Hard & Soft Сервисный подход Облака в небо спрятались Объем всевозможной информации об «облаках» все нарастает, но, судя по разговорам с представителями банков, она в основном воспринимается как белый шум. Провайдеры продолжают настаивать: в cloud-среде реализуемы почти любые, в том числе высоконагруженные сервисы огласно данным IDC, российский рынок «облачных» услуг существенно отстает от мировых показателей (хотя говорить о взрыве популярности cloud computing пока вообще не приходится). Если в мире их доля составляет 2,7% от общего рынка IT-услуг, то в России это значение всего 0,2%. Конечно, российские клиенты могут пользоваться услугами зарубежных поставщиков, но отставание России от «лучших домов Лондона и Филадельфии» слишком значимо, чтобы данная оговорка имела практическое значение. В поисках причин отечественной отсталости стоит рассмотреть все «за» и «против» использования «облаков». C 88 БАНКОВСКОЕ ОБОЗРЕНИЕ ИЮЛЬ 2011 Гибкие затраты Якобы основное преимущество использования «облаков» — сокращение затрат на IT. Но когда появился первый опыт компаний, пользующихся «облачными» услугами, стало понятно, что эти ожидания в большинстве своем не оправдались. Один из аргументов в пользу низких издержек — мол, обслуживание сервера в большом ЦОД обходится дешевле, чем в маленьком. Да, но если учесть, что кроме зарплат IT-специалистам провайдер должен заплатить налоги и получить прибыль, эта положительная разница уже не столь очевидна. «Не думайте, что облака дешевле», — сказал в частной беседе один из первых российских клиентов IaaSпровайдера. Даже при построении частных «облаков» экономические выгоды растут из-за ТЕКСТ> ИГОРЬ КОСТЫЛЕВ, ОБОЗРЕВАТЕЛЬ «БО» повышения затрат на проектирование и специализированное программное обеспечение. Согласно опросу издания CIO Insight, 55% компаний при переходе к «облакам» отмечают рост затраты на виртуализацию, 50% — на информационную безопасность и еще 50% — на сетевое оборудование. Ни по одной из рассмотренных 23 статей IT-бюджета процент респондентов, у которых затраты сократились, не превысил долю тех, чьи затраты возросли. Впрочем, у провайдеров «облачных» услуг появился новый аргумент. Якобы основной фактор, который заказчики рассматривают как преимущество при переходе в «облако», — это гибкость и скорость решения бизнесзадач с помощью IT. Однако если говорить об аренде программного обеспечения, то есть SaaS, о производительности можно вообще не задумываться — она должна обеспечиваться автоматически. Зато бизнесу «в облаках» вроде бы не нужно заботиться о содержании избыточных компьютерных мощностей. Но не всегда дела обстоят именно так. Тот же самый российский клиент IaaS-провайдера рассказал, что быстрая масштабируемость оказалась иллюзией: «Мы можем получить максимум 30% прироста производительности, да и то не мгновенно». Гипотетическая безопасность Считается, что проблема безопасности — основная причина, по которой российские банки хотят в «облака». Но эту проблему можно разбить на две: действительное обеспечение безопасности данных и боязнь появления претензий со стороны регуляторов. Если первая сводится просто к использованию эффективных средств защиты как банком, так и провайдером, то со второй все значительно сложнее, потому что в требованиях регуляторов нет определенности. Многие рассматривают вступление в силу закона о защите персональных данных как основное препятствие для переноса систем в «облака». Но, во-первых, для банков уже действует еще и закон о банковской тайне, не менее строгий, чем 152-ФЗ. Во-вторых, оба этих закона уже успешно обходятся. Так, отвечая на вопрос о том, насколько соблюдается требование 152-ФЗ при идентификации клиента в «облачной» системе ДБО Faktura.ru, Андрей Фомичев, заместитель председателя правления ЦФТ, пояснил, что клиента идентифицирует банк при его посещении. ПЛАТФОРМЫ Но все же существует вероятность, что регулятор заинтересуется, насколько системы, размещенные в «облаке», соответствуют требованиям закона о персональных данных. «Облако» как инфраструктура не может быть сертифицировано по классу «информационных систем персональных данных», оно может стать лишь частью такой системы. И если устанавливается информационная система в IaaS-«облако», ее придется сертифицировать отдельно. Нужно сказать, что многие провайдеры — например Parking.ru — предлагают помощь в такой сертификации как часть сервиса, вплоть до высшего, первого класса ИСПДн. Другой российский провайдер, «Оверсан», заявляет, что на его платформе Scalaxy возможно построить информационную систему соответствующую