่างไปจากเดิมอย่างสิ้นเชิง ตามรายงานระบุว่าต้องใช้โปรแกรมเมอร์ 200 คนและทำงานหนักหลายเดือนเพื่อใส่ปุ่มใน CRM
2. ไม่มีความก้าวหน้า
EFS, PPRB และ FD บริษัทมีความภาคภูมิใจในสิ่งนี้และเผยแพร่อย่างเปิดเผยบนเว็บไซต์ของบริษัท เรามาดูกันดีกว่า ตัวอย่างที่เฉพาะเจาะจง. EFS - ระบบหน้าผากแบบครบวงจร มันคืออะไร?
Unified Frontal System มีวัตถุประสงค์เพื่อเพิ่มระดับความสะดวกสบายของลูกค้า Sberbank เมื่อรับบริการ รวมถึงความสะดวก ความรวดเร็ว และประสิทธิภาพของการทำงานของพนักงานสาขาที่ให้บริการลูกค้า EFS ขึ้นอยู่กับช่องทางข้าม ไม่ว่าผู้ใช้จะมาจากไหน - ผ่านแอปพลิเคชัน, เบราว์เซอร์บนคอมพิวเตอร์ที่บ้าน, ผ่านการโทรไปยังศูนย์บริการทางโทรศัพท์หรือสำนักงาน - เขาสามารถให้บริการต่อผ่านช่องทางใดก็ได้ตั้งแต่ช่วงเวลาที่การโต้ตอบครั้งสุดท้ายในช่องทางใด ๆ สิ้นสุดลง - ระบบ ต้องรู้จักโปรไฟล์ของลูกค้า นอกจากนี้ EFS ยังอนุญาตให้พันธมิตรเข้าสู่ระบบผ่าน API ของตัวเอง รวมถึงทำงานร่วมกับแพลตฟอร์มของบุคคลที่สามได้ด้วย
แต่ทุกวันนี้บริการมากมายสามารถทำได้! อะไรขัดขวางไม่ให้คุณเสร็จสิ้น Bitrix24 หรือระบบอื่นๆ จำนวนมากเพื่อดำเนินการตามที่เขียนไว้ข้างต้น นี่ไม่ใช่พื้นที่บางชนิด นี่คือความจริง ใช่แล้ว Sberbank มีขนาดใหญ่ แต่ไม่ใช่แห่งเดียวในโลก มันเป็นไปได้ที่จะสอดแนมผู้อื่นเพื่อทำสิ่งที่ถูกต้อง เช่นเดียวกับโครงการอื่น ๆ เรื่องไร้สาระแบบลีนอย่างแน่นอนถูกส่งผ่านไปเป็นความก้าวหน้า และ "เรื่องไร้สาระ" บางส่วนนี้ยังไม่ได้ถูกสร้างขึ้นด้วยซ้ำ แต่มีอยู่บนกระดาษเท่านั้น
3. น่าเบื่อ
สาเหตุหนึ่งที่ทำให้ "ความคล่องตัวและการต่อสู้อันศักดิ์สิทธิ์" ไม่ได้ผลก็คือ สิ่งเหล่านี้ถูกนำไปใช้โดยคนเฉพาะเจาะจง ที่ Sbertech โดยไม่เปิดเผยชื่อ เพื่อนร่วมงานหลายคนจากบริษัทยืนยันว่าบางครั้งพวกเขาก็ไม่เข้าใจว่ากำลังทำอะไรอยู่ และมันจะเปลี่ยนแปลงโลกอย่างไร ธนาคารไม่ต้องการโปรแกรมเมอร์จำนวน 10,000 ตัวในจำนวนดังกล่าว พวกเขาจึงยืนเกียจคร้าน ด้วยเงินของเรา
4. การบังคับใช้หน้าที่ที่แปลกประหลาดอย่างยิ่งในบริษัท
มีเรื่องอื้อฉาวกับนักวิเคราะห์จาก Sberbank CIB โครงสร้างทั้งหมดถูกรื้อถอน และตอนนี้ Gref ได้ประกาศความตั้งใจที่จะแทนที่นักวิเคราะห์ด้วย "ปัญญาประดิษฐ์"
นั่นมันไร้สาระ! แต่หลายคนกลับเปิดใจรับฟัง และพวกเขาคาดหวังว่า Sbertech จะทำทุกอย่างในตอนนี้ โปรแกรมเมอร์เยอะมาก! แต่เช่นเดียวกับที่ผู้หญิง 9 คนจะไม่มีลูกในหนึ่งเดือน ดังนั้นในปีนี้ คุณไม่สามารถแทนที่นักวิเคราะห์ด้วยคอมพิวเตอร์หรือโครงข่ายประสาทเทียมได้ ทีนี้ลองจินตนาการถึงความเสี่ยงเชิงกลยุทธ์สำหรับบริษัทแม่
5. การหยุดชะงักของบริษัทแม่อย่างต่อเนื่อง
เราจะพูดอะไรได้บ้าง แม้ว่าคนวงในทั้งกลุ่มจะประกาศเสียงดังถึงการหยุดชะงักครั้งใหญ่ในการทำงานของ Sberbank ที่ฟอรัมที่ SPIEF ซึ่งเป็นเพียงความอัปยศ อย่างไรก็ตาม บริษัท ไม่ได้ยืนยันเรื่องนี้ แต่ก็ไม่ได้ปฏิเสธเช่นกันซึ่งเป็นการพิสูจน์ความจริงทางอ้อมของข่าวลือ แต่ความล้มเหลวเป็นประจำการบล็อกบัญชีสำหรับการโอนเงิน 666 รูเบิลและเรื่องราวที่คล้ายกันเป็นหลักฐานเพิ่มเติมของความอ่อนแอของผู้จัดการ ใช่ มันยาก ใช่ มีธนาคารออมสินธรรมดาๆ แต่ไม่มีใครสละเงินและเวลาให้คุณในการเปลี่ยนแปลง ความหวังก็คือคุณจะเก่งที่สุดในโลก ในขณะเดียวกัน ปรากฎว่าคุณไม่ได้พิสูจน์ความหวังของเราเลย
บนแพลตฟอร์มของ Unified Frontal System (UFS) กระบวนการส่วนหน้ากำลังได้รับการพัฒนาสำหรับระบบ Sberbank Online (แอปพลิเคชันมือถือและเวอร์ชันเว็บ) รวมถึงพนักงานสาขาและผู้เชี่ยวชาญด้านการขายตรงระดับแรก โปรแกรมในการพัฒนาระบบนี้เป็นหนึ่งในโครงการสำคัญและเป็นกลยุทธ์สำหรับ Sberbank
2561: ผลการพัฒนาประจำปี
ในปี 2018 สถาปัตยกรรม UFS กระบวนการในการพัฒนาและปล่อยฟังก์ชันการทำงานออกสู่สภาพแวดล้อมอุตสาหกรรมได้รับการปรับปรุง Sberbank รายงานในรายงานเกี่ยวกับกิจกรรมสำหรับไตรมาสที่ 2 ของปี 2019 นอกจากนี้ยังมีการแนะนำความเป็นไปได้ของการใช้เวอร์ชันหลายเวอร์ชันด้วย ซึ่งบริการทางเทคโนโลยีและฟังก์ชันการทำงานของไคลเอ็นต์สามารถพัฒนาได้อย่างอิสระและวนซ้ำในวงจรการเปิดตัวของตนเอง
โปรแกรม EFS สร้างตรรกะการบริการแบบครบวงจรในทุกช่องทาง โดยยึดตามหลักการช่องทาง Omni (ภาพถ่าย - svpressa.ru)
