Почему мейнфреймы по-прежнему важны в цифровую эпоху банковского дела — интервью с Дженнифер Нельсон

Дженнифер Нельсон является CEO компании izzi Software.

Узнайте последние новости и события в финтехе!

Подпишитесь на новостную рассылку FinTech Weekly

Читают руководители в JP Morgan, Coinbase, Blackrock, Klarna и других

В индустрии, одержимой новой волной технологий, легко забыть, что некоторые из самых прочных опор финансовой инфраструктуры стоят уже десятилетия. Хотя инновации в финтехе часто представляют как гонку в будущее, основа глобального банковского дела тихо остается привязанной к системам, которые многие ошибочно считают реликвиями: мэйнфреймам.

Это не просто вопрос ностальгии или корпоративной инерции. Мэйнфреймы по-прежнему обрабатывают основную массу мировых финансовых транзакций с надежностью и масштабируемостью, которые не могут сопоставиться с многими новыми платформами. Их способность обрабатывать огромные объемы данных в реальном времени, не жертвуя безопасностью, сделала их незаменимыми в финансовой системе, зависящей как от скорости, так и от доверия.

Тем не менее, несмотря на их критическую роль, мэйнфреймы часто непонимают. В сегодняшнем климате, где “облачное первое” - это стандартный мантра, может показаться противоречивым защищать старые технологии. Но называть мэйнфрейм наследственной системой упрощает гораздо более сложную правду. Чтобы понять почему, нам нужно рассмотреть баланс между наследственными системами и современным стремлением к гибридным инфраструктурам.

Аргументы за модернизацию с осторожностью

Финансовые учреждения испытывают неустанное давление к модернизации. Инвесторы, клиенты и регуляторы ожидают бесшовных цифровых услуг, жесткой безопасности и все более быстрой производительности. Для многих руководителей искушение заключается в том, чтобы активно добиваться изменений — избавляться от старых систем и полностью переходить в облако.

Но модернизация — это не просто технический проект. Это стратегическое начинание, которое несет риски, если его выполнять поспешно. Данные, которые безопасно хранились в среде мэйнфрейма в течение десятилетий, становятся уязвимыми в тот момент, когда они передаются в другое место. Приложения, оптимизированные для мэйнфрейма, могут дать сбои при миграции, что приведет к дорогостоящим задержкам. Эти риски более чем гипотетические — они угрожают повседневной деятельности, соблюдению нормативных требований и даже доверию потребителей.

Урок ясен: истинная модернизация заключается не в том, чтобы вырывать старое ради нового. Это о том, чтобы интегрировать сильные стороны, осторожно внедрять обновления и гарантировать, что следующий шаг вперед не дестабилизирует то, что уже работает.

Разрыв в навыках с реальными последствиями

Технологии развиваются быстрее, чем экспертиза, необходимая для их поддержки. Нигде это не так очевидно, как в области мэйнфреймов. На протяжении многих лет банки и финансовые учреждения полагались на группу инженеров с глубокими институциональными знаниями систем IBM Z и сопутствующих платформ. Поскольку многие из этих экспертов выходят на пенсию, следующее поколение еще не полностью замещает их навыки.

Это создает серьезную проблему. Поверхностный уровень экспертизы увеличивает риск дорогостоящих ошибок, даже когда защиты находятся на месте. Устойчивость мэйнфреймов не может полностью компенсировать человеческий фактор. Пока новые инженеры не будут обучены и наставлены, банки будут сталкиваться с уязвимостями не из-за самой технологии, а из-за сужающегося пула профессионалов, которые знают, как безопасно ее использовать.

Безопасность по-прежнему зависит от людей

Когда возникают разговоры о кибербезопасности, большая часть внимания сосредоточена на инструментах и защитах. Тем не менее, снова и снова настоящие слабости возникают из-за человеческого поведения. В мире мэйнфреймов это часто сводится к тому, как предоставляются, управляются и отзываются разрешения.

Разработчики, которые не полностью понимают последствия повышенных разрешений, могут оставить двери открытыми не из злого умысла, а из-за неполного обучения или удобства. Компании, которые не обновляют доступ, когда сотрудники меняют роли, могут ненужно раскрывать конфиденциальные данные. Даже с использованием сложных технологий основы безопасности остаются важными — и слишком часто игнорируются.

Представляем Дженнифер Нельсон

Чтобы поставить эти вызовы и возможности в контекст, мы обратились к Дженнифер Нельсон, CEO компании Izzi Software. Нельсон построила свою карьеру вокруг систем мэйнфреймов, проработав 15 лет в Rocket Software и пять лет в BMC, прежде чем расширить свою перспективу через старшие инженерные роли вне экосистемы IBM Z. В 2024 году она основала Izzi Software, компанию, посвященную приобретению и развитию бизнеса, основанного на платформах IBM Z и IBM Power.

Ее точка зрения — охватывающая традиционное инженерное дело мэйнфреймов и современное лидерство в программном обеспечении — делает ее редким голосом в сегодняшнем разговоре о технологической стратегии в финансовых услугах.

Наслаждайтесь интервью!

