Pull to refresh

Comments 38

Блин, страсти какие в последних абзацах! Огонь!

Никому не даётся полного источника информации. А если и даётся, то только избранным. Я таким не был, мне приходилось всё добывать самому.

Я нашел несколько команд, которые можно прописать в Core-системе банка и получить вполне себе сносные отчеты по клиентам малого бизнеса. Если свести такие отчеты вместе, то можно показать очень много информации по всем клиентам

А вот на это ваши аудиторы не возбудились? Звучит почти как «несанкционированный доступ к информации» ))

Главный герой сотрудник банка, который не может выносить за пределы банка эти данные. То есть он может пользоваться этими данными, но разглашать несотрудникам - это уже статья.

Далее, уже идут внутренние порядки - до каких данных у пользователя может быть доступ. И естественно, раз он сотрудник малого бизнеса, то точно должен быть доступ к клиентам малого бизнеса. Поэтому нарушений с данными нет.

Когда ожидать экранизацию на нетфликсе?

Ого, вы зарегистрированы 4 года назад, и это ваш первый комментарий, под 3й частью серии статей? Ну и вынудил же я вас написать)))

Я просто не частый гость здесь, читаю только статьи на сиюминутную тему, когда нужно найти информацию какую-то. В основном это старые публикации, а с нулевой кармой на старые посты нельзя оставлять комментарии вроде, так что это случайно получилось. А тут просто заголовок заинтересовал, вот и прочитал все 3 части))

На самом деле в тексте очень много такого, на что должны были возбудиться аудиторы, ИБшники, да и просто админы. При таком раскладе должны были лицензии лишить давно, т.к. есть доступ к персональной информации.

Вообще зря автор говорит, что в других банках примерно такая же ситуация, я за без малого 7 лет в банковской сфере такого бардака не встречал. Похоже на госконторы, а в данном случае полугосударственный банк. Может все таки попробовать сменить место работы, чтобы было с чем сравнивать?

Не банкир, но по редким датам это события 2005...2015г. Тогда еще "персональная информация" был корпоративной, а не юридическим (могу и ошибаться). Собственно вопрос в другом, а как иначе обеспечить доступ оператора к данным (они ему нужны) и одновременно запретить к ним доступ (т.к. утечка). На ум приходит только мониторинг повышенной активности. Но если это узловой сервер (под столом активного товарища), то здесь только отобрать этот сервер сразу же после окончания разработки (что аудиторы и посоветовали). С оговорками - нормальный рабочий процесс разработки, а не бардак (с учетом экономии на целом штате чистых разработчиков и их специализированных консультатнов - напоминаю, история десятилетней давности...).

Судя по началу, это 2010 год и далее, тогда уже начали закручивать гайки, насколько мне известно. По поводу доступа оператора к АБС, он должен осуществляться по заранее нарезанным правам в самой системе, вне зависимости, купленная она или самописная. Соответственно должна быть какая-никакая авторизация. Иначе, любой человек, получивший случайный доступ в сеть, не хитрыми способами мог вытянуть очень много данных, включая финансовую информацию.

я за без малого 7 лет в банковской сфере такого бардака не встречал.

А в чём именно бардак? Бизнес сделал классное решение, которое по стоимости и скорости разработки ни в какое сравнение не идёт с промышленным. Единственный вопрос остаётся с надёжностью решения - что если завтра оно сломается, или разработчик захочет уйти, но и эти вопросы решаются гораздо дешевле (сломалось - тут же починил. Уходит - повысить ему зарплату, или нанять +1 на замену), чем оплачивать коробочку, кормить гигантскую команду и ждать доработок по полгода.

Я постараюсь в следующей части более подробно раскрыть все преимущества и недостатки этого решения.