ในฐานะส่วนหนึ่งของการพัฒนา Unified Financial System ในปี 2018 Sberbank ได้นำฟังก์ชันการทำงานของบริการธนาคารทางไกลสำหรับการทำธุรกรรมทางเอกสาร (เลตเตอร์ออฟเครดิต การเรียกเก็บเงิน) ผ่าน Sberbank Business Online ซึ่งช่วยให้ลูกค้าส่งใบสมัคร/คำขอ/จดหมายไปยังธนาคารได้ ติดตามสถานะออนไลน์และดูการลงทะเบียนธุรกรรมทางอิเล็กทรอนิกส์
บริการนี้ช่วยให้คุณลดเวลาที่ใช้ในการให้บริการลูกค้ากับเล็ตเตอร์ออฟเครดิตและการเรียกเก็บเงิน และเพิ่มความพึงพอใจของลูกค้า Sberbank กล่าว
Sberbank เรียกเหตุการณ์สำคัญอีกเหตุการณ์หนึ่งในเขต ESF ซึ่งเป็นจุดเริ่มต้นของขั้นตอนการหมุนเวียนของระบบไปยังลูกค้าทั้งหมดในสามช่องทางระยะไกล บริการธนาคารในปี 2561
2017: ESF เวอร์ชันใหม่
ในปี 2560 แพลตฟอร์ม EFS 7.0 เวอร์ชันใหม่ได้รับการพัฒนามากขึ้น ระดับสูงความน่าเชื่อถือและประสิทธิภาพเนื่องจากการรองรับโหมดการใช้งานในสถาปัตยกรรมแบบหลายยูนิตและโหมด Stand-In ซึ่งให้ความทนทานต่อข้อผิดพลาดที่เพิ่มขึ้นและการอัพเดตระบบย่อยการทำงานของแพลตฟอร์มได้อย่างราบรื่น การดำเนินการตามกระบวนการเป้าหมายใหม่จำนวนมากสำหรับการพัฒนา EFS โดยใช้ "เครื่องมือการพัฒนา" ก็เริ่มขึ้นเช่นกัน Sberbank อธิบายว่าสิ่งนี้จะช่วยให้ทีมหนึ่งสามารถนำโซลูชันไปใช้สำหรับทุกช่องทาง นำออบเจ็กต์และบริการที่นำไปใช้แล้วกลับมาใช้ใหม่ได้มากที่สุดเท่าที่จะเป็นไปได้ ลดจำนวนข้อผิดพลาดเนื่องจากการสร้างบล็อกฟังก์ชันมาตรฐานโดยอัตโนมัติ และยังลดเวลาการฝึกอบรมสำหรับใหม่ พนักงาน.
ผลที่คาดหวังจากการใช้กระบวนการพัฒนา EFS เป้าหมายคือการลดจำนวนการพัฒนาด้วยตนเองลงครึ่งหนึ่ง
นอกจากนี้ในปี 2560 ธนาคารได้กำหนดมาตรฐานคุณภาพสำหรับแพลตฟอร์ม ESF การใช้งานได้รับการตรวจสอบโดยใช้ 12 ตัวชี้วัด การใช้มาตรฐานช่วยลดจำนวนข้อผิดพลาดลงครึ่งหนึ่งระหว่างขั้นตอนการทดสอบ และทำให้มั่นใจได้ว่าข้อผิดพลาด 50% จะถูกกำจัดภายใน 8 ชั่วโมง
2016: ระบุตัวผู้พัฒนา Unified Frontal System ของ Sberbank ได้
ผู้รับเหมาทั่วไปของ Sberbank สำหรับการสร้าง Unified Frontal System คือ บริษัท Sberbank Technologies
บริษัทที่มีประสบการณ์ในการดำเนินโครงการอย่างน้อยสามโครงการเพื่อพัฒนาระบบส่วนหน้าตั้งแต่ปี 2556 ได้รับเชิญให้เข้าร่วมในการจัดซื้อ (ผู้ชมของโครงการจะต้องมีผู้ใช้อย่างน้อย 10,000 คน) ผู้เข้าร่วมการแข่งขันจะต้องมีนักพัฒนาอย่างน้อย 40 คนที่มีความรู้เกี่ยวกับภาษาการเขียนโปรแกรม Java, นักวิเคราะห์ระบบ 20 คน, นักพัฒนา 20 คนที่มีความรู้เกี่ยวกับ JavaScript, css, ภาษาการเขียนโปรแกรม html และสถาปนิก 5 คน ผู้เชี่ยวชาญของทีมโปรเจ็กต์ของผู้เข้าร่วมจะต้องมีใบรับรอง Java Senior Specialist (ผู้เชี่ยวชาญอย่างน้อย 10 คน) และใบรับรอง Oracle Professional (อย่างน้อย 1 คน)
แยกเอกสารที่กำหนดไว้ เดิมพันสูงสุดผู้เชี่ยวชาญ:
การประเมินโดยรวมของการสมัครของผู้เข้าร่วมขึ้นอยู่กับต้นทุนที่เสนอในการปฏิบัติงาน 50% และคุณภาพของงานทดสอบ 50%
วัตถุประสงค์ของระบบ
ระบบจ้างพนักงานของสาขาธนาคารและศูนย์บริการทางโทรศัพท์ ลูกค้าของแอปพลิเคชันมือถือและธนาคารออนไลน์ (นิติบุคคลและบุคคล) และพันธมิตรในการขายผลิตภัณฑ์ของธนาคาร ระบบนี้ยังออกแบบมาเพื่อควบคุมตู้เอทีเอ็มและเครื่องบริการตนเองอีกด้วย
การนำระบบไปใช้จะทำให้ลูกค้าได้รับประสบการณ์ที่เป็นหนึ่งเดียวโดยการสร้าง ฐานเดียวลูกค้าสำหรับทุกช่องทางการบริการ เป็นไปได้ที่จะเริ่มการโต้ตอบผ่านศูนย์บริการทางโทรศัพท์ของธนาคาร และดำเนินการต่อ เช่น ในธนาคารทางอินเทอร์เน็ตหรือในสาขาจากช่วงเวลาที่การดำเนินการถูกขัดจังหวะ
เป้าหมายอีกประการหนึ่งของ ESF คือการเร่งเปิดตัวผลิตภัณฑ์ใหม่ของธนาคารออกสู่ตลาด ในสภาวะปัจจุบันเมื่อการจัดการอินเตอร์เน็ตและ ธนาคารบนมือถือการประมวลผล ตู้เอทีเอ็ม และเทอร์มินัลได้รับการจัดการโดยแอปพลิเคชันที่แตกต่างกัน การอัปเดตบริการและผลิตภัณฑ์ของ Sberbank (เช่น การเปลี่ยนแปลงอัตราดอกเบี้ยเงินฝาก) ทั่วประเทศอาจใช้เวลาหลายสัปดาห์ เป้าหมายคือการลดกรอบเวลาลงเหลือหนึ่งวัน
นอกจากนี้ ตามที่คาดไว้ EFS จะลดเวลาการดำเนินงาน ลดความซับซ้อนของอินเทอร์เฟซของพนักงานสาขา เร่งการปรับตัวให้เข้ากับงานของผู้มาใหม่ และลดจำนวนข้อผิดพลาด
การจัดการโปรแกรม ESF
ณ สิ้นปี 2561 Alexey Poddubny กลายเป็นหัวหน้าโครงการ United Frontal System ตามที่ TAdviser เขาได้รับการแต่งตั้งให้ดำรงตำแหน่งนี้หลังจาก Elena Baturova ซึ่งก่อนหน้านี้เป็นผู้นำโครงการ ESF ออกจาก Sberbank เช่นเดียวกับ Vadim Sharobaev ซึ่งภายใต้การนำของเธอรับผิดชอบโครงการนี้ที่ Sbertech อ่านเพิ่มเติม.