1. В то время как финтех стремится к облачно-ориентированному всему, вы утверждали, что мэйнфрейм остается критически важным для стабильности глобального банковского дела. Что, по вашему мнению, большинство новаторов ошибочно понимает о роли старых систем сегодня?

Первое, что они понимают неправильно — это называть мэйнфрейм наследственной системой; что поскольку они были запущены более 60 лет назад, они каким-то образом устарели. Это все равно что называть операционную систему Windows наследственной платформой. Это просто не реальность. Мэйнфреймы более актуальны сегодня, чем когда-либо были в момент своего изобретения.

Все хотят данные со скоростью света. Они хотят, чтобы данные возвращались к ним, как только они нажимают кнопку, независимо от того, где находятся эти данные. И это правильно, потому что конечный потребитель не знает и не должен знать о сложностях их запроса, таких как местоположение данных. Но только мэйнфреймы могут предоставить вам производительность и безопасность в гибридной среде.

Мэйнфреймы могут поглощать данные откуда угодно, анализировать их и возвращать с рекомендациями, лучше, чем любая другая платформа, и быстрее. Покажите мне другую систему, которая может поглощать данные из всей глобальной сети, анализировать их, обнаруживать аномалии в реальном времени и отправлять их обратно вызывающему.

Тот, кто лучше всего знает свои данные, побеждает, потому что данные столь же ценны, как и денежный капитал. Когда новаторы отказываются от мэйнфреймов как от наследственных систем, они отказываются от их скорости и мощности, а также способности обрабатывать огромные объемы данных со скоростью, необходимой для обнаружения рисков в реальном времени.

Люди думают, что облако изменило правила игры и современно, а мэйнфреймы устарели по сравнению с ними. Концепция облачных вычислений в сети действительно современна и меняет правила игры для многих. Но если вы знакомы с технологией мэйнфреймов, пользователи поймут, что у нее много таких же характеристик, как у облака. Например, когда вы входите в мэйнфрейм, вы входите в TSO, что означает “вариант совместного использования времени”. У вас есть своя собственная сессия TSO или экземпляр Microsoft Teams.

Вы все используете одни и те же процессоры на мэйнфрейме. Но когда вы не запускаете программу или пакетную задачу, мощность предоставляется тем, кто в ней нуждается. Вы также входите в LPAR, или логическую партицию, с выделенной памятью, безопасностью и конфиденциальностью. Пользователи на одной LPAR не могут получить доступ к данным на другой LPAR, если это не настроено специально. Вот что такое облако в своей основе; совместное использование ресурсов, когда вы ими не пользуетесь, и обеспечение безопасности данных, выделенных вашему экземпляру. Но мэйнфрейм использует эти концепции на протяжении многих лет.

2. Гибридная инфраструктура — смешение мэйнфреймов с новыми облачными слоями — становится нормой. Исходя из вашего опыта, какие реальные факторы риска возникают, когда организации пытаются модернизироваться слишком быстро или поверхностно?

Из множества факторов риска я могу свести это к двум.

Первый риск — это потребление данных. Данные на мэйнфрейме являются одними из самых защищенных данных в мире. Когда вы снимаете их с мэйнфрейма или делаете видимыми для кого-то, кто поглощает эти данные, возникает риск для конфиденциальности данных и соблюдения нормативных требований. Кто на них смотрит? Куда они идут, когда покидают мэйнфрейм?

Второй риск заключается в оптимизации приложений для работы в гибридной среде. Приложения, оптимизированные для мэйнфрейма, могут в конечном итоге работать неэффективно на другом сервере. Проблемы с задержкой и производительностью могут повредить производительности.

3. Вы подняли тревогу о разрыве в навыках в области экспертизы мэйнфреймов. Насколько серьезен институциональный риск, когда меньше инженеров знают, как работать с системами и обеспечивать их безопасность, на которые по-прежнему полагаются финансовые учреждения?

Риск серьезен. Новые разработчики — не только молодые, но и те, кто нов в индустрии — будут учиться и развивать свои навыки. Но пока следующее поколение не догонит, в финансовых учреждениях будет уязвимость в течение некоторого времени, когда институциональные знания не так глубоки, как это необходимо.

Люди с поверхностным опытом или знаниями могут непреднамеренно сделать что-то, что приведет к риску для данных или операционной системы. Эти системы устойчивы и имеют несколько уровней защиты от человеческих ошибок, но все равно существует значительный риск, пока навыки не достигнут необходимого уровня. Банки уже сегодня борются с этой нехваткой навыков.

4. Разговоры о безопасности часто сосредоточены на инструментах, но вы указали, что люди по-прежнему находятся на переднем плане. Какие операционные слепые зоны вы видели, появляющиеся чаще всего в управлении средами мэйнфреймов?

Управление соответствующими средами обычно сосредоточено вокруг повышенных разрешений. Когда программист пишет код, им иногда нужно повышенное разрешение, чтобы сделать что-то конкретное в операционной системе, где они могут включить программу, чтобы сделать что-то более чувствительное. Если инженер неправильно понимает лучшие практики разработчика при написании программного обеспечения, он не будет знать, когда выходить из этого повышенного авторизованного состояния. Это состояние несет больше рисков, поэтому инженеры не остаются в нем достаточно долго, чтобы полностью понять лучшие практики при разработке для этой системы.