требованиям 2-го класса ИСПДн. Ни по одной из статей IT-бюджета процент респондентов, у которых затраты при пользовании cloud computing сократились, не превысил долю тех, чьи затраты возросли В компании «Астерос», которая выступает как посредник «облачных» сервисов HP и предлагает услуги IaaS на основе ЦОДа, расположенного в Германии, говорят, что за рубежом не может обрабатываться служебная информация, находящаяся в собственности государства. Германия ратифицировала конвенцию о защите прав человека, и для возможности обработки персональных данных за рубежом этого достаточно. Получается, что трансграничная передача данных не накладывает на банки никаких дополнительных обязательств перед законом. Если же российский провайдер предоставляет услуги SaaS, то есть бизнес-приложения в «облаке», то ему придется позаботиться о сертификации своих систем по 152-ФЗ самостоятельно. В ЦФТ, например, сообщают, что Faktura.ru, прошел проверку ФТЭК, оценившей состояние работ по обеспечению безопасности персональных данных. В результате проверки сервис «Интернет-банк» получил сертификацию ИСПДн класса 3, сервис «Мобильный банк» — ИСПДн класса 4. Кроме того, для защиты от утечек данных в сети и на стороне провайдера банк может использовать криптографию. Это повышает затраты, но снимает много вопросов. ИЮЛЬ 2011 БАНКОВСКОЕ ОБОЗРЕНИЕ 89 Hard & Soft Сервисный подход Сервис до упада Ответственность провайдера перед клиентом — еще одна большая и больная тема. Ни один провайдер «облачных» услуг не возместит фактические потери от простоя бизнеса. Максимум, на что можно рассчитывать, — штрафные санкции, которые описываются в контракте. Возможно дополнительное описание ответственности провайдера в рамках соглашения об уровне сервиса (SLA). Трансграничная передача данных не накладывает на банки никаких дополнительных обязательств перед законом В то же время понятно, что доступность «облака» — далеко не константа, хоть вендоры и обещают вплоть до «пяти девяток», а в «Оверсан» заявляют, что uptime (время доступности) их инфраструктуры составляет 100%. Сбой в апреле 2011 года сервисов Amazon показал, что нельзя дать гарантий непрерывности бизнеса. В результате ошибки конфигурирования сети Amazon смог полностью восстановить работу «облака» только через трое суток. Случившееся наводит на мысль, что зависимость бизнеса от одного провайдера услуг неприемлема. Но если все-таки содержать свой собственный ЦОД и штат специалистов на случай сбоя «облака», то теряются преимущества. А возможностей для дублирования «облачных» провайдеров пока не видно. Для этого нужны четкие стандарты и единые интерфейсы взаимодействия, которых, увы, сейчас нет. Облачный тетрис Так уж получилось, что тот, кто первым вышел на рынок, стал законодателем мод, и эти негласные стандарты пока единственное, на что можно опираться. Так, российская компания «КРОК» использует как раз интерфейс Amazon EC2. Отсутствие стандартов в области организации «облачных» платформ ведет и к появлению еще одной очень существенной проблемы — затруднению в смене сервис-провайдера и, как следствие, к попаданию в полную зависимость, чего банки очень боятся. Но работы в направлении стандартизации «облачных» провайдеров ведутся. Недавно организация Open Data Center Alliance опубликовала два документа: «Обеспечение 90 БАНКОВСКОЕ ОБОЗРЕНИЕ ИЮЛЬ 2011 безопасности на стороне провайдера» (The Provider Security Assurance) и «Мониторинг соответствия требованиям безопасности» (The Security Monitoring), которые рекомендует к немедленному использованию всем 250 своим участникам. Если российские банкиры считают, что это все от банков слишком далеко, им стоит взглянуть на своих западных коллег, которые уже активно принимают участие в работах по стандартизации «облака». Так, например, в 2010 году глава отдела IT-стратегии ING Financial Services, Алан Бёме, стал членом правления организации Cloud Security Alliance, а Шон Келли, CIO подразделения по управлению активами Deutsche Bank, был выбран главой Enterprise Cloud Leadership Council. С другой стороны, «облако» пока весьма жестко в части фундамента. Виртуализация на деле не означает использования каких угодно приложений, а банковские системы предъявляют очень специфичные требования к платформе. Вот как для «БО» прокомментировали проблему в HP: «На пути всеобщего переноса приложений в «облака» есть ряд чисто технологических ограничений. Дело в том, что целый ряд банковских систем весьма ресурсоемки, используют высокопроизводительные high-end серверные платформы с сотнями процессорных ядер под единым образом