Tại sao Máy tính chính vẫn quan trọng trong kỷ nguyên số của Ngân hàng – Phỏng vấn với Jennifer Nelson

Jennifer Nelson là Giám đốc điều hành của izzi Software.

Khám phá tin tức và sự kiện fintech hàng đầu!

Đăng ký nhận bản tin của FinTech Weekly

Được đọc bởi các giám đốc điều hành tại JP Morgan, Coinbase, Blackrock, Klarna và nhiều hơn nữa

Trong một ngành công nghiệp bị ám ảnh bởi làn sóng công nghệ mới nhất, thật dễ dàng để quên rằng một số trụ cột vững chắc nhất trong hạ tầng tài chính đã tồn tại hàng thập kỷ. Trong khi đổi mới fintech thường được định hình như một cuộc đua về tương lai, thì xương sống của ngân hàng toàn cầu vẫn âm thầm được neo giữ trong các hệ thống mà nhiều người sai lầm cho là di sản: máy chủ lớn.

Điều này không chỉ là vấn đề của sự hoài niệm hay quán tính doanh nghiệp. Các máy chủ lớn vẫn xử lý phần lớn các giao dịch tài chính của thế giới, với độ tin cậy và quy mô không thể sánh bằng nhiều nền tảng mới hơn. Khả năng của chúng trong việc xử lý khối lượng lớn dữ liệu trong thời gian thực, mà không làm giảm tính bảo mật, đã khiến chúng trở nên không thể thiếu trong một hệ thống tài chính phụ thuộc vào cả tốc độ và lòng tin.

Tuy nhiên, với vai trò quan trọng của chúng, máy chủ lớn thường bị hiểu lầm. Trong bối cảnh ngày nay, nơi “đám mây trước tiên” là phương châm mặc định, có thể cảm thấy mâu thuẫn khi bảo vệ các công nghệ cũ hơn. Nhưng gọi máy chủ lớn là hệ thống di sản làm đơn giản hóa một sự thật phức tạp hơn nhiều. Để hiểu tại sao, chúng ta cần xem xét sự cân bằng giữa các hệ thống di sản và sự thúc đẩy hiện đại về cơ sở hạ tầng lai.

Trường hợp hiện đại hóa một cách thận trọng

Các tổ chức tài chính đang chịu áp lực không ngừng để hiện đại hóa. Các nhà đầu tư, khách hàng và cơ quan quản lý mong đợi các dịch vụ kỹ thuật số liền mạch, bảo mật nghiêm ngặt và hiệu suất ngày càng nhanh hơn. Đối với nhiều nhà lãnh đạo, cám dỗ là theo đuổi sự thay đổi một cách quyết liệt — loại bỏ các hệ thống cũ và chuyển đổi hoàn toàn sang đám mây.

Nhưng hiện đại hóa không chỉ đơn giản là một dự án kỹ thuật. Đây là một công việc chiến lược mang theo nhiều rủi ro khi thực hiện một cách vội vàng. Dữ liệu đã sống an toàn trong môi trường máy chủ lớn trong nhiều thập kỷ sẽ trở nên dễ bị tổn thương ngay khi nó được chuyển đi nơi khác. Các ứng dụng được tối ưu hóa cho máy chủ lớn có thể gặp khó khăn khi được di chuyển, dẫn đến các vấn đề độ trễ tốn kém. Những rủi ro này không chỉ là giả thuyết — chúng đe dọa hoạt động hàng ngày, sự tuân thủ quy định, và thậm chí cả lòng tin của người tiêu dùng.

Bài học là rõ ràng: hiện đại hóa thực sự không phải là việc loại bỏ cái cũ để nhường chỗ cho cái mới. Nó liên quan đến việc tích hợp các điểm mạnh, thực hiện các bản cập nhật một cách cẩn thận, và đảm bảo rằng bước tiếp theo không làm mất ổn định những gì đã hoạt động.

Khoảng cách kỹ năng với những hậu quả thực sự

Công nghệ phát triển nhanh hơn so với chuyên môn cần thiết để duy trì nó. Điều này rõ ràng nhất trong không gian máy chủ lớn. Trong nhiều năm, các ngân hàng và tổ chức tài chính đã dựa vào một đội ngũ kỹ sư có kiến thức sâu sắc về hệ thống IBM Z và các nền tảng liên quan. Khi nhiều chuyên gia trong số đó nghỉ hưu, thế hệ tiếp theo vẫn chưa hoàn toàn thay thế được bộ kỹ năng của họ.

