УправлениеИТ в бизнесе

Тренды и вызовы ИТ для финтеха

Ольга Мельник | 04.05.2021
Ермаков Кирилл

Ермаков Кирилл

Директор по информационным технологиям группы QIWI

Финтех – традиционный флагман применения ИТ. Прошлый год удалёнки изменил и его работу, поставил перед платежными сервисами новые задачи, проверил на масштабируемость архитектурные решения.

Директор по информационным технологиям группы QIWI Кирилл Ермаков рассказывает об архитектурных трансформациях, отраслевых трендах и борьбе с «динозаврами».

Какие тренды в области информационной безопасности и развития инфраструктур вы отметили в прошлом году?

Многие связывают рост угроз с тем, что больше стало сотрудников вне офисов. Действительно, концепция «операции где угодно» — anywhere operations – как-то развивалась и раньше, но 2020 год практически одномоментно превратил ее в необходимость. Банкам с их существующими инфраструктурами это сделать было очень сложно, потому что у большинства банковских служащих есть только рабочий десктоп с «заклеенными USB портами». Как можно таких сотрудников перевести на работу из дома? Только нарушив все собственные политики.

Продолжим про тренды в ИБ. Интересным стало широкое освещение supply chain атак, масштабы урона от которых наконец заставили безопасников относиться к ним серьезно. Это просто был тот момент, когда я не выдержал и сказал «наконец-то это произошло в масштабе!», так как до этого к ним относились крайне скептически. Концепция подразумевает, что взламывают не саму компанию, а поставщика ПО, которое она использует. Затем уже через этот софт взламывают и ее саму. Этот тип атак обсуждают многие годы, крупные ритейлеры тратят очень много средств, чтобы от них защититься. Но недавно произошли крупные инциденты, которые всем показали, что этот вектор реален и требует внимания. А ведь этот сценарий как раз и про публичные облака. Ведь это инфраструктура, на защищенность который вы не можете влиять и доверяете «подрядчику». Во время пандемии коллеги снова вспомнили о том, что «There is no cloud. It's just someone else's computer».

Облака нужны всем, пусть будет специализация: одни делают инфраструктуру, другие — приложения. Я бы рекомендовал приглядеться к технологиям «под капотом» облака, а не просто концепции облака как необходимости нам всем обязательно покупать коммерческий сервис.

Для нас эти инциденты стали драйвером инвестиций в IaaS и PaaS, которые мы предоставляем своим внутренним сервисам. Мы стараемся двигаться к концепции «внутреннего Amazon». Это органический путь развития для технологических компаний.

Если у каждого крупного финтех-игрока будет свой маленький Amazon, то будет ли в этом смысл?

Это вопрос баланса. Для меня есть треугольник «безопасность – цена — скорость проверки бизнес-гипотез». У каждого бизнеса есть матрица рисков, на одни можно пойти, других надо избегать любой, даже высокой ценой. Для финтех-компаний безопасность — один из важнейших приоритетов. Мы в QIWI пристально следим за рисками публичных облаков, за угрозами, которые они несут, и оцениваем ситуацию как «уж лучше сделаем свое облако». По нашим расчетам и с нашим уровнем скидок у поставщиков, на горизонте пяти лет по-прежнему выгодней собственный дата-центр и частное облако, чем аренда и/или публичные облака.

Как сказался на рынке финансовых сервисов аномальный 2020 год?

Как только началась пандемия, все заметили, что когда не работают онлайн-платежи, кажется, можно остаться без ужина. И раньше было понятно, что платежные сервисы инфраструктурно критичные. Но именно в пандемию это осознали все.

Реализовать функционал платежного приложения не так уж и трудно. А вот сделать его еще и безопасным, надежным и отказоустойчивым — весьма хлопотно. Это снова вопрос баланса, и мы в QIWI это баланс давно выстраиваем.

Мы начали инфраструктурные перестройки, обеспечивающие уверенное быстрое масштабирование операций, еще в 2018 году. Поэтому 2020-ый год мы встретили во всеоружии. В эту перестройку вошла мультисайтовая система (система геораспределенных площадок), стремящаяся к реализации концепции active-active. Нужно было научиться работать с минимальными простоями, минимизируя окна обслуживания. Так что пандемия не стала для нашей инфраструктуры ударом и катализатором резких изменений.

Большую архитектурную трансформацию мы уже завершили. Последняя стадия, происходящая сейчас – масштабный рефакторинг баз данных. Один из эффективных способов борьбы с аппаратными отказами – параллелизация идентичных вычислений. Во многом мы благодарны опыту космической индустрии: например, в ракете есть три одинаковых компьютера (дублирующих системы), делающих полностью одно и то же. Тогда выход из строя одного из них не оказывает критического влияния на систему. Именно это мы делаем с нашими базами данных. Каждая логическая база данных физически обрабатывается двумя серверами, работающими параллельно на трех геораспределенных площадках: то есть фактически шесть серверов одновременно поддерживают ее работоспособность. И так для каждой критической базы в компании. Возможно, многие наши коллеги по финансовому сектору сочли бы это избыточным, но нам нравится :)

Традиционной проблемой ИТ в финансовом секторе называют унаследованные системы, legacy. Есть ли у QIWI такие проблемы, а если есть, то как вы их решаете?

