`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Ніколи цього не було і от знову

Знову у медіа вирує інформація, що персональні дані українців продають. Гучний кіберскандал, в якому звинувачують державу, набирає обертів. У Мінінформації такі закиди спростовують, зазначаючи, що витоку із додатку «Дія» не було. Хоча справа ще розслідується, одне можна сказати напевно – проблема із захищеністю даних існує, а система захисту державних IT-систем шляхом побудови КСЗІ не є ефективною.

Українське ноу хау у вигляді КСЗІ себе не виправдовує і давно вже потребує заміни, але роки йдуть, на Prozorro регулярно проходять тендери на мільйони гривень, Комплексні Системи Захисту Інформації «будуються», але життя показує, що це не захищає дані громадян.

За прикладом ефективної побудови захисту інформації не треба далеко ходити. Ми вже маємо в країні ефективну систему управління інформаційною безпекою, яка вибудована Національним банком України. Можливо, варто взяти її за приклад і розповсюдити на всі державні й навіть приватні підприємства.

В Україні є затверджені стандарти інформаційної безпеки, розроблені за допомогою НБУ: ДСТУ ISO/ IEC 27001:2015 та ДСТУ ISO/ IEC 27002:2015. Це адаптовані європейські стандарти з інформаційної безпеки, яких зобов'язані дотримуватись українські банки задля захисту інформації.

НБУ регулярно перевіряє банки на дотримання вимог даних ДСТУ, і такий підхід демонструє свою ефективність. Тому державі варто розглянути можливість відмовитись від неефективних КСЗІ та зобов'язати державні компанії відповідати вимогам ДСТУ 27001 та 27002 і регулярно перевірятись на відповідність цим вимогам кожній компанії.

Звісно, у держави немає необхідної кількості спеціалістів відповідної кваліфікації, аби щорічно проводити аудит всіх державних підприємств. Але це й не потрібно. Є ефективна практика, коли фінансову звітність державних компаній перевіряє і підтверджує приватна компанія, яка має кваліфікованих спеціалістів. Так само варто зробити для аудиту компаній на якість побудови інформаційної безпеки і проведення тестів на стійкість до зламу.

В Україні є багато організацій, які можуть виконувати таку роботу. Почати можна з компаній критичної інфраструктури, а далі поступово розширювати кількість підприємств, які підлягають обов'язковому зовнішньому аудиту. До речі, НБУ також було б варто перекласти цю роботу на приватні компанії. Тоді ми могли б розраховувати на те, що в державних компаніях вибудовуються реальні процеси для захисту нашої інформації, а не просто будуть зберігатися стоси паперів з грифом КСЗІ.

Ще однією вдалою практикою для держави може бути використання досвіду США. Там для всіх державних компаній та об'єктів критичної інфраструктури виписані чіткі документи з описом контролів, які мають бути імплементовані в організації для захисту інформації. Україна може адаптувати стандарти NIST та зобов'язати державні компанії їх виконувати. Переконаний, що США, витрачаючи по всьому світу великі кошти на підвищення рівня кібербезпеки, зможуть допомогти у цьому процесі.

До речі, NIST Cybersecurity Framework вже перекладено українською за допомогою спільноти фахівців з кібербезпеки та компанії Cisco. Також українські фахівці та київське відділення ISACA переклали четверту версію COBIT та третє видання керівництва з проведення аудиту ІТ систем ITAF, і наразі ці документи доступні для використання всіма компаніями.

Інструменти для побудови якісного захисту наших даних є, потрібна лише мотивація державних компаній використовувати їх, створити яку може тільки сама держава. Малоймовірно, що керівники держпідприємств будуть приділяти захисту даних увагу, якщо це не буде обов'язково.

Зараз, коли навіть державні підприємства змушені були перейти у віддалений режим роботи і цифровізуватися, питання кібербезпеки ІТ-систем держави стає ще більш актуальним. Відкладати це питання далі вже нікуди. Більше того, вирішувати його потрібно не завтра, а терміново.

SOC-звіти – нові інструменти підтвердження якості процесів в компаніях

У 2011 році Американський Інститут Сертифікованих Публічних Бухгалтерів (American Institute of Certified Public Accountants, AICPA) затвердив Service Organization Control report framework (фреймворк звітів щодо Контролів Сервісних Організацій, SOC). Згідно зі фреймворком, Certified Public Accountants (CPA) можуть випускати звіти щодо якості певних внутрішніх контролів Сервісних Організацій у вигляді звітів трьох типів – SOC 1, SOC 2 та SOC 3. – SOC 1, SOC 2 та SOC 3.

Про що ці звіти

SOC 1 – звіт, призначений для оцінки внутрішніх контролів, що стосуються процесу формування фінансової звітності компаній. Обмежений для розповсюдження.

