Почему мейнфреймы по-прежнему важны в цифровую эпоху банковского дела – интервью с Дженнифер Нельсон

Дженнифер Нельсон — генеральный директор izzi Software.

Откройте для себя главные новости и события финтеха!

Подписывайтесь на рассылку FinTech Weekly

Читают руководители JP Morgan, Coinbase, Blackrock, Klarna и других компаний

В индустрии, одержимой новейшими технологиями, легко забыть, что некоторые из самых прочных опор финансовой инфраструктуры существуют уже десятилетия. Хотя инновации в области финтеха часто воспринимаются как гонка за будущее, основа глобального банковского дела тихо остается закрепленной в системах, которые многие ошибочно считают реликвиями: мейнфреймах.

Это не просто вопрос ностальгии или корпоративной инерции. Мейнфреймы по-прежнему обрабатывают основную часть мировых финансовых транзакций, обладая надежностью и масштабируемостью, недоступной многим новым платформам. Их способность обрабатывать огромные объемы данных в реальном времени, не компрометируя безопасность, делает их незаменимыми в финансовой системе, которая зависит как от скорости, так и от доверия.

Тем не менее, их критическая роль часто недооценивается. В современном мире, где «облако — это по умолчанию», кажется противоречивым защищать устаревшие технологии. Но называние мейнфрейм системы наследием — упрощение гораздо более сложной реальности. Чтобы понять почему, нужно рассмотреть баланс между наследственными системами и современными тенденциями к гибридной инфраструктуре.

Обоснование модернизации с осторожностью

Финансовые институты под постоянным давлением модернизироваться. Инвесторы, клиенты и регуляторы ожидают бесшовных цифровых сервисов, усиленной безопасности и все более высокой скорости работы. Для многих руководителей соблазн — активно внедрять изменения — избавляться от старых систем и полностью переходить в облако.

Но модернизация — это не просто технический проект. Это стратегическая задача, сопряженная с рисками, если ее выполнять поспешно. Данные, которые десятилетиями хранились безопасно внутри мейнфрейм-среды, становятся уязвимыми при их переносе в другие системы. Приложения, оптимизированные для мейнфрейма, могут столкнуться с проблемами при миграции, что приведет к дорогостоящим задержкам. Эти риски — не гипотетические — они угрожают ежедневной работе, соблюдению регуляторных требований и даже доверию клиентов.

Вывод очевиден: настоящая модернизация — это не о полном уничтожении старого ради нового. Это о сочетании сильных сторон, аккуратном поэтапном обновлении и обеспечении того, чтобы следующий шаг не разрушил уже налаженные процессы.

Пробел в навыках с реальными последствиями

Технологии развиваются быстрее, чем растет число специалистов, умеющих их поддерживать. Особенно это заметно в области мейнфреймов. Годы банки и финансовые учреждения полагались на команду инженеров с глубокими знаниями систем IBM Z и связанных платформ. По мере выхода на пенсию многих из этих специалистов, новое поколение еще не полностью восполнило их навыки.

Это создает серьезную проблему. Недостаток экспертизы увеличивает риск дорогостоящих ошибок, даже при наличии защитных мер. Надежность мейнфреймов не может полностью компенсировать человеческий фактор. Пока не подготовлены новые инженеры и не пройдут наставничество, банки будут сталкиваться с уязвимостями — не из-за самой технологии, а из-за сокращающегося числа специалистов, умеющих безопасно ее использовать.

Безопасность — это в первую очередь люди

Когда речь заходит о кибербезопасности, основное внимание уделяется инструментам и защите. Но зачастую слабые места — в человеческом поведении. В мире мейнфреймов это часто связано с тем, как предоставляются, управляются и отменяются права доступа.

Разработчики, не полностью понимающие последствия повышенных привилегий, могут оставить двери открытыми не из злого умысла, а из-за недостаточной подготовки или удобства. Компании, не обновляющие права при смене ролей сотрудников, рискуют раскрыть чувствительные данные без необходимости. Даже при наличии современных технологий основы безопасности остаются важнейшими — и зачастую их игнорируют.

Представляем Дженнифер Нельсон

Чтобы понять эти вызовы и возможности, мы обратились к Дженнифер Нельсон, генеральному директору Izzi Software. Нельсон построила свою карьеру вокруг мейнфреймов, работая 15 лет в Rocket Software и пять лет в BMC, а затем расширила свои знания, занимая руководящие инженерные должности за пределами экосистемы IBM Z. В 2024 году она основала Izzi Software — компанию, занимающуюся приобретением и развитием бизнесов на базе платформ IBM Z и IBM Power.

