Вместе с экспертами Делового портала TAdviser изучил возможные перспективы и риски использования открытого программного обеспечения банками, попавшими под санкции. С О Д Е Р Ж А Н И Е Open Source стал альтернативой вендорским решениям Жесткие сценарии Запрет использовать Open Source будет выглядеть, как попытка запретить читать Марка Твена Восток нам поможет? Банки выжидают и просчитывают варианты Российские банковские продукты на системных Open Source компонентах

После начала военной спецоперации России на Украине ряд российских банков попали в список SDN (Specially Designated Nationals) Министерства финансов США по контролю за иностранными активами (OFAC), что подразумевает предельно жесткие ограничения. В списке оказались ВТБ, «Открытие», Совкомбанк, Промсвязьбанк, Новикомбанк, а также их дочерние структуры, в том числе, Росгосстрах, GMCS и другие.

Санкционные организации столкнутся не только с блокировкой счетов, но и с ограничением доступа к технологиям: наложенные меры подразумевают, что американским гражданам и юридическим лицам, зарегистрированным в США, запрещено иметь дело с участниками списка SDN.

Кроме того, целый ряд американских и европейских ИТ-компаний заявили о приостановке всех бизнес-операций в России без деления клиентов на санкционных и остальных.

Open Source стал альтернативой вендорским решениям

Степень зависимости российских банков от иностранных ИТ-решений высока — «ни для кого не секрет, что банки, в основном, используют иностранное ПО», говорила в марте 2021 года в интервью TAdviser Мария Шевченко, Председатель совета директоров «Киви Банка» и руководитель рабочей группы по переходу финансовых организаций на отечественное ПО и оборудование при Комитете Госдумы по финансовому рынку.

«

Мы проводили опрос через Ассоциацию банков России летом 2020 года и получили сводный ответ по рынку: доля иностранного ПО превышает 90%, — говорила Шевченко, отмечая, правда, что процент разнится в зависимости от класса продукта.

»

Важным уточнением к приведенной цифре является то, что в значительной степени программное обеспечение иностранного происхождения, используемое банками, является открытым, т.е. не принадлежит иностранным вендорам, а разрабатывается сообществами.

Новая технологическая платформа ВТБ уже сегодня построена на открытом ПО, говорил на конференции TAdviser в ноябре 2021 года заместитель директора департамента ИТ Банка ВТБ Михаил Хасин.

По его словам, в технологическом стеке банка уже 45 Open Source решений, которые задействованы в виртуализации, базах данных, workflow-сервисах и мессенджерах. ВТБ использует такие СПО-продукты, как OpenStack, PostgreSQL, Scylla, ArangoDB, Redis, Tarantool, ActiveMQ, Apache Kafka, Camunda, Tyk и т.д.

«

Новая технологическая платформа — это критическая бизнес-система. На нее мы переводим все сервисы и услуги банка. Когда вы пользуетесь «ВТБ-онлайн», то используете Open Source технологии, — объяснял Хасин.

»

Open Source, по мнению Михаила Хасина, обладает рядом преимуществ:

• Уязвимости обнаруживаются и исправляются значительно быстрее, потому что за этим следит целое сообщество;
• Крупнейшие игроки ИТ-рынка не только используют СПО, но и приобретают права на разработки. Например, IBM купил Red Hat, Microsoft – GitHub, а Adobe – Magento;
• Сама модель СПО-бизнеса построена на поддержке и COVID-19 доказал, что техническая поддержка у Open Source не только не хуже, но зачастую лучше, чем у вендорских решений;
• Сообщество СПО-разработчиков высокопрофессионально. Во многие Open Source проекты очень сложно попасть, поэтому участие в них в сообществе программистов работает лучше любого резюме.
  
  

Но насколько устойчивым и доступным является Open Source в нынешних условиях?