Бардак в том, что за любые автоматизационные решения ответственность несет ИТ отдел вкупе с отделом информационной безопасности. И не дай Бог, если такое самописное решение решение убьет АБС, или окажется трояном... Поэтому в нормальной банковской инфраструктуре такие лазейки просто заколочены для рядового пользователя и любой доступ к, как вы выразились, core-системам, осуществляется под жестким контролем. Более того, у банков есть куча требований от ЦБ, от платежных систем и прочих регуляторов, которые надо соблюдать и которые несут за собой разного рода санкции.

И да, в нормальных банках понимают, что ИТ работает на бизнес, и если приходит указание на небольшую доработку или заливку сервака под бизнес, то оно чаще всего выполняется, если это не огромный проект, или требование половины вычислительных ресурсов разом.

любой доступ к, как вы выразились, core-системам, осуществляется под жестким контролем

Так и здесь использовался стандартный функционал в рамках полномочий пользователя. А АБС не страдала ни сколько, потому что один раз подготовить несколько отчётов в начале опердня - это не нагрузка. Нагрузочное потом все равно заставили проходить, но никакой аномалии не заметили.

или окажется трояном...

Тут как бы согласен, но ведь сразу можно понять, кто это сделал и посадить.

куча требований от ЦБ, от платежных систем

От платежных систем - PCI DSS, запрещающий хранить номера карт. ЦБ - что софт должен проходить через стадии тестирования и тестовые среды, а все внедрения согласовываться. Не так сложно из соблюдать.

за любые автоматизационные решения ответственность несет ИТ

Бизнес тоже может брать на себя ответственность! За это мы и попали в поле зрения ИТ-директора)

Забегая вперёд, могу сказать, что сейчас большинство банков уже стали так работать, чаще всего называют это Agile, когда все разбиваются на микрокоманды с полными компетенциям, и пилят для бизнеса всякие штуки за спринты. А при необходимости сервака - заказывают его в несколько кликов без всяких телодвижений.

Раньше всё делало только ИТ по заказу бизнеса так, как считало нужным. Долго, дорого и всегда невпопад. А иногда делали через полгода то, что уже никому давно не надо было. Иметь своего ИТшника под рукой - это то, что нравилось бизнесу, и они не хотели отпускать.

Это какой то фанфик что ли? Тут описание работы не одного человека, а целого отдела. Господа, неужели ни у кого нет вопросов что продажнику дали права на изменение всего и вся. Открытием счета при кредитовании бизнеса сотрудники уже не занимаются. Ну и что за малый бизнес с cash flow? Его нет смысла составлять потому что при не большой дебиторке и кредиторке он ничего не покажет совсем, либо полность будет совпадать с опиу. Очень большая часть клиентов малого бизнеса не будет сидеть на общей системе. А тогда отчёты которые они будут предоставлять в лучшем случае могут быть в 1с, в обычном это эксельное виденье предпринимателя, а в худшем тетрадка с каракулями. Я работал в самом крупном частном банке 3 из 5 клиентов были с тетрадками. Какие то влажные мечты на полный карт-бланш, полное забитие на свои обязанности других отделов, безопасности.

Ага, тоже такое впечатление осталось. Как будто вернулся даже не 2007-й, а в 2004-2005-й год, такой уровень процессов и автоматизации. Отсутствующие аудиторы и безопасники; какой-то продажник, который ну вот совсем не программист, но за 1 месяц на коленке пишет CRM; непонятно чем занимающаяся служба ИТ, которая, похоже, только распаковывает и подключает компы и ставит на них эксель... ну, и всё остальное в том же духе. Такое ощущение, что кто-то, используя приём "доведение до абсурда", просто решил рассказать, как работают банки, но так, чтобы было понятно даже школьникам старших классов.

Вангую, что в последней части в конце будет реклама каких-нибудь курсов с комментарием, что это поможет вам войти в банковское айти - вон сами видите, там ничего сложного.

Всему есть объяснение. Постараюсь дать его в следующей статье. В скрытом тексте указана цель этих статей.

Вы нейрость которая пишет усреднённые тексты с хабра?

Возможно. Ваш слова имеют логический смысл. Брат по нейросети найден. Запишу в свои избранные, кого не надо будет удалять из realworld.

