Говорят, что понятие cloud computing возникло из-за того, что американские айтишники привыкли в своих презентациях изображать Интернет как облако. На русский это понятие перевели как «облачные вычисления», что неподготовленного человека смущает еще более — причем здесь, например, документооборот и вычисления?! А у маркетологов от IT давно появилась привычка пугать потенциальных потребителей всякими аббревиатурами. Применительно к «облакам» это будут SaaS, IaaS, PaaS и EaaS.

На самом деле речь идет об очень простых вещах. Компания может хранить внутреннюю документацию на собственном сервере или использовать с этой целью, допустим, Google Docs. В последнем случае можно сказать, что используются облачные вычисления. А можно не говорить. Google же данной компании предоставляет SaaS — software as a service, то есть услугу доступа к своему программному обеспечению. Аналогично IaaS, PaaS и EaaS — это infrastructure as a service, platform as a service и everything as а service (так сказать all inclusive). Закачивая с ликбезом, следует отменить, что если заменить «облачные вычисления» на давно привычный термин «аутсорсинг», то все встанет на свои места, и можно применять обычную бизнес-логику.

Для кредитных организаций «облачный» подход актуален в первую очередь при организации или модернизации ЦОДов и хранилищ данных. В пользу использования «облака» есть два серьезных аргумента.

Аргумент №1

Отказ от собственных мощностей позволяет избежать значительных капитальных затрат. В 2010 году глава Сбербанка Герман Греф заявил о планах строительства крупнейшего в Европе центра обработки данных площадью 15 тыс. кв. метров. О затратах он умолчал, но эксперты в области IT оценили их в 200 млн долларов. Если же воспользоваться услугами коммерческих дата-центров, то операционные расходы составят 50–70 млн долларов в год. Следует учесть, что строительство ЦОДа означенных масштабов может занять до двух лет, а средства, вложенные в его создание, естественно будут изъяты из оборота и не смогут приносить доход. То есть при расчете экономического обоснования проекта необходимо учитывать недополученную прибыль. В пользу же своего дата-центра говорит только надежда, что когда он будет построен, операционные затраты снизятся.

Аргумент №1.1

О более низких операционных издержках при наличии собственного ЦОДа на самом деле можно говорить только в случае со Сбербанком и его гигантскими масштабами. Для любого другого российского банка верным будет утверждение, что использование «облачных» мощностей позволяет сократить затраты и на текущее обслуживание.

Есть американская статистика, согласно которой обслуживание сетевой инфраструктуры в среднем по размеру (до 100 серверов) дата-центре обходится примерно в 100 долларов за Мбит/с в месяц, тогда как у крупного (более 1000 серверов) ЦОДа данный показатель в семь раз ниже. Один технический специалист в крупном центре обслуживает опять-таки в семь раз больше серверов, чем среднем. Стоимость хранения данных у большого ЦОДа ниже в пять раз. Таким образом, даже с учетом своей маржи, коммерческие дата-центры могут предлагать услуги дешевле, чем обошлось бы клиенту обслуживание собственного среднего по размерам ЦОДа.

Аргумент №2

«Облака» обеспечивают гибкость в использовании IT-ресурсов. Например, в банке появляется необходимость ввести в эксплуатацию несколько новых серверов для пилотного проекта. Для этого при подходе «сами с усами» нужно пройти внутреннее согласование, закупить оборудование и установить его в дата-центре, на что уйдут недели, а то и месяцы. В случае же с облачными вычислениями достаточно просто активировать необходимое количество виртуальных серверов и приступить к работе немедленно.

Кроме того, использование cloud computing позволяет в любой момент использовать столько ресурсов, сколько необходимо, и не переплачивать за инфраструктурную избыточность. Так, никто не знает и не может знать наверняка, действительно ли тому же Сбербанку нужен ЦОД площадью 15 тыс. кв. метров, где могут разместиться 3 тыс. серверных стоек или хватило бы центра поскромнее?

Есть, конечно, примеры намеренного создания инфраструктурной избыточности. В свое время у российских операторов сотовой связи существовала «проблема новогодней ночи». Оборудование, которое успешно работало 364 дня в году, переставало справляться с нагрузкой, когда вся страна после боя курантов бросалась звонить по мобильному телефону или рассылать SMS. Перед операторами встала дилемма: резко нарастить свои мощности и смириться с тем, что весь год существенная их часть будет простаивать, или же сохранить текущий экономически обоснованный уровень емкости сетей со всеми вытекающими репутационными потерями, которые будут происходить каждый Новый год.

По совокупности причин был выбран первый вариант, но для банков такой подход вряд ли разумен. Не случайно западные банки часто используют смешанный подход, когда имея собственный основной дата-центр, они резервный разворачивают в «облаке», что позволяет сглаживать пиковые нагрузки на собственные вычислительные мощности.

Законный вопрос

Однако при использовании облачных вычислений возникают очень серьезные вопросы юридического характера. Какова ответственность поставщика облачных услуг по отношению к персональным данным? Отличаются ли, например, обязательства провайдера облачного CRM (вроде salesforce.com) от обязательств поставщика облачной инфраструктуры? Насколько банки (да и не только банки, а любые пользователи cloud computing) свободны хранить собираемые ими данные за границей? Каковы права полиции и других государственных органов в отношении данных, принадлежащих пользователям из других стран? И так далее. Однозначных ответов на эти вопросы пока не содержится ни в одном законодательстве ни одной страны мира.

В декабре 2010 года Еврокомиссия опубликовала доклад «Анализ вызовов в области безопасности и приватности при использовании облачных вычислений». Представители Еврокомиссии открыто признали, что действующее законодательство в сфере защиты данных устарело и необходима активная работа по его обновлению, поэтому в мае 2011 года планируется организовать слушания по вопросу законодательного регулирования в сфере облачных вычислений.

Что же касается России, то, похоже, проблема регулирования отношения при использовании cloud computing пока находится за пределами понимания наших законодателей. А российские кредитные организации пока еще не готовы полностью привести свою IT-инфраструктуру в соответствие требованиям закона «О персональных данных», так что вступать на новую зыбкую в юридическом отношении почву им не с руки.