SOC 2 призначений для оцінки внутрішніх контролів компаній стосовно Безпеки, Доступності, Цілісності, Конфіденційності, Приватності (Security, Availability, Processing Integrity, Confidentiality, Privacy). Також обмежений для розповсюдження.

SOC 3 є аналогом SOC 2, але призначений для широкого загалу і розповсюдження для будь-кого. В 2017 році принципи, закладені в Service Organization Control report framework, були гармонізовані з фреймворком внутрішніх контролів The Committee of Sponsoring Organizations of the Treadway Commission (COSO) і наразі отримання SOC-звіту рівноцінне отриманню звіту незалежного аудитора стосовно системи внутрішніх контролів компаніях у відповідності до COSO Internal Control Integrated Framework

Кому можуть бути цікаві SOC-звіти

Компаніям, які надають сервісні послуги іншим організаціям і хочуть надати своїм наявним чи потенційним клієнтам підтвердження від незалежної сторони щодо високої якості своїх внутрішніх процесів.

Клієнтам аутсорсингових ІТ-компаній корисно буде знати, наскільки у їхнього партнера все гаразд із Security, Confidentiality та Privacy.

Клієнтам інтернет-сервісів, окрім ситуації в компанії стосовно Confidentiality та Privacy, важливо розуміти, що рівень доступності сервісів (Availability), на який вони розраховують, сервісна компанія загалом спроможна надавати.

Клієнтам компаній, які надають послуги в сфері охорони здоров’я важливо розуміти, що їх персональна інформація добре захищена (Privacy).

Виробникам продовольчої, фармацевтичної чи високотехнологічної продукції важливо продемонструвати клієнтам та партнерам, що компанія забезпечує високу якість виробництва на кожному етапі (Processing Integrity).

Для банків та фінансових компаній буде додатковою перевагою підтвердження стороннім аудитором якості обробки персональних даних клієнтів та захисту даних загалом (Security, Confidentiality та Privacy).

Чим SOC-звіти відрізняються від сертифікації компанії за міжнародними стандартами?

SOC-звіти, як і будь-які інші звіти аудиторів, відображають ситуацію на момент випуску звіту та за певний період, за який проводився аудит, зазвичай 1 рік, на відміну від програм з сертифікації, які передбачають окрім отримання самого сертифікату, регулярне підтвердження, що організація відповідає умовам сертифікації (ресертифікація).

Альтернативні сертифікації

Security/ Confidentiality

Компанії можуть підтвердити якість своєї системи управління інформаційною безпекою завдяки сертифікації за стандартом ISO/IEC 27001. Сертифікація за ISO 27001 підтверджує, що компанія має всю необхідну документацію, яка покриває всі аспекти управління інформаційною безпекою в компанії, має вибудовані процеси, ефективна робота яких може бути оцінена за період між сертифікацією/ресертифікацією. На відміну від сертифікації за ISO 27001, звіт SOC щодо Security оцінює вичерпний перелік визначених контролів, які допомагають отримати обгрунтовану впевненність, що ІТ-системи сервісної організації захищені від неавторизованого доступу, використання чи модифікації інформації в ІТ-системах компанії.

Availability/Processing integrity

SOC-звіт щодо Availability підтверджує, що Сервісна Організація спроможна надавати послуги згідно заявленого рівня. Альтернативою для організацій є сертифікація на відповідність вимогам стандартів ISO/IEC 22301 Societal Security – Business Continuity Management Systems для підтвердження, що в компанії існує ефективна Система Управління Неперервністю Діяльності. Сертифікація за ISO/IEC 9001 Quality Management підтверджує, що процеси в компанії побудовані та працюють у відповідності до загальноприйнятих стандартів якості. Сертифікація за ISO/IEC 20000 IT Service Management підтверджує, що ІТ процеси в компанії побудовані і функціонують згідно вимог міжнародних стандартів.

Privacy

Оцінка відповідності компанії вимогам європейського General Data Protection Regulation 2016/679 (GDPR) дозволяє впевнитись, що компанія відповідає вимогам Європейського Союзу щодо захисту персональних даних. Звіт SOC щодо Privacy фокусується на контролях для безпечного збору, обробки використання, зберігання та видалення персональної інформації. В GDPR окрім вимог щодо обробки персональних даних також містяться вимоги щодо обов’язкового повідомлення Data Protection Authority про витоки персональних даних чи інші пов’язані інциденти щодо персональних даних та правила взаємодії організацій, які обробляють персональні дані жителів Євросоюзу та Data Protection Authority, права та правила взаємодії громадян, організацій та державних установ щодо персональних даних.

