Владимир Мишугин, Банк Москвы:Безопасность -- залог доверия.

Солидный банк должен принимать самые серьезные меры для обеспечения отказоустойчивости инфраструктуры и защиты информации. О том, что в этом направлении делает Банк Москвы, мы беседуем с заместителем директора ИТ-департамента банка Владимиром Мишугиным.

Intelligent Enterprise: Расскажите, пожалуйста, как в Банке Москвы эволюционировало отношение к вопросам отказоустойчивости и безопасности.

Владимир Мишугин: Отношение к вопросам отказоустойчивости и безопасности банка было очень серьезным с самого начала независимо от того, какие платформы у нас применялись. На этапе рождения и становления мы использовали обычные PC-серверы (хотя и известного поставщика) с довольно простым отечественным банковским ПО компании R-Style, но руководство банка и руководство ИТ-отдела поставили задачу обеспечить максимальную отказоустойчивость всей системы. Тогда (у нас было всего три отделения) мы, учитывая особенности платформ, выбрали кластерное решение Novell, и оно несколько раз действительно очень нас выручало. Даже в самом лучшем оборудовании возможны сбои, так что иногда приходилось работать на одном узле.

Банк рос, по всей Москве развивалась сеть его отделений, и через некоторое время стало понятно, что ЦОД, который находится в головном офисе на Кузнецком мосту, недостаточно надежен просто в силу своего территориального расположения -- слишком велика вероятность выхода из строя коммуникаций, а также аварий на энергетических подстанциях, расположенных в центре города. Поэтому было принято решение оборудовать резервный вычислительный центр в Хамовниках, в отдельном здании. В нем продублированы все наши основные бизнес-системы, резервные каналы связи с ЦБ, S.W.I.F.T. и международными платежными системами, резервный процессинговый центр, а также установлен минимальный набор резервных рабочих мест. Все это позволит продолжить работу даже в случае полной катастрофы в центральном офисе.

Несколько аварий с электроэнергией заставили нас поставить вопрос еще серьезнее. Во время одной из них оказался полностью обесточен главный ЦОД. Через 35 минут резервный центр уже работал в полном режиме, не было потеряно ни одной транзакции, и все рейсы вовремя были отправлены в межрегиональный центр информатизации (МЦИ). После такого сбоя было принято решение и проведены работы по установке в центральном офисе на Кузнецком мосту мощной системы бесперебойного питания с собственными дизель-генераторами. Она спроектирована по максимальному принципу. Это означает, что в случае полного отключения центральный офис не потребуется даже переводить на режим жесткой экономии -- он сможет бесперебойно продолжать нормальную работу. Вообще мы стараемся опережать события и благодаря этому печально знаменитое отключение электроэнергии в Москве в мае 2005 года встретили вполне подготовленными. Однако на его примере мы убедились, что масштабная авария в состоянии захватить одновременно оба ЦОДа -- и основной, и резервный.

Другим важным вопросом является сохранение инвестиций. Так как банк поддерживает развитую сеть отделений, обслуживает большое количество клиентов, понятно, что установленное в резервном центре оборудование весьма недешево. Поэтому недостаточно заботиться о сохранении целостности одних лишь данных -- нужно думать и об инфраструктуре, и о вложенных в нее средствах. Таким образом родилась идея создать еще более удаленный ЦОД, вынесенный из центра города, и не только защищенный от техногенных аварий вроде отключения электроэнергии, но и обладающий высоким запасом прочности на случай стихийных бедствий, терактов и других катастроф, которые непосредственно могут затронуть само здание ЦОД.

В течение полугода мы изучали проблему вместе с несколькими крупнейшими отечественными системными интеграторами и в итоге остановились на технологиях компании Lampertz, позволяющих разместить весь ЦОД в герметичной комнате. Безусловно, это дорогостоящее решение, но если сопоставить его цену с потенциальными убытками от повреждения оборудования и потери данных, становится очевидна необходимость таких вложений. Мы -- вторая российская компания и первый российский банк, внедривший у себя данную технологию. Первопроходцем в использовании этих технологий был ЮКОС, и установленный в его здании ЦОД на сегодняшний день является самым большим -- наш скромнее.

Предлагают ли что-либо подобное другие производители, и если да, почему была выбрана именно комната Lampertz?