จากการสนทนานี้ คุณจะได้เรียนรู้ว่า Sberbank Technologies ซึ่งเป็นบริษัทในเครือด้านไอทีของ Sberbank ทำอะไรกันแน่ ผู้เชี่ยวชาญด้านความปลอดภัยของแอปพลิเคชันควรอ่านช่องทางใดของ Telegram และเหตุใดเราจึงไม่ควรลืมแนวทางปฏิบัติระหว่างการฝึกอบรม
ข้อมูล
Sberbank Technologies (SberTech) เป็นบริษัทไอทีในเครือของ Sberbank ก่อตั้งขึ้นในปี 2554 ทุกอย่างเริ่มต้นจากทีมงาน 500 คน เหล่านี้ส่วนใหญ่เป็นผู้เชี่ยวชาญด้านไอทีจาก Sberbank ซึ่งย้ายไปทำงานในโครงสร้างไอทีที่แยกจากกัน
ปัจจุบัน SberTech มีพนักงานประมาณ 11,000 คนใน 16 เมืองของรัสเซีย ศูนย์การพัฒนาที่สำคัญกระจุกตัวอยู่ในเมืองเหล่านี้ ซึ่งทีมผู้เชี่ยวชาญด้านไอทีระดับภูมิภาคมารวมตัวกัน: มอสโก เซนต์ปีเตอร์สเบิร์ก, โนโวซีบีสค์, อินโนโปลิส และอื่นๆ
SberTech มีส่วนร่วมในการพัฒนาและการใช้งานซอฟต์แวร์ ตลอดจนการสนับสนุนระบบไอทีของ Sberbank ที่มีอยู่ บน ช่วงเวลานี้ Sberbank เป็นลูกค้าเพียงรายเดียวของบริษัท
Artem Bachevsky หัวหน้าฝ่ายพัฒนาระบบไอทีในแผนกความปลอดภัยของแอปพลิเคชัน
บอกเราว่า SberTech ทำอะไรอยู่ ตอนนี้คุณกำลังทำโปรเจ็กต์อะไรอยู่?
ปัจจุบันโครงการสำคัญคือการพัฒนาแพลตฟอร์มเทคโนโลยีใหม่สำหรับ Sberbank มันเปลี่ยนรูปแบบธุรกิจให้เป็นระบบนิเวศ ระบบนิเวศนี้จะให้บริการที่ไม่ใช่ทางการเงิน เชื่อมต่อพันธมิตรและผู้รับเหมา และจะสามารถประมวลผลข้อมูลปริมาณมากภายใน เวลาอันสั้นจะทำให้ระบบมีสมรรถนะสูง
มาดูบริการที่ไม่ใช่ทางการเงินกันดีกว่า เรากำลังพูดถึงโครงการอะไร?
โครงการดังกล่าวมีอยู่แล้วเนื่องจากระบบนิเวศได้รับการพัฒนามาตั้งแต่ปี 2559 มีการวางแผนการเปลี่ยนไปใช้แพลตฟอร์มเทคโนโลยีใหม่โดยสมบูรณ์ก่อนปี 2020 Sberbank มุ่งมั่นที่จะเปลี่ยนจากการจัดหาเพียงอย่างเดียว บริการทางการเงินและกำลังหาพันธมิตรอย่างแข็งขัน ตัวอย่างเช่น Sberbank-Real Estate ( LLC "ศูนย์อสังหาริมทรัพย์จาก Sberbank" เป็นส่วนหนึ่งของกลุ่มบริษัท Sberbank - ประมาณ. เอ็ด), “Sberbank-Insurance”, บริการอินเทอร์เน็ตสำหรับค้นหาแพทย์ DocDoc เป็นต้น ดังนั้นการเปลี่ยนแปลงไปสู่ระบบนิเวศจึงเกิดขึ้น บริษัทต่างๆ เช่น Alibaba, Amazon และ WeChat กำลังเดินตามเส้นทางที่คล้ายกัน
“ระบบนิเวศ” และ “ แพลตฟอร์มเทคโนโลยี“นี่เป็นคำพูดที่สวยงาม แต่ฉันอยากได้ยินเฉพาะเจาะจงมากกว่านี้ สาระสำคัญของแพลตฟอร์มของคุณคืออะไร คุณกำลังพัฒนาอะไรกันแน่ และเหตุใดเทคโนโลยีเหล่านี้จึงมีความโดดเด่น
แพลตฟอร์มใหม่ประกอบด้วยสามโปรแกรมหลัก
แพลตฟอร์มสนับสนุนการพัฒนาธุรกิจ- เครื่องมือสากลสำหรับการสร้างแอปพลิเคชันทางธุรกิจ ธนาคารจะต้องกลายเป็นตลาดกลางที่รวบรวมเครื่องมือที่หลากหลายเพื่อให้บรรลุเป้าหมายของลูกค้า สิ่งนี้จำเป็นต้องมีรากฐาน - แพลตฟอร์มใหม่: ปรับขนาดได้ ยืดหยุ่น เชื่อถือได้ และเปิดกว้าง สามารถเปลี่ยนแปลงได้แบบเรียลไทม์ ในการพัฒนาพวกเขาใช้ เทคโนโลยีใหม่ล่าสุดการประมวลผลแบบกระจายในหน่วยความจำและการรันแอปพลิเคชันที่มีข้อมูลจำนวนมากแบบเรียลไทม์ - ใน Memory Data Grid
โปรแกรมดาต้าแฟคทอรีออกแบบมาเพื่อเพิ่มระดับคุณภาพ ความน่าเชื่อถือ และความพร้อมของข้อมูลสำหรับการวิเคราะห์ พนักงานธนาคารจะสามารถวิเคราะห์และตีความข้อมูลได้อย่างเต็มที่โดยไม่ต้องเสียค่าแรงเพิ่มเติมในการรวบรวมและการกระทบยอด Big Data ช่วยให้มั่นใจได้ว่าจะทำงานร่วมกับอาร์เรย์ข้อมูลขนาดใหญ่เพื่อสร้างรายได้จากข้อมูลและการวิเคราะห์พฤติกรรมของลูกค้าและพนักงาน เพื่อปรับกลยุทธ์ในการทำงานกับส่วนต่างๆ
ระบบหน้าผากแบบครบวงจร- แพลตฟอร์มข้ามสายงาน การพัฒนาของ Sberbank เอง เครื่องมือของแพลตฟอร์มมอบประสบการณ์ข้ามช่องทางที่ราบรื่นสำหรับผลิตภัณฑ์และบริการทั้งหมด กลุ่มเทคโนโลยีช่วยให้คุณรักษาประสิทธิภาพ ความน่าเชื่อถือ และความปลอดภัยในระดับสูงสำหรับผู้ใช้ นอกจากนี้ EFS ยังอนุญาตให้พันธมิตรเข้าสู่ระบบผ่าน API ของตัวเอง รวมถึงทำงานร่วมกับแพลตฟอร์มของบุคคลที่สามได้ด้วย
ตอนนี้เรามาพูดถึงความปลอดภัยกันดีกว่า อาร์เทม บอกเราหน่อยว่าแผนกของคุณทำอะไร?