Більш простою і дешевшою альтернативою для компаній по підтвердженню якості внутрішніх процесів є отримання Звітів від аудиторських чи консалтингових компаній на відповідність процесів компанії загальноприйнятим практикам, фреймворкам чи стандартам. У цьому випадку компанія отримує не сертифікат відповідності, а Звіт незалежної сторони щодо поточного стану в компанії конкретного процесу чи функції. Наприклад, будь-яка компанія може отримати Звіт щодо якості своїх ІТ-процесів відносно ITIL, COBIT, стандартів ISO 27001 чи по методології ISO 33001.

Як це відбувається?

Процес отримання звіту SOC нічим не відрізняється від звичайної роботи аудиторів чи консультантів при проведенні оцінки будь-якого з процесів компанії. Аудитор проводить зустрічі з персоналом компанії, збирає докази дизайну та функціонування певних контролів, які будуть покриватись SOC-звітом, формує Звіт і надає його замовнику. Різниця в тому, що перелік контролів, які потрібно проаналізувати та оцінити чітко визначений Service Organization Control report framework і із Замовником погоджується тільки тип звіту (SOC 1, SOC 2 чи SOC 3) та перелік доменів, які будуть покриті даним звітом (Security, Availability, Processing integrity, Confidentiality, Privacy).

В результаті роботи аудитора Замовник отримує SOC-звіт у погодженому форматі (друкований, електронний).

Важливі запитання з ІТ-безпеки, які CEO мають задати CIO та CISO прямо зараз

Джон МакМайкл, менеджер з  нформаційної безпеки уряду округу Колумбія опублікував коротку статтю в Linkedin, де привів 13 питань, які на його думку мають задати керівники організацій своїм ІТ-менеджерам та менеджерам з ІБ. Спільнота доповнила його перелік ще декількома, і наразі маємо 16 вельми точних запитань, які не всім ІТ-директорам і CISO в Україні сподобаються. Але кожен CIO\CISO має мати відповіді на них, аби його організація почувала себе захищеною.

  1. Чи знаємо ми і чи задокументовані кордони мереж, з якими ми з’єднані, включаючи топологію мережі, бездротової мережі, віддалених з’єднань і хмарних ресурсів?
  2. Чи проінвентаризовані акуратно всі наші ІТ активи? Чи оновлюємо ми цей список коли оновлюємо активи і чи підтримуємо ми специфікацію наших пристроїв? Чи знаємо ми хто має адміністративний доступ в нашій ІТ-інфраструктурі?
  3. Чи знаємо ми хто отримує доступ до наших пристроїв\систем і що вони роблять в них?
  4. Чи маємо ми життєвий цикл программ та обладнання? Чи можете показати мені результати останнього циклу управління оновленнями?
  5. Чи маємо ми ефективний Процес Розробки ПЗ? Чи використовуємо ми Модель Загроз, якщо ні, то як ми впевнюємось у безпеці рішень? Чи можете показати мені останню оцінку ризиків для одного з наших активів?
  6. Як ми обліковуємо наші критичні активи з чутливими даними і як відрізняється захист цих активів від активів з менш критичними даними для організації?
  7. Як ми визначаємо незвичайних користувачів або нетипову мережеву активність в нашій ІТ-інфраструктурі? Чи стосується це нашого хмарного ресурсу?
  8. Який механізм ми маємо аби впевнитись, що незахищені важливі дані не покидають межі організації? Чи стосується це нашого хмарного ресурсу?
  9. На які індикатори компрометації нашої мережі ми розраховуємо? Чи можете ви запевнити керівництво що нас наразі не зламали?
  10. Чи маємо ми достатні, детальні та адекватні Політики та Документи і коли ми робили останній перегляд цих документів? Які стандарти ми використовуємо для побудови Системи Управління Інформаційною Безпекою і чому?
  11. Чи маємо ми Комітет з Управління Ризиками (який би включав не тільки ІТ та ІБ)? Чи працюють члени цього Комітету з керівниками бізнес-підрозділів над визначенням цілей?
  12. Який інцидент кібербезпеки був найважливішим за минулий квартал? Яка була наша реакція?
  13. Наскільки реальний наш План Реагування На Проникнення? Коли він тестувався останній раз і хто приймав участь у його тестуванні?
  14. Як ми отримуємо, оцінюємо та використовуємо Розслідування інцидентів від інших організацій? Чи маємо ми достатньо експертизи і ресурсів для самостійного проведення розслідування інцидентів ІБ?
  15. Чи маємо ми перелік партнерів\клієнтів з якими об’єднана наша мережа і чи знаємо ми чим саме ми ділимось з ними?
  16. Чи маємо ми оцінку втрат (фінансових\репутаційних), які ми понесемо при настанні критичних інцидентів, наприклад Проникнення?