… или реклама красного банка, упомянутого здесь дважды, он тут единственный не обезличенный и представленный в хорошем свете =)

Увы, тоже промах. Но я немного восхищаюсь этим банком, да, в тексте можно это заметить. Опять же, я написал, из-за чего. И было бы странно хвалить маркетинг и стратегию банка на ИТ форуме. Наверное, если бы я хотел их попиарить, то хвалил бы их ИТ, и как там хорошо работается разработчикам, но я там не работал, и не знаю, как им там живётся, а хвалю только те события, которые сам наблюдал.

ПС: запишу тоже в свои любимчики! +1

Ох, сам 5 лет отработал в банке, но не в России, а в Беларуси, да ещё и в ИТ :) Очень легко читается, очень захватывает и я очень люблю таких людей, которые болеют за идею и которые стараются делать мир лучше не только для себя, но и для всех. С большим нетерпением жду 4-ю часть. Первые три проглотил очень быстро.

С удовольствием прочитал. Прям молодость вспомнил. Почти один-в-один как и у меня. Правда, я в 2013 завязал с банковским бизнесом и пока не собираюсь туда возвращаться. Интересно дочитать ваш конец.

Я вспомнил, что накануне приходило письмо о об очередном переезде...

Короче мы 2 часа искали местного дежурного ИТшника, который мог бы пойти и включить мой комп на новом месте. 

Так "подстольный" сервер все это время был в оффлайне?

Да. Его перевезли на новое место в офисе в пятницу вечером, и не включили (зачем жечь электричество все выходные).

Часть, относящаяся к внутрибанковским процессам, интересна, спасибо. Но на самом деле этот рассказ - великолепный пример того, почему непрофессионалов и близко нельзя подпускать к построению ИТ-систем, особенно критичных для бизнеса.

Применяемые для построения систем решения не просто скверные - катастрофичные. ПК под столом создает гигантские операционные риски, особенно если на него завязана хоть сколь-нибудь важная система. ПК под столом свойственно дохнуть из-за пыли, перегрева (особенно летом), сбоев электропитания или десктопного железа, не рассчитанного на режим работы 24х365, а также просто от швабры уборщицы тети Маши. Привязка адреса приложения к IP-адресу, да еще и без какого-либо понимания, привязан этот адрес к МАС-у или выдается случайно, тоже находится за гранью добра и зла. Ну и про тот факт, что никто не обеспечивал физический контроль доступа к системам обработки критичных данных, тоже должен был поставить на уши и службу ИТ, и службу безопасности, не говоря уже про внешних аудиторов.

На самом деле задача вполне оперативно решалась созданием виртуальных машин в режиме высокой доступности (ни за что не поверю, что у банка в начала 2010-х не было системы виртуализации), что не требует вообще никаких инвестиций, по крайней мере, немедленных. Тот факт, что этого не было сделано, а автор не получил очень больно по рукам за такие решения независимо от их полезности, может свидетельствовать только о тотальном бардаке в банке.

Про системы виртуализации в статье очень развернуто описано - получить виртуалку в банке это очень сложный процесс по тем временам. Выход попроще - запустить под столом.

Вы подняли очень интересную тему - стоит ли разворачивать сервер и все организовывать, если не уверен в проекте? Как здесь и писалось - проект был придуман в опенспейсе "на попробовать", и здесь решающую роль сыграл time to market. История выделения сервера через ИТ, а значит и разработка через ИТ/вендора, а значит можно получить решение через полгода-год. Не говоря уже про миллионные расходы, которые не были заложены в бюджеты.

Гораздо проще, дешевле и быстрее запустить под столом, приняв риски бизнеса, зато посмотреть, что из этого может получиться.

Насчёт критичных данных - тут все достаточно строго, данные очень ограниченно выдаются. Но автор нашел способы собрать информацию по крупицам. Стоит добавить, что проблемы в банках с данными были и остаются всегда (в основном из за создаваемых нагрузок). Сейчас с этим становится проще, информации становится гораздо больше, и она доступна бОльшему количеству участников (сотни аналитиков и дата майнеров). Раньше с данными была прям проблема.