Ее взгляд — охватывающий как традиционные инженерные решения для мейнфреймов, так и современные программные стратегии — делает ее редким голосом в сегодняшних дискуссиях о технологической стратегии в финансовых услугах.

Приятного чтения интервью!

1. В то время как финтех гонится за облачными решениями, вы утверждаете, что мейнфрейм остается важным для стабильности глобальных банков. Что, по вашему мнению, большинство новаторов неправильно понимает о роли старых систем сегодня?

Первое — это считать мейнфрейм наследием; что, поскольку ему более 60 лет, он устарел. Это как называть операционную систему Windows устаревшей платформой. Это не соответствует реальности. Мейнфреймы сегодня более актуальны, чем при их создании.

Все хотят получать данные на скорости света. Они хотят, чтобы данные возвращались мгновенно после нажатия кнопки, независимо от того, где эти данные находятся. И это правильно, потому что конечный пользователь не должен знать и не обязан знать сложности своего запроса, например, где расположены данные. Но только мейнфреймы могут обеспечить такую производительность и безопасность в гибридной среде.

Мейнфреймы могут принимать данные в любом месте, анализировать их и возвращать с рекомендациями быстрее и лучше любой другой платформы. Покажите мне другую систему, которая может получать данные из глобальной сети, анализировать их, обнаруживать аномалии в реальном времени и сразу отправлять обратно.

Тот, кто лучше знает свои данные, побеждает, потому что данные — как наличные деньги. Когда новаторы называют мейнфреймы наследием, они недооценивают их скорость, мощь и способность обрабатывать огромные объемы данных в реальном времени для обнаружения рисков.

Люди думают, что облако — это революция и современно, а мейнфреймы устарели. Концепция облачных вычислений действительно современна и революционна для многих. Но если вы знакомы с технологиями мейнфреймов, вы заметите, что они имеют много схожих характеристик с облаком. Например, при входе в мейнфрейм вы входите в TSO, что означает «time sharing option». У вас есть собственная сессия TSO или экземпляр Microsoft Teams.

Вы все используете одни и те же процессоры на мейнфрейме. Но когда вы не запускаете программу или пакетную задачу, ресурсы распределяются тем, кто в них нуждается. Вы также входите в LPAR — логический раздел, с выделенным хранилищем, безопасностью и конфиденциальностью. Пользователи одного LPAR не могут получить доступ к данным другого, если специально не настроено иначе. В этом и заключается суть облака: совместное использование ресурсов, когда они не используются, и защита данных, выделенных для вашей среды. Но эти концепции мейнфреймы используют уже много лет.

2. Гибридная инфраструктура — сочетание мейнфреймов с новыми облачными слоями — становится нормой. Исходя из вашего опыта, какие реальные риски возникают при слишком быстром или поверхностном модернизации?

Из множества рисков я могу выделить два.

Первый — риск утечки данных. Данные на мейнфрейме — одни из самых защищенных. Перенос их за пределы или их видимость для сторонних создает риск нарушения конфиденциальности и соответствия регуляциям. Кто их просматривает? Куда они уходят после выхода из мейнфрейма?

Второй — риск неправильной оптимизации приложений для гибридной среды. Приложения, оптимизированные для мейнфрейма, могут работать неэффективно на другом сервере. Задержки и проблемы с производительностью могут снизить эффективность.

3. Вы подняли вопрос о нехватке специалистов по мейнфреймам. Насколько серьезен риск для институциональной безопасности, когда все меньше инженеров умеют управлять и защищать системы, на которых все еще зависят финансы?

Риск очень высок. Новые разработчики — не только молодые, но и те, кто только вошел в индустрию — учатся и развивают свои навыки. Но пока новое поколение не догонит, у финансовых институтов останутся уязвимости, связанные с недостаточной глубиной институциональных знаний.

Люди с поверхностными знаниями могут случайно причинить вред данным или системе. Эти системы устойчивы и имеют несколько уровней защиты от человеческих ошибок, но риск все равно есть, пока навыки не достигнут нужного уровня. Банки уже сегодня борются с этим пробелом.