แผนกของเราเกี่ยวข้องกับความปลอดภัยของแอปพลิเคชัน - ความปลอดภัยของแอปพลิเคชัน แผนกนี้ค่อนข้างเด็ก อายุประมาณสองปีครึ่ง
ของเรา ความรับผิดชอบหลัก- รับประกันความปลอดภัยของแอปพลิเคชัน สิ่งเหล่านี้ส่วนใหญ่เป็นระบบอัตโนมัติที่สำคัญสำหรับธนาคาร แต่การพัฒนามือถือและภารกิจที่สำคัญใหม่ทั้งหมดก็ตกอยู่ในความรับผิดชอบของเราเช่นกัน
ปัจจุบันแผนกมีพนักงานสิบห้าคน ตามอัตภาพ พวกเขาสามารถแบ่งออกเป็นสามทีม: ทีมทดสอบการเจาะระบบ เพนเทสต์แบบเคลื่อนที่ และการพัฒนาภายใน ทีมงานได้รวบรวมพนักงานที่มีพื้นฐานทางเทคนิคที่แตกต่างกัน โดยส่วนใหญ่มาจากด้านความปลอดภัยของข้อมูลในด้านต่างๆ แต่ก็มีพนักงานจากฝ่ายการจัดการและการพัฒนาด้านไอทีด้วยเช่นกัน เรากำลังร่วมกับเพื่อนร่วมงานของเราจาก Sberbank เรากำลังเพิ่มความปลอดภัยของระบบที่กำลังพัฒนา โดยรักษาการประนีประนอมที่เหมาะสมระหว่างความต้องการทางธุรกิจ ความสะดวกสบายของผู้ใช้ และความเสี่ยงที่เพิ่มมากขึ้นในด้านการพัฒนาซอฟต์แวร์
เราบรรลุเป้าหมายทั้งหมดนี้ด้วยความเชี่ยวชาญอันแข็งแกร่งของพนักงาน Sberbank และ SberTech รวมถึง SDL (วงจรการพัฒนาที่ปลอดภัย) ที่เป็นผู้ใหญ่และเป็นพื้นฐาน ซึ่งคำนึงถึง แนวโน้มสมัยใหม่และแนวทาง (Agile & DevOps) ในด้านการพัฒนาซอฟต์แวร์
ทีมงานผู้ทดสอบเว็บมีส่วนร่วมในการนำแนวทางปฏิบัติต่างๆ ไปใช้ วิเคราะห์ผลลัพธ์และดำเนินการทดสอบเอง ทีม Pentest บนมือถือก็ทำสิ่งเดียวกัน แต่สำหรับแอปพลิเคชันบนมือถือ แอปพลิเคชั่นมือถือธนาคารมีมากมาย ไม่ใช่แค่ Sberbank Online เท่านั้น แต่ยังมี Business Online บริการขององค์กร และอื่นๆ อีกมากมาย
คุณพูดถึง SDL โครงสร้างพื้นฐานนี้สร้างขึ้นอย่างไร
เราพยายามสร้างโครงสร้างพื้นฐานในลักษณะที่เพื่อนร่วมงาน “อยู่ในบริบทของโค้ด” ช่วยเราในการวิเคราะห์ผลลัพธ์การสแกน ทบทวนโค้ด และกฎการเขียนสำหรับ SAST (การทดสอบความปลอดภัยของแอปพลิเคชันแบบคงที่) ในฐานะที่เป็นส่วนหนึ่งของความคิดริเริ่มในการส่งมอบคุณค่าให้กับลูกค้าอย่างต่อเนื่อง เรารับประกันความปลอดภัยของแอปพลิเคชันโดยการนำบริบท Sec เข้าสู่ DevOps ซึ่งสร้างขึ้นใน Sberbank และ SBT และหากปราศจากการมีส่วนร่วมของทีม สิ่งนี้จะเป็นไปไม่ได้เลย
แนวทางปฏิบัติในการให้นักพัฒนามีส่วนร่วมผ่านทางตัวแทนด้านความปลอดภัยได้พิสูจน์ตัวเองแล้วเป็นอย่างดี แชมป์เปี้ยนด้านความปลอดภัยคือพนักงานในทีมพัฒนาที่สนใจในการพัฒนาวิชาชีพในด้านความปลอดภัยของข้อมูล เพื่อเพิ่มความปลอดภัยของระบบและลดความเสี่ยงของช่องโหว่ สิ่งนี้สามารถทำได้โดยการเพิ่มระดับความสามารถของทีมพัฒนา AS ในเรื่องความปลอดภัยของข้อมูล การจำลองแนวปฏิบัติในการพัฒนาแอปพลิเคชันที่ปลอดภัย และลดระยะเวลาของวงจรชีวิตของข้อบกพร่องด้านความปลอดภัยของข้อมูล
นอกจากนี้เรายังจัดโปรแกรมและการฝึกอบรมเพื่อสร้างความตระหนักรู้ต่างๆ เป็นประจำ เราจัดให้มีการตระหนักรู้ทั่วไปสำหรับทุกคนไตรมาสละครั้ง เรามีการฝึกอบรมเกี่ยวกับการดื่มด่ำกับการพัฒนาที่ปลอดภัยใน Java ประเด็นก็คือว่านี่คือภาษาโปรแกรมเป้าหมายในธนาคาร ดังนั้นจึงมุ่งเน้นไปที่ภาษานั้น มีการดำน้ำแบบกำหนดเป้าหมายเดียวกันทุกประการสำหรับ Android และ iOS
นักพัฒนาของคุณจะได้รับการฝึกอบรมประมาณกี่ชั่วโมงต่อปี?
ในด้านความปลอดภัย ประมาณสี่สิบชั่วโมงต่อปี
คุณคิดว่าบทบาทของการศึกษาในปัจจุบันคืออะไร? มีสิ่งใหม่ๆ เกิดขึ้นทุกวัน จะตามทันได้อย่างไร?
เราสอนขั้นพื้นฐานและไม่ได้มุ่งมั่นที่จะเปลี่ยนนักเรียนให้เป็นผู้เชี่ยวชาญในด้านความปลอดภัยทางไซเบอร์ในทันที ในขั้นตอนนี้ ก็เพียงพอแล้วที่จะให้พวกเขามีส่วนร่วมในหัวข้อและวางความรู้พื้นฐาน สมมติว่าในบริบทของ Java สิ่งเหล่านี้จะเป็นแนวทางปฏิบัติในการพัฒนาเว็บแอปพลิเคชันที่ปลอดภัย เพราะในด้านนี้มีการพูดถึงความปลอดภัยของเว็บเป็นอย่างมาก
ผู้เชี่ยวชาญต้องทำอะไรเพื่อ "ก้าวนำหน้าอยู่เสมอ"?
