Цифровизация под санкциями. Могут ли банкам перекрыть open source?
Вместе с экспертами TAdviser изучил возможные перспективы и риски использования открытого программного обеспечения банками, попавшими под санкции.
После начала военной спецоперации России на Украине ряд российских банков попали в список SDN (Specially Designated Nationals) Министерства финансов США по контролю за иностранными активами (OFAC), что подразумевает предельно жесткие ограничения. В списке оказались ВТБ, «Открытие», Совкомбанк, Промсвязьбанк, Новикомбанк, а также их дочерние структуры, в том числе, Росгосстрах, GMCS и другие. Санкционные организации столкнутся не только с блокировкой счетов, но и с ограничением доступа к технологиям: наложенные меры подразумевают, что американским гражданам и юридическим лицам, зарегистрированным в США, запрещено иметь дело с участниками списка SDN.
Кроме того, целый ряд американских и европейских ИТ-компаний заявили о приостановке всех бизнес-операций в России без деления клиентов на санкционных и остальных.
Open-source стал альтернативой вендорским решениям
Степень зависимости российских банков от иностранных ИТ-решений высока – «ни для кого не секрет, что банки, в основном, используют иностранное ПО», говорила в марте 2021 года в интервью TAdviser Мария Шевченко, председатель совета директоров «Киви Банка» и руководитель рабочей группы по переходу финансовых организаций на отечественное ПО и оборудование при Комитете Госдумы по финансовому рынку.
«Мы проводили опрос через Ассоциацию банков России летом 2020 года и получили сводный ответ по рынку: доля иностранного ПО превышает 90%, - говорила Шевченко, отмечая, правда, что процент разнится в зависимости от класса продукта».
Важным уточнением к приведенной цифре является то, что в значительной степени программное обеспечение иностранного происхождения, используемое банками, является открытым, т.е. не принадлежит иностранным вендорам, а разрабатывается сообществами.
Новая технологическая платформа ВТБ уже сегодня построена на открытом ПО, говорил на конференции TAdviser в ноябре 2021 года заместитель директора департамента ИТ Банка ВТБ Михаил Хасин. По его словам, в технологическом стеке банка уже 45 open Source-решений, которые задействованы в виртуализации, базах данных, workflow-сервисах и мессенджерах. ВТБ использует такие СПО-продукты, как OpenStack, PostgreSQL, Scylla, ArangoDB, Redis, Tarantool, ActiveMQ, Apache Kafka, Camunda, Tyk и т.д.
«Новая технологическая платформа – это критическая бизнес-система. На нее мы переводим все сервисы и услуги банка. Когда вы пользуетесь «ВТБ-онлайн», то используете Open Source технологии, - объяснял Хасин (с некоторыми деталями технологического стека ВТБ-онлайн можно ознакомиться здесь)».
Open Source, по мнению Михаила Хасина, обладает рядом преимуществ:
- Уязвимости обнаруживаются и исправляются значительно быстрее, потому что за этим следит целое сообщество;
- Крупнейшие игроки ИТ-рынка не только используют СПО, но и приобретают права на разработки. Например, IBM купил Red Hat, Microsoft – GitHub, а Adobe – Magento;
- Сама модель СПО-бизнеса построена на поддержке и COVID-19 доказал, что техническая поддержка у Open Source не только не хуже, но зачастую лучше, чем у вендорских решений;
- Сообщество СПО-разработчиков высокопрофессионально. Во многие Open Source-проекты очень сложно попасть, поэтому участие в них в сообществе программистов работает лучше любого резюме.
Но насколько устойчивым и доступным является open source в нынешних условиях?
Жесткие сценарии
Большинство банковских информационных систем создано на базе программного обеспечения с открытым кодом, которое контролируют американские компании, поэтому у российских организаций могут возникнуть проблемы с его использованием. Такое мнение в беседе с TAdviser выразил руководитель Ассоциации участников рынка данных (АУРД) и директор АНО «Инфокультура» Иван Бегтин.
«Многие, особенно наиболее востребованные в банковском секторе и финтехе, open source проекты контролируются юрлицами, которые являются резидентами США. Компании будут обязаны подчиниться требованиям OFAC, и в результате российские банки, которые попали в список SDN, могут столкнуться с ограничениями доступа к open source ПО, которое они используют для создания своих систем и сервисов», - считает Бегтин.
Еще вероятнее, по мнению эксперта, ограничение доступа к сервису для хостинга ИТ-проектов и их совместной разработки GitHub, который принадлежит корпорации Microsoft. Он уже заблокирован для разработчиков из Крыма, а также для компаний, входящих в группу «Ростех». Это очень вероятный сценарий развития событий в случае продолжения боевых действий на территории Украины, - пояснил TAdviser Иван Бегтин.
При этом он уточнил, что российские компании могут столкнуться не только с официальными запретами на использование ПО западных компаний, но и с позицией отдельных разработчиков и сообществ. По мнению Бегтина, на Россию будут давить сообщества разработчиков.