4. Вопросы безопасности часто сосредоточены на инструментах, но вы указываете, что люди — это фронт. Какие операционные пробелы вы чаще всего замечаете в управлении мейнфрейм-средами?

Управление средами обычно связано с повышенными правами доступа. Когда разработчик пишет код, ему иногда нужны повышенные привилегии для выполнения определенных операций в ОС, чтобы активировать более чувствительные функции. Если разработчик неправильно понимает лучшие практики, он может оставить двери открытыми, не из злого умысла, а из-за недостаточной подготовки или удобства. Компании, не обновляющие права при смене ролей сотрудников, рискуют раскрыть чувствительные данные без необходимости. И даже при наличии технологий, основы безопасности остаются важнейшими — и их часто игнорируют.

Также есть базовые принципы безопасности, которые нужно соблюдать в любой ИТ-сети. Предоставляя кому-то особые полномочия, необходимо иметь четкий процесс их удаления при смене роли, чтобы исключить доступ. Обычно это не проблема, если человек все еще сотрудник или не злоумышленник. Но риск есть, когда чувствительные данные остаются доступными тем, кому они уже не нужны.

Кроме того, системные наборы данных мейнфрейма позволяют выполнять базовые операции с системой. Некоторые пользователи должны иметь доступ только к определенным функциям. Например, некоторые настройки безопасности можно менять только на более глубоком уровне ОС. Удивительно, как часто компании оставляют базовые принципы безопасности без внимания. Есть способы выполнять работу без доступа к этим корневым ресурсам, но проще работать с полным доступом, и компании оставляют «заднюю дверь» открытой больше, чем следовало бы.

Большинство сотрудников можно доверять, но эти фундаментальные принципы некоторые финучреждения игнорируют или забывают.

5. Атаки программ-вымогателей сейчас нацелены не только на конечные точки, но и на ядро инфраструктуры. Что делает устаревшие системы особенно уязвимыми — и в некоторых случаях, более устойчивыми — по сравнению с новыми платформами?

Мейнфреймы имеют встроенные уровни безопасности, которых лишены большинство серверов. Просто войти в мейнфрейм — не значит получить доступ к критически важным данным, которые обычно блокируют ransomware. Нужно знать, где эти данные, и как к ним получить доступ. И данные могут быть разделены на сегменты, так что злоумышленник получит доступ только к части данных, а не ко всему, что нужно для успешной атаки. А если у вас нет доступа к устройству хранения, вы не увидите данных на нем.

6. Исходя из вашего опыта, как выглядит эффективная модернизация для финансовых институтов, которые не могут позволить себе «разорвать и заменить», но должны подготовиться к будущему?

Модернизация — это разное для каждой компании, в зависимости от состояния их приложений. Будь то B2B или B2C, компании постоянно обновляют серверы и ноутбуки.

То же самое касается критически важных приложений. Компания может периодически их обновлять, но поскольку традиционные мейнфрейм-приложения созданы много поколений назад, лучший подход — полностью оценить, что делает каждое приложение, и поэтапно внедрять обновления.

Можно разбить приложение на части, постепенно обновляя и переписывая его функции по мере возможности. Если рассматривать модернизацию как непрерывный процесс, желание улучшать и совершенствовать станет постоянным.

Руководство должно иметь проактивный подход. Вопросы: «Что мы можем сделать сейчас? Что можем внедрить в этом году? Что — в ближайшие два года?» — это лучше, чем «как полностью переписать все».

Нужно постепенно развивать системы, начиная с одной функции критически важного приложения, и добавляя остальные по мере возможности. Постепенные изменения — залог успеха.

Разорвать и заменить — один из вариантов. Звучит жестко и радикально, но по сути — это просто перестать использовать одну систему и начать другую. Руководство должно быть готово к крупным переменам и одобрить бюджет. На самом деле, это скорее «замена», потому что процесс может занять годы.

7. Для руководителей, привыкших к облачному подходу, что самое важное изменение в мышлении при работе с критически важными мейнфрейм-системами?

Понять, что именно делает мейнфрейм. Гиппократова клятва говорит «прежде, чем навредить», поэтому важно понять, за что отвечает мейнфрейм, чтобы не допустить ошибок, наносящих вред. Когда те, кто ориентируется на облако, поймут, какие транзакции поступают в мейнфрейм, их характер и насколько доходы компании зависят от этих транзакций, они смогут избегать ошибок, которые могут повредить эффективности и прибыльности компании.