Điều này tạo ra một thách thức nghiêm trọng. Một đội ngũ chuyên môn nông cạn làm tăng nguy cơ mắc sai lầm tốn kém, ngay cả khi có các biện pháp bảo vệ. Độ bền của máy chủ lớn không thể hoàn toàn bù đắp cho yếu tố con người. Cho đến khi các kỹ sư mới được đào tạo và hướng dẫn, các ngân hàng sẽ phải đối mặt với các lỗ hổng không phải vì công nghệ mà vì sự thu hẹp của đội ngũ chuyên gia biết cách sử dụng nó một cách an toàn.

Bảo mật vẫn liên quan đến con người

Khi các cuộc trò chuyện về an ninh mạng diễn ra, phần lớn sự chú ý được tập trung vào công cụ và các biện pháp phòng thủ. Tuy nhiên, hết lần này đến lần khác, những điểm yếu thực sự bắt nguồn từ hành vi con người. Trong thế giới máy chủ lớn, điều này thường liên quan đến cách các quyền truy cập được cấp, quản lý và thu hồi.

Các nhà phát triển không hoàn toàn hiểu được các tác động của quyền truy cập nâng cao có thể để lại cửa ngỏ mở, không phải vì ác ý, mà do đào tạo chưa đầy đủ hoặc vì sự tiện lợi. Các công ty không cập nhật quyền truy cập khi nhân viên chuyển đổi vai trò có thể vô tình phơi bày dữ liệu nhạy cảm. Ngay cả với công nghệ tinh vi, những nguyên tắc cơ bản của bảo mật vẫn rất cần thiết — và quá thường bị bỏ qua.

Giới thiệu Jennifer Nelson

Để đặt những thách thức và cơ hội này vào bối cảnh, chúng tôi đã tìm đến Jennifer Nelson, Giám đốc điều hành của Izzi Software. Nelson đã xây dựng sự nghiệp của mình xung quanh các hệ thống máy chủ lớn, dành 15 năm tại Rocket Software và năm năm tại BMC trước khi mở rộng quan điểm của mình thông qua các vai trò kỹ thuật cấp cao ngoài hệ sinh thái IBM Z. Năm 2024, cô đã thành lập Izzi Software, một công ty chuyên về việc mua lại và phát triển các doanh nghiệp xây dựng trên nền tảng IBM Z và IBM Power.

Góc nhìn của cô — bao trùm cả kỹ thuật máy chủ lớn truyền thống và lãnh đạo phần mềm hiện đại — khiến cô trở thành một giọng nói hiếm có trong cuộc trò chuyện ngày nay về chiến lược công nghệ trong dịch vụ tài chính.

Thưởng thức cuộc phỏng vấn!

1. Khi fintech đua nhanh về mọi thứ gốc đám mây, bạn đã lập luận rằng máy chủ lớn vẫn rất quan trọng cho sự ổn định của ngân hàng toàn cầu. Bạn nghĩ rằng hầu hết các nhà đổi mới hiểu sai điều gì về vai trò của các hệ thống cũ hơn ngày nay?

Điều đầu tiên mà họ hiểu sai là gọi máy chủ lớn là hệ thống di sản; rằng vì chúng được ra mắt hơn 60 năm trước nên chúng đã lỗi thời. Đó giống như việc gọi hệ điều hành Windows là nền tảng di sản. Đó không phải là thực tế. Máy chủ lớn hiện nay còn phù hợp hơn khi chúng được phát minh ra.

Mọi người đều muốn dữ liệu với tốc độ ánh sáng. Họ muốn dữ liệu được trả lại cho họ ngay khi nhấn nút, bất kể dữ liệu đó nằm ở đâu. Và điều đó là hoàn toàn hợp lý vì người tiêu dùng cuối sẽ không biết, và không nên biết, những phức tạp của yêu cầu của họ, chẳng hạn như dữ liệu nằm ở đâu. Nhưng chỉ máy chủ lớn mới có thể cung cấp cho bạn hiệu suất và bảo mật trong một môi trường lai.

