Какие уроки управления технологическими рисками российские банки должны извлечь из опыта других отраслей
Радикальные геополитические, политические и макроэкономические изменения, свидетелями которых мы стали за последние 5-6 лет, заставили менеджмент крупных российских корпораций радикально изменить стратегию развития ИТ-систем в целом и базовой инфраструктуры хранения и обработки данных, в частности. Помимо таких задач, как обеспечение критически важной функциональности и экономической целесообразности внедрения ИТ-систем, на повестке на повестке дня крупных корпораций появилась задача контроля рисков политического, а более конкретно – санкционного свойства. О том, какие уроки управления технологическими рисками из опыта других отраслей должны извлечь российские банки, в статье для TAdviser рассказала Юлия Обаляева, заместитель генерального директора "Сбербанк-АСТ".
В отраслевых средствах массовой информации широко обсуждались кейсы вынужденной миграции государственных информационных систем с Cisco и HP на альтернативные варианты. Мы хорошо помним, как с реальной угрозой остановки производственных процессов столкнулись в 2014 году все таможенные посты России. Федеральная Таможенная Служба в кратчайшие сроки нашла альтернативу американскому «железу» и стала использовать сетевые решения Huawei. В последующие годы удалось протестировать и убедиться в надёжности и производительности российских маршрутизаторов новосибирской компании «Элтекс». Принципиальным моментом стало то, что, если ещё в 2017 году в условиях конкурсов на поставку сетевого оборудования, проводимых ФТС, содержалось требование совместимости с Cisco, начиная с 2018 такое требование не предъявлялось.
Масштабная диверсификация ИТ-решений началась и в Росатоме. Госкорпорация намерена отказаться от системы управления базами данных (СУБД) американской компании Oracle и системы документооборота (СЭД) Documentum канадской компании OpenText. Параллельно с этим планируется отказ от решений немецкой SAP. Продукты перечисленных зарубежных компаний массово внедрялись в «Росатоме» около 10 лет назад в ходе многомиллиардной программы переоснащения сектора информационных технологий. На данный момент в СЭД на решении OpenText работает порядка 70 тысяч сотрудников на 160 предприятиях госкорпорации. Ожидается, что Росатом сможет заменить Oracle на отечественную СУБД, разработанную на основе свободно распространяемой СУБД PostgreSQL.
Первые шаги по пути диверсификации делает и РЖД. Масштабы этой компании поражают воображение. У РЖД порядка 240 тысяч сотрудников имеют автоматизированные рабочие места, и около 140 тысяч активно работающих пользователей в более чем 13 тысячах организаций. Очевидно, что любые эксперименты по замене существующих систем в этой компании требуют особенно ответственного подхода. Огромное внимание к качеству программного обеспечения, обусловлено тем обстоятельством, что большая нагрузка на сеть является фактором, повышающим риск сбоев. Тем не менее, и РЖД стремится митигировать риски, связанные со слишком высокой зависимостью от программных и аппаратных решений американских ИКТ-гигантов. Компания проанализировала 112 созданных в России продуктов и платформ, в том числе системы электронного документооборота и управления данными, офисные системы, ERP и EAM. Между тем, процесс диверсификации в РЖД начался с наименее критических элементов информационной инфраструктуры – замены офисных приложений для сотрудников и привлечения новых поставщиков сетевых элементов из Китая, России и Кореи.
Очевидно, что государственные корпорации могут стать основной мишенью для санкций, и потому для них риски, связанные с доступностью критических ИТ, являются наиболее реальными и потенциально масштабными.
Также и кредитные организации, составляющие костяк современной экономической системы любой национальной экономики, могут стать объектом дискриминационных действий. Речь идёт не только о государственных системообразующих банках. В десятке крупнейших по размеру капитала банков – целый ряд кредитных организаций, где государство не является сколько-нибудь заметным акционером.
Можно, наверное, возразить, что для банков надёжные и производительные информационные системы – залог позитивного пользовательского опыта и гарантия непрерывного обслуживания физических и юридических лиц. Этот тезис не вызывает сомнения, как и то, что насильственная замена существующих систем чревата технологическими сбоями. Между тем, полное бездействие или инерционное использование Cisco, Microsoft и Oracle несёт не меньшие угрозы.
При всём уважении к банковскому сегменту как специфическому роду деятельности, связанному с повышенной ответственностью, следует признать, что опыт других отраслей можно и должно творчески применить и банкам. В других индустриях просматривается три генеральных способа митигации рисков, которые в совокупности можно было бы охарактеризовать как диверсификацию технических решений:
- использование отечественных решений везде, где это возможно и не навредит делу;
- разумный баланс между аппаратными средствами американских марок и другими производителями (китайскими и европейскими);
- широкое использование программных решений на базе продуктов с общедоступным кодом.
Особенно перспективным в контексте финансовых и банковских услуг может стать и совместная работа по созданию и внедрению технологий и продуктов специально для российского рынка с зарубежными поставщиками и разработчиками программных продуктов. Это в полной мере относится к аппаратным решениям, где российские производители ещё заметно отстают. Инициаторами этой деятельности вполне могли бы стать крупнейшие государственные банки, которые уже активно и успешно заняты созданием универсальных решений в области облачных вычислений и интегрированных коммуникаций. Достаточно вспомнить совместный проект Сбербанка и китайских производителей серверного оборудования SberCloud, который не уступает в России по функционалу и надёжности Amazon Web Services. Или новые разработки Сбера для государственных и муниципальных закупок, которые созданы на базе открытого программного обеспечения.
Как и любая другая инициатива по диверсификации рисков – технологическая диверсификация требует дополнительных затрат и осуществить их под силу крупнейшим кредитным институтам России, которые должны стать эталоном для остальных банков. Вместе с тем, уповать в вопросах уязвимости банковских систем на государство или крупнейшие банки с участием государства было бы крайне недальновидно. Любое обострение внешнеполитической или внешнеэкономической ситуации может отразиться на способности любого из банков осуществлять ключевые бизнес-процессы, и ответственность за наличие плана «Б» лежит, прежде всего, на менеджменте кредитных учреждений.
