Кто владеет информацией – тот владеет миром. IT-шники опасно близки к тайнам

Начнём с сухих фактов:

  • Средние и большие предприятия в декабре скоропостижно узнали, что с 1 января они смогут подавать отчёты в государственные органы только в электронной форме.
  • 1С: Бухгалтерия, что не говори, но является единственной широко-используемой системой для ведения бухгалтерии в Украине. Почти все изменения в законодательстве находят своё отображение в системе 1С: Бухгалтерия с опозданием и начинают более – менее работать после третьего исправления.
  • Пенсионный фонд имеет свою “системку” подготовки отчётности.
    Отправлять отчётность в гос. органы умеет “Бест Звит” и ещё несколько “программок”.
  • Шлюзы, принимающие отчётность со стороны гос. органов работают не всегда, а если сообщают об ошибке в принимаемом документе, то весьма размыто.
  • Большинство директоров, не совсем понимая угроз, “перепоручают” свои пароли работникам бухгалтерии.
  • Большинство бухгалтеров “стонут” от того, что вся связка “программ”, необходимых, чтобы просто отправить отчёт, работает плохо или не работает вообще.
  • Многие бухгалтера с радостью дают ключи, пароли, физический, часто неконтролируемый доступ к информационным и “платёжным” системам предприятия любому программисту или системному администратору, который готов попробовать хоть чем нибудь помочь.

Реальный случай из моей прошлой практики:
Около 8 лет назад я “помогал с компьютерами” одной небольшой компании. Дискета с электронными ключами к системе Клиент-банк лежала на системном блоке компьютера, пароли были записаны на дискете.

Реальный случай из нашей текущей практики:
1С: Бухгалтерия после установки обновления неправильно считает “зарплату по-новому”. На запрос к компании внедренцу: “Что делать?”, ответ был: “К вам подъедет мальчик поправит руками в коде…”. А хотим ли мы дать “мальчику” доступ к реальной информации в нашей учётной системе? Значительная часть такой информации является коммерческой тайной.

Что в результате?

Advertisements
This entry was posted in Doing business in Ukraine, Economics for Software Developers, Education, IT (software development), Russian, Work and tagged , , . Bookmark the permalink.

14 Responses to Кто владеет информацией – тот владеет миром. IT-шники опасно близки к тайнам

  1. А дальше все перейдет в облака и станет еще веселее 🙂

    • Ну, тут палка о двух концах… В украинских облаках я точно ничего запускать не буду… А что хуже Amazon или местные умельцы – это ещё вопрос!

      • Jule Hromyko says:

        Украинские облака – это недоразумение, на фоне GoGrid, Scalaxy, iWeb и Amazon. При том, у iWeb очень неплохие пинги с Украины и РФ. Не знаю как сейчас, уже год как перешел на Scalaxy, но раньше у iWeb предоставлялись гарантии анонимности данных. Добавьте шифрование БД на сервере и шифрованное соединение по OpenVPN и будет всё в шоколаде.
        У Оверсана Scalaxy через недельку-две появится очень большой плюс – запустят Windows Server 2008 в облаке (пока приходится арендовать VPS`ки на смарте – но это не кошерно). Простейший вариант – арендовать облако и закидывайте туда 1С-ку + базу в PostGRE.

        SaaS решений в Украине еще долго не будет. В своё время к нам пытались выйти QuickBooks, но безуспешно всё свернули после закрытой беты. Обычно SaaS`ники нас обходят стороной из-за двух главных причин:
        А) Через-чур часто меняется законодательство
        Б) Большую часть контингента бухгалтеров составляют люди не далёких навыков владения компом, которые с трудом справляются с экселем и 1С-кой. А потому – перейти на новый продукт (пускай даже с примитивным интерфейсом, как у QuickBooks web edition) становится невыносимой проблемой.

        П.С. Есть замечательный сервис “Моё дело”. Жаль только, что он заточен исключительно под законодательство РФ.

      • Проблема №1 с выходом на украинский рынок: законодательство меняется часто, оно описано не чётко (возможны разные “алгоритмические трактования”), вводится в действие в лучшем случае “с завтра”, в худшем “со вчера”.

        2.1.) “гарантии анонимности данных” – до их первого отмороженного админа, который выложит всё в Интернет;
        2.2.) “шифрование БД на сервере” – до первого развалившегося винта, даже если он с полным зеркалированием, не факт, что они всё правильно поднимут;
        2.3.) “шифрованное соединение по OpenVPN” – “по дороге” не так страшно, как см. п. 2.1.)