«Наши разработчики столкнутся с попытками выдавить их из open source проектов, запретами сообществ разработчиков использовать их библиотеки, сервисы и инструменты. В результате наша ИТ-индустрия не сможет развиваться. Мы, с точки зрения технологий, можем откатиться на 20 лет назад», - поделился опасениями гендиректор АУРД.
Опасения высказывает и Михаил Кузнецов, коммерческий директор iFellow Group:
Если государство и ИТ-отрасль оперативно не отреагирует на новые вызовы, разработка и техническая поддержка программного обеспечения силами «санкционных» банков может быть крайне затруднена. Ключевой риск – это государственная принадлежность компаний, поддерживающих и развивающих открытые программные продукты. Большая часть из них зарегистрирована в США и Европе. Значит, регулирующие органы могут влиять на данные компании.
Способов влияния, по словам Кузнецова, достаточно много. Например, полное или частичное ограничение участия российских специалистов в разработке открытых программных продуктов.
«Это плохо для всех – такую экспертизу за месяцы не восстановишь. Но это плохо и для нас, - продолжает Кузнецов. - Допустим, для корректной работы с российской ЭЦП в открытом программном продукте надо сделать несколько изменений в API. А мы не можем – новые релизы выходят без необходимых изменений».
В то же время, представитель iFellow призывает не поддаваться панике – «мир открытых программных продуктов во многом инертный и кардинально повернуть его за дни и месяцы невозможно».
«Запрет использовать open source будет выглядеть, как попытка запретить читать Марка Твена»
Конечно, некоторыми open source проектами владеют крупные корпорации, и у российских банков могут возникнуть проблемы с использованием этого ПО, отмечает в беседе с TAdviser Алексей Новодворский, заместитель генерального директора BaseAlt. Однако, добавляет он, с проектами, которые ведутся сообществами разработчиков, проблем не будет, а в любом дистрибутиве Linux таких проектов значительное большинство.
Ограничение доступа к таким сервисам для разработчиков, как GitHub, по мнению Новодворского, вообще не имеет смысла. Во-первых, несложно создать «зеркала» сервиса и работать с ними. А во-вторых, в мире достаточно много альтернативных сервисов, в том числе, российских.
«Ощутимые последствия могут иметь ограничения на право использования open source лицензий, – считает Новодворский. – Конечно, компании смогут использовать «старые» версии ПО, развивая их самостоятельно. Однако, со временем обслуживание таких решений будет быстро дорожать и в какой-то момент поддержка и обновление независимых веток open source ПО станет экономически невыгодной».
«Можно копировать исходный код открытых программных продуктов, внедрять необходимые изменения и пользоваться результатом. Но это, во-первых, потеря качества (в рамках релизного цикла открытых программных продуктов существует большое количество тестов), а, во-вторых, цена - для каждой новой версии открытого программного продукта необходимо заново внедрять в код изменения», - соглашается Михаил Кузнецов, коммерческий директор iFellow Group.
Похожей позиции придерживается Виталий Занин, директор по работе с клиентами компании «Програмбанк»: «Любые «отказы в доступе», в том числе и на GitHub, не критичны для текущей работоспособности. Все серьезные организации – как банки, так и разработчики – хранят у себя копии «исходников» используемых решений и будут их использовать для поддержки с помощью доступных ресурсов. На что повлияет эта ситуация – так это на развитие решений, оно может замедлиться».
Вопрос технической поддержки также на повестке дня, считает Михаил Кузнецов: Коммерческая техническая поддержка с большой вероятностью исчезнет, так как ее оказывают зарубежные компании. И это станет проблемой, поскольку услуга достаточно востребованная. Способ управления только один – сосредоточиться на ключевых открытых программных продуктах, например, Apache Kafka, и копить собственную экспертизу.
Иван Панченко, заместитель гендиректора Postgres Professional, обращается внимание, что проблемы могут возникнуть только с единичными открытыми продуктами. Open source не однороден – разные продукты имеют разных правообладателей и разные лицензии, различные сообщества имеют свои правила принятия решений. Возможно, что-то закроется, но закрыть вообще все практически не реально.
«Идеи Open Source базируются на свободе и отсутствии ограничений на доступ к программному обеспечению и его исходным кодам. Вы скачиваете продукт — и можете использовать его в рамках, указанных в прилагаемом к нему лицензионным соглашением. Поэтому запрет использовать open source российским разработчикам в большинстве случаев будет выглядеть, как попытка запретить читать О.Генри или Марка Твена. Конечно, есть проекты, которые находятся под полным контролем юридических лиц, зарегистрированным в США. Например, фонд Apache Software Foundation контролирует развитие линейки продуктов Apache, которые активно используются отечественными разработчиками. Но и тут высока вероятность того, что санкции не коснутся использования open source, а затронут только проприетарное ПО, которое в основном и используется в России», - рассказал TAdviser Иван Панченко.
Восток нам поможет?