коммерческого UNIX, высокопроизводительные high-end дисковые массивы и другие компоненты ЦОД, которые в открытом «облачном» доступе встречаются крайне редко. Это означает, что сервис-провайдеру придется формировать специализированное «облако» под конкретный банк, то есть, по сути, заниматься аутсорсингом. И хотя все эти трудности преодолимы, но степень «облачности» решения драматически сокращается: ресурсы становятся жестко закрепленными за одним заказчиком, от принципа «оплаты по мере использования» приходится отказываться». Несравненные услуги Как одно из наиболее важных качеств «облаков» выделяют типизацию услуг, возможность выбрать нужное количество сервисов с ясным пониманием стоимости каждого из них. Но и в этой области пока не все гладко. Единого формата представления каталога услуг нет, поэтому сравнить предложения разных сервис-провайдеров довольно сложно. В области IaaS нет единых приведенных параметров производительности, понятных бизнесу. Приходится рассматривать конкретные конфигу- ПЛАТФОРМЫ рации серверов. При этом можно оперировать такими параметрами как мощность процессора, объем оперативной памяти, объем диска, пропускная способность канала связи. Кроме того, отдельно требуется определять организационные параметры. Среди них в HP, например, отмечают: • время доступности платформы/приложения; • окно резервного копирования; • максимально допустимое время простоя; • учитываемые факторы риска; • требования к масштабируемости. У разных вендоров подход к ценообразованию в зависимости от этих параметров также может сильно отличаться. В более понятных бизнесу терминах бизнес-сервисов представляют свои услуги некоторые провайдеры SaaS. Например, ЦФТ заявляет, что, подключаясь к Faktura.ru, кредитная организация платит только за те сервисы, по которым совершаются операции. Но, опять же, нет единого набора сервисов, которые предоставляют разные провайдеры решений одного класса, поэтому сравнивать их предложения напрямую сложно. В чем сила, банк? Есть мнение, что, поскольку банки очень сильно зависят от IT-систем, их унификация может лишить банк конкурентных преимуществ, которые заложены в собственных решениях. Однако специфика российского бизнеса такова, что часто под «уникальностью» скрывают просто плохую организацию процессов, и, возможно, для начала их стоит подтянуть хотя бы до уровня лучших мировых практик, а затем уже думать о дополнительных конкурентных преимуществах. А вот Эйя Хольстрем из Gartner уверена, что через пять лет главным конкурентным преимуществом банка станут не IT-системы, а способность занять место в сознании клиента, чтобы побудить его как можно чаще пользоваться услугами именно этого банка. Границы применимости В «Оверсан» уверены, что на самом деле все зависит от желания и готовности банка к вынесению сервисов в «облако»: «Технически уже сегодня в cloud-среде реализуемы почти любые, в том числе высоконагруженные сервисы, требующие высочайшего уровня доступности, включая биллинговые и процессинговые центры. Однако в виду отсутствия практики подобных решений, а также из-за ряда стереотипов услугами «облака» банки пользуются исключительно как тестовой «Облако» в самой своей концепции аналогично фастфуду или ширпотребу — набор типизированных услуг для массового пользователя площадкой». В том же нынешнюю пользу от «облаков» для банков видит и IBM. В ЦФТ добавляют: «Почти все сервисы, которые связаны со сложными IT-процессами, банки постепенно будут выносить во внешнюю среду, в «облака», поручать специализированным процессинговым центрам и сервис-провайдерам. В первую очередь, по принципу «облака» будут строиться и уже строятся ДБО». Главным конкурентным преимуществом банка станут не IT-системы, а способность занять место в сознании клиента В то же время понятно, что помимо внешних, регуляторных требований есть еще требования со стороны клиентов, которые привыкли воспринимать банк как крепость. Как прокомментировал одну статью «БО» на тему «облаков» (см. №4, 2011) один из читателей, если клиент узнает, что банк хранит его деньги в «облаке», он найдет другой банк. Но забота об этом справедлива, пожалуй, только для крупных и корпоративных клиентов. В целом массового потребителя вряд ли интересует, где хранятся данные банка. Если вспомнить препятствия к выносу в «облако» кастомизированных банковских систем, можно прийти к выводу, что «облако» в самой своей концепции аналогично фастфуду или ширпотребу — набор типизированных услуг для массового пользователя. Именно это дает преимущества, и в этом его ниша.Б.О ИЮЛЬ 2011 БАНКОВСКОЕ ОБОЗРЕНИЕ 91