Máy chủ lớn có thể tiếp nhận dữ liệu từ bất kỳ đâu, phân tích nó và báo cáo lại, hoàn chỉnh với các khuyến nghị, tốt hơn bất kỳ nền tảng nào khác, và nhanh hơn. Hãy cho tôi biết một hệ thống khác có thể tiếp nhận dữ liệu từ khắp nơi trong một mạng lưới toàn cầu, phân tích nó, phát hiện những bất thường trong thời gian thực và gửi ngay lại cho người gọi.

Ai hiểu rõ dữ liệu của mình nhất sẽ thắng vì dữ liệu quý giá như vốn tiền mặt. Khi các nhà đổi mới xem nhẹ máy chủ lớn như những hệ thống di sản, họ đang xem nhẹ tốc độ và sức mạnh của chúng, và khả năng xử lý khối lượng lớn dữ liệu với tốc độ cần thiết để phát hiện rủi ro trong thời gian thực.

Mọi người nghĩ rằng đám mây là một bước ngoặt và hiện đại, và rằng máy chủ lớn đã lỗi thời so với nó. Khái niệm điện toán đám mây trên một mạng lưới thực sự hiện đại và thay đổi cuộc chơi đối với nhiều người. Nhưng nếu bạn quen với công nghệ máy chủ lớn, người dùng sẽ nhận ra rằng nó có nhiều đặc điểm tương tự như đám mây. Ví dụ, khi bạn đăng nhập vào máy chủ lớn, bạn đang đăng nhập vào TSO, viết tắt của “tùy chọn chia sẻ thời gian”. Bạn có phiên TSO riêng của mình, hoặc ‘instance’ Microsoft Teams.

Tất cả các bạn đều sử dụng cùng một bộ xử lý trên máy chủ lớn. Nhưng khi bạn không chạy một chương trình hoặc công việc theo lô, công suất sẽ được dành cho những người cần. Bạn cũng đang đăng nhập vào một LPAR, hoặc phân vùng logic, với bộ nhớ, bảo mật và quyền riêng tư dành riêng. Người dùng trên một LPAR không thể truy cập dữ liệu trên một LPAR khác, trừ khi được cấu hình cụ thể để làm như vậy. Đó chính là cốt lõi của đám mây; chia sẻ tài nguyên khi bạn không sử dụng chúng và bảo mật dữ liệu dành riêng cho ‘instance’ của bạn. Nhưng máy chủ lớn đã sử dụng những khái niệm này trong nhiều năm.

2. Cơ sở hạ tầng lai — kết hợp máy chủ lớn với các lớp đám mây mới hơn — đang trở thành quy chuẩn. Từ kinh nghiệm của bạn, những yếu tố rủi ro thực sự nào được giới thiệu khi các tổ chức cố gắng hiện đại hóa quá nhanh hoặc một cách nông cạn?

Trong số nhiều yếu tố rủi ro, tôi có thể tóm gọn lại thành hai.

Rủi ro đầu tiên là tiêu thụ dữ liệu. Dữ liệu trên máy chủ lớn là một trong những dữ liệu an toàn nhất ở bất kỳ đâu. Khi bạn lấy nó ra khỏi máy chủ lớn hoặc làm cho nó trở nên khả dụng đối với ai đó tiếp nhận dữ liệu đó, có một rủi ro về quyền riêng tư và quy định. Ai đang xem dữ liệu? Nó sẽ đi đâu khi rời khỏi máy chủ lớn?

Rủi ro thứ hai là tối ưu hóa các ứng dụng để chạy trong một môi trường lai. Các ứng dụng được tối ưu hóa cho máy chủ lớn có thể chạy không tối ưu trên một máy chủ khác. Các vấn đề độ trễ và hiệu suất có thể làm giảm năng suất.

3. Bạn đã cảnh báo về khoảng cách kỹ năng trong chuyên môn máy chủ lớn. Rủi ro tổ chức nghiêm trọng đến mức nào khi ít kỹ sư biết cách vận hành và bảo mật các hệ thống mà các tổ chức tài chính vẫn phụ thuộc vào?

Rủi ro là rất nghiêm trọng. Các nhà phát triển mới — không chỉ là những người trẻ tuổi, mà còn những người mới vào ngành — sẽ học hỏi và phát triển chuyên môn của họ. Nhưng cho đến khi thế hệ tiếp theo theo kịp, sẽ có một khoảng trống tại các tổ chức tài chính trong một thời gian khi kiến thức tổ chức không sâu sắc như cần thiết.