По мнению Ивана Панченко, российский рынок стоит на пороге радикальных изменений. В случае введения жестких ограничений на использование софта западных разработчиков российским банкам придется очень быстро переориентироваться на отечественное ПО и разработки азиатских программистов.
«Компаниям, попавшим в список SDN Министерства финансов США по контролю за иностранными активами, придется перестраивать работу своих ИТ-подразделений. Им придется перераспределить бюджеты, стать более взвешенными, инвестируя больше средств в разработку, перенимая где-то китайский, а где-то иранский опыт. Спрос на ИТ-специалистов будет только расти, и станет ясно, что необходимо более эффективное использование кадровых ресурсов. Это значит, что банки будут меньше делать сами, и больше использовать аутсорсинг — как отечественный, так и, опять же, азиатский», - поделился с TAdviser Иван Панченко.
По его словам, в России плохо знают рынок азиатской разработки, однако на нем есть практически все: от аутсорсинга услуг до собственных сред и инструментов разработки.
То, что банки переориентируются на сообщества программистов из Китая и Индии, ожидает и Виталий Занин из Програмбанк. Рынок программистов в Индии и в Китае, по его оценке, «огромен».
Банки выжидают и просчитывают варианты
В попавших под санкции банках комментируют перспективы и новые вызовы цифровизации без конкретики.
ВТБ на запрос TAdviser ответили, что большинство готовых решений, которые используются для создания банковских продуктов, а также по направлению ИБ и документооборота, являются российскими разработками.
В банке «Открытие» TAdviser пояснили, что информационная политика банка подразумевает сборку и поставку программного обеспечения на оборудовании внутри банка без зависимости от внешних источников.
«В рамках этой политики мы все необходимые «системные» библиотеки и\или исходные коды размещали и размещаем на оборудовании банка. Это стандартная практика для многих организаций финансового сектора России на протяжении многих лет», - прокомментировала TAdviser пресс-служба банка «Открытие».
Источник в одном из банков, попавших в список SDN, рассказал TAdviser, что пока непонятно, насколько серьезны будут санкции. Он допустил, что будет запрет использования как проприетарного ПО, так и open source лицензий. Соответственно, после отзыва лицензий, обслуживать и обновлять open source софт банки не смогут, как и не смогут легально заключить договор на поддержку решений. При этом собеседник обратил внимание на то, что пока требований от правообладателей в банки не поступало.
В качестве вариантов, по словам источника, прорабатывается возможность миграции на азиатское ПО, проксимизация рынка закупки ИТ, то есть создание непрозрачной структуры из десятков офшорных компаний-прокладок, и даже вариант легализации софтверного пиратства.
Российские банковские продукты на системных open source компонентах
«Многие банки, особенно крупные, сейчас используют западные разработки при наличии российских аналогов. Это связано с тем, что раньше западное ПО было фактором престижа и капитализации, - рассказывает Виталий Занин из Програмбанк. - Мы на практике знаем, что наши продукты «ПрограмБанк.АБС» и «ПрограмБанк.БизнесАнализ» по внутреннему учету, бюджетированию, управленческому учету решают те же самые задачи, как, например, SAP. Так что ведущие банки просто вернутся к российским разработкам».
Разработчики прикладного ПО, по мнению Занина, не теряли время с 2014 года. Сейчас прикладное ПО создается таким образом, чтобы работать и без использования системного ПО западных вендоров. В частности, платформа «ПрограмБанк.ФронтОфис» допускает выбор как коммерческого, так и открытого системного программного обеспечения. Решение может работать, используя только open source системные компоненты. На этой платформе разработаны как фронт-офисные решения для кредитования и обслуживания клиентов, так и разработки для AML: решение «Знай своего клиента», система «ПрограмБанк.Интеграции» и др.
В iFellow сотрудничают со Сбербанком, ВТБ, Альфа-Групп, Газпромом, ФСК и др.«При разработке программного обеспечения мы используем как набор проверенных временем технологий, ставших стандартом де-факто, так и современные технологии, только набирающие обороты, но успевшие себя зарекомендовать, - рассказывает Михаил Кузнецов. - Для front-end это React, Redux, MobX, Vue, Angular. Для BackEnd - Spring, NodeJS, .NET Core, Yii. Хранение и обработка данных в оперативной памяти - Redis, Apache Ignite. Реляционные базы данных - Postrges. Интеграционные решения - с большим отрывом Apache Kafka. Обработка больших данных - Hadoop-стэк (примерно 10 ключевых продуктов), GreenPlum, ClickHouse. Работа с логами и текстовыми данными - OpenSearch».
Также в iFellow считают важной для всего российского ИТ-рынка свободного программного обеспечения активную позицию вендора ArenaData:
«Так или иначе любое СПО требует поддержки. Коллеги из ArenaData предоставляют многокомпонентную корпоративную платформу для хранения и обработки больших данных, основанную на СПО. Добавление в цепочку добавленной ценности вендора позволяет решить множество проблем, и, тем самым, снизить сроки разработки и попасть в ожидания заказчиков по качеству без значимого увеличения стоимости».