Почему мейнфреймы по-прежнему важны в цифровую эпоху банковского дела – интервью с Дженнифер Нельсон

Дженнифер Нельсон — генеральный директор izzi Software.

Откройте для себя лучшие новости и события в финтехе!

Подписывайтесь на рассылку FinTech Weekly

Читают руководители JP Morgan, Coinbase, Blackrock, Klarna и других компаний

В индустрии, одержимой новейшими технологиями, легко забыть, что некоторые из самых прочных опор финансовой инфраструктуры существуют уже десятилетия. В то время как финтех-инновации часто представляют как гонку к будущему, основа глобального банковского дела тихо остается закрепленной в системах, которые многие ошибочно считают реликвиями: мейнфреймах.

Это не просто вопрос ностальгии или корпоративной инерции. Мейнфреймы по-прежнему обрабатывают основную часть мировых финансовых транзакций, обладая надежностью и масштабируемостью, недоступной многим новым платформам. Их способность обрабатывать огромные объемы данных в реальном времени, не компрометируя безопасность, делает их незаменимыми в финансовой системе, которая зависит как от скорости, так и от доверия.

Тем не менее, несмотря на их критическую роль, мейнфреймы часто неправильно понимают. В современном мире, где «облако — в первую очередь», может казаться противоречивым защищать устаревшие технологии. Но называние мейнфрейма наследием — упрощение гораздо более сложной правды. Чтобы понять почему, нужно рассмотреть баланс между наследственными системами и современным движением к гибридной инфраструктуре.

Аргументы за модернизацию с осторожностью

Финансовые учреждения находятся под постоянным давлением на модернизацию. Инвесторы, клиенты и регуляторы ожидают бесшовных цифровых сервисов, усиленной безопасности и все более высокой производительности. Для многих руководителей соблазн — активно менять системы — избавляться от старых и полностью переходить в облако.

Но модернизация — это не просто технический проект. Это стратегическая задача, которая несет риски при поспешных действиях. Данные, которые десятилетиями хранились безопасно внутри мейнфрейм-среды, становятся уязвимыми при их переносе. Приложения, оптимизированные для мейнфрейма, могут столкнуться с проблемами при миграции, что приведет к дорогостоящим задержкам. Эти риски — не гипотетические, они угрожают ежедневной работе, соблюдению регуляторных требований и даже доверию клиентов.

Вывод ясен: истинная модернизация — это не вырывание старого и установка нового. Это интеграция сильных сторон, аккуратное поэтапное обновление и обеспечение того, чтобы следующий шаг не разрушил уже работающее.

Пробел в навыках с реальными последствиями

Технологии развиваются быстрее, чем растет экспертиза в их поддержке. Особенно это заметно в области мейнфреймов. Годы банки и финансовые учреждения полагались на команду инженеров с глубокими знаниями систем IBM Z и связанных платформ. По мере выхода на пенсию многих из этих специалистов, новое поколение еще не полностью восполнило их навыки.

Это создает серьезную проблему. Недостаток экспертизы увеличивает риск дорогостоящих ошибок, даже при наличии защитных мер. Надежность мейнфреймов не может полностью компенсировать человеческий фактор. Пока новые инженеры не пройдут обучение и наставничество, банки столкнутся с уязвимостями не из-за самой технологии, а из-за сокращающегося числа специалистов, умеющих безопасно ее использовать.

Безопасность по-прежнему — это люди

Когда речь заходит о кибербезопасности, основное внимание уделяется инструментам и защите. Но снова и снова истинные слабые места — в поведении людей. В мире мейнфреймов это часто связано с тем, как предоставляются, управляются и отменяются разрешения.

Разработчики, не полностью понимающие последствия повышенных прав, могут оставить двери открытыми, не из злого умысла, а из-за неполного обучения или удобства. Компании, не обновляющие доступ при смене ролей сотрудников, могут случайно раскрыть чувствительные данные. Даже при наличии сложных технологий основы безопасности остаются важными — и слишком часто их игнорируют.

Представляем Дженнифер Нельсон

Чтобы понять эти вызовы и возможности, мы обратились к Дженнифер Нельсон, генеральному директору Izzi Software. Нельсон построила свою карьеру вокруг мейнфреймов, работая 15 лет в Rocket Software и пять лет в BMC, а затем расширила свои взгляды, занимая руководящие инженерные должности за пределами экосистемы IBM Z. В 2024 году она основала Izzi Software — компанию, занимающуюся приобретением и развитием бизнесов на базе платформ IBM Z и IBM Power.