Существуют также некоторые основные лучшие практики безопасности, которые следует использовать в любой ИТ-сети. Когда вы предоставляете специальное разрешение кому-то в определенной роли, вам нужен четкий процесс для его удаления, когда они меняют роли, чтобы гарантировать, что вы убираете доступ. Большую часть времени это не проблема, если они все еще являются сотрудником компании или не являются плохим актером. Но всегда существует риск, когда слишком много чувствительных данных доступно людям, которые больше не нуждаются в них.

Более того, наборы данных на уровне системы мэйнфрейма позволяют пользователям выполнять основные действия с системой. Вы хотите, чтобы только определенные пользователи имели доступ к этим функциям. Например, некоторые средства безопасности могут быть переключены только на более глубоких уровнях операционной системы. Вы будете удивлены тем, как часто компании оставляют основные принципы безопасности без проверки. Существуют способы для инженеров выполнять свою работу без доступа к этим ресурсам на уровне корня, но работать с таким уровнем доступа проще, поэтому компании оставляют заднюю дверь открытой больше, чем следует.

Большинство сотрудников можно доверять, но это основные принципы, которые некоторые финансовые учреждения оставляют открытыми и забывают о них.

5. Атаки программ-вымогателей нацелены не только на конечные точки, но и на основную инфраструктуру. В чем уникальная уязвимость наследственных систем — и в некоторых случаях их устойчивость — по сравнению с новыми платформами?

У мэйнфреймов есть встроенные уровни безопасности, которых нет у большинства серверов. Просто потому, что вы можете войти в мэйнфрейм, не означает, что у вас теперь есть доступ к критически важным данным бизнеса, которые обычно блокируются программами-вымогателями. Вам нужно знать, где находятся данные и как получить к ним доступ. А также данные могут быть сегментированы, так что злоумышленник получает доступ только к части данных, а не ко всему, что ему нужно для успешной атаки программой-вымогателем. И если у вас нет доступа к устройству хранения, вы не можете увидеть данные на этом устройстве.

6. Исходя из вашего опыта, какова эффективная модернизация для финансовых учреждений, которые не могут позволить себе “вырывать и заменять”, но должны быть готовыми к будущему?

Модернизация означает разные вещи в разных компаниях в зависимости от того, на какой стадии находятся приложения, которые они запускают. Будь то B2B или B2C, компании постоянно модернизируются, обновляя серверы и ноутбуки.

То же самое происходит и с критически важными бизнес-приложениями. Компания может периодически обновлять эти приложения, но поскольку традиционные приложения мэйнфреймов разрабатывались поколениями назад, лучшее, что могут сделать компании, это полностью оценить, что каждое приложение делает от начала до конца. Таким образом, они могут модернизировать их поэтапно в управляемых частях.

Компании могут разделить приложение на части, чтобы различные функции обновлялись и переписывались медленно с течением времени по мере возможностей. Если вы рассматриваете модернизацию как постоянный процесс, стремление к улучшению и итерациям становится непрерывным.

Руководители всегда должны иметь проактивный подход. Вопросы должны быть: “Что мы можем сделать сейчас? Что мы можем сделать в этом году? Что мы можем сделать в следующие два года?” Это лучший подход, чем “как мы можем переписать это целиком?”

Вы должны итеративно работать над системами и развивать их со временем. Начните с переписывания одной функции критически важного приложения, затем добавьте остальные функции, как только сможете. Поэтапно введите изменения небольшими шагами.

“Вырывать и заменять” — это один из вариантов. Это звучит грубо и жестоко, но на самом деле это просто означает прекратить использовать одну систему для использования другой. Но руководству нужно иметь смелость к кардинальным изменениям сразу и утвердить бюджет. Правда в том, что это скорее просто “замена”, потому что процесс может занять годы.

7. Для технических лидеров, приходящих с менталитетом “облако первым”, что вы бы сказали, является самым важным сдвигом в мышлении при взаимодействии с критически важными системами мэйнфреймов?

Узнайте, что на самом деле делает мэйнфрейм. Гиппократов клятва говорит, что в первую очередь не навреди, так что узнайте, за что отвечает мэйнфрейм, чтобы избежать вредных ошибок. Как только те, кто придерживается менталитета “облако первым”, поймут все аспекты транзакций, поступающих в мэйнфрейм, характер этих транзакций и насколько доход компании зависит от этих транзакций, они будут понимать и знать, как избежать ущерба для производительности и прибыльности своей компании.

О Дженнифер Нельсон

Дженнифер Нельсон провела большую часть своей карьеры в области мэйнфреймов, включая 15 лет в Rocket Software и пять лет в BMC. В 2019 году она перешла на старшие инженерные роли в глобальных технологических компаниях вне экосистемы Z Systems, расширив свою перспективу и набор навыков. В начале 2024 года Нельсон начала закладывать основы для того, что станет Izzi Software, компании, сосредоточенной на приобретении и развитии программных бизнесов, построенных на платформах IBM Z и IBM Power.