Жесткие сценарии

Большинство банковских информационных систем создано на базе программного обеспечения с открытым кодом, которое контролируют американские компании, поэтому у российских организаций могут возникнуть проблемы с его использованием. Такое мнение в беседе с TAdviser выразил руководитель Ассоциации участников рынка данных (АУРД) и Директор АНО «Инфокультура» Иван Бегтин.

«

Многие, особенно наиболее востребованные в банковском секторе и финтехе, Open Source проекты контролируются юрлицами, которые являются резидентами США. Компании будут обязаны подчиниться требованиям OFAC, и в результате российские банки, которые попали в список SDN, могут столкнуться с ограничениями доступа к Open Source ПО, которое они используют для создания своих систем и сервисов, — считает Бегтин.

»

Еще вероятнее, по мнению эксперта, ограничение доступа к сервису для хостинга ИТ-проектов и их совместной разработки GitHub, который принадлежит корпорации Microsoft. Он уже заблокирован для разработчиков из Крыма, а также для компаний, входящих в группу «Ростех». Это очень вероятный сценарий развития событий в случае продолжения боевых действий на территории Украины, — пояснил TAdviser Иван Бегтин.

При этом он уточнил, что российские компании могут столкнуться не только с официальными запретами на использование ПО западных компаний, но и с позицией отдельных разработчиков и сообществ. По мнению Бегтина, на Россию будут давить сообщества разработчиков.

«

Наши разработчики столкнутся с попытками выдавить их из Open Source проектов, запретами сообществ разработчиков использовать их библиотеки, сервисы и инструменты. В результате наша ИТ-индустрия не сможет развиваться. Мы, с точки зрения технологий, можем откатиться на 20 лет назад, — поделился опасениями гендиректор АУРД.

»

Опасения высказывает и Михаил Кузнецов, Коммерческий директор iFellow Group:

«

Если государство и ИТ-отрасль оперативно не отреагирует на новые вызовы, разработка и техническая поддержка программного обеспечения силами «санкционных» банков может быть крайне затруднена. Ключевой риск — это государственная принадлежность компаний, поддерживающих и развивающих открытые программные продукты. Большая часть из них зарегистрирована в США и Европе. Значит, регулирующие органы могут влиять на данные компании.

»

Способов влияния, по словам Кузнецова, достаточно много. Например, полное или частичное ограничение участия российских специалистов в разработке открытых программных продуктов.

«

Это плохо для всех — такую экспертизу за месяцы не восстановишь. Но это плохо и для нас, — продолжает Кузнецов. — Допустим, для корректной работы с российской ЭЦП в открытом программном продукте надо сделать несколько изменений в API. А мы не можем — новые релизы выходят без необходимых изменений.

»

В то же время, представитель iFellow призывает не поддаваться панике — «мир открытых программных продуктов во многом инертный и кардинально повернуть его за дни и месяцы невозможно».

«Запрет использовать Open Source будет выглядеть,
как попытка запретить читать Марка Твена»

Конечно, некоторыми Open Source проектами владеют крупные корпорации, и у российских банков могут возникнуть проблемы с использованием этого ПО, отмечает в беседе с TAdviser Алексей Новодворский, заместитель Генерального директора BaseAlt. Однако, добавляет он, с проектами, которые ведутся сообществами разработчиков, проблем не будет, а в любом дистрибутиве Linux таких проектов значительное большинство.

Ограничение доступа к таким сервисам для разработчиков, как GitHub, по мнению Новодворского, вообще не имеет смысла. Во-первых, несложно создать «зеркала» сервиса и работать с ними. А во-вторых, в мире достаточно много альтернативных сервисов, в том числе, российских.

«

Ощутимые последствия могут иметь ограничения на право использования Open Source лицензий, — считает Новодворский. — Конечно, компании смогут использовать «старые» версии ПО, развивая их самостоятельно. Однако, со временем обслуживание таких решений будет быстро дорожать и в какой-то момент поддержка и обновление независимых веток Open Source ПО станет экономически невыгодной.