Ее точка зрения — охватывающая как традиционные инженерные системы, так и современное программное лидерство — делает ее редким голосом в сегодняшних дискуссиях о стратегиях технологий в финансовом секторе.

Приятного интервью!

1. В то время как финтех гонится за облачными решениями, вы утверждаете, что мейнфрейм остается важным для стабильности глобальных банков. Что, по вашему мнению, большинство новаторов неправильно понимает о роли старых систем сегодня?

Первое — это считать мейнфрейм наследием; что, поскольку его запустили более 60 лет назад, он устарел. Это как назвать операционную систему Windows устаревшей платформой. Это не соответствует реальности. Мейнфреймы сегодня более актуальны, чем при их создании.

Все хотят получать данные со скоростью света. Они хотят, чтобы данные возвращались мгновенно после нажатия кнопки, независимо от того, где эти данные находятся. И это правильно, потому что конечный пользователь не должен знать и не обязан знать сложности своего запроса, например, где именно хранится информация. Но только мейнфреймы могут обеспечить такую производительность и безопасность в гибридной среде.

Мейнфреймы могут принимать данные в любом месте, анализировать их и возвращать с рекомендациями быстрее и лучше любой другой платформы. Покажите мне другую систему, которая может получать данные из глобальной сети, анализировать их, обнаруживать аномалии в реальном времени и отправлять обратно вызывающему.

Тот, кто лучше знает свои данные, побеждает, потому что данные — как наличные деньги. Когда новаторы называют мейнфреймы наследием, они недооценивают их скорость, мощь и способность обрабатывать огромные объемы данных в режиме реального времени.

Люди думают, что облако — это революция и современно, а мейнфреймы устарели. Концепция облачных вычислений по сети действительно современна и революционна для многих. Но если вы знакомы с технологиями мейнфреймов, вы заметите, что они имеют много схожих характеристик с облаком. Например, при входе в мейнфрейм вы входите в TSO, что расшифровывается как «time sharing option». У вас есть собственная сессия TSO, или «экземпляр» Microsoft Teams.

Вы все используете одни и те же процессоры на мейнфрейме. Но когда вы не запускаете программу или пакетную работу, ресурсы распределяются тем, кто в них нуждается. Вы также входите в LPAR — логическую партицию, с выделенным хранилищем, безопасностью и конфиденциальностью. Пользователи на одной LPAR не могут получить доступ к данным другой, если специально не настроено иначе. В этом и заключается суть облака: совместное использование ресурсов, когда они не используются, и защита данных, выделенных для вашей среды. Но идеи, лежащие в основе мейнфреймов, используют эти принципы уже много лет.

2. Гибридная инфраструктура — сочетание мейнфреймов с новыми облачными слоями — становится нормой. Исходя из вашего опыта, какие реальные риски возникают при слишком быстрой или поверхностной модернизации?

Из множества рисков я могу выделить два.

Первый — это потребление данных. Данные на мейнфрейме — одни из самых защищенных. Когда вы переносите их или делаете видимыми для тех, кто их обрабатывает, появляется риск нарушения конфиденциальности и соответствия регуляциям. Кто смотрит на них? Куда они уходят после выхода из мейнфрейма?

Второй — это оптимизация приложений для работы в гибридной среде. Приложения, оптимизированные для мейнфрейма, могут работать неэффективно на другом сервере. Задержки и проблемы с производительностью могут снизить эффективность.

3. Вы подняли вопрос о нехватке навыков в области мейнфреймов. Насколько серьезен риск для институциональной стабильности, когда меньше инженеров умеют управлять и обеспечивать безопасность систем, на которых все еще зависят финучреждения?

Риск очень серьезен. Новые разработчики — не только молодые, но и те, кто только вошел в индустрию — учатся и развивают свои навыки. Но пока следующее поколение не догонит, существует риск для финансовых институтов, поскольку их знания не так глубоки, как должны быть.

Люди с поверхностными знаниями могут случайно совершить ошибку, которая поставит под угрозу данные или операционную систему. Эти системы устойчивы и имеют несколько уровней защиты от человеческих ошибок, но риск все равно есть, пока навыки не достигнут нужного уровня. Банки уже сегодня сталкиваются с этим дефицитом кадров.

4. Вопросы безопасности часто сосредоточены на инструментах, но вы указываете, что люди — это фронт. Какие операционные пробелы вы видите чаще всего в управлении мейнфрейм-средами?

