Обзор подготовлен

версия для печати
Финсектор готов к облакам лишь теоретически

Финсектор готов к "облакам" лишь теоретически

По мнению большинства банковских CIO, концепция облачных вычислений в исполнении внешних поставщиков для отечественной отрасли - пока завтрашний день. Однако частные "облака" на корпоративном уровне уже дают ощутимый эффект экономии, что заставляет всех участников рынка по крайней мере задуматься об их использовании.

Вопрос информационной безопасности, конечно, служит отправной точкой в процессе распространения облачных технологий среди финансовых организаций России. Однако причина осторожного отношения банков к "облакам" не только в переоценке рисков ИБ.

"Сервис-провайдер должен гарантировать (как юридически, так и фактически) высочайший и избыточный для других его пользователей уровень сервиса. Пока же большинство наших сервис-провайдеров только "учатся" и осваивают данный рынок, и часто они не готовы предоставить даже полноценный SLA с обычными параметрами, не говоря уже о дополнительных инструментах защиты и отказоустойчивости", - объясняет Дмитрий Торшин, руководитель проекта Unicloud группы компаний "АйТи". Получается, что провайдеры будут инвестировать значительные суммы в выполнение высоких требований надежности, только имея гарантии окупаемости, то есть контракты. Банки, в свою очередь, не будут доверять сторонним исполнителям, пока не увидят надежной инфраструктуры.

Для чего пригодятся "облака"

Понемногу проявляются основные бизнес-направления использования облачных технологий, перспективные с точки зрения банков. Однако во всех случаях речь идет о корпоративных "облаках". Борис Поддубный, директор по развитию бизнеса IBM в России и СНГ, считает, что первоочередные задачи, которые банки готовы на сегодняшний решать с учетом уровня развития технологий построения частных облачных инфраструктур, – это разработка и тестирование новых автоматизированных систем, запуск приложений автоматизированных рабочих мест пользователей. "В последнем варианте банк получит централизованное управление инфраструктурой приложений, более быстрое их развертывание, снижение требований к вычислительным ресурсам рабочих мест за счет использования идеологии тонких клиентов", - говорит эксперт.

Евгений Модин, руководитель отдела консалтинга компании "Аладдин Р.Д.":

Информационная безопасность обычно рассматривается как комплекс организационных и технических мероприятий, находящийся в постоянном совершенствовании. Именно проработанность мероприятий такого комплекса позволяет обеспечить приемлемый уровень безопасности. Основополагающее значение при этом имеют организационные мероприятия. Оно и понятно - неправильно организованная эксплуатация средств защиты ни к чему хорошему не приведет. При этом проработанность организационной составляющей напрямую зависит от наличия нормативно-правовой базы документов, в состав которой входят законодательные акты, стандарты, рекомендации регуляторов, проработанные юристами договора, регламенты, инструкции и т.д.

К сожалению, на сегодняшний день для облачных вычислений такой нормативно-правовой базы документов не существует, следовательно, обеспечение безопасности для тех же провайдеров, предоставляющих облачные сервисы, является делом добровольным и во многом зависит от их компетенции и того, насколько грамотно будут прописаны эти вопросы в договорных отношениях с клиентами. Это с одной стороны. С другой стороны, учитывая возможность динамического изменения инфраструктуры, должна быть отрегулирована ответственность между провайдерами за возможный ущерб. Нет полной ясности в вопросах проведения расследования инцидентов и сбора доказательной базы.

Нет полной уверенности в эффективности использования существующих средств защиты в среде виртуализации, кластеризации, балансировки, автоматической установки и настройки приложений. Ключевую роль начинают играть вопросы организации доступа клиентов к сервисам, предоставляемым облачными средами, и контроль за правомочностью их действий, а здесь тоже есть нерешенные вопросы.

Подводя итог, можно сказать, что отсутствие нормативно правовой базы, низкий уровень статистических данных по инцидентам и, как следствие, слабая изученность имеющихся в этой технологии угроз делают ее использование достаточно рискованным. Готовность к ее использованию должна определяться, исходя из взвешенной оценки существующих рисков и тех преимуществ, которые она предоставляет.

Практика подтверждает правильность такого подхода. В понимании Алексея Широких, вице-президента "Газпромбанка" по ИТ, частное облако – это в первую очередь виртуализованная корпоративная инфраструктура. "Но эта виртуализованная инфраструктура должна быть многопользовательской. Кроме того, важно наличие мониторинга ресурсов, управления виртуальной средой, автоматизированного выделения ресурсов по требованию, возможность динамического расширения ресурсов", - рассказал он CNews.