»

«

Можно копировать исходный код открытых программных продуктов, внедрять необходимые изменения и пользоваться результатом. Но это, во-первых, потеря качества (в рамках релизного цикла открытых программных продуктов существует большое количество тестов), а, во-вторых, цена — для каждой новой версии открытого программного продукта необходимо заново внедрять в код изменения, — соглашается Михаил Кузнецов, коммерческий директор iFellow Group.

»

Похожей позиции придерживается Виталий Занин, Директор по работе с клиентами компании «ПрограмБанк»:

«

Любые «отказы в доступе», в том числе и на GitHub, не критичны для текущей работоспособности. Все серьезные организации — как банки, так и разработчики — хранят у себя копии «исходников» используемых решений и будут их использовать для поддержки с помощью доступных ресурсов. На что повлияет эта ситуация — так это на развитие решений, оно может замедлиться.

»

Вопрос технической поддержки также на повестке дня, считает Михаил Кузнецов: Коммерческая техническая поддержка с большой вероятностью исчезнет, так как ее оказывают зарубежные компании. И это станет проблемой, поскольку услуга достаточно востребованная. Способ управления только один — сосредоточиться на ключевых открытых программных продуктах, например, Apache Kafka, и копить собственную экспертизу.

Иван Панченко, заместитель Гендиректора Postgres Professional, обращается внимание, что проблемы могут возникнуть только с единичными открытыми продуктами. Open Source не однороден — разные продукты имеют разных правообладателей и разные лицензии, различные сообщества имеют свои правила принятия решений. Возможно, что-то закроется, но закрыть вообще все практически не реально.

«

Идеи Open Source базируются на свободе и отсутствии ограничений на доступ к программному обеспечению и его исходным кодам. Вы скачиваете продукт — и можете использовать его в рамках, указанных в прилагаемом к нему лицензионным соглашением. Поэтому запрет использовать Open Source российским разработчикам в большинстве случаев будет выглядеть, как попытка запретить читать О.Генри или Марка Твена.

»

«

Конечно, есть проекты, которые находятся под полным контролем юридических лиц, зарегистрированным в США. Например, фонд Apache Software Foundation контролирует развитие линейки продуктов Apache, которые активно используются отечественными разработчиками. Но и тут высока вероятность того, что санкции не коснутся использования Open Source, а затронут только проприетарное ПО, которое в основном и используется в России, — рассказал TAdviser Иван Панченко.

»

Восток нам поможет?

По мнению Ивана Панченко, российский рынок стоит на пороге радикальных изменений. В случае введения жестких ограничений на использование софта западных разработчиков российским банкам придется очень быстро переориентироваться на отечественное ПО и разработки азиатских программистов.

«

Компаниям, попавшим в список SDN Министерства финансов США по контролю за иностранными активами, придется перестраивать работу своих ИТ-подразделений. Им придется перераспределить бюджеты, стать более взвешенными, инвестируя больше средств в разработку, перенимая где-то китайский, а где-то иранский опыт.

»

«

Спрос на ИТ-специалистов будет только расти, и станет ясно, что необходимо более эффективное использование кадровых ресурсов. Это значит, что банки будут меньше делать сами, и больше использовать аутсорсинг — как отечественный, так и, опять же, азиатский, — поделился с TAdviser Иван Панченко.

»

По его словам, в России плохо знают рынок азиатской разработки, однако на нем есть практически все: от аутсорсинга услуг до собственных сред и инструментов разработки.
То, что банки переориентируются на сообщества программистов из Китая и Индии, ожидает и Виталий Занин из ПрограмБанк. Рынок программистов в Индии и в Китае, по его оценке, «огромен».

Банки выжидают и просчитывают варианты

В попавших под санкции банках комментируют перспективы и новые вызовы цифровизации без конкретики.