Конечно же мы проводили анализ рынка для минимизации стоимости решения -- это стандартная процедура, и данный анализ показал, что Lampertz -- фактически единственно приемлемый для нас вариант. На американском рынке действует несколько фирм, предлагающих аналогичное оборудование, но они практически не представлены не только в России, но и вообще в Европе. Работать с компанией, не имеющей здесь (или хотя бы в одной из соседних стран) ни офиса, ни авторизованных партнеров, было бы очень сложно. Для анализа ситуации в Западной Европе мы обратились к консалтинговым подразделениям IBM и некоторых других компаний с простым вопросом -- что используют для защиты вычислительной инфраструктуры крупные европейские банки? Как выяснилось, наибольшее количество инсталляций приходится на Lampertz. Известен случай, когда в одном из прибалтийских банков герметичная комната Lampertz защитила ЦОД от крупного пожара.

Эксперименты с другими компаниями мы не были готовы ставить на себе. Нам требовалось решение, уже внедренное на территории России. Этому критерию удовлетворяла только комната Lampertz, которая, как я уже сказал, была инсталлирована в ЮКОСе.

Расскажите, пожалуйста, что представляет собой герметичная комната.

Компания Lampertz запатентовала специальную технологию изготовления плит, которыми выкладывается вся комната. В результате внутри помещения образуется внутренний кокон. Материал, из которого сделаны плиты, обладает очень высокой жаропрочностью и малой теплопроводностью.

Проводился эксперимент, когда вокруг готовой комнаты в течение часа поддерживалась температура выше 1000 ?С, -- температура в комнате за это время поднялась всего на 10 ?С. Кокон также задерживает всевозможные электромагнитные излучения, способные создать помехи в работе вычислительного и активного сетевого оборудования. Кроме того, в комнате находятся системы жизнеобеспечения ЦОД -- пожаротушения, вентиляции, доступа, все они спроектированы с учетом повышенных требований по безопасности. К примеру, если постоянно использовать обыкновенную приточную вентиляцию, вся идея герметичности теряет смысл: при пожаре в комнату проникнет дым, в результате чего поднимется температура и т. д. Поэтому комната оборудуется специальными вентиляционными окнами, которые автоматически герметично закрываются при срабатывании пожарных датчиков. Входная дверь сейфового типа также блокируется автоматически. Для кабелей в коконе прокладываются особые каналы, а сами кабели изготавливаются по патентованной технологии Lampertz: при нагреве их оболочка спекается и образует плотную пробку, которая не пропускает ни дыма, ни пыли. В случае сильного пожара ЦОД так или иначе окажется отрезанным от внешнего мира, поскольку наружные коммуникации будут уничтожены либо перегревом, либо обрушением. Но их можно будет быстро восстановить, воспользовавшись спутниковой или наземной беспроводной связью, -- это вопрос нескольких часов, может быть, одного дня. Оборудование же останется работоспособным (а данные целостными) благодаря его расположению в коконе.

Так что инженерные системы комнаты Lampertz обладают индивидуальными специфическими особенностями, и монтировались они для нас "под ключ".

Насколько нам известно, банк обратился к услугам системного интегратора -- компании "Крок"?

Да, оказалось, что строительство таких комнат -- очень непростая задача, особенно с точки зрения ИТ. Оно требует решения многих вопросов, не относящихся к компетенции ИТ-специалистов, таких как проектирование и установка систем обнаружения пожара и газового пожаротушения, приточной и отточной вентиляции, кондиционирования. Когда проект начинался, нам не представлялись особые трудности в его реализации, но это заблуждение исчезло почти сразу, как только мы начали составлять подробное техническое задание и проводить консультации с компанией Lampertz. Обойтись в таком масштабном проекте без интегратора просто невозможно.
На момент начала проекта существовало всего три компании, сертифицированных на установку оборудования Lampertz. Мы провели между ними закрытый конкурс, по результатам которого и выбрали "Крок". Его специалисты разработали для нас всю проектную документацию, рассчитали параметры инженерных систем, проложили внутреннюю СКС по технологии Lampertz. На этапе подготовки проекта наши сотрудники представили схему размещения оборудования внутри кокона, так как от нее зависели настройки систем кондиционирования, топология внутренней ЛВС и размещение ее активного оборудования. Затем мы осуществили контроль работ, самый общий по основным этапам, а под конец -- и их приемку. Остальное сделал "Крок".

Ход работ был вполне обычным для проектов такого рода. Банк купил здание, произвел в нем капитальный ремонт, а мы, т. е. департамент информационных технологий, получили возможность заранее выбрать помещение для ЦОДа.

Не буду кривить душой и утверждать, что все работы выполнялись точно по графику, но задержки были крайне непродолжительными. Проект завершился в срок, без каких-либо недоделок или технических проблем, и, на мой взгляд, компания "Крок" со своей задачей справилась весьма достойно.

