Что мешает внедрению публичных облаков в банках? На эту тему размышляет Александр Черников, руководитель по работе с финансовым сектором «Яндекс.Облака». В своей статье специально для NBJ он рассказывает о том, какие сдвиги должны произойти, чтобы банки начали активнее использовать плюсы облачных технологий в своем бизнесе.

Последние 5-6 лет крупные банки говорят о себе не иначе как об ИТ-компаниях, думают соответствующими метриками и учатся у гибких технологических стартапов. На первое место выдвигаются такие показатели бизнеса, как Time-to-market (время от начала разработки продукта до его выхода на рынок). Однако обычно этот показатель выше в других отраслях, нежели в банковской – в частности, благодаря активному использованию возможностей облачных технологий.

Игроки финансовой индустрии не готовы трансформировать устоявшийся инфраструктурный ландшафт и расширять собственный периметр в сторону публичных облаков. В то время как компании из других индустрий активно развиваются в рамках мультиклаудных стратегий, в банковском секторе до сих пор сохраняется определенное недоверие к облаку. Почему?

Фактор 1. АБС

В сердце каждого банка находится АБС (автоматизированная банковская система, core banking system) – по сути, фундамент, на котором базируется вся деятельность финансовой организации. К данному периметру предъявляются максимально высокие требования, как с точки зрения отказоустойчивости, так и с точки зрения безопасности. Конечно, любые изменения, которые потенциально могут затрагивать данную часть ландшафта банка, означают повышенные риски, а потому минимизированы или даже сведены к нулю.

Многие банковские сотрудники ставят знак равенства между применимостью облака в core banking system и возможностью использования облаков в финансовой организации, поэтому считают, что облачные технологии в целом под запретом. Однако если посмотреть на ИТ-ландшафт современного банка, то лишь малая часть всех процессов на самом деле имеет прямое отношение к АБС. Сегодня в экосистему крупной финансовой организации входит множество цифровых консьюмерских продуктов: от страхования до собственных маркетплейсов.

По нашим подсчетам, около 30-40% ИТ-инфраструктуры банка можно развернуть в облаке без существенных рисков и с сохранением полного контроля. ИТ-специалистам стоит вместе с бизнес-подразделением разбирать преимущества облачных технологий для определенных сценариев, чтобы понимать, где риски будут минимальны и управляемы, а польза и коммерческий эффект – максимальны. И уже исходя из этого принимать решение о допустимости использования облака в тех или иных задачах.

Фактор 2. Недоверие со стороны сотрудников службы безопасности

В банковской индустрии долгие годы складывалась парадигма защиты периметра как основного способа обеспечения безопасности: вынос чего бы то ни было за пределы установленного и разрешенного периметра невозможен. Если сотрудники службы безопасности банка ранее не имели опыта работы с облаками, то будут относиться максимально настороженно. Они могут быть не в курсе, что зрелый провайдер предлагает понятные инструменты контроля всего, что происходит в облаке. Например, современные облака позволяют гранулярно выдавать доступы соответствующим сотрудникам или гибко управлять сетью и изоляцией ресурсов. Таким образом не происходит нарушения периметра, cloud просто становится его частью, не менее защищенной и контролируемой.

Если с защитой от стороннего злоумышленника все более-менее понятно, то все еще остается вопрос доступа к данным со стороны самого провайдера. Использование облака действительно подразумевает распределенную модель ответственности и некоторое доверие к технологическому партнеру. Но намного важнее, что здесь вступают в силу соответствующие стандарты – как российские, так и международные, которые регулируют и определяют меры обеспечения безопасности и процессы на стороне провайдера. Например, даже если возникнет проблема, которая потребует участия сотрудника службы поддержки со стороны провайдера – этот сотрудник не сможет получить доступ внутрь инфраструктуры без специального временного разрешения со стороны клиента.

Существует определенная кросс-индустриальная ротация сотрудников службы безопасности: в банки приходят специалисты по ИТ-безопасности из других отраслей, которые на практике уже глубже знакомы с облаками. Так что этот фактор будет снят со временем, по мере естественной ротации, либо росту внутренней экспертизы.

Фактор 3. Собственные облака

Банки долгие годы инвестировали и продолжают инвестировать в развитие собственной инфраструктуры, то есть приватных облаков. При этом в большинстве случаев предоставление сервисов внутренним пользователям ограничивается только IaaS-ом, в то время как использование именно платформенных сервисов (PaaS) дает бизнесу наибольший прирост в Time-to-market, высвобождая ресурсы с рутинных операций по сопровождению инфраструктуры.

Департаменты сопровождения и развития собственной инфраструктуры видят в публичных облаках определенную угрозу для плодов своего труда. Зачастую публичные облака показывают лучшие показатели доступности, гибкости предоставления услуг и стоимости.

Но нужно понимать, что внедрение облаков – это не мгновенное разовое событие. Это процесс, в ходе которого текущие администраторы инфраструктуры приобретают новую экспертизу, трансформируются в DevOps-инженеров или облачных архитекторов. Это трансформация не только инструментария и платформы, но и экспертизы на стороне клиента. И для блока ИТ это возможность возглавить данную трансформацию, дополнить и расширить спектр и качество оказываемых бизнесу услуг. Если этого не случается, мы видим, как возникает так называемое «теневое ИТ», когда бизнес в обход собственной недостаточно гибкой ИТ-службы находит и использует те решения, которые ему необходимы и показывают бόльшую эффективность.

Фактор 4. Отсутствие прозрачной позиции со стороны Центрального банка

Центральный банк является главным регулятором для финансового сектора, который определяет процессы и выполняет надзорную функцию. Проблема в том, что многие регуляторные требования, касающиеся именно ИТ-инфраструктуры, были разработаны до фазы бурного роста облачных сервисов, а потому не учитывают современную специфику и возможности.

Некоторое время назад ЦБ уже подступался к задаче  анализа применимости облачных технологий в финансовом секторе. В результате был выпущен отчет, который подтвердил востребованность облаков и означал подготовку соответствующих рекомендаций по их использованию. На данный момент инструкций пока не появилось, а крупные банки продолжают функционировать с оглядкой на ЦБ, ожидая прозрачной позиции в этой части. Последнее время на российском облачном рынке появилось несколько крупных провайдеров, способных выступить инициатором соответствующей дискуссии с ЦБ и оказать содействие в подготовке новых рекомендаций. Это могло бы разблокировать новые возможности использования облаков и ускорить процесс развития цифровых сервисов в финансовом секторе.

Нужно понимать, что провайдеры внедряют облака не ради самого внедрения, а в интересах бизнес-результатов клиента, например, для быстрого релиза новых цифровых продуктов (Time-to-market), о котором я говорил вначале, для увеличения скорости разработки и скорости масштабирования инфраструктуры. В каждом случае клиенты вместе c ИТ-блоком и провайдером должны разбирать ситуацию с двух сторон: с одной – какой бизнес-эффект мы получим, с другой – с какими рисками сталкиваемся. При таком объективном подходе банки смогут начать пользоваться преимуществами облаков во всю силу.