อย่างน้อยที่สุด ฉันแนะนำให้สมัครรับข้อมูลช่องโทรเลขเฉพาะเรื่องเพื่อให้ทันกระแสและเข้าใจความสนใจของคุณในอาชีพนี้ โดยส่วนตัวแล้วฉันอ่าน HackerNews, Habrahabr และ Hacker คุณสามารถแยกบางสิ่งบน GitHub ลองใช้ ประเมิน และจากนั้นอาจจะนำไปปฏิบัติ ไม่จำเป็นต้องเจาะลึกหัวข้อนี้ให้ลึกที่สุด แต่คุณต้องลองสิ่งใหม่ ๆ อยู่ตลอดเวลา
นอกจากนี้ ในความคิดของฉัน การมีส่วนร่วมในโปรแกรม CTF และโปรแกรมรางวัล Bug ต่างๆ ถือเป็นแนวปฏิบัติที่ดี ใน CTF คุณสามารถซื้อทักษะบางอย่างได้ และค่าหัวบั๊กช่วยให้คุณทดสอบความปลอดภัยของระบบที่น่าสนใจได้อย่างถูกกฎหมาย
แน่นอนว่าการเรียนรู้เป็นสิ่งที่ดี แต่ในความคิดของฉันการเรียนรู้เพียงอย่างเดียวไม่ได้ช่วยให้คุณไปได้ไกลนัก ท้ายที่สุดหากไม่มีการฝึกฝนการเรียนรู้ก็ไร้ค่าและอะไรก็ตาม ประสบการณ์จริงงานจริงต้องมาก่อน
คุณพูดถูกอย่างแน่นอน บอกเราเกี่ยวกับการฝึกอบรมและความตระหนักรู้ของคุณ สิ่งนี้เกิดขึ้นได้อย่างไร?
เรากำลังพยายามแนะนำกิจกรรมต่างๆ และทำให้กระบวนการพัฒนาเป็นแบบเกม ตัวอย่างเช่น ในการประชุม ZeroNights 2017 เราได้นำเสนอ captcha-CTF เป็นการแข่งขันที่น่าสนใจ โดยแต่ละความท้าทายคือ captcha ที่มีข้อผิดพลาดเชิงตรรกะหรือซอฟต์แวร์ในการใช้งาน เราเชิญผู้เข้าร่วมการประชุมให้ค้นหาช่องโหว่เหล่านี้ ซึ่งช่วยให้สามารถแก้ไข captcha จำนวนมากได้ในเวลาอันสั้น
งานนั้นง่ายมาก: จำเป็นต้อง "แก้ไข" แคปต์ชายี่สิบรายการในสิบวินาทีโดยไม่ต้องแก้ไขจริงๆ ผู้เข้าร่วมไม่ควรพิมพ์ทั้งหมดนี้ด้วยมือ ตัวอย่างเช่น พวกเขาควรใช้การฉีด SQL เพื่อไม่ให้สิ่งใดขึ้นอยู่กับค่าที่ป้อน ตัวอย่างเช่นในงานหนึ่ง captcha สามารถแก้ไขได้ด้วยความน่าจะเป็น - หากคุณป้อนคำตอบ "5" อย่างต่อเนื่องดังนั้น captcha จะถูกส่งผ่านด้วยความน่าจะเป็น 25%
วัตถุประสงค์ของการแข่งขันดังกล่าวคืออะไร? ทุกวันนี้มีเพียงไม่กี่คนที่ใช้ captchas ด้วยตัวเอง ท้ายที่สุดแล้ว มี reCAPTCHA สำเร็จรูปและค่อนข้างเชื่อถือได้ (หากมีการใช้งานอย่างถูกต้อง) แต่คุณอาจทำผิดพลาดในการใช้กลไกนี้ได้ หากมีคนตัดสินใจที่จะใช้ captcha ของตนเอง การเข้าร่วมการแข่งขันดังกล่าวจะมีโอกาสเกิดช่องโหว่น้อยลงมาก เนื่องจากบุคคลอาจเห็นข้อผิดพลาดมากมายในระหว่างการแข่งขัน ยิ่งไปกว่านั้น ปัญหาเหล่านี้ไม่เพียงแต่ใช้กับ captcha เท่านั้น ยังมีกลไกอื่นๆ อีกมากมายที่ทำให้เกิดข้อผิดพลาดที่คล้ายกันได้
SberTech มีการฝึกอบรมแบบรวมศูนย์หรือไม่ เช่น ฝึกอบรมโปรแกรมเมอร์หรือไม่
พนักงานทุกคนมีโอกาสที่จะเรียนรู้: ภายนอก (หลักสูตรและกิจกรรม) ภายใน (การพบปะ การแข่งขันแฮ็กกาธอน การแลกเปลี่ยนประสบการณ์เป็นประจำภายในทีมและแผนกต่างๆ) ผู้เชี่ยวชาญทั้งภายในและภายนอกพูดคุยในงานมีตติ้ง เช่น หนึ่งในผู้เชี่ยวชาญล่าสุดที่เกี่ยวข้องกับการประมวลผลควอนตัมร่วมกับ IBM
สำหรับนักเรียนและมืออาชีพที่ต้องการ SberTech จัดให้มีโรงเรียนฟรีเกี่ยวกับการพัฒนาอุปกรณ์เคลื่อนที่บน iOS และ Android, Java และ BPM เราขอเชิญนักเรียนที่เก่งที่สุดมาทำงานตามผลการฝึกอบรมของพวกเขา
มาฝึกซ้อมและสแต็คของคุณกันเถอะ บอกเราว่ามันประกอบด้วยอะไร
เราพยายามค้นหาช่องโหว่โดยเร็วที่สุด ดังนั้นเราจึงใช้ SAST (การทดสอบความปลอดภัยของแอปพลิเคชันแบบคงที่) และ DAST (การทดสอบความปลอดภัยของแอปพลิเคชันแบบไดนามิก) ตั้งแต่วินาทีแรกที่เขียนโค้ดบรรทัดแรก จากผลิตภัณฑ์ SAST ยอดนิยมหนึ่งรายการ เรากำลังสร้างโซลูชันที่เพิ่มความปลอดภัยให้กับ DevOps สำหรับหลาย ๆ อย่างที่ได้รับการพัฒนาที่ SberTech ระบบอัตโนมัติ. ขณะนี้เรากำลังนำ OWASP ZAP ไปใช้กับ DevSecOps ซึ่งจะช่วยให้เราพัฒนาแอปพลิเคชันที่ปลอดภัยและเชื่อถือได้มากยิ่งขึ้น