ВТБ на запрос TAdviser ответили, что большинство готовых решений, которые используются для создания банковских продуктов, а также по направлению ИБ и документооборота, являются российскими разработками.

В банке «Открытие» TAdviser пояснили, что информационная политика банка подразумевает сборку и поставку программного обеспечения на оборудовании внутри банка без зависимости от внешних источников.

«

В рамках этой политики мы все необходимые «системные» библиотеки и\или исходные коды размещали и размещаем на оборудовании банка. Это стандартная практика для многих организаций финансового сектора России на протяжении многих лет, — прокомментировала TAdviser пресс-служба банка «Открытие».

»

Источник в одном из банков, попавших в список SDN, рассказал TAdviser, что пока непонятно, насколько серьезны будут санкции. Он допустил, что будет запрет использования как проприетарного ПО, так и Open Source лицензий. Соответственно, после отзыва лицензий, обслуживать и обновлять Open Source софт банки не смогут, как и не смогут легально заключить договор на поддержку решений. При этом собеседник обратил внимание на то, что пока требований от правообладателей в банки не поступало.

В качестве вариантов, по словам источника, прорабатывается возможность миграции на азиатское ПО, проксимизация рынка закупки ИТ, то есть создание непрозрачной структуры из десятков офшорных компаний-прокладок, и даже вариант легализации софтверного пиратства.

Российские банковские продукты на системных Open Source компонентах

«

Многие банки, особенно крупные, сейчас используют западные разработки при наличии российских аналогов. Это связано с тем, что раньше западное ПО было фактором престижа и капитализации, — рассказывает Виталий Занин из ПрограмБанк. — Мы на практике знаем, что наши продукты «ПрограмБанк.АБС» и «ПрограмБанк.БизнесАнализ» по внутреннему учету, бюджетированию, управленческому учету решают те же самые задачи, как, например, SAP. Так что ведущие банки просто вернутся к российским разработкам.

»

Разработчики прикладного ПО, по мнению Виталия Занина, не теряли время с 2014 года. Сейчас прикладное ПО создается таким образом, чтобы работать и без использования системного ПО западных вендоров. В частности, платформа «ПрограмБанк.ФронтОфис» допускает выбор как коммерческого, так и открытого системного программного обеспечения.

Решение может работать, используя только Open Source системные компоненты. На этой платформе разработаны как фронт-офисные решения для кредитования и обслуживания клиентов, так и разработки для AML: решение «Знай своего клиента», система «ПрограмБанк.Интеграции» и др.

В iFellow сотрудничают со Сбербанком, ВТБ, Альфа-Групп, Газпромом, ФСК и др.

«

При разработке программного обеспечения мы используем как набор проверенных временем технологий, ставших стандартом де-факто, так и современные технологии, только набирающие обороты, но успевшие себя зарекомендовать, — рассказывает Михаил Кузнецов. — Для front-end это React, Redux, MobX, Vue, Angular. Для BackEnd — Spring, NodeJS, .NET Core, Yii.

»

«

Хранение и обработка данных в оперативной памяти — Redis, Apache Ignite. Реляционные базы данных — Postrges. Интеграционные решения — с большим отрывом Apache Kafka. Обработка больших данных — Hadoop-стэк (примерно 10 ключевых продуктов), GreenPlum, ClickHouse. Работа с логами и текстовыми данными — OpenSearch.

»

Также в iFellow считают важной для всего российского ИТ-рынка свободного программного обеспечения активную позицию вендора ArenaData:

«

Так или иначе любое СПО требует поддержки. Коллеги из ArenaData предоставляют многокомпонентную корпоративную платформу для хранения и обработки больших данных, основанную на СПО. Добавление в цепочку добавленной ценности вендора позволяет решить множество проблем, и, тем самым, снизить сроки разработки и попасть в ожидания заказчиков по качеству без значимого увеличения стоимости.

»

Источник публикации:
Деловой портал TAdviser, март 2022