а автор не получил очень больно по рукам

Вы смотрите слишком узко - что есть только автор рукадельник,который что то там кодит у себя в подвале. Но картина гораздо шире - эти поделки заказываются бизнесом, и у бизнеса есть в них потребность. И здесь уже бизнес сражается за то, чтобы изменить в головах безов и ИТ, что не только они могут создавать полезный софт, приносящий пользу.

Вопрос только в создаваемых рисках , которые тоже можно оценить и сравнить с приносимым доходом, и бизнес готов был на такой риск пойти. Про это же все эти истории - плыть против течения, если здравый смысл говорит - так надо.

Я не говорю про разработку, я говорю про платформу. Получить виртуалку при правильной организации работы в ИТ - это несколько кликов мышкой в веб-интерфейсе. При чуть менее правильной - пятнадцать минут работы сисадмина. Приватные облака десять лет назад прекрасно делала и ВМВарь, и Майкрософт. У меня такая система была организована в не самом крупном и богатом провинциальном университете (о бюджетах сами догадываетесь) именно в то время. Каждый препод, кто запрашивал виртуалку, ее получал, причем в состоянии высокой готовности. Тот факт, что в данном конкретном банке получить виртуалку в штатной системе виртуализации было невозможно или крайне тяжело, и говорит о состоянии дел в его ИТ. Некомпетентность и непрофессионализм, это единственный диагноз.

Далее, проекты "на попробовать" ни при каких обстоятельствах не должны выходить за рамки "попробовать". Из описания же автора явно следует, что система явочным порядком пошла в продуктив - без тестирования, без фиксации данного факта в реестре систем банка, без одобрения стейкхолдеров, при этом буквально в состоянии "из говна и палок". Такая инициатива похвальна, если она кончается нормальным внедрением. Когда она кончается явочным переносом критичной нагрузки на нечто, сляпанное на коленке, и об этом не подозревает никто из тех, кому положено знать, это неполное соответствие служебным обязанностям. Простой банковских систем означает совершенно конкретные финансовые потери. За такое совершенно справедливо увольняют, даже если катастрофы удалось избежать.

Если у бизнеса есть на что-то заказ, существуют процедуры его реализации, начиная с обсуждения на соответствующих уровнях. Если админы баз данных, CRM-системы (или что у них там) утверждают, что нечто нужное сделать нельзя приниципиально, а некто опровергает это на практике, но админы игнорируют, существуют более высокие уровни, на которых инициируется проект - вплоть до правления банка. Опять же, если этого не делается, если директора отделений жалуются на проблемы, но все кончается пофигизмом службы ИТ, это бардак в организации системы управления.

Смотрите, создать в интерфейсе виртуалку это действительно всего несколько кликов мышкой у админов. И у банка есть куча ресурсов для этого. Другое дело, что каждая такая виртуалка должна быть посчитана, и на неё должны быть выделены гарантированные ресурсы. Они как минимум стоят денег, а как максимум она должна быть согласована под отдельный проект. Да, мы легализовали проект внутри банка, но не сразу. И этот процесс не такой простой.

В вашем примере вы создавали виртуалки по запросу сотрудников, и даже не интересовались, сколько им понадобится ресурсов, и выдержит ли ваш сервер. Вдруг он там начнет майнить крипту? А после вашего ухода - кто отвечал бы за эти виртуалки ? Тоже нет ответа, значит вы сами создали такой риск :). А если кто то из сотрудников запросит сразу слишком много ресурсов, то вы ему дадите, или нет? Кто решает - действительно ли ему надо столько ресурсов , или он выдумал? Или это будет зависеть от вашего настроения и ваших отношений с ним (уговорил ли он вас дать ему столько)?

Единственный вариант не создавать операционный риск - уходить в бюрократию, считать каждый гигабайт памяти и каждое ядро. Это и есть бюрократия больших компаний - неважно банк ли это, или другая корпорация с большим ИТ.