Кібербезпека чи Інформаційна безпека?

Час від часу бачу як журналісти, різні ІТ спеціалісти чи маркетологи плутають поняття Кібербезпеки та Інформаційної безпеки, підміняючи поняття та вводячи людей в оману, чи то навмисно, чи то по нерозумінню різниці. Спробував розкласти мухи і котлети окремо.

Матчасть

Кібербезпека – це безпека ІТ систем (обладнання та програм).

Інформаційна безпека – це безпека інформації, зазвичай організації чи компанії, у тому числі в ІТ системах. Кібербезпека є частиною Інформаційної безпеки будь-якої організації.

Приклади

Наскільки захищений ваш домашній комп’ютер чи ваш веб-сайт від зламу хакерами – це питання кібербезпеки. Але чи кріпите ви стікер із записаним паролем від комп’ютера чи профайлу у соцмережі на екран свого монітору – це вже питання вашої Інформаційної безпеки.

На сайтах пошуку роботи часто можна зустріти об’яви на кшталт «потрібен спеціаліст з інформаційної безпеки», де в описі задач вказано «адміністрування системи моніторингу», «адміністрування антивірусу», «аналіз наявності вразливостей в системах (пентестер)» – це все вузькі задачі спеціалістів з кібербезпеки. Спеціаліст з інформаційної безпеки має вміти набагато більше, це і організація навчання працівників з питань ІБ, і впровадження проектів ІБ, аналіз ризиків, аналіз компанії на відповідність регуляторним чи законодавчим вимогам і т.п.

Часто продавці різного ІТ обладнання та ІТ продуктів пропонують «рішення з інформаційної безпеки», хоча по факту вони пропонують рішення для кібербезпеки – антивіруси, фаєрволи, мережеві екрани і т.п. Якщо ви купуєте дорогий маршрутизатор з розширеними функціями безпеки чи дорогий програмний продукт, який виявляє та нейтралізує віруси, ви закриваєте одну із задач міжнародного стандарту з інформаційної безпеки ISO 27001 по захисту від зловмисного коду, а в цілому в даному стандарті з ІБ десятки різних задач, які потрібно вирішувати кожній організації, аби її інформація була захищеною.

Хороший приклад правильного використання термінів маємо в назві проекту Закону України «Про основні засади забезпечення кібербезпеки України». Хоча по самому проекту закону є багато зауважень, які детально виклали мої колеги з київського відділення всесвітньої асоціації з розроблення методологій та стандартів у галузі управління, аудиту і безпеки інформаційних технологій ISACA (Information Systems Audit and Control Association), але по своїй суті цей документ якраз і покриває питання саме кібербезпеки.

З іншого боку, маємо не зовсім вдалий приклад використання словосполучення «інформаційна безпека» в документі «Доктрина інформаційної безпеки України». Даний документ описує в основному цілі та дії, які має застосовувати держава щодо протидії Росії в інформаційному полі (телебачення, радіо, інтернет). В документі згадується Державна служба спеціального зв'язку та захисту інформації України (ДССЗІ), але тільки в контексті захисту спеціального зв'язку, захисту інформації, телекомунікацій та користування радіочастотним ресурсом України. Більш вдалою назвою для цього документу була б «Доктрина інформаційної політики України», як на мене. Бо для того, аби цей документ покривав всі питання інформаційної безпеки держави, потрібно також врегулювати не тільки питання забезпечення безпеки інформаційних систем в державі, але також і проведення аналізу цих систем на відповідність (аудит ІТ систем), врегулювати питання освітницької діяльності щодо підвищення і підтримки на належному рівні знань громадян щодо питань інформаційної безпеки, врегулювати питання аналізу та реагування на інциденти ІБ (тим чим займається CERT-UA), питання безперервності роботи державних ІТ систем. Цього всього в поточній «Доктрині інформаційної безпеки» немає, і в цілому ці питання залишаються неврегульованими на державному рівні, тому і по інформаційній безпеці України залишається багато відкритих питань.

Хакери, вони хто?

Всім відомі хакери – це, в основному, спеціалісти з кібербезпеки. Вони вивчають як побудовані різні ІТ системи, щоб знайти в них слабкі місця і використати їх для отримання вигоди, чи то фінансової, чи для інших цілей. Хакерам протидіють не тільки Білі Хакери (White Hats), які також знаходять вразливі місця в наших ІТ системах, але роблять це відкрито, аби допомогти нам закрити наявні проблемні місця, але й спеціалісти з інформаційної безпеки, тому що для проникнення в ту чи іншу організацію можуть використовуватись не тільки прямі методи зламу тієї чи іншої системи, але також і прості людські слабкості – збережені паролі у відкритих місцях, зайва балакучість співробітників, фішинг, спам, прийоми соціальної інженерії по телефону, емейл і т.п.