  2. Jule Hromyko says:


    2.1.) “гарантии анонимности данных” – до их первого отмороженного админа, который выложит всё в Интернет;

    1) Ну допустим, что к ним на роботу попал фиговенький админ (что маловероятно) и он расшарил доступ к серверам. И что дальше? Свиснуть БД злоумышленнику будет проблемно – трафик попадёт в логи, а БД зашифрована. Остается влепить снифферы для получения паролей и прочей приватной ерунды. Так с таким же успехом можно влезть на комп бухгалтера.


    2.2.) “шифрование БД на сервере” – до первого развалившегося винта, даже если он с полным зеркалированием, не факт, что они всё правильно поднимут;

    1) В облаках, априори, используется минимум двойное дублирование + образ виртуальной машины после выключения сливается на мастер-сервера. Поэтому шансы потери данных крайне малы.
    2) А бэкапы кто-то отменял? Захостить на Lunarpages или на iWeb зашифрованные бэкапы для форс мажора у хостера облака.
    3) Не факт, что развалившийся винт в бухгалтерии смогут правильно востановить “спецы” Киева\Житомира. “Если-да-кабы” следует заменять сравнением хотя-бы с тем, что есть сейчас;)

    • 0) Я не говорю, что облака – это плохо. Это хорошо, в общем случае.
      2.1.) Защита от физического доступа – наше всё.
      2.2.) Легче “интенсифицировать” “локальных специалистов”, чем “удалённых”. Мы много раз сталкивались с проблемами добиться хоть каких-то действий от админов очень серьёзных и дорогих хостеров…

      • Jule Hromyko says:

        2.1) Почти уверен, что бухгалтерия не находится на изолированном сервере в защищенной комнате. Иначе бы у Вас были бы корпоративные решения, в духе, SAP а не 1С;) Следовательно, влезть на машину с бухгалтерией не будет так уж сложно. А если комп еще и подключен в сеть (что скорее всего, ибо админы – обычно люди ленивые, предпочитают всё решать по удалёнке), то влезть будет крайне несложно. Достаточно найти кабелёк или wifi-точку\ноутбук в сети.
        + главная беда – человеческий фактор. Помню, как в своё время один из банков погорел на том, что банально подкинули админу зараженную флешку.

      • 1) “изолированный сервер в защищённой комнате” вопросов не решает.
        2) Из наличия “защиты” SAP автоматически не следует.
        3) “обычно предпочитают по-удалёнке”, а “заказчики” в виде бухгалтеров не знают других вариантов, а это азы… Не стоит делать “как обычно”, когда надо “хорошо”.

      • Но на самом то деле для небольших компаний облака это выгодное решение и позволили бы решить их проблемы, не нужно юзать отдельных админов под себя, за тебя все бэкапят и вроде гарантируют сохранность, используешь в принципе стандартное решение (даже для той же бухгалтерии)…. да и секьюрити скорее всего суперского не нужно (врагов у небольших компаний еще не много 🙂 ).
        С точки зрения больших организаций, то тут такое решение вряд ли подойдет. Специфика бизнеса требует обычно больших адаптаций, такие организации могут обеспечить содержание необходимого штата, и всю важную информацию сохраняют и контролируют сами и ограниченным кругом сотрудников.

      • С “маленькими” проблема: их много и у каждого своя “маленькая особенность”…

    • Sergiy Zaschipas says:

      1) Злоумышленник может работать так, что ему будет плевать на то, что он наследит в логах.
      2) Шифрование – не панацея. Шифрование спасает, как не парадоксально это звучит, пока ваш сервер выключен. Если вы его включили и успешно ввели все пароли то злоумышленник в этот момент уже может активно сливать дамп вашей базы себе на сервер. Думаю вам не нужно обьяснять 1001 способ этого достичь 🙂
      3) Параноидальный синдром излечим. Есть таблеточки 🙂

      • Я тут полностью согласен. Нужно бороться с элементарными и самыми вероятными в конкретном случае угрозами – свего не предусмотришь, и затраты на защиту будут больше стоимости информации.
        Кстати начальная идея поста была: элементарная грамотность в области компьютерной безопасности… 🙂

  3. Sergiy Zaschipas says:

    1. Если у Вас есть данные которые нужно скрывать от конкурентов – держите в штате технического специалиста по связям банками. Регулярно проверяйте его на полиграфе.
    2. Если вы боитесь за сохранность данных – регулярно делайте копии.
    3. Если 8 лета назад вам под руку попалась дискетка с паролями к банк-клиенту заказчика и вы не воспользовались ею во зло, то видимо вам можно доверять такие дискетки? 🙂

    • Кстати, по моим наблюдениям, большинство программистов (те, которым дано от природы + которые приложили усилия) крайне порядочныче люди.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s