Những người có kinh nghiệm hoặc kiến thức nông có thể vô tình làm những điều gây rủi ro cho dữ liệu hoặc cho một hệ điều hành. Những hệ thống này có độ bền và có nhiều lớp bảo vệ chống lại lỗi con người, nhưng vẫn còn một lượng rủi ro đáng kể cho đến khi kỹ năng đạt được mức cần thiết. Các ngân hàng hiện đang phải vật lộn với khoảng cách kỹ năng này.

4. Các cuộc trò chuyện về bảo mật thường tập trung vào công cụ, nhưng bạn đã chỉ ra rằng con người vẫn là tuyến đầu. Những điểm mù hoạt động nào bạn đã thấy xuất hiện thường xuyên nhất trong việc quản lý các môi trường máy chủ lớn?

Quản lý các môi trường liên quan thường tập trung vào quyền truy cập nâng cao. Khi một kỹ sư phần mềm đang viết mã, đôi khi họ cần một quyền truy cập nâng cao để thực hiện một điều gì đó cụ thể trên hệ điều hành, nơi họ có thể cho phép chương trình thực hiện một điều gì đó nhạy cảm hơn. Nếu kỹ sư không hiểu rõ các thực hành tốt nhất của nhà phát triển khi viết phần mềm, họ sẽ không biết khi nào nên vào và ra khỏi trạng thái ủy quyền nâng cao đó. Trạng thái đó mang lại nhiều rủi ro hơn, vì vậy các kỹ sư sẽ không ở trong đó đủ lâu để hiểu rõ các thực hành tốt nhất khi phát triển cho hệ thống đó.

Cũng có một số thực hành bảo mật cơ bản cần sử dụng trong bất kỳ mạng IT nào. Khi bạn cấp quyền đặc biệt cho ai đó trong một vai trò nhất định, bạn cần có một quy trình rõ ràng để thu hồi quyền đó khi họ chuyển đổi vai trò, để đảm bảo bạn loại bỏ quyền truy cập. Phần lớn thời gian, điều đó không phải là vấn đề, nếu họ vẫn là nhân viên của công ty hoặc không phải là người xấu. Nhưng luôn có một rủi ro khi để quá nhiều dữ liệu nhạy cảm có sẵn cho những người không còn cần đến nó.

Hơn nữa, các tập dữ liệu cấp hệ thống máy chủ lớn cho phép người dùng thực hiện các công việc cơ bản đối với một hệ thống. Bạn chỉ muốn một số người dùng nhất định có quyền truy cập vào các chức năng đó. Ví dụ, một số biện pháp kiểm soát bảo mật chỉ có thể được điều khiển ở các cấp sâu hơn của hệ điều hành. Bạn sẽ ngạc nhiên khi thấy các công ty để nguyên tắc bảo mật cơ bản không được kiểm tra. Có những cách cho các kỹ sư thực hiện công việc của họ mà không cần quyền truy cập vào các tài nguyên cấp gốc đó, nhưng dễ dàng hơn khi làm việc với quyền truy cập ở cấp đó, vì vậy các công ty để cửa sau mở hơn mức cần thiết.

Hầu hết nhân viên có thể được tin cậy, nhưng đây là những nguyên tắc cơ bản mà một số tổ chức tài chính để ngỏ và quên đi.

5. Các cuộc tấn công ransomware không chỉ nhắm vào các điểm cuối, mà còn vào hạ tầng cốt lõi. Điều gì khiến các hệ thống di sản vừa đặc biệt dễ bị tổn thương — và trong một số trường hợp, bền bỉ hơn — so với các nền tảng mới hơn?

Máy chủ lớn có các lớp bảo mật tích hợp mà hầu hết các máy chủ khác không có. Chỉ vì bạn có thể đăng nhập vào máy chủ lớn không có nghĩa là bạn ngay lập tức có quyền truy cập vào dữ liệu quan trọng cho doanh nghiệp, đó là thứ mà ransomware thường khóa lại. Bạn sau đó phải biết dữ liệu ở đâu, và cách truy cập dữ liệu đó. Và sau đó dữ liệu có thể bị phân chia, vì vậy một kẻ xâm nhập chỉ có quyền truy cập vào một phần của dữ liệu chứ không phải tất cả những gì họ cần cho một cuộc tấn công ransomware thành công. Và nếu bạn không có quyền truy cập vào thiết bị lưu trữ, bạn không thể thấy dữ liệu trên thiết bị đó.