существуют процедуры

И тут вы сами себе прпротиворечите - вроде всем сотрудникам быстро выдаёте ресурсы, а с другой говорите о процедурах.

Касательно "простоя" - я уже писал выше, потери от простоя гораздо ниже, чем стоимость системы, и риски были приняты.

За такое совершенно справедливо увольняют

Снова не правы. Зачем увольнять сотрудника, который на простое системы чему то научился? Это же как вложиться в сотрудников, в их обучение, а потом уволить :) тогда те, кто придет новый снова допустив такую ошибку снова вызовут простой. Невыгодно. Выгоднее проанализировать проблему и перестроить процессы, а вы лишь бы уволить хотите ))

существуют более высокие уровни... это бардак в организации системы управления

Видимо вы никогда не работали в корпорациях. Председатель большого банка не должен разруливать споры по выделению сервера. А дальше уже идёт чистая политика и интриги - будет ли ИТ прогибаться под бизнес, брать на поддержку поделку из палок? Или они скажут "мы сами напишем лучшее решение, дайте нам полгода и оплатите труд 5 человек, иначе не примем" ? Или могут ещё сказать: "пока не перепишете под НАШИ корпоративные стандарты, мы на поддержку не примем". Да и будь вы на месте ИТ, взяли бы чье-то поделие на поддержку?

Другое дело, что каждая такая виртуалка должна быть посчитана, и на неё должны быть выделены гарантированные ресурсы.

Вот совершенно не обязательно. При нормальной организации труда всегда есть девелоперское окружение, возможно, не обеспечивающее QoS и не гарантирующее избытка ресурсов, но имеющее достаточно ресурсов для упрощенного выделения ВМ-ки для разработчиков. Резерв мощностей под такую разработку всегда можно оставить, благо они много не требуют, а если и требуют, то разрабы могут смириться с медленной работой. А уже когда система сделана, отлажена, продемонстрирована и принята, ее мигрируют в продуктив тем или иным способом. Это стандартная схема в крупных корпорациях.

В вашем примере вы создавали виртуалки по запросу сотрудников, и даже не интересовались, сколько им понадобится ресурсов, и выдержит ли ваш сервер.

Не стоит заниматься телепатией, она обычно не работает. ;) У меня разработчик / препод объяснял, что именно ему нужно, я соотносил с резервами и выделял место соответственно. Процедура была сугубо неформальной, но она была - с исследованием запроса, с документированием каждой ВМки (включая DNS-алиасы и ответственных персон), с настройкой бэкапа и т.п. Ситуация, в которой я бы потерял сервер при переезде или переконфигурации сети, была просто немыслимой. И это при том, что я практически в одиночку тащил немаленькую Винтел-инфрастурктуру. Для корректной организации работы больших трудозатрат не нужно, нужен лишь правильный подход.

Правда жизни заключается в том, что потребности средней тестовой машины (грубо - 16-24 Гб ОЗУ, 100-200 Гб на диске и близкие к нулевым потребности CPU) практически неразличимы на фоне железных серверов с терабайтами ОЗУ и сотнями терабайт на дисках. Даже в самых бедных условиях кластер для разработки банально строится на паре серверов low-end и внешнего SATA-дискового массива с подключением по iSCSI. Дисковые иопсы будут низкими, но для демонстрации концепта сгодятся.

И заметьте, я рассуждаю в терминах технологий десятилетней давности. В современных условиях даже это железо не требуется. Любой публично-облачный сервис с удовольствие предоставит ВМ-ки и / или контейнеры любой конфигурации по схеме Pay as you go или аналогичной.

Зачем увольнять сотрудника, который на простое системы чему то научился?

За то, что человек чему-то научился, надо поощрять. Увольнять надо за то, что он явочным порядком, без согласований, предупреждений, авторизации и контроля, занялся перестройкой критичного бизнес-процесса. Это как если бы человек в автомобиле без спросу заменил квадратное, но каменное колесо круглым, но картонным. Крутится оно, конечно, заметно лучше, но лишь до первой лужи.