Вряд ли найдется в финансовой отрасли CIO, который сможет честно сказать: «У меня нет в дальнем шкафу динозавра, с которым я не знаю что делать». Динозавры есть у всех. Другой вопрос, насколько этот зверь большой и критичный для бизнеса. Если это АБС – то это может быть печально. Если это сервис, которым пользуются 3.5 клиента раз в год – ничего страшного. До сих пор в крупных российских банках можно увидеть работающую систему AS400 и другие «большие машины». И, что является парадоксальным, это не обязательно плохо — это может быть сознательный выбор в пользу годами проверенной платформы, удовлетворяющей требованиям бизнеса.

За прошлый год мы смогли полностью изменить архитектуру хранения данных в компании и полностью уйти от «больших машин». Теперь типовая СХД занимает максимум 4 юнита. Это следствие удешевления твердотельных СХД. Емкости СХД подешевели несмотря на все причуды обменного курса и санкционные эпопеи. Стоимость «за терабайт полезного места» фактически снизилась вдвое за последние несколько лет. При использовании правильной архитектуры приложений поверх них по надежности они сравнялись с «большими машинами».

В архитектурных подходах мы берем Google, Facebook, Twitter как точку отсчета технологического развития. По моему мнению, хорошему банку желательно отставать не более чем на 5 лет от уровня «лидеров». Финтех-компании могут рискнуть быть более амбициозными и поставить себе планку «три года».

Приведу пример с микросервисной архитектурой — если вы еще не работаете на ней, то вы уже отстали, потому что основанные на ней решения уже в эксплуатации у «топов» финансового сектора. А финсектор исторически отстает от ИТ-лидеров. В современных реалиях в ИТ-компаниях новый продукт не будет создаваться на «монолитной» архитектуре. Не пора ли задуматься о рефакторинге?

Кстати, есть у нас один «ископаемый» процессинг. Для него мы заканчиваем написание микросервисной обвязки, которая позволит делать эмуляцию его протоколов и даст возможность работать уже в новой среде. Переписывать все целиком нецелесообразно, но можно адаптировать этот процессинг к работе с нашими современными приложениями.

QIWI Кошелек был разделен на микросервисы довольно давно, с этого мы начинали и на этом учились. Теперь все необходимое для запуска новых решений, включая проектирование ландшафта со всеми необходимыми связанными и поддерживающими сервисами, делается намного проще. И полгода работы системных инженеров для этого не нужно.

Удаленная работа: на время? Навсегда? Что этот термин означает для QIWI?

«Как раньше» уже не будет. Например, у нас есть команда, которая занимается большими данными. Знаете, что они сделали за время пандемии? Переехали жить в Сочи. Можно ли такое допустить для всех сотрудников? Очень сильно зависит от ролей. Отправить людей работать домой и организовать удаленную работу – это совершенно разные вещи. Просто назначить больше совещаний – это далеко не все. Наладить новые процессы именно удаленных взаимодействий – это отдельная большая задача. Наскоком, например выдать всем ноутбуки, это не решается. У нас это очень хорошо видно на графиках производительности команд. Как только людей отпустили домой, производительность резко выросла – все обрадовались. Затем упала – все устали сидеть дома, изоляция дается не легко. И этот уровень производительности оказался ниже того, что был в офисе. Потом мы начали трансформировать процессы, опираясь на опыт команд, которые с самого начала работали удаленно. После этого удалось поднять производительность выше, чем изначально была в офисе.

От нас это потребовало серьезной перестройки. Мы упорно работаем над изменением процессов ИТ-департамента, стараемся уйти от «эмуляции офиса» к настоящим эффективным взаимодействиям на расстоянии. Я бы сказал, что в моей дирекции около трети всех процессов уже настроена правильно и я ими абсолютно доволен.

За время удаленки мы забыли о важном – о передаче реальной инженерной культуры, которая практически полностью транслировалась в межличностном общении. Среда принимает нового человека и адаптирует его. Обучение, передача опыта, возможность посидеть рядом, помочь сделать часть работы: чтобы перевести все это в онлайн, нужна серьезная переделка процессов. Так что мы будем создавать гибридную рабочую среду.

Часть российских руководителей только отправив сотрудников домой задумались о том, как те тратят рабочее время, делом они заняты или чем-то еще. Как вы измеряете производительность труда?

