Чому мейнфрейми все ще важливі в цифрову еру банкінгу – Інтерв’ю з Дженніфер Нельсон

Дженніфер Нельсон — генеральний директор izzi Software.

Відкрийте для себе найкращі новини та події у фінтеху!

Підпишіться на інформаційний бюлетень FinTech Weekly

Читають керівники в JP Morgan, Coinbase, Blackrock, Klarna та багатьох інших

У індустрії, яка одержима найновішою хвилею технологій, легко забути, що деякі найміцніші опори фінансової інфраструктури існують уже десятиліттями. Хоча інновації у фінтеху часто подають як гонитву в майбутнє, основа глобального банкінгу тихо й досі закріплена в системах, які багато хто помилково вважає пережитками: у мейнфреймі.

Це не лише питання ностальгії або корпоративної інерції. Мейнфрейми й досі обробляють основну масу фінансових транзакцій у світі — із надійністю та масштабованістю, які не зрівняються з багатьма новішими платформами. Їхня здатність опрацьовувати величезні обсяги даних у реальному часі, не ставлячи під загрозу безпеку, зробила їх незамінними в фінансовій системі, яка однаково залежить і від швидкості, і від довіри.

Та попри їхню критично важливу роль, мейнфрейми часто неправильно розуміють. У сьогоднішньому середовищі, де «cloud-first» є за замовчуванням, може здаватися контрінтуїтивним захищати старіші технології. Але називати мейнфрейм застарілою системою — це спрощення набагато складнішої правди. Щоб зрозуміти чому, потрібно розглянути баланс між системами спадщини та сучасним рухом до гібридних інфраструктур.

Аргументи на користь модернізації з обережністю

Фінансові установи зазнають безперервного тиску, щоб модернізуватися. Інвестори, клієнти та регулятори очікують безперебійних цифрових сервісів, посиленої безпеки та дедалі швидшої продуктивності. Для багатьох лідерів спокуса — рішуче прагнути змін — відмовитися від старих систем і перейти повністю в хмару.

Але модернізація — це не просто технічний проєкт. Це стратегічне рішення, яке несе ризики, якщо виконувати його поспішно. Дані, які десятиліттями зберігалися надійно в середовищі мейнфрейму, стають видимими одразу, як їх передають в інше місце. Додатки, оптимізовані під мейнфрейм, можуть працювати гірше під час міграції, спричиняючи дорогі проблеми з затримками. Ці ризики — не гіпотетичні: вони загрожують щоденним операціям, дотриманню регуляторних вимог і навіть довірі споживачів.

Урок очевидний: справжня модернізація — це не про те, щоб вихопити старе на користь нового. Це про поєднання сильних сторін, обережне поетапне оновлення та забезпечення, щоб наступний крок уперед не дестабілізував те, що вже працює.

Дефіцит навичок із реальними наслідками

Технології розвиваються швидше, ніж потрібна експертиза для їх підтримки. Ніде це не так помітно, як у мейнфрейм-сфері. Протягом багатьох років банки та фінансові установи покладалися на пул інженерів із глибокими інституційними знаннями систем IBM Z та пов’язаних платформ. Коли значна частина цих фахівців виходить на пенсію, наступне покоління ще не повністю замістило їхній набір навичок.

Це створює серйозний виклик. Неглибока «запасна лавка» експертизи збільшує ризик дорогих помилок навіть за наявності захистів. Надійність мейнфреймів не може повністю компенсувати людський фактор. Поки нових інженерів не навчать і не наставлятимуть, банки стикатимуться вразливостями не через саму технологію, а через звуження пулу професіоналів, які знають, як безпечно нею користуватися.

Безпека все ще про людей

Коли розмови про кібербезпеку з’являються, значна частина уваги зосереджується на інструментах і захистах. Та знову й знову справжні слабкості походять із поведінки людей. У мейнфрейм-світі це часто зводиться до того, як видаються дозволи, як ними керують і як їх відкликають.