На сегодняшний день комната полностью готова, прошла все испытания и подключена ко всем коммуникациям. Проверена работа системы кондиционирования и источников бесперебойного питания, процедура автоматического запуска дизель-генератора и переключение ЦОД на питание от него. Запущено и подсоединено к внутренней ЛВС банка активное сетевое оборудование. Началось размещение серверного оборудования: уже установлен наш новый резервный центральный сервер IBM P590 и поэтапно перевозится и устанавливается оборудование из старого резервного ЦОДа. Таким образом, уже через два-три месяца банк будет обладать наисовременнейшим ЦОДом, построенным с использованием самых современных технологий, обеспечивающих отказоустойчивость и защиту данных благодаря кластерным решениям и SAN от ведущих производителей (HP, IBM, Cisco, Oracle и т. д.) и высокотехнологичную защиту самого помещения. Это позволит банку поддерживать стабильное обслуживание клиентов даже в случае серьезных техногенных катастроф.

Старый ЦОД ликвидируется: его помещение уже слишком тесно для нашей нынешней серверной конфигурации, а кроме того, Мосэнерго в этом районе не может обеспечить электрические мощности для питания тех серверов и систем хранения, с которыми мы работаем, -- все ресурсы на пределе. И самое неприятное заключается в том, что там невозможно установить дизель-генератор. Это здание остается в активе банка, но будет использоваться для других целей.

Занимается ли ИТ-подразделение банка информационной защитой? Как она организована?

Мы работаем в этом направлении совместно с отделом защиты информации, который относится к службе безопасности банка. Замечу, что буквально три месяца назад компания Deloitte & Touche проводила у нас аудит и сформулировала ряд рекомендаций, в том числе и по безопасности. Насколько возможно, мы стараемся следовать им, хотя необходимо понимать, что требования стандарта, скажем, COBIT, -- это одно, а жизнь, особенно в нашей стране, -- совсем другое.

Сеть банка в интересах безопасности, естественно, разделена на сегменты. Во внутреннем сегменте, т. е. в банковской корпоративной сети, на наш взгляд, нет особого смысла использовать такие меры защиты, как криптография. Наибольшая опасность с точки зрения утечки информации здесь все равно исходит от инсайдеров, и, как показывает практика, человеческий фактор во много раз страшнее недостаточной криптостойкости алгоритмов. От внешней сети корпоративный сегмент отделен несколькими уровнями защиты, на которых используются и программные решения (CheckPoint Firewall), и аппаратные на базе технологий Cisco. Что же касается этой внешней сети -- нашего сайта и особенно разделов, относящихся к обслуживанию клиентов через интернет-банк, заполнению кредитных анкет и т. п., -- то везде, где передается информация, связанная с какими-либо финансовыми услугами, потоками, данными, в обязательном порядке применяется шифрованное соединение. Оно может устанавливаться по протоколу HTTPS, SSL или через VPN-клиент.

В этом отношении требования как нашего телекоммуникационного управления, так и службы защиты информации самые жесткие. Могу сказать, что нам пришлось отказаться от совместных проектов с некоторыми компаниями, так как те предлагали обмен информацией практически в открытом виде. Все данные, которыми мы обмениваемся с различными розничными торговыми сетями, шифруются.
Вообще решение о том, взаимодействовать ли с той или иной платежной системой или торговой сетью, принимает бизнес-руководство банка исходя из собственных мотивированных критериев. Но вопросы безопасности при этом обязательно учитываются. В банке есть специальный коллегиальный орган -- технологический комитет, который проводит соответствующий анализ и представляет результаты членам правления. И если у нас возникнут какие-либо сомнения в защищенности предлагаемого решения, мы либо добьемся от партнера устранения потенциально уязвимых мест, либо откажемся от сотрудничества. Мы полагаем, что безопасности банка должно быть уделено первостепенное внимание.

Мне представляется, что в нашей стране подозрительное отношение к "электронным деньгам" подогревается несколько искусственно и связано с общим неверием в технологии у определенных слоев населения -- особенно у старшего поколения. У всех крупных банков -- розничных, сетевых -- забота о безопасности связана прежде всего с необходимостью завоевывать доверие клиентов, на деле доказывать им собственную надежность. Если у финансовой организации возникают проблемы в результате электронного мошенничества или взлома сети, ее репутация может очень серьезно пострадать. Поэтому в нашем банке вопросам защиты информации уделяется огромное внимание. Это большие затраты, но имидж стабильности и надежности стоит этих денег.