Разговоры о неизбежности цифровой трансформации банковской сферы начались задолго до начала пандемии коронавируса. Тогда речь шла в первую очередь о переносе взаимодействия с клиентами в виртуальную среду, об анализе их активности и формировании на его основе особых, существующих только в этой среде, цифровых предложений для клиентов, преимущественно персонализированных.

Пандемия, потребовавшая перевода части сотрудников на удаленную работу, подтвердила правильность курса кредитно-финансовых организаций на развитие цифровых каналов коммуникаций и продаж и придала ускорение их собственным разработкам цифровых продуктов и сервисов. Поскольку программные продукты на открытом коде корпоративного класса оптимизируют разработку и уменьшают время релиза в некоторых случаях на 80% (данные компании Red Hat), спрос банков на инфраструктурное ПО с открытым исходным кодом, как отмечают участники рынка, в 2020-2021 годах многократно вырос.

И это неудивительно, открытое ПО имеет несколько преимуществ. «Одно из основных — отсутствие привязки к конкретному поставщику технологии, — пояснил Леонид Аникин, директор по развитию подразделения «Mail.ru Цифровые технологии». — Цифровой продукт, созданный на базе СПО, независим от лицензий и “самочувствия” компании-разработчика. Кроме того, при необходимости компания может доработать Open Source-решение и адаптировать его под собственные задачи и требования».

Задачи банков и их Open Source-решения

Основа основ цифрового банкинга — данные о клиентах, их стратегиях сбережения и накопления, а также о регулярных транзакциях. Их кредитно-финансовые организации собирают, обрабатывают и накапливают в больших объемах, а затем подвергают машинному анализу.

«Большинство задач, связанных со сбором, обработкой и аналитикой больших данных, в той или иной степени завязано на ПО с открытым исходным кодом. К примеру, “озера данных” (хранилища неструктурированных данных) чаще всего имеют в своей основе открытое ПО», — рассказал Леонид Аникин.

Важно также, что практически все библиотеки и инструменты, которые используются в кредитно-финансовых организациях для машинного обучения, по словам Михаила Максимова, специалиста в области архитектуры ПО Учебного центра Luxoft Training, либо представляют собой программное обеспечение с открытым исходным кодом, либо, являясь проприетарными, имеют Open Source-аналоги. В качестве примера эксперт привел IBM Watson Studio, построенный вокруг RStudio и Spark. По его словам, в этой области вендоры СПО соревнуются в удобстве интеграции различных инструментов, наборе адаптеров для подключения к источникам данных и — важно — в наличии готовых обученных моделей, наполнение которых заказчику никто и никогда не покажет даже за очень большие деньги. 

Задачу повышения вывода новых цифровых продуктов на рынок приходится решать в условиях оптимизации IT-бюджетов, и, как отмечает Вадим Кузьмичев, руководитель департамента разработки прикладных решений IT-компании «Инфосистемы Джет», в этом им помогает свободное программное обеспечение. Помимо этого в зоне ответственности IT-службы любой кредитно-финансовой организации — повышение надежности и доступности банковских систем при снижении стоимости владения средствами мониторинга, анализа, связи и инфраструктурных решений, напомнил эксперт. Добиться этого можно тоже с помощью Open Source-продуктов. В качестве примера Вадим Кузьмичев привел:

• мониторинг IT-инфраструктуры — решения на основе Zabbix, Prometheus;
• мониторинг прикладных систем — ElasticSearch, Logstach, Kibana — связки продуктов, ставшей уже классическим решением;
• шины взаимодействия между Enterprise-системами — RabbitMQ, Apache Kafka;
• NoSQL базы данных и кэш — Redis, Apache Cassandra;
• контейнерные платформы — Red Hat OpenShift;
• СУБД — PostgreSQL, MySQL; 
• операционные системы — Linux.

Факторы, которые сдерживают не всех

Долгое время основным фактором, сдерживающим применение решений на базе программного обеспечения с открытым исходным кодом в кредитно-финансовых организациях, были жесткие требования к информационной безопасности. «Так исторически сложилось, — пояснил Дмитрий Голубовский, CEO IT-компании TAGES, что ПО с открытым исходным кодом считается более уязвимым, поскольку этот код изначально доступен всем желающим».

Действительно, ключевая особенность продуктов Open source заключается в том, что их разработка ведется публично, участвовать в этом процессе могут все члены этого профессионального сообщества. «Все данные об актуальных и вновь возникающих ошибках оказываются сразу в публичном поле и при возникновении действительно критических ошибок могут привести к попыткам эксплуатации этих ошибок в целях взлома, — разъяснил Михаил Соломонов, директор по развитию бизнеса Haulmont. — Вот почему мы не рекомендуем решать с помощью СПО задачи, связанные с безопасностью периметра организации. Для всех остальных задач есть свои игроки и решения, которые можно использовать».