6. Từ kinh nghiệm của bạn, hiện đại hóa hiệu quả thực sự trông như thế nào đối với các tổ chức tài chính không thể “loại bỏ và thay thế” nhưng cần phải được bảo vệ cho tương lai?

Hiện đại hóa có ý nghĩa khác nhau đối với các công ty khác nhau tùy thuộc vào vị trí của họ với các ứng dụng mà họ chạy. Dù là B2B hay B2C, các công ty đang liên tục hiện đại hóa, nâng cấp máy chủ và laptop.

Điều tương tự cũng xảy ra với các ứng dụng quan trọng cho doanh nghiệp. Một doanh nghiệp có thể định kỳ cập nhật những ứng dụng đó, nhưng vì các ứng dụng máy chủ lớn truyền thống được phát triển từ nhiều thế hệ trước, điều tốt nhất mà các công ty có thể làm là đánh giá đầy đủ những gì mỗi ứng dụng thực hiện từ đầu đến cuối. Bằng cách đó, họ có thể thực hiện hiện đại hóa theo từng phần mà có thể quản lý được.

Các công ty có thể phân đoạn một ứng dụng, chia nó thành các phần sao cho các tính năng và chức năng khác nhau được nâng cấp và viết lại từ từ theo thời gian khi có thể. Nếu bạn nhìn nhận hiện đại hóa như một quá trình liên tục, thì sự thôi thúc cải tiến và lặp lại trở thành một điều liên tục.

Lãnh đạo nên luôn có tư duy chủ động. Các câu hỏi nên là: “Chúng ta có thể làm gì ngay bây giờ? Chúng ta có thể kiểm soát điều gì trong năm nay? Chúng ta có thể kiểm soát điều gì trong hai năm tới?” Đó là một cách tiếp cận tốt hơn so với “làm thế nào chúng ta có thể viết lại toàn bộ điều này?”

Bạn phải lặp đi lặp lại trên các hệ thống và xây dựng chúng theo thời gian. Bắt đầu bằng cách viết lại một tính năng của một ứng dụng quan trọng cho doanh nghiệp, sau đó xây dựng thêm các tính năng còn lại khi bạn có thể. Thực hiện các thay đổi từng chút một.

Loại bỏ và thay thế là một lựa chọn. Nó nghe có vẻ thô sơ và tàn nhẫn, nhưng thực ra chỉ có nghĩa là ngừng sử dụng một hệ thống để sử dụng một cái khác. Nhưng lãnh đạo cần có đủ dũng cảm để thực hiện một thay đổi lớn ngay lập tức, và phải phê duyệt ngân sách. Sự thật là, nó chỉ là “thay thế”, vì nó có thể mất nhiều năm để hoàn thành quy trình.

7. Đối với các lãnh đạo công nghệ đến từ tư duy ưu tiên đám mây, bạn sẽ nói rằng sự thay đổi tư duy quan trọng nhất khi tham gia với các hệ thống máy chủ lớn quan trọng là gì?

Hãy tìm hiểu những gì máy chủ lớn thực sự đang làm. Lời thề Hippocratic nói rằng trước tiên phải không gây hại, vì vậy hãy tìm hiểu những gì máy chủ lớn chịu trách nhiệm để tránh gây ra các lỗi có hại. Khi những người có tư duy ưu tiên đám mây hiểu toàn bộ những gì các giao dịch đang vào máy chủ lớn, bản chất của những giao dịch đó và doanh thu của công ty họ phụ thuộc vào những giao dịch đó nhiều như thế nào, họ sẽ hiểu và biết cách tránh làm hỏng hiệu suất và lợi nhuận của công ty mình.

Về Jennifer Nelson

Jennifer Nelson đã dành phần lớn sự nghiệp của mình trong không gian máy chủ lớn, bao gồm 15 năm tại Rocket Software và năm năm tại BMC. Năm 2019, cô chuyển sang các vai trò kỹ thuật cấp cao tại các công ty công nghệ toàn cầu bên ngoài hệ sinh thái Z Systems, mở rộng quan điểm và bộ kỹ năng của mình. Vào đầu năm 2024, Nelson bắt đầu đặt nền tảng cho những gì sẽ trở thành Izzi Software, một công ty tập trung vào việc mua lại và phát triển các doanh nghiệp phần mềm được xây dựng trên nền tảng IBM Z và IBM Power.