นอกจากนี้เรายังค้นหาช่องโหว่ที่ทราบในองค์ประกอบสาธารณะด้วย เพื่อจุดประสงค์นี้ ยูทิลิตี้ถูกสร้างขึ้นเพื่อรวมผลลัพธ์ของเครื่องมืออื่นที่คล้ายคลึงกัน (การตรวจสอบการพึ่งพา OWASP, Retire.js) และยังสแกนซอร์สโค้ด โดยแยกส่วนประกอบที่ใช้ออกจากมัน ซึ่งจากนั้นจะถูกตรวจสอบกับฐานข้อมูลช่องโหว่สาธารณะ (NIST) , CVEรายละเอียด)
จากการวิเคราะห์จุดบกพร่องด้วยตนเอง เราได้รวบรวมข้อมูลชุดหนึ่งด้วยการประเมินโดยผู้เชี่ยวชาญ และเราได้ฝึกอบรมโมเดล (การเรียนรู้ของเครื่องซึ่งกำลังได้รับความนิยมอย่างมากในขณะนี้) ซึ่งจะกำหนดโอกาสที่ช่องโหว่จะเป็นผลบวกอย่างแท้จริง โมเดลนี้ช่วยได้มาก เพราะอย่างน้อยก็เกี่ยวข้องกับการจัดอันดับ สมมติว่าการตรวจสอบการขึ้นต่อกันของ OWASP มีอัตราผลบวกลวงต่ำมาก แต่ให้ผลลัพธ์น้อยมาก โปรแกรมอรรถประโยชน์ของเรามีอัตราผลบวกลวงที่สูงกว่า แต่ด้วยการจัดอันดับและผลลัพธ์ที่มากกว่ามาก บางครั้งเราจึงตรวจพบช่องโหว่ที่เครื่องมืออื่นไม่เคยตรวจพบมาก่อน
สำหรับระบบที่สามารถใช้งานได้ เราใช้ fuzzing - เราสร้างโมเดลผู้บุกรุกและโมเดลภัยคุกคามสำหรับทุกระบบ เรายังตรวจสอบโค้ดนี้ด้วย ซึ่งก็คือส่วนที่สำคัญของโค้ด และแน่นอนว่า เราทำการทดสอบการเจาะระบบ
เราไม่ปล่อยให้นักพัฒนาอยู่ตามลำพังกับข้อบกพร่อง แต่เราจะแก้ไขข้อบกพร่องเหล่านั้นอย่างสมบูรณ์ วงจรชีวิตข้อผิดพลาด เราแนะนำให้กำจัด เราทดสอบหลังจากแก้ไข
และฉันจะเล่าให้คุณฟังเพิ่มเติมเล็กน้อยเกี่ยวกับการพัฒนาภายในแผนกของเรา เมื่อถึงจุดหนึ่ง เราก็ตระหนักได้ว่าการจัดการกระบวนการ SDL นั้นเป็นไปไม่ได้หากไม่มี Secure Application Lifecycle Manager เมื่อพิจารณาถึงลักษณะเฉพาะของธนาคาร (ระบบอัตโนมัติหลายระบบ ซึ่งแต่ละระบบมี "สวนสัตว์" ของเทคโนโลยีและแนวปฏิบัติของตัวเอง) เห็นได้ชัดว่าเราจำเป็นต้องเขียนบางอย่างของเราเอง
ดังนั้นเราจึงสร้างผลิตภัณฑ์ที่มุ่งเน้นกระบวนการทั้งหมดของการนำ SDL ไปใช้ และรักษาความต่อเนื่องของกระบวนการ การจัดการกระแสข้อมูล (ความปลอดภัยของข้อมูลและที่เกี่ยวข้อง) โดยจะจัดเก็บข้อมูลทั้งหมดที่สะสมอันเป็นผลมาจากแนวทางปฏิบัติต่างๆ และช่วยให้คุณสามารถจัดการได้ โดยจะ "เปิดตัว" การดำเนินการบางอย่างโดยอัตโนมัติเพื่อการจำลองแบบที่ราบรื่น นอกจากนี้ยังกระจายจุดบกพร่องไปยังเครื่องมือติดตามปัญหาต่างๆ และจัดเตรียมอินเทอร์เฟซสำหรับการวิเคราะห์จุดบกพร่องโดยใช้เครื่องมือของเรา ทั้งหมดนี้ทำให้มั่นใจได้ถึงการสร้าง SDL และการโต้ตอบที่มีประสิทธิภาพกับทีม
Sberbank กำลังสร้างแพลตฟอร์มใหม่ที่ยืดหยุ่นซึ่งจะเปลี่ยนธนาคารให้เป็นบริษัทเทคโนโลยี ธนาคารวางแผนที่จะเปิดการเข้าถึงองค์ประกอบของแพลตฟอร์มผ่าน API รวมถึงการเผยแพร่รหัสการพัฒนาบางส่วน Sergei Ryabov กรรมการผู้จัดการอาวุโสและหัวหน้าสถาปนิกไอทีของ Sberbank กล่าวในฟอรัม FinCore 2017 FutureBanking ให้ข้อความที่ตัดตอนมาจากคำพูดนี้
คำกล่าวของชาร์ลส์ ดาร์วินกล่าวว่า ไม่ใช่สายพันธุ์ที่แข็งแกร่งที่สุดที่จะอยู่รอด หรือฉลาดที่สุด แต่เป็นสายพันธุ์ที่ตอบสนองต่อการเปลี่ยนแปลงได้ดีที่สุด เราได้กำหนดความสามารถในการเปลี่ยนแปลงอย่างรวดเร็วเป็นเป้าหมายสำคัญของกลยุทธ์ด้านเทคโนโลยีของเราและเป็นข้อกำหนดพื้นฐานสำหรับการสร้างแพลตฟอร์มใหม่
วิธีการทั่วไปในการสร้างแพลตฟอร์มสามารถอธิบายโดยย่อด้วยตัวอักษร "R" สามตัว: หาเหตุผลเข้าข้างตนเอง- การหาเหตุผลเข้าข้างตนเองและการเพิ่มประสิทธิภาพของสถาปัตยกรรมปัจจุบัน สถาปัตยกรรมหลัง- การสร้างแพลตฟอร์มใหม่ คิดใหม่- คิดใหม่เกี่ยวกับขนาดและสร้างระบบนิเวศ เราเป็นธนาคาร แต่ในขณะเดียวกัน เราก็มองไปที่ตลาดอื่นๆ ด้วย ในกลยุทธ์เราระบุว่าเราจะเข้าสู่ตลาดใหม่ เช่น การดูแลสุขภาพ ตลาดรถยนต์ เรากำลังดำเนินการอยู่ในตลาดอสังหาริมทรัพย์อยู่แล้ว ไม่เพียงแต่ในแง่ของการจำนองเท่านั้น
ข้อกำหนดสำคัญสำหรับการสร้างแพลตฟอร์มใหม่ของเรามีอะไรบ้าง