Управление средами обычно связано с повышенными разрешениями. Когда разработчик пишет код, ему иногда нужны повышенные права для выполнения определенных операций в ОС, чтобы активировать более чувствительные функции. Если разработчик неправильно понимает лучшие практики, он может оставить двери открытыми, не из злого умысла, а из-за неполного обучения или удобства. Компании, не обновляющие доступ при смене ролей сотрудников, могут случайно раскрыть чувствительные данные. Даже при наличии технологий, основы безопасности остаются важными — и их часто игнорируют.

Также есть базовые принципы безопасности, которые нужно соблюдать в любой ИТ-сети. Когда вы предоставляете кому-то особые полномочия, необходимо иметь четкий процесс их удаления при смене роли, чтобы исключить доступ. Обычно это не проблема, если человек все еще сотрудник или не злоумышленник. Но всегда есть риск, когда чувствительные данные остаются доступными тем, кому они уже не нужны.

Кроме того, системные наборы данных мейнфрейма позволяют выполнять базовые операции с системой. Некоторые функции доступны только определенным пользователям. Например, некоторые настройки безопасности можно менять только на более глубоком уровне ОС. Вы будете удивлены, как часто компании оставляют базовые принципы безопасности без внимания. Есть способы выполнять работу без доступа к этим корневым ресурсам, но проще работать с уровнем доступа, и компании оставляют «заднюю дверь» открытой больше, чем следовало бы.

Большинство сотрудников можно доверять, но эти фундаментальные принципы — то, что некоторые финучреждения оставляют без внимания и забывают.

5. Атаки программ-вымогателей сейчас нацелены не только на конечные точки, но и на ядро инфраструктуры. Что делает наследственные системы особенно уязвимыми — и, в некоторых случаях, более устойчивыми — по сравнению с новыми платформами?

Мейнфреймы имеют встроенные уровни безопасности, которых лишены большинство серверов. Просто возможность войти в мейнфрейм не означает автоматического доступа к критически важным данным, которые обычно блокируют ransomware. Нужно знать, где находятся данные, и как к ним получить доступ. И данные могут быть разделены на сегменты, так что злоумышленник получит доступ только к части данных, а не ко всему, что ему нужно для успешной атаки. А если у него нет доступа к устройству хранения, он не увидит данные на нем.

6. Исходя из вашего опыта, как выглядит эффективная модернизация для финучреждений, которые не могут просто «разорвать и заменить», но должны подготовиться к будущему?

Модернизация — это разное для разных компаний, в зависимости от того, на каком этапе они находятся с приложениями. Будь то B2B или B2C, компании постоянно обновляют серверы и ноутбуки.

То же самое касается критически важных приложений. Компания может периодически их обновлять, но поскольку традиционные мейнфрейм-приложения созданы много лет назад, лучший подход — полностью оценить, что делает каждое приложение от начала до конца. Тогда можно поэтапно внедрять модернизацию.

Можно разбить приложение на части, постепенно обновляя и переписывая его функции по мере возможности. Если рассматривать модернизацию как непрерывный процесс, желание улучшать и совершенствовать становится постоянным.

Руководители должны всегда мыслить проактивно. Вопросы должны быть: «Что мы можем сделать сейчас? Что можем реализовать в этом году? Что — в ближайшие два года?» Такой подход лучше, чем «как полностью переписать это всё».

Нужно постепенно развивать системы, начиная с одной функции критически важного приложения, и добавлять остальные по мере возможности. Постепенно менять по чуть-чуть.

Разорвать и заменить — один из вариантов. Звучит жестко и радикально, но по сути — это просто перестать использовать одну систему и начать другую. Руководство должно быть готово к крупным переменам и одобрить бюджет. На самом деле, это скорее «заменить», потому что весь процесс может занять годы.

7. Для ИТ-руководителей, привыкших к облачной стратегии, что было бы самым важным изменением в мышлении при работе с критически важными мейнфрейм-системами?

Понять, что на самом деле делает мейнфрейм. Гиппократова клятва говорит «прежде всего — не навредить», поэтому важно понять, за что отвечает мейнфрейм, чтобы не допустить ошибок, наносящих вред. Когда те, кто ориентируется на облако, поймут, что именно происходит с транзакциями, входящими в мейнфрейм, их характер и насколько доходы компании зависят от этих транзакций, они смогут избегать ошибок, которые могут повредить эффективности и прибыльности компании.