Технический директор "Здравсити" Андрей Пунин: Раз в месяц мы переживаем крупную хакерскую атаку

Период с момента введения санкций ИТ-индустрия прожила в напряжении - прошел год, а режим повышенной готовности к экстренным ситуациям все еще не снят. По мнению технического директора маркетплейса здоровья "Здравсити" Андрея Пунина, риски крупных хакерских атак и внезапных блокировок со стороны зарубежных компаний-производителей ПО еще остаются. Как в таких условиях развиваются российские интернет-сервисы, решен ли в ИТ вопрос импортозамещения и так ли на самом деле непросто с кадрами в стране? Андрей Пунин рассказал на примере работы "Здравсити".

- Насколько остро вопрос импортозамещения стоял перед командой "Здравсити"?

- Наверное, так же, как и перед всеми участниками российской ИТ-индустрии - было непросто. Некоторые наши процессы осуществлялись на зарубежных программных продуктах. Но с прекращением предоставления этих ресурсов и их поддержки наш маркетплейс продолжает успешно работать. По итогам 2022 г. мы даже нарастили выручку в 1,5 раза, обрабатываем до 900 тысяч заказов ежемесячно. Из критичных партнеров никого не потеряли.

Что касается ушедших с российского рынка производителей программного обеспечения, то промониторили рынок на предмет доступных решений, сравнили варианты и выбрали наиболее подходящие. Например, тестировщики "Здравсити" до недавнего времени пользовались системой управления (TMS) TestRail. Сейчас перешли на TestIT - по общей и необходимой функциональности она равнозначна TestRail, но тот факт, что она разработана в РФ, делает продукт гораздо надежнее в плане стабильности работы.

Впрочем, может быть, это не финальное решение. Закрыв острые потребности в ПО, мы предусмотрели резервные варианты, которые гарантированно будут работать в случае ухудшения ситуации.

- У вас пессимистичный прогноз…

- Отнюдь, но риски того, что кто-то из оставшихся иностранных сервисов нас может внезапно заблокировать, к сожалению, остаются. Не буду их здесь упоминать, чтобы не сглазить. Мы стараемся работать на опережение, чтобы быть готовыми к неожиданностям, и это как раз про поиск альтернатив.

Приметой непростого периода в ИТ стали также массированные хакерские атаки. Так, до 2022 г. DDoS-атаки на сервис "Здравсити" были эпизодическими и не доставляли нам особых неудобств. С весны прошлого года стабильно раз в месяц к нам "приходит" крупная атака, нацеленная критически нарушить работу сайта или приложения.

Доподлинно установить источник атаки затруднительно. Для нас важнее их отбивать, с чем пока успешно справляемся. Задолго до всех событий мы предусмотрели серьезную систему защиты. Еще чаще, примерно 2-3 раза в неделю, нас пытаются "обкачивать" некоторые личности, торгующие в интернете чужими данными.

- И все же в СМИ проходила история, что данные пользователей "Здравсити", якобы, утекли. Что произошло на самом деле?

- Взлома непосредственно информационных ресурсов "Здравсити" - баз данных, транспортных систем или других хранилищ - не было. Это подтвердило наше внутреннее расследование. Настораживает другое - впоследствии в СМИ проходила информация, что в даркнете от того же хакера на продажу были выставлены базы других крупных компаний из совершенно иных отраслей.

Предполагаем, что произошел несанкционированный доступ к данным другого оператора и на стороне третьих лиц, занимающихся реализацией маркетинговых программ. Анализ данных показал ничтожно малую долю пересечений (около 4%) с реальными пользователями "Здравсити.ру"

К сожалению, компании-владельцы (операторы) персональных данных сегодня находятся в уязвимом положении. С одной стороны, эффективность рекламы и продвижения во многом зависит от глубины таргетирования и качества работы с конечным пользователем. Привлечение к такой работе специализированных агентств с поручение обработки персональных данных неизбежно.

С другой стороны, даже при соблюдении всех норм законодательства по обеспечению защиты персональных данных ответственность за нарушения такова, что некоторые недобросовестные партнеры ей пренебрегают, или их системы безопасности не справляются с защитой. А все репутационные, и впоследствии - финансовые издержки и санкции со стороны контролирующих государственных органов ложатся только на владельца данных.

Вероятно, необходимо обратить внимание на требования закона к третьим лицам, которые обрабатывают персональные данные оператора. Мы же в меру своих возможностей ужесточаем политику информационной безопасности в отношении доступов к базам и очень внимательно относимся к защите информации о наших пользователях.

- По вашему мнению, в России наблюдается нехватка ИТ-специалистов?

- Могу судить на примере нашей компании. За 2022-2023 г. мы полностью закрыли вакансии на ключевые должности. В работе осталось некоторое количество позиций, по которым планомерно работаем и не видим необходимости сильно ускоряться. По нашим наблюдениям, в стране острой нехватки IT-специалистов нет, их качество в целом не претерпело особых изменений. Как и прежде, часть сотрудников "Здравсити" трудится удаленно. Так что кадровая работа идет в штатном режиме.

- На кого делает ставку "Здравсити": на молодых или опытных специалистов?

- Департамент ИТ "Здравсити" предъявляет повышенные требования к специалистам. Мы не можем позволить себе брать людей, закрывая глаза на какие-то пробелы в знаниях. Мы работаем в ИТ-компании, и это подразумевает определенную планку. Если, например, сравнивать с командами крупнейших ИТ-компаний России, то наши специалисты сопоставимы по уровню компетенций. Тем не менее в кадровой работе важно находиться в разумном балансе.

В "Здравсити" есть опытные лиды, которые ведут молодых ребят: разрабатывают индивидуальный план развития, дают возможность реализовывать собственные интересы, конечно, если они укладываются в бизнес-интересы компании. Все это подкрепляется грамотной системой мотивации. Стажировок у нас нет, т.к. на это нужны дополнительные ресурсы. Это было бы оправданно в условиях острого дефицита кадров. Но сейчас нам проще найти более-менее готового специалиста на рынке и адаптировать его под наши бизнес-процессы.

- Какие ключевые задачи удалось решить в "Здравсити" за последнее время?

- Одна из важнейших целей, которая стояла перед нами, вывести сервис на допустимый уровень SLA. Недопустимо, чтобы сайт и приложение падали и продолжительное время не работали. Сейчас мы выдерживаем уровень SLA 99,9% и приближаемся к 99,99%. Завершили "редизайн" - комплексную задачу, у которой было огромное количество зависимостей (смена стека технологий), разобрали "на молекулы" и решили. Тщательно поработали на информационной безопасностью в связи с, как уже говорил, участившимися атаками.

- Какие планы строит "Здравсити" на этот год в технологическом плане?

- Наша стратегическая задача 2023 года - смена основного стека. Мы отказываемся от legacy-решений и "переезжаем" на новую архитектуру. Если рассматривать "Здравсити" как ИТ-продукт, то можно заметить в нем много внешних зависимостей, взаимодействие с которыми лучше изолировать в отдельные сервисы для лучшей масштабируемости и отказоустойчивости. Например, регистрация пользователя и составление заказа должны находиться в разных системах, т.к. в процесс включаются различные логистические и ценовые связки, отличающиеся в зависимости от региона.

Подобная микросервисная архитектура поможет быстрее делать программные доработки и проводить эксперименты, увеличит скорость ответа пользователю и снизит стоимость обслуживания системы. Если выразиться проще, маркетплейс здоровья "Здравсити" должен стать быстрее, понятнее и современнее. В плане - перенести на микросервисные решения 80% функционала до конца года.