Метрики эффективности процессов разработки мы закладывали еще во время трансформации много лет назад. Если выстроены подходы продуктовой разработки, то они дают неплохую предсказуемость и позволяют сравнивать производительность команд в разных условиях. Среди моих KPI есть показатель, основанный на количестве продуктовых изменений в единицу времени, к примеру.

В работе над продуктивностью мы применяем симбиоз двух подходов. Один – KPI, другой OKR (от англ. Objectives and Key Results «цели и ключевые результаты»). Числовые KPI для айтишников я стараюсь не ставить — цифры не дают реального представления об эффективности работы. Намного продуктивней судить по объективной картине: мы хотели сделать что-то, получилось ли у нас? Надо смотреть на факты и результат. Я не могу тут предложить формального подхода, который можно однозначно регламентировать. Органическая справедливость протягивается сквозь все юниты, по большому счету это самоуправляемая конструкция, которая выделяет реальные успехи. Это не значит, что у нас нет мест, где результат оценивается по цифровым показателям. Скажем, есть SLA процессинговых центров: это вполне точная величина. Всем известно, как она считается, и никакие хитрости тут невозможны.

Какие ИТ-проекты последнего времени наиболее значимы для QIWI?

Новый проект по борьбе с мошенничеством — масштабное изменение подходов в антифроде. IBM Safer Payments мы используем давно, а теперь написали и собственное решение. В конце 2019 года задачи противодействия мошенничеству были переданы в мою дирекцию, и мы начали большую перестройку. Ее суть – в расширении функционала и снижении порога входа в реализацию решений. В нашей новой разработке правила можно создавать на языке программирования Lua, который освоить не так и сложно. А высококлассных специалистов по IBM Safer Payments в России не больше двух десятков, как мы знаем.

Затем мы стали объединять технологии распознавания мошенничества с анализом больших данных, работаем совместно с аналитиками данных. Теперь в нашем «рационе» не только транзакции, но и понятие потоков, нормального профилирования клиентов и многие истории, которые было невозможно «посчитать» раньше. Мы научились не только оперативно выявлять подозрительные активности, но и быстро реагировать на изменение схем работы мошенников.

Указ Президента о КИИ, требования к импортозамещению: как вы оцениваете движение в этом направлении?

Рабочая группа по переходу финансовых организаций на отечественное ПО и оборудование — отличный пример коллаборации регулятора и представителей бизнеса. Если вначале от рынка был только скепсис и отрицание, то теперь все участники вовлечены в конструктивный диалог, чтобы выстроить грамотный план внедрения подобных инициатив, одновременно обеспечив защиту интересов государства, отрасли и своей компании. Проект указа прежде всего создал платформу для обсуждения совместных действий компаний, ФОИВов и финансового регулятора. Мы активные участники этого диалога и, по моим наблюдениям, совместно движемся к принятию правильных решений.

Какое может быть импортозамещение без своей аппаратной базы? Без своих процессоров?

Давайте рассмотрим такой вопрос: а что, если завтра Intel и AMD откажутся с нами работать, что делать будем? Мы все как отрасль? Мы в QIWI два года назад начали тестирование платформы ARM, и теперь у нас гибридная архитектура с точки зрения процессоров: используем x86 и ARM. Рабочие приложения у нас развернуты в том числе и на ARM.

Те наши коллеги по финсектору, у кого есть унаследованные системы, которые сложно заменить, могут столкнуться с неприятностями. Такие системы требуют поддержки производителя, и тут может произойти «факап». Как обойти проблему замены аппаратных проприетарных платформ – этого я не знаю, а как поступить с платформами программными – уже есть примеры. Один крупный банк купил исходные коды своей АБС. Дальше компания поддерживает и модифицирует продукт самостоятельно. Это один из вариантов решения проблемы – если так можно договориться с вендором.

Qiwi Финтех Импортозамещение Информационная безопасность Удаленная работа

Журнал: Журнал IT-Manager [№ 04/2021], Подписка на журналы


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Другие материалы рубрики

Мысли вслух

Все жалуются на нехватку времени. Особенно обидно, что его не хватает на самые важные вещи. Совещания, созвоны, подготовка внутренних отчетов, непонятно, насколько нужных, но которые начальство требует так, как будто это именно то, ради чего мы работаем.
Сейчас мы вступаем в следующую фазу выздоровления и восстановления, но гибридный мир никуда не денется
В России опрос показал: 48% составляют технооптимисты, а больше половины – технофобы и техноскептики.

Компании сообщают

Мероприятия

Юникон & гейм экспо минск / unicon & game expo minsk
Минск, пр. Победителей, 20/2 (футбольный манеж)
14.05.2021 — 16.05.2021
12:00
SAS Global Forum 2021
ОНЛАЙН
18.05.2021 — 20.05.2021