Видимо вы никогда не работали в корпорациях.

Видимо, телепатия все-таки не ваш конек. :D Мой опыт работы включает, в числе прочего, многолетнюю работу техлида Винтел-тима в не-российской международной конторе с примерно четырьмя тысячами виртуальных виндовых серверов, парой сотен физических и несколькими десятками тысяч пользователей. А еще у меня в биографии есть многолетняя работа ведущего Винтел-специалиста в российском системном интеграторе, которому по долгу службы пришлось насмотреться на самые разные изумительные конфигурации в инфраструктурах клиентов. И именно на основании этого опыта я и рассуждаю.

Спасибо за подробный ответ :). Да, телепатия не мой конёк, был в чём-то не прав. Однако в банках процедуры выделения серверов точно различаются.
перестройкой критичного бизнес-процесса
Понял. Вот тут то и самая загвоздка. Этот процесс не был критичным. Если бы сервер накрылся — всё вернулось бы на согласования по почте. Оригиналы документов были в кредитных досье. А автоматизатор, при всей его волшебной работе, лишь ускорял процесс открытия счёта.
Вся прелесть этих решений была в том, что они очень удачно вписывались в текущие процессы — не надо было менять процессы банка, а на случай нападки со стороны ИТ — они могли отказаться и бизнес бы не остановился (хоть и пострадал бы).

Автор сделал то, что должны были давно сделать другие, но почему то не сделали.

Сделал так, как мог, не идеально, но сделал. А "получить очень больно по рукам" должен был именно автор, а не определенные "профессионалы в построении ИТ-систем", которые и должны были эту систему, которая приносит прибыль бизнесу, построить задолго до того, как за нее взялся автор. Ну и уж если сам не сделали, то хотя бы сделать так, чтобы решение автора было правильно внедрено.

Нет, зачем? Можно же просто наказать автора. Прекрасный подход, чтобы устроить настоящее болото!

Автора положено было наказать за то, что создал риски на пустом месте. Не имеет значения ни предыстория, ни мотивация. Важно, что он своей инициативой создал проблемы в устоявшемся бизнес-процессе, причем так, что никто из отвечающих за него лиц об этом даже не подозревал.

Благими намерениями выложена дорога в ад. Давно уже сказано...

Отсутствие инициативы привело бы а итоге банк к технологическому отставанию, а потом дорога только к дорогим системам и раздутому штату. Постараюсь раскрыть это в следующей статье.

Печаль вот в этой части:

"..в банках просто громадное ИТ, и каждый отвечает за свою очень маленькую (но важную) часть. Никто не занимается всем подряд, как я. У всех есть как минимум по 2 человека в резерве на проекте..."

Которая плавно перетекает а time to market = год и более и стоимость доработок превышает экономию...

Всё в мире относительно, хорошие и правильные ИТ-ники умеют, иногда, не всегда, убить очень многие здравые задумки бизнеса...

Ощущение, будто автор статьи - дружелюбный сосед Человек-Паук, который просто хочет сделать жизнь работников банка проще и лучше, а глава IT отдела - Танос) с нетерпением жду продолжения, три статьи на одном дыхании прочел!

Следуя канонам современной постмодернистской литературы, в финале должно оказаться, что автор и есть глава IT отдела, страдающий раздвоением личности, по ночам превращающийся в Тайлера Дердена, пишущего макросы для экселя и запускающего критические сервера на компах под столом.

С большим интересом читаю ваши истории. И с огромным удовольствием погружаюсь в атмосферу вашего творчества. Добавлю только одно, вам очень повезло с начальниками. Могли и загнобить вас на любом этапе.

Блииииин, про "2 сервера под столом" - прямо 1 в 1 ситуация была, прямо 1 в 1 !!!
Я думал только в том банке где я работал в то время и только у меня такое был )))

Sign up to leave a comment.

Articles