Як відрізнити спеціаліста кібербезпеки від спеціаліста з ІБ?

Найпростіший і найочевидніший спосіб – по сертифікації. Сертифікацій на тему кібербезпеки та ІБ у світі величезна кількість, але є декілька найпоширеніших та найбільш популярних.

Спеціалісти з Кібер-безпеки:

  • CEH (Certified Ethical Hacker);
  • CISSP (Certified Information System Security Professional);
  • CCSP (Cisco Certified Security Professional).

Спеціалісти з Інформаційної безпеки:

  • CISM (Certified Information Security Manager);
  • CISA (Certified Information Systems Auditor);
  • ISO 27001 Lead Implementer;
  • ISO 27001 Lead Auditor.

З ІТ аудиторами також часто виникає плутанина. Класичний ІТ аудитор чітко знає набір процедур і методологічних практик, які потрібно пройти, аби проаналізувати будь-які ІТ систему згідно поставлених цілей. Також є Пентестери, які інколи позиціонують себе як ІТ аудитори, але виконують зовсім інші задачі. Задача Пентестера – зламати систему, у той час як задача ІТ аудитора проаналізувати систему, наприклад, на відповідність налаштувань до рекомендацій постачальника.

Якщо вам потрібно перевірити вашу систему на міцність – тут в нагоді стане Пентестер, CEH, White Hat. Якщо потрібно просто проаналізувати, наскільки адекватні налаштування ІТ системи, чи порядок з правами користувачів в системі – допоможе ІТ Аудитор, CISA.

Microsoft: должен остаться только один

Корпорация Microsoft продолжает удивлять. Притом приятно и не очень одновременно. С тех пор, как я стал «счастливым» обладателем нового ноутбука с предустановленной Windows 8, мне пришлось немало поудивляться. Я привыкаю к «особенностям» новой Windows уже 10 месяцев. К одним приспособился, другие фичи претерпели изменения за это время (после выхода обновлений), с третьими мы мирно сосуществуем, – я не трогаю их, они не мучают меня. Так и живем.

Одним из новшеств, которыми я заинтересовался стал бесплатный онлайн офис. Не то, чтобы мне это нужно было позарез – Google Docs мне хватает за глаза – просто решил потестировать аналогичный инструмент от Microsoft, чтобы быть в курсе последних веяний. Избалованный google-овской простотой, я открыл SkyDrive (еще на то время так назывался OneDrive), создал файл Excel и начал им пользоваться.

Тестирование проходило хорошо. Возможности онлайн версии табличного редактора, как и обещал Microsoft, оказался урезанным. Но для ведения простой таблицы с историей, накоплением помесячной информации, суммированием колонок и столбцов, построения простых графиков и диаграмм, Excel online справлялся на отлично. Временами, правда, он зависал, радуя смешной фразой «мы все еще работаем над этим».

Все было замечательно в течение полугода до того момента, когда я привычно открыл OneDrive и обнаружил «0» своих файлов. Их не было. Ни одного. Как с опытом в ИТ, я не стал сразу впадать в панику, а выполнил весь набор обязательных ритуалов в таких случаях. Как говориться, и капот поднимал и по колесу стучал и вокруг машины ходил. Перекладывая бородатый анекдот на язык ИТшников, – кэш интернета на ноутбуке почистил, зашел на OneDrive не только из Chrome, но также из канонического Internet Explorer, даже ноутбук перегрузил для чистоты эксперимента. Все тщетно. Файлы не появились. К счастью, ничего важного я там не хранил, в основном это были копии рабочих файлов, с которыми я экспериментировал в онлайн версиях Word, Excel и PowerPoint. Но было любопытно, это разовый сбой или что-то глобальное произошло в Microsoft, и файлы пропали не только у меня.

Порыскал по Интернету. Новостей в стиле «Microsoft потеряла данные нескольких миллионов пользователей» обнаружено не было. Соответственно появилось подозрение, что инцидент случился почему-то конкретно со мной.

Поскольку, как известно, за спрос не бьют в нос, решился написать в службу поддержки Microsoft. Хотя реакции на запрос по пользованию бесплатного инструмента я, честно говоря, особо не ожидал. Поэтому ответ, полученный спустя два дня (!), искренне и приятно удивил. Общение, правда, в итоге растянулось почти на целый месяц. Мне отвечали раз в несколько дней, я выполнял то что просили, писал «не помогло», и ожидал следующего совета.