Розробники, які не повністю розуміють наслідки підвищених дозволів, можуть залишати «відкриті двері» — не зі злого наміру, а через неповне навчання або з міркувань зручності. Компанії, які не оновлюють доступ, коли співробітники змінюють ролі, можуть без потреби розкривати чутливі дані. Навіть за наявності продуманої технології базові принципи безпечної гігієни залишаються критично важливими — і надто часто їх ігнорують.

Знайомство з Дженніфер Нельсон

Щоб помістити ці виклики та можливості в контекст, ми звернулися до Дженніфер Нельсон, CEO Izzi Software. Нельсон побудувала кар’єру навколо мейнфрейм-систем, провівши 15 років у Rocket Software і п’ять років у BMC, перш ніж розширити свій погляд через керівні ролі в інженерії поза екосистемою IBM Z. У 2024 році вона заснувала Izzi Software — компанію, присвячену придбанню та розвитку бізнесів, побудованих на платформах IBM Z та IBM Power.

Її позиція — між традиційною мейнфрейм-інженерією та сучасним лідерством у програмному забезпеченні — робить її рідкісним голосом у нинішній розмові про технологічну стратегію в фінансових послугах.

Приємного читання інтерв’ю!

1. Поки fintech мчить до всього cloud-native, ви стверджували, що мейнфрейм лишається критично важливим для стабільності глобального банкінгу. Що, на вашу думку, найбільше помиляються нинішні новатори в ролі старіших систем?

Перше, що вони роблять неправильно, — називають мейнфрейм застарілою системою; мовляв, раз його запустили понад 60 років тому, він нібито застарів. Це як назвати операційну систему Windows застарілою платформою. Це просто не відповідає реальності. Сьогодні мейнфрейми актуальніші, ніж на момент, коли їх уперше винайшли.

Усі хочуть дані зі швидкістю світла. Вони хочуть, щоб дані поверталися їм одразу, щойно вони натиснули кнопку — незалежно від того, де саме ці дані знаходяться. І це справедливо, тому що кінцевий споживач не знатиме (і не має знати) складність запиту — зокрема, де саме розміщені дані. Але лише мейнфрейми можуть надати вам продуктивність і безпеку в гібридному середовищі.

Мейнфрейми можуть приймати дані звідки завгодно, де вони лежать, аналізувати їх і повертати результат назад, включно з рекомендаціями — краще за будь-яку іншу платформу й швидше. Покажіть мені іншу систему, здатну приймати дані з усього глобального мережевого простору, аналізувати їх, виявляти аномалії в реальному часі й одразу надсилати це назад тому, хто звернувся.

Той, хто найкраще знає свої дані, виграє, тому що дані такі ж цінні, як грошовий капітал. Коли новатори відкидають мейнфрейми як застарілі системи, вони відкидають їхню швидкість і потужність, а також здатність обробляти величезні обсяги даних із тією швидкістю, яка потрібна для виявлення ризиків у реальному часі.

Люди думають, що хмара зробила справжній прорив і стала сучасною, а мейнфрейми — застарілими в порівнянні. Концепція хмарних обчислень у мережі справді для багатьох є сучасною й такою, що змінює правила гри. Але якщо ви знайомі з технологією мейнфрейму, користувачі впізнають, що вона має багато тих самих характеристик, що й хмара. Наприклад, коли ви заходите в мейнфрейм, ви входите в TSO — скорочення від “time sharing option” (опція розподілу часу). У вас є власна сесія TSO, або Microsoft Teams ‘instance’.

Ви всі використовуєте ті самі процесори на мейнфреймі. Але коли ви не запускаєте програму чи пакетне завдання, потужність надають тим, кому вона потрібна. Ви також входите в LPAR — або logical partition (логічний розділ) — з виділеним сховищем, безпекою та конфіденційністю. Користувачі з одного LPAR не можуть отримати доступ до даних іншого LPAR, якщо це не налаштовано спеціально. Саме такою є хмара в своїй основі: спільний доступ до ресурсів, коли ви ними не користуєтеся, і захист даних, виділених для вашого екземпляра. Але мейнфрейм використовує ці концепції роками.