Впрочем, как считает Иван Соломатин, руководитель направления по развитию бизнеса DevOps\DevSecOps компании Axoft, этот недостаток программного обеспечения с открытым исходным кодом является продолжением его достоинств. «Сейчас лицензирование Open Source-продуктов описывают досконально, — рассказал он. — Как следствие в таком ПО нет заложенных бэкдоров или другого скрытого вредоносного функционала. Это можно легко проверить перед инсталляцией: код открыт и доступен».

Помимо того что каждая строка открытого кода доступна для анализа службе внутренней кибербезопасности банка, поставщики решений корпоративного уровня приводят свои программные продукты в соответствие с требованиями регуляторов. Так, инженеры по безопасности Red Hat отвечают за контроль сертификации Red Hat Enterprise Linux и других приложений, а также за их соответствие государственным и коммерческим стандартам безопасности, подтверждает пресс-служба компании.

Иными словами, заключил Дмитрий Голубовский, бастионы старой банковской безопасности практически пали, и кредитно-финансовые организации начали использовать открытые решения.

ИБ-специалисты допускают эксплуатацию решений при условии, что команда проекта, для которого планируется использовать софт, будет активно исправлять все указанные ими уязвимости, если таковые будут найдены, и продукт не будет нарушать принятые регламенты безопасности, согласился с ним Иван Соломатин.

Другие факторы, которые ограничивают использование банками решений на базе Open source, — отсутствие техподдержки со стороны разработчиков программного продукта, не всегда приемлемая стоимость, по которой ее предлагают сторонние компании, в некоторых случаях ограниченный срок жизни поставщика такого ПО. Михаил Соломонов считает, что это вполне преодолимо силами IT-службы банка, если ее руководство готово брать на себя ответственность за создаваемые решения.

Стратегия перехода на СПО в отдельно взятом банке 

Мнения экспертов во многом подтверждает опыт СКБ-банка, который делает ставку на применение аналитики больших данных и технологий машинного обучения в розничном, и корпоративном сегментах.

По словам Дениса Кузнецова, директора департамента цифровых технологий СКБ-банка, в их кредитной организации растет доля бесплатных (или условно бесплатных) операционных систем для серверов, а вот СПО для операционных систем рабочих мест сотрудников пока используется слабо. Также на программное обеспечение с открытым кодом переведены системы мониторинга. Что касается развернутых в банке интеграционных платформ, то на сегодняшний день половина из них проприетарные, а другая — на базе СПО. Делаются шаги к переводу на программное обеспечение с открытым исходным кодом микросервисов и контейнеризации, и это направление движения рассматривается как приоритетное.

«С одной стороны, использование свободного программного обеспечения позволяет экономить, с другой — требует увеличения штата квалифицированных сотрудников: массовое сопровождение бесплатных операционных систем более трудоемко ввиду отсутствия специализированных систем управления», — пояснил Денис Кузнецов.

Как показал проведенный в банке расчет стоимости владения брендовой системой виртуализации и Open source-решением с учетом серьезного увеличения штата его IT-службы и имеющейся нагрузки, продукт на базе программного обеспечения с открытым исходным кодом пока не окупается.

Возможный сценарий дальнейшего внедрения СПО в СКБ-банке, рассчитанный на пятилетнюю перспективу, предполагает:

• перевод рабочих мест пользователей в виртуальную среду; 
• использование «тонких клиентов» или компьютеров на базе LINUX-систем для доступа к виртуальным машинам;
• перевод на СПО офисных приложений;
• старт проекта по переходу на версии АБС на СПО.

Есть смысл выбирать российское

Банки относятся к объектам критической информационной инфраструктуры (КИИ), поэтому по распоряжению Минцифры России, им предстоит перевести свою IT-архитектуру на российские решения, напомнил Сергей Трандин, генеральный директор «Базальт СПО». К началу 2024 года банки должны перейти к использованию программного обеспечения отечественной разработки, а к 2025-му произвести соответствующие замены в парке вычислительной техники. При этом понятно, что переход будет плавным и отправными точками для него должны стать истечение лицензии или завершения амортизации программ и устройств.

Надо сказать, что в Едином реестре российского ПО сегодня уже присутствуют отечественные операционные системы мирового класса, готовые к поддержке цифровой инфраструктуры любого масштаба и любой сложности и сертифицированные ФСТЭК. Эти самостоятельные, технологически независимые, санкционно устойчивые российские программные продукты адаптированы к работе с процессорами разных архитектур, включая российские процессоры «Эльбрус», «Байкал», ЭЛВИС. Наглядный пример —  операционная система «Альт», на которой сегодня работают сотни российских организаций, в том числе финансовых.

Более того, на основе программных продуктов из Единого реестра сформированы готовые стеки СПО для целых блоков сквозных бизнес-процессов. Есть стеки для работы с электронной торговой площадкой, для создания типового рабочего места офисного сотрудника, пакет для поддержки корпоративных коммуникаций, а также защищенные стеки для хранения данных.

Пример СКБ-банка говорит о том, что подходить к переводу тех или иных процессов в организации на Open Source нужно взвешенно, с учетом специфики банка, выбранных им приоритетных направлений развития и бюджета IT-службы. Единственно правильного выбора между проприетарным программным обеспечением и продуктами с открытым исходным кодом не существует.