Решение оказалось достаточно необычным. SkyDrive, еще в самом начале моей работы с онлайн офисом, принял меня не по учетной записи [email protected], под которой я работаю в Windows, что было бы логично. А по другому адресу [email protected], которым я также пользуюсь на базе outlook.com. Все это время файлы сохранялись под учетной записью [email protected]. И на одном из этапов трансформаций OneDrive почему-то все-таки решил работать со мной по учетной записи Windows. Что привело к трудностям совмещения нескольких учетных записей outlook.com на одном компьютере. По факту – файлы нашлись, но, как говорится, осадок-то остался.

В FAQ по онлайновому офису прямо написано, «если вы используете несколько адресов электронной почты для входа в службы Microsoft (например, если вы используете один адрес электронной почты для Hotmail и OneDrive и другой для Xbox Live), мы рекомендуем выбрать один из них». Как видно, в Microsoft и сами понимают опасности доступа к разным облачным сервисам под разными учетными записями. Но по каким-то причинам оставили такую техническую возможность сознательно. Или она образовалась естественным программистским путем: работает – не трогай.

Поразмыслив над возможными аргументами относительно полезности такой возможности, пришел к выводу, что если рассматривать ноутбук, планшет, смартфон как персональные устройства, то возможность открывать доступ к облачным сервисам под другими учетными записями не должна быть широко востребована. Если кто-то захочет поделиться со мной скажем фотографиями, то человек со своего устройства (ноутбука, планшета, телефона) расшарит их в облачном сервисе. А я со своего устройства получу доступ к ним. Я себе слабо представляю ситуацию, когда кому-то будет удобно ввести логин и пароль для OneDrive на моем телефоне, чтобы расшарить мне же свой файл с OneDrive. Смартфон уже стал неотъемлемой частью повседневной экипировки, и поделиться информацией проще с личного устройства.

Если же рассматривать ПК, ноутбук или планшет, как коллективное устройство, на котором работает несколько человек. Тогда теоретически возможна ситуация, при которой доступ к информации одного человека нужно будет получить во время использования на устройстве учетной записи другого сотрудника. Но, исходя из практики доступа к сетевым ресурсам в корпоративной сети, такой возможностью пренебрегали и ранее. Технически, и на уровне LAN можно было substом или другими инструментами подключать жесткие диски разных пользователей друг к другу для обмена информацией. Однако в большинстве случаев для этого используется общая папка на файловом сервере.

Исходя из того, что сегодня компьютерные устройства все чаще личные, смещение ПО в сторону персонализации более логично на мой взгляд. Я сам сторонник открытых возможностей. Но отрицать общемировой тренд в сторону унификации доступа к облачным ресурсам невозможно. Похоже, что в ближайшем будущем диктовать моду в ИТ индустрии будут не те, чей софт установлен на большинстве компьютеров. А те, под чьими учетными записями будут авторизоваться пользователи для доступа к данным. И варианты здесь не сводятся только к паре Google\Microsoft. Не прочь откусить от этого пирога Facebook, Yahoo, Twitter и другие.

Что ж, посмотрим, чем эта борьба закончится. И будем внимательными, чтобы не растерять свои файлы на разных серверах в Редмонде, Амстердаме или Дублине.

Электронная почта для небольшой компании или ЧП

Вслед за Google, Microsoft также прикрывает лавочку бесплатных почтовых доменов. С 10 апреля прекратилась регистрация новых частных доменов, а теперь, после 31 июля больше не будет возможности создавать новые учетные записи в существующих доменах.

Все это делается для того, чтобы мотивировать людей переходить на платный почтовый сервис Office 365. Для многих это название ассоциируется с онлайн-офисом. Но кроме самих офисных приложений через сервис доступны и электронная почта, и виртуальные корпоративные сети, и бизнес-аналитика, и корпоративные базы данных… В общем, теперь Microsoft Office 365 – это корпоративный сервис для ИТ-зации бизнеса без лишних усилий. Заплатил – и пользуйся. Пакеты есть на любой вкус, в том числе можно оплачивать только электронную почту (50 грн за пользователя в месяц), или пользоваться онлайн-офисом и электронной почтой, стартуя от 60 грн за пользователя в месяц.

У Google организовать свою корпоративную почту с собственным доменом стоит 5$ в месяц на пользователя. При этом сумма включает весь пакет Google Apps for Business, куда кроме почты входят Google Docs, Maps, Drive, Hangouts, Quickoffice, Sites, Picasa и т.д. В общем все, что есть у Google на текущий момент.

Кроме Google и Microsoft, почту можно хостить в тысяче мест. Если говорить только об онлайн сервисах, то Yahoo, например, берет 35$ в год за один почтовый ящик, это всего 3$ в месяц.

В общем, когда речь заходит о деньгах, каждый может сделать свой выбор, исходя из личных предпочтений. Сравнений Google Apps с Microsoft Office 365 в Сети море.

Что же делать тем, кто пользуется Microsoft Custom Domains?