2. Гібридна інфраструктура — змішування мейнфреймів із новішими хмарними рівнями — стає нормою. З огляду на ваш досвід, які реальні фактори ризику з’являються, коли організації намагаються модернізуватися надто швидко або поверхово?

З кількох факторів ризику я можу звести їх до двох.

Перший ризик — споживання даних. Дані на мейнфреймі — це одні з найзахищеніших даних де завгодно. Коли ви знімаєте їх із мейнфрейму або робите їх видимими для когось, хто завантажуватиме ці дані, виникає ризик для конфіденційності даних і регуляторних вимог. Хто на них дивиться? Куди вони потрапляють, коли виходять за межі мейнфрейму?

Другий ризик — оптимізація додатків для роботи в гібридному середовищі. Додатки, оптимізовані для мейнфрейму, можуть у підсумку працювати неоптимально на іншому сервері. Проблеми із затримками та продуктивністю можуть зашкодити продуктивності.

3. Ви піднімали тривогу щодо дефіциту навичок у сфері експертизи з мейнфреймів. Наскільки серйозний інституційний ризик, коли менше інженерів знає, як керувати та забезпечувати безпеку систем, від яких і досі залежать фінансові установи?

Ризик є суттєвим. Нові розробники — не лише молодші, а й ті, хто тільки прийшов в індустрію — будуть вчитися та нарощувати експертизу. Але доки наступне покоління не наздожене, у фінансових установах певний час буде вразливість, коли інституційних знань недостатньо глибоко, як того потрібно.

Люди з неглибоким рівнем досвіду або знань можуть інколи робити речі ненавмисно, створюючи ризик для даних або для операційної системи. Ці системи стійкі та мають кілька рівнів захисту від людських помилок, але ризик усе одно значний, доки навички не стануть на тому рівні, який потрібен. Банки вже сьогодні борються з цим дефіцитом навичок.

4. Розмови про безпеку часто зосереджуються на інструментах, але ви вказали, що люди все ще є «першою лінією». Які операційні сліпі зони ви найчастіше бачили, що виникають у керуванні середовищами мейнфреймів?

Керування релевантними середовищами зазвичай зосереджується навколо підвищених дозволів. Коли програмний інженер пише код, інколи йому потрібно мати підвищений дозвіл, щоб зробити щось конкретне в операційній системі, де він може увімкнути програмі можливість виконувати щось більш чутливе. Якщо інженер неправильно розуміє найкращі практики розробника під час написання програмного забезпечення, він не знатиме, коли переходити в і з цього підвищеного авторизованого стану. Цей стан несе більше ризику, тож інженери не залишатимуться в ньому достатньо довго, щоб повністю зрозуміти найкращі практики під час розробки для цієї системи.

Є також деякі фундаментальні найкращі практики безпеки, які потрібно застосовувати в будь-якій ІТ-мережі. Коли ви надаєте спеціальну авторизацію комусь на певній ролі, вам потрібен чіткий процес, щоб вилучити цю авторизацію, коли вони змінюють ролі, щоб переконатися, що ви прибрали доступ. У більшості випадків це не проблема, якщо людина або й далі є співробітником компанії, або не є зловмисником. Але завжди є ризик, якщо залишати занадто багато чутливих даних доступними для людей, які більше не потребують цього.

Крім того, набори даних мейнфрейм-системного рівня дозволяють користувачам робити фундаментальні речі в системі. Ви хочете, щоб доступ до цих функцій мали лише певні користувачі. Наприклад, деякі елементи контролю безпеки можна вмикати або вимикати лише на глибших рівнях операційної системи. Ви були б здивовані, як часто компанії залишають базові принципи безпеки без контролю. Є способи для інженерів виконувати свою роботу, не маючи доступу до ресурсів root-рівня, але працювати з таким рівнем доступу простіше, тож компанії залишають «чорний хід» відкритим більше, ніж слід.

Більшість співробітників можна вважати надійними, але це фундаментальні принципи, які деякі фінансові установи залишають відкритими й забувають про них.