1. ลูกค้าเป็นศูนย์กลาง บริการส่วนใหญ่และ แนวทางใหม่การบริการลูกค้ากำหนดให้เราต้องรู้ข้อมูลลูกค้าให้มากที่สุดเท่าที่จะเป็นไปได้ นี่ไม่ใช่แค่สิ่งที่อยู่ในระบบหลักของเราเท่านั้น แต่ยังเป็นสิ่งที่อยู่รอบๆ ด้วย
2. พื้นที่ข้อมูลแบบครบวงจร นี่เป็นแนวทางที่ข้อมูลพร้อมใช้งานสำหรับระบบการตัดสินใจของเราแบบเรียลไทม์
3. กลไกที่ยืดหยุ่นสำหรับการตั้งค่าผลิตภัณฑ์ที่ซับซ้อนและกระบวนการ STP เรามุ่งมั่นที่จะขจัดปฏิสัมพันธ์ของมนุษย์ให้มากที่สุดเท่าที่จะเป็นไปได้ ใช้กลไกต่างๆ เช่น การตรวจสอบกระบวนการของเราและการจัดการสถานการณ์ที่ผิดพลาดโดยอัตโนมัติ
4. บล็อกที่สำคัญมากคือ Open API ด้วยเหตุนี้ API จึงแทรกซึมองค์ประกอบทั้งหมดของแพลตฟอร์ม เราเปิด API ภายนอกสำหรับพันธมิตรและผู้รับเหมาของเรา
5. กลไกการเรียนรู้ของเครื่อง เรากำลังพยายามสร้างมันเข้าไปในองค์ประกอบของแพลตฟอร์มของเรา และเรากำลังค่อยๆ สร้างมันเข้าไปในระบบการตัดสินใจของเรา
6. ความน่าเชื่อถือสูงสุด 24x7 เราเป็นธนาคารขนาดใหญ่ที่มีความสำคัญเชิงระบบ ความน่าเชื่อถือคือทุกสิ่งทุกอย่างของเรา ดังนั้นเราจึงใช้ความพยายามอย่างมากเพื่อให้แน่ใจว่าระบบข้อมูลมีความน่าเชื่อถือมากที่สุด
7. การปรับขนาดแนวนอนบนอุปกรณ์ระดับล่าง ระบบข้อมูลปัจจุบันของเรามีเสถียรภาพ ทรงพลัง และมีขนาดใหญ่ แต่เราทำงานกับระบบระดับสูงขนาดใหญ่ ผู้จำหน่ายหลายรายได้เลิกผลิตผลิตภัณฑ์บางรุ่นที่มุ่งเป้าไปที่ผลิตภัณฑ์ระดับไฮเอนด์สูงสุด และกำลังย้ายไปผลิตภัณฑ์ระดับกลางและสถาปัตยกรรมอื่นๆ เรายังพยายามหลีกหนีจากสิ่งนี้เพื่อลดต้นทุนในการเป็นเจ้าของ
8. การใช้เทคโนโลยีโอเพ่นซอร์ส ใช่ เราเป็นธนาคารขนาดใหญ่ เรามีประสบการณ์เป็นของตัวเอง เรารู้วิธีทำงานกับสถาปัตยกรรมแบบดั้งเดิม แต่เราเริ่มค่อยๆ เปลี่ยนไปใช้โอเพ่นซอร์ส
9. การจัดเก็บและประมวลผลข้อมูลในหน่วยความจำ เรามีการพูดคุยกันครั้งใหญ่ว่าจะใช้เทคโนโลยีนี้หรือไม่ ในแง่หนึ่งสิ่งเหล่านี้ถือเป็นความเสี่ยงที่ยิ่งใหญ่ ในทางกลับกัน - โอกาสที่ยิ่งใหญ่ที่สุดสำหรับความเร็วในการประมวลผลข้อมูล ในการประชุม Gartner Symposium ครั้งล่าสุดที่บาร์เซโลนา มีการหารือกับสถาปนิกและนักวิเคราะห์ชั้นนำเกี่ยวกับวิธีการสร้างระบบข้อมูล โอกาสและข้อจำกัดที่มีอยู่
แพลตฟอร์มคืออะไรและเรานำเสนออย่างไร
อันดับแรก เราสร้างแกนหลักของแพลตฟอร์มและเป็นส่วนหนึ่งของบริการหลักที่เราจัดว่าเป็นศูนย์กลางธุรกิจ (ระบบการตัดสินใจ โปรไฟล์ลูกค้าแบบรวมศูนย์ แค็ตตาล็อกผลิตภัณฑ์) แต่ตอนนี้เรากำลังเคลื่อนไปหลายทิศทางรวมทั้งเพราะเราใหญ่จึงแกว่งยากกว่ามาก
แพลตฟอร์มประกอบด้วยสถาปัตยกรรมหลายชั้น ด้านล่างนี้คือแกนกลางทางเทคโนโลยี
คุณสามารถประกอบชั้นอื่นๆ จากบล็อกเลโก้ได้ สิ่งเหล่านี้เป็นส่วนประกอบที่สามารถนำมาใช้ซ้ำได้จริงๆ
ซึ่งนำไปใช้ในระดับอื่น
หัวใจของแพลตฟอร์มใหม่คือศูนย์กลางธุรกิจ สิ่งเหล่านี้คือบล็อก เช่น Unified Client Profile
แค็ตตาล็อกผลิตภัณฑ์ ระบบการตัดสินใจ สิ่งเหล่านี้คือโซลูชันใหม่ที่เรากำลังสร้างอยู่
ซึ่งช่วยให้ปรับแต่งกระบวนการและผลิตภัณฑ์ได้อย่างยืดหยุ่น
ที่ด้านบนสุด เรามี Unified Frontal System สิ่งสำคัญคือต้องมอบประสบการณ์ Omnichannel ให้กับลูกค้าของเรา
บล็อกใหญ่คือโรงงานอาหาร ซึ่งรวมถึงสินเชื่อ เงินฝาก และผลิตภัณฑ์แบบดั้งเดิมอื่นๆ แต่ในขณะเดียวกัน เรากำลังสร้างผลิตภัณฑ์ใหม่ที่ซับซ้อน เช่น การผสมผสานระหว่างผลิตภัณฑ์ประกันภัยและสินเชื่อ
คุณสามารถสร้างธุรกิจใดก็ได้บนส่วนประกอบของแพลตฟอร์ม
เป้าหมายของเราคือการทำให้แพลตฟอร์มมีความยืดหยุ่นและปรับแต่งได้ เพื่อให้เราสามารถสร้างส่วนประกอบใหม่ลงไปได้ เราได้พูดคุยเกี่ยวกับ API และการจัดองค์ประกอบซึ่งเป็นแนวทางการบริการในทุกระดับของแพลตฟอร์มแล้ว มันสำคัญมาก. แพลตฟอร์มดังกล่าวมอบความสามารถในการบูรณาการและปรับแต่งในทุกระดับ
เราใช้เทคโนโลยีหลักอะไรบ้าง?