Пока Microsoft не угрожает принудительным переводом на платное пользование своим сервисом. Но судя по тому, что предлагают воспользоваться до 15 июля 90-дневной пробной подпиской на Office 365 Small Business Premium на пять пользователей, потенциально стоит готовиться и к такому шагу. А пока можно продолжать пользоваться своей почтой бесплатно. Но стоит пожалуй насоздавать пустые учетные записи впрок.

Если вы используете Custom Domains в личных целях, возможно стоит создать такие почтовые ящики как admin, root, brat, sestra, mama, spam и т.п. Если частный домен используется для малого бизнеса, то есть смысл создать почтовые ящики marketing, office, sales, it, admin, hr, finance и пр. Всего можно создать до 50 учетных записей. Как вариант, можно поиграть в Man in Black. Всем «будущим» сотрудникам назначить псевдонимы по английскому алфавиту, от «агента» А до «агента» Z – 26 почтовых ящиков на все случаи жизни.

Если у вас по этой теме есть свои идеи – поделитесь, может кому сгодится.

Путаница в Облаках

Облака, облака, облака, облака… Примерно так выглядят сегодня выступления большого количества вендоров и технических, и софтверных, на конференциях, которые проходят в последние месяцы в Украине. Говорят ли про построение ЦОД, развертывание CRM, или даже оснащение рабочих мест – слово «облако» обязательно будет упомянуто. Кто включает российский телеканал «Дождь», может обратить внимание, что даже там реклама предлагает воспользоваться электронным облаком.

Облака – это хорошо, выгодно и т.п. Но есть одно НО. Интересно, только меня это вводит в ступор или может еще кого-то? Только мне кажется, что словосочетание «частное облако», которое подразумевает развертывание собственной инфраструктуры на чужом ЦОД, не совсем есть облако? И почему вендоры с таким упорством продолжают запутывать людей, особенно не ИТ-шников, разными типами облаков, выдавая горы несущественной с точки зрения бизнеса информации на проходящих конференциях? Почему нельзя принять по умолчанию, что облаком считается только public cloud – сервис, предоставляемый подрядчиком заказчику за определенную плату? Тогда бы все было просто и понятно. Можем пользоваться Microsoft Office в онлайне с оплатой не лицензий, а количества подключенных учетных записей – облако. Можем пользоваться онлайн CRM-системой salesforce.com – облако. Пользуемся всей фирмой электронной почтой со своим доменом на базе gmail – облако.

Какие бизнес-преимущества у облака?

  • Меньшая головная боль (так как все заботы о работе сервиса ложатся на плечи того, кто его продает).
  • Меньшая стоимость (конечно, если это действительно меньше стоит, чем обычные серверы).
  • Перенос затрат в балансе из капитальных в операционные (так как платим помесячно, а не закладываем косты на следующие пять лет вперед).
  • Лучшая безопасность (кто-то может и возразить, но если учесть, что у провайдера безопасностью занимаются профессионалы, а в обычной фирме в лучшем случае сисадмин, а реально никто, то ответ очевиден).

С другой стороны, какие бизнес-преимущества имеем, когда используем «частное облако»? Кроме защиты от маски-шоу, так как физически сервера находятся не в офисе компании, а непонятно где, то в общем-то больше и ничего. Проблемы с ИТ-шниками как были, так и остаются. При развертывании собственной архитектуры нужно содержать такой же штат ИТ-шников, как и при использовании обычных серверов. А то еще и придется нанять парочку спецов по виртуализации. Капитальные затраты как были капитальными, так и остаются, так как закупать сервера все равно нужно, физический или виртуальные. Лицензии на ПО все также нужно закупать. На все это накладывается еще и необходимость обеспечения стабильности и непрерывности работы телекоммуникационных каналов. Так как при сбоях в работе сети все серверы компании окажутся вне зоны доступа, что остановит работу всей компании. Безопасность, физическая – да, увеличивается, а вот информационная остается как минимум на том же уровне, а то и снижается, так как появляются новые риски – падение каналов, утечка информации через сотрудников ЦОД, через виртуальную среду.

Понятно, что владельцам ЦОД нужно продавать простаивающие мощности в любом виде, как сервисным компаниям, которые разворачивают свои public cloud, так и клиентам, которые используют мощности ЦОД по своему усмотрению, разворачивая там свои сервера. Ну так давайте называть вещи своими именами – не «частное облако», а «аренда ЦОД, с возможностью динамически изменять нагрузку на инфраструктуру». А слово «облако» оставим только для того, что действительно им является – public cloud. Уверен, это пойдет на пользу всем, и вендорам, которым проще будет объяснять потребителям, что же собственно они продают, и самим потенциальным пользователям этих сервисов, так как под «облаком» все будут понимать одно и то же – заплатил и пользуйся.