5. Атаки ransomware націлюються не лише на кінцеві точки, а й на базову інфраструктуру. Що робить застарілі системи водночас унікально вразливими — і, в деяких випадках, більш стійкими — ніж нові платформи?

Мейнфрейми мають вбудовані рівні безпеки, яких немає в більшості серверів. Те, що ви можете увійти в мейнфрейм, не означає, що тепер у вас є доступ до критично важливих для бізнесу даних — саме те, що ransomware зазвичай блокує. Далі вам потрібно знати, де знаходяться дані, і як отримати до них доступ. А потім дані можуть бути розділені на сегменти, тож зловмисник матиме доступ лише до частини даних, а не до всього, що потрібно для успішної атаки ransomware. І якщо у вас немає доступу до пристрою зберігання, ви не зможете побачити дані на цьому пристрої.

6. З огляду на ваш досвід, як саме виглядає ефективна модернізація для фінансових установ, які не можуть дозволити собі “викинути й замінити”, але мають зробити рішення майбутньостійкими?

Модернізація означає різне для різних компаній — залежно від того, де вони знаходяться з точки зору застосунків, які запускають. Незалежно від того, B2B це чи B2C, компанії модернізуються безперервно, оновлюючи сервери й ноутбуки.

Те саме відбувається з критично важливими бізнес-додатками. Бізнес може періодично оновлювати ці додатки, але оскільки традиційні мейнфрейм-додатки були розроблені покоління тому, найкраще, що компанії можуть зробити, — повністю оцінити, що саме робить кожен додаток від початку до кінця. Таким чином вони зможуть поетапно впроваджувати модернізацію керованими частинами.

Компанії можуть «розділити» додаток, розбивши його на частини, щоб різні функції й можливості поступово оновлювалися та переписувалися з часом — так, як це є фінансово доступним. Якщо розглядати модернізацію як безперервний процес, прагнення покращувати й ітерувати стає постійним.

Лідерам завжди потрібне проактивне мислення. Питання мають бути такими: «Що ми можемо зробити вже зараз? Що ми можемо локалізувати (запакетувати в контрольовані межі) цього року? Що ми можемо локалізувати в наступні два роки?» Це кращий підхід, ніж «як переписати все це цілком?»

Потрібно ітерувати системи та розбудовувати їх з часом. Почніть із переписування однієї функції критично важливого бізнес-додатка, а потім нарощуйте, додаючи решту функцій, як ви можете. Впроваджуйте зміни потроху, за невеликими кроками.

Rip-and-replace — один із варіантів. Це звучить жорстко й безжально, але насправді це означає лише припинити використання однієї системи, щоб перейти на іншу. Але керівництву потрібен «шлунок» для великої зміни одразу, і воно має затвердити бюджет. Правда в тому, що це радше “replace” (замінити), тому що процедура може тривати роками, щоб завершити її.

7. Для технологічних лідерів, які прийшли з мисленням cloud-first, що б ви сказали як найбільш важливий зсув у поглядах під час взаємодії з місійно-критичними мейнфрейм-системами?

Дізнайтеся, що саме робить мейнфрейм. Клятва Гіппократа говорить: спершу не нашкодь, тож дізнайтеся, за що відповідає мейнфрейм, щоб не допуститися шкідливих помилок. Коли ті, хто мислить у підході cloud-first, зрозуміють повну картину того, які транзакції надходять у мейнфрейм, характер цих транзакцій і наскільки дохід їхньої компанії залежить від них, вони зможуть розуміти й знати, як уникнути шкоди продуктивності та прибутковості своєї компанії.

Про Дженніфер Нельсон

Дженніфер Нельсон більшу частину своєї кар’єри провела в мейнфрейм-сфері, зокрема 15 років у Rocket Software та п’ять років у BMC. У 2019 році вона перейшла до старших інженерних ролей у глобальних технологічних компаніях поза екосистемою Z Systems, розширивши свій погляд і набір навичок. На початку 2024 року Нельсон почала закладати основу для того, що згодом стало Izzi Software — компанії, яка фокусується на придбанні та розвитку софтверних бізнесів, побудованих на платформах IBM Z та IBM Power.