นี่เป็นเพียงบางส่วนเท่านั้น:
1. การจัดเก็บและประมวลผลข้อมูลในหน่วยความจำ เราร่วมมือกับบริษัท GridGain เราผ่านเส้นทางที่ค่อนข้างยาก เพราะอีกด้านหนึ่งของความเร็วในการทำงานคือความน่าเชื่อถือของระบบ จริงๆ แล้วเราใช้องค์ประกอบบางอย่างที่ขาดหายไปในผลิตภัณฑ์นี้ตั้งแต่เริ่มต้น นี่เป็นเรื่องยาก กำหนดเวลาถูกเลื่อนไปที่ไหนสักแห่ง แต่เรากำลังเดินตามเส้นทางนี้เพราะผลลัพธ์ที่ได้คือโอกาสในการขยายขนาดที่ยอดเยี่ยม
2. การปรับขนาดแนวนอนบนเซิร์ฟเวอร์ระดับล่าง การประกอบทั้งหมดของเราคือเครื่องจักร x86
3. โอเพ่นซอร์ส นี่ก็ค่อนข้างเจ็บปวดเช่นกัน เราเริ่มเปลี่ยนมาใช้โอเพ่นซอร์สเมื่อหลายปีก่อนและเรียนรู้ ในเลเยอร์การรวมเราใช้โซลูชันเช่น Kafka, ZeroMQ เราใช้โซลูชัน Activiti แบบโอเพ่นซอร์สเป็นโซลูชัน BPM เราใช้ WildFly เป็นเซิร์ฟเวอร์แอปพลิเคชันของเรา
ถ้าจะคุยด้วย บริษัทขนาดใหญ่จากนั้นส่วนใหญ่จะเผยแพร่โซลูชันทั้งหมดของตน เช่น เราศึกษาประสบการณ์ของอาลีบาบา กลยุทธ์ของเรายังรวมถึงสิ่งนี้ด้วย แต่สิ่งนี้ต้องอาศัยความเป็นผู้ใหญ่ของเราในฐานะองค์กร ตอนนี้เราอยู่ที่จุดเริ่มต้นของการเดินทาง แต่เราจะเผยแพร่อย่างแน่นอน เพราะมันจะมอบโอกาสที่แตกต่างไปจากเดิมอย่างสิ้นเชิง
ฉันได้พูดคุยเกี่ยวกับระบบการตัดสินใจ - หัวใจหลักและหัวใจของแพลตฟอร์มของเรา ส่วนนี้เจ็บปวดที่ต้องเปิดตั้งแต่ต้น เราจะเปิดชิ้นส่วนต่างๆ โดยเริ่มจากส่วนประกอบที่ไม่มีความสำคัญต่อภารกิจ งานของเราคือสามารถเปิดโค้ดของส่วนประกอบบางอย่างเพื่อให้ชุมชนสามารถปรับแต่งได้ แนวทางของเราตอนนี้ค่อนข้างระมัดระวัง
Unified Frontal System คืออะไร และเราสร้างมันขึ้นมาได้อย่างไร
ข้อกำหนดหลักคือการใช้งานสถานการณ์ส่วนหน้าของช่องทาง Omni ความซับซ้อนที่นี่มีเทคนิคน้อยกว่าและมีการจัดการมากกว่า ฉันแน่ใจว่าในธนาคารหลายแห่ง โครงสร้างองค์กรเป็นเช่นนั้น คนหนึ่งรับผิดชอบช่องทางระยะไกล อีกคนรับผิดชอบสาขาและสาขา และหนึ่งในสามรับผิดชอบคอลเซ็นเตอร์และเครือข่าย และแน่นอนว่า เมื่อเราพูดถึงสถานการณ์การบริการลูกค้าแบบ Omnichannel ก็ควรจะนำไปใช้ในขอบเขตสูงสุดที่เป็นไปได้ในทุกช่องทาง เพื่อให้มั่นใจในสิ่งนี้ สิ่งสำคัญคือต้องบรรลุข้อตกลงในระดับผู้รับผิดชอบทั้งหมด
เรามีชุดเครื่องมือขนาดใหญ่ เรากำลังใช้เทคโนโลยี React อย่างแข็งขันในขณะนี้ มีแองกูลาร์ด้วย นี่เป็นสองทางเลือก เราตัดสินใจเลือก React
เลเยอร์การบูรณาการจะสร้างการแยกระบบส่วนหน้าออกจากแบ็คออฟฟิศและส่วนอื่นๆ ของเรา ระบบข้อมูล. ความท้าทายหลักคือเพื่อให้แน่ใจว่าลูกค้าจะได้รับบริการอย่างสม่ำเสมอผ่านช่องทางต่างๆ นี่คือแนวทางเป้าหมายของเรา เราเริ่มโครงการนี้เมื่อสองปีที่แล้ว และตอนนี้กำลังเข้าสู่ขั้นตอนการจำลองแบบ มีฟังก์ชั่นสำหรับสาขาและศูนย์ติดต่อ ปีหน้าจะทุ่มเทให้กับช่องทางระยะไกลอย่างแข็งขัน
ศูนย์กลางธุรกิจ
ในอดีต ลูกค้าของ Sberbank แต่ละรายอาศัยอยู่ในระบบอัตโนมัติของตนเอง
ระบบธนาคาร. ตอนนี้เรากำลังเปลี่ยนจากแนวทางนี้ และหันมาใช้ออนไลน์ให้มากที่สุด
โปรไฟล์ลูกค้าไปยังระบบหลัก
องค์ประกอบที่สำคัญอื่นๆ ของศูนย์กลางธุรกิจคือแค็ตตาล็อกผลิตภัณฑ์ ระบบการตัดสินใจ
การดำเนินการ กระบวนการแบบครบวงจร; และเลเยอร์การรวมที่สร้างขึ้นบน Kafka และ ZeroMQ
บริการทางบัญชีถูกแยกออกจากกันโดยใช้กระบวนทัศน์กลไกการบัญชี นั่นคือ การบัญชีผลิตภัณฑ์
แยกออกจากการบัญชี
โรงงานข้อมูล
นี่คือโครงการเชิงกลยุทธ์ใหม่ เราวางเดิมพันครั้งใหญ่กับ Hadoop และเทคโนโลยีที่เกี่ยวข้อง มีข้อจำกัดบางประการ แต่เราพยายามที่จะเอาชนะมัน เราใช้โซลูชั่นแบบคลาสสิก เรายังใช้โซลูชันจาก Teradata
สิ่งสำคัญสำหรับแพลตฟอร์มคือเราต้องเรียนรู้วิธีการส่งข้อมูลจากระดับโรงงานผลิตผลิตภัณฑ์ไปสู่อย่างมีประสิทธิภาพ ระดับการวิเคราะห์เพื่อทำการวิเคราะห์ที่ซับซ้อนมาก ซึ่งเราไม่สามารถทำทางออนไลน์ได้
การทำงานร่วมกับทีม
เวกเตอร์การเปลี่ยนแปลงขนาดใหญ่ในธนาคารเกี่ยวข้องกับการสร้างปฏิสัมพันธ์อย่างใกล้ชิดระหว่างธุรกิจและไอที ซึ่งเป็นส่วนหนึ่งของการนำ Agile ไปใช้ เราเรียกมันว่าสเบอร์ไจล์ ในอีกด้านหนึ่ง เราได้ยินซึ่งกันและกัน ในทางกลับกัน วิธีการนี้ทำให้เกิดความแตกต่างมากขึ้น เนื่องจากทีมทำงานแบบขนาน พวกเขาจำเป็นต้องซิงโครไนซ์กัน ในกรณีนี้ การควบคุมทางสถาปัตยกรรมมีความสำคัญมาก แต่หากปราศจากความมุ่งมั่นร่วมกันในการสร้างแพลตฟอร์มใหม่ เราจะไม่ย้ายไปไหน เมื่อตั้งเป้าหมายใหม่แล้ว เราต้องสอดคล้องกับเป้าหมายนั้น
แพลตฟอร์มดังกล่าวเป็นพื้นฐานสำหรับการสร้างระบบนิเวศ
ทิศทางสำคัญในกลยุทธ์ของเราเกี่ยวข้องกับการพัฒนาระบบนิเวศ นี่คือบริการของบริษัทสาขาและพันธมิตรของเราที่เราต้องพัฒนา แนวคิดทั่วไปคือการเริ่มต้นไซต์ที่จะเป็นส่วนหนึ่งของระบบนิเวศของ Sberbank อย่างรวดเร็ว
แกนหลักของแพลตฟอร์มยังสามารถเริ่มต้นได้อย่างรวดเร็ว เนื่องจากองค์ประกอบบางอย่างสามารถนำมาใช้ซ้ำได้ เรากำลังพูดถึงบริการต่างๆ เช่น การระบุตัวตน การแลกเปลี่ยนข้อมูล API นี่คือบล็อกที่ทุกคนจะต้องมี ในทางกลับกันหากสิ่งนี้ ธุรกิจใหม่จากนั้นองค์ประกอบแพลตฟอร์มจะช่วยให้คุณสร้างโซลูชันได้เร็วขึ้น
ฉันอยากจะปิดท้ายด้วยคำพูดของมหาตมะ คานธีที่ว่า “อนาคตขึ้นอยู่กับสิ่งที่คุณทำในวันนี้” เรามาทำกัน. เรากำลังไปทางนี้.