Компания IBM является одним из крупнейших поставщиков решений для банков во всем мире, в частности, в России. Однако озвученных отечественных "облачных" проектов пока нет. Потенциальными пользователями среди банков можно назвать новичков. Они не успели сделать значительных инвестиций в дорогостоящую инфраструктуру и заинтересованы оптимизировать затраты. С другой стороны, у любой техники есть жизненный цикл – она устаревает, ломается. Не секрет, что ремонт аппаратного обеспечения порой сопоставим с заменой. В этом случае переход в "облака" может стать альтернативой, особенно при наличии обоснованных экономических расчетов со сроком окупаемости операционных (для публичных) и капитальных (для частных) затрат. По оценке Алексея Широких, частные "облака" - это серьезные вложения.

Многие банкиры считают, что внешнее облако можно использовать только для непрофильных бизнес-процессов. Например, Жанна Щенникова, старший вице-президент, директор по операционной деятельности и информационным технологиям банка "Ренессанс Кредит", пояснила CNews, что использование публичных облачных предложений интересно банкам как способ приобретения дополнительных мощностей для тестовых площадок и для хранилищ данных: ведь объемы информации растут в геометрической прогрессии, а наращивать собственные возможности до бесконечности дорого и трудоемко.

"Сбербанк" же начинает использовать облачные технологии, причем от внешнего поставщика, как раз для автоматизации некритичных направлений. Например, в публичном облаке "живет" портал цифровых активов банка: фотографии, различные брошюры.

Риски облачных инициатив

Сокращение трудозатрат ИТ-персонала на обслуживание "облачных" решений, уменьшение количества ошибок от ручного ввода – два основных преимущества этой технологии. Но в каждом деле свои трудности и риски. "Необходимо наличие унифицированных программных модулей, которые могут легко интегрироваться в инфраструктуру, - уверен Борис Поддубный. - Например, новые приложения разворачиваются по региональным офисам банка. Частное облако позволит предоставлять новые прикладные функции пользователям "по требованию". Однако здесь возникает другой риск: если региональные офисы получат возможность влиять на функционал приложения и определять его под собственные требования, банк получит набор уникальных приложений для каждого региона вместо единого унифицированного приложения. В этом случае положительный экономический эффект частного облака будет нивелирован. С подобной ситуацией на текущем этапе развития облака все еще приходится сталкиваться".

"Облака" проще администрировать, но ИТ-инфраструктура при этом усложняется. Отсюда возникают новые угрозы информационной безопасности. "Для того чтобы успешно справляться с растущей сложностью, банкам потребуется правильный набор инструментов: интеграция средств мониторинга и управления информационными системами и сетями, системы управления аутентификацией и идентификацией, доступом, снижение количества "ручных" операций", - рассказывает Борис Поддубный. По его мнению, существенно помочь в вопросе контроля актуального состояния инфраструктуры и оперативно информировать о несоответствиях с плановыми изменениями могут агенты сбора данных о запущенных приложениях, а также системы оперативного мониторинга параметров серверов, открытых портов приложений и работы сетевых устройств.

С "облаками" или без них

Осторожность и нерешительность – вот основные характеристики отношения отечественного банковского сектора к облачным технологиям. "BNP Paribas только начинает присматриваться к облачным вычислениям", - высказал позицию большинства опрошенных Виталий Татару, ИТ-директор Cetelem, BNP Paribas Group. Обращение к "облакам", особенно публичным, - это стратегическое решение, которое должно приниматься на уровне акционеров. Текущие ИТ-стратегии не учитывают такого варианта развития событий.

Старший вице-президент "Сбербанка" Виктор Орловский рассказал CNews, что одна из важнейших стратегических задач для его организации на перспективу до трех лет – построение SaaS-систем клиентского обслуживания именно в облаке, когда клиент может самостоятельно формировать свой портфель услуг. "Мелкий предприниматель открывает счет в "Сбербанке" и получает онлайн-доступ, через который может купить не пакет, а каждый сервис отдельно. Например, услугу, которая называется "десять платежей в рублях в месяц" и стоимость которой известна. Если нужно также получать выписки в режиме онлайн - это еще один сервис, - рассказывает о будущей концепции клиентского обслуживания Виктор Орловский. - Каждая из услуг должна стоить недорого, фигурально выражаясь, "три копейки". Клиент сам выбирает эти сервисы и может от каких-то из них отказаться. Например, если у него сезонная работа, и три месяца в году он не работает, то возможно оставить на этот период только информационный сервис, купив блокировку счета и не платя за все остальные".

Как сказала CNews Жанна Щенникова, чтобы планировать стратегию с 2013 года (сейчас банк живет по планам до 2012 года включительно) и на последующие 3-5 лет, нужно очень хорошо понимать: или использовать облачные вычисления – и тогда это одна картина с точки зрения наращивания ИТ-инфраструктуры, или сознательно отказаться от "облаков". Виктор Орловский уверен, что за этими технологиями будущее, и значит этот выбор неизбежен.


Наталья Анищук

Техноблог | Форумы | ТВ | Архив
Toolbar | КПК-версия | Подписка на новости  | RSS