В НДС-е ли счастье или в его отсутствии?

Рынок ИТ пережил суровое потрясение. Сначала нас всех обрадовали, что ИТ-услуги большей частью освобождаются от НДС, и казалось, что вот сейчас наша индустрия ИТ догонит и перегонит все Венгрии вместе с Ирландиями. Но тут как гром среди ясного неба – с 1 июля «счастье» отменяется. Инжиниринговые, консультационные, услуги по разработке, поставке и тестированию программного обеспечения и ряд других услуг снова будут облагаться НДС на общих основаниях.

О целесообразности отмены, а также об осмысленности обратного введения налога, притом посреди налогооблагаемого периода, сказано уже немало. Для конечных потребителей услуг возвращение НДС сулит повышение стоимости заказываемых работ на 20%. Для поставщиков услуг это не так уж и плохо, так как возвращается возможность относить НДС на налоговый кредит.

Хотелось бы отметить другое. Как бы нам ни хотелось, чтобы ИТ-услуги имели привилегированный статус в отечественной экономике, но в целом, в мире, они не имеют особого статуса относительно других отраслей экономики. Согласно недавнему исследованию, проведенному нашей компанией, ИТ услуги в странах Евросоюза, в Африке и Америке облагаются такими же налогами, как и остальные отрасли экономики. Другое дело, что некоторые страны, ослабив налоговое давление, как, например, недавно это сделала Ирландия, смогли добиться существенного роста предпринимательства в государстве, увеличения прямых иностранных инвестиций, общего увеличения ВВП страны. Но ослабление было дано на ограниченный период времени, всего на 20 лет.

Рецептом экономического чуда той же Ирландии эксперты называют не только снижение налогов, но также реформу образования, позволившую стране пополниться высококвалифицированными кадрами, а также устранение бюрократических барьеров для ведения бизнеса.

Украина имеет все шансы повторить путь Ирландии, Венгрии и других успешных государств, которые за короткое время из экономически слабых государств превратились в богатые страны, экспортирующие высокотехнологичную, высокоприбыльную продукцию,– главное воспользоваться возможностями. Но «изменение правил во время игры» – это не самый оптимальный путь развития индустрии ИТ.

Ресурсов всегда не хватает. Но главное не размер, а умение пользоваться

В недавнем разговоре с руководителем ИТ в одном из украинских банков зашла речь о недостатке ресурсов, постоянном прессинге со стороны руководства банка, о снижении затрат, о нехватке квалифицированных людей по многим направлениям. Проблемы, знакомые большинству руководителей ИТ в нашей стране.

В одном исследовании Ernst & Young как раз анализировались такие соотношения: штат отдела ИТ относительно всего персонала компаний, бюджет ИТ к общему бюджету европейских компаний, в том числе украинских и российских. Взяв цифры из исследования и сравнив их с аналогичными показателями в данном конкретном банке, мы обнаружили, что текущая ситуация в банке примерно соответствует ситуации в банковской отрасли других стран.

В Европе, в среднем, на одного сотрудника ИТ приходится 20 сотрудников банка. Цифра в данном банке оказалась примерно той же. Бюджет ИТ в европейских банках составляет 7,12% от общего бюджета банка. В данном банке цифра оказалась меньше, но ненамного. Существенная разница обнаружилась при сравнении соотношения операционной части бюджета с инвестиционной. По Европе в банковской отрасли первая составляет в среднем 54,56%. В данном случае, в связи с тяжелой финансовой ситуацией, почти весь бюджет ИТ состоял из операционных расходов. Эта цифра руководителю департамента ИТ понравилась.

О чем же такая ситуация говорит? О том, что отрасль ИТ не сильно зависит от географических признаков. Технологии что в Европе, что в Америке, что в Украине – по сути, одни и те же. И в европейском банке, и в украинском используются абсолютно одинаковые Microsoft Windows серверы. Одни и те же базы данных Oracle. Да и на аппаратное обеспечение украинским банкам жаловаться грех. В Украине используются и Superdome от HP, и iSeries от IBM. В Украине даже есть Mainframe. Но почему же иностранные компании, которые приходят в Украину, начинают активно перестраивать работу украинских компаний, и подразделений ИТ в частности?

Потому что в Украине пока еще не все компании могут похвастаться качественным корпоративным управлением. Над этим у нас активно работают. В частности, Александр Кардаков продвигает обучение директоров ИТ по отдельной программе MBA – «MBA in IT-Management». В различных тренинговых центрах предлагаются программы повышения управленческой грамотности, например «Финансы для нефинансовых менеджеров», «Планирование и бюджетирование», «Построение системы внутренних контролей в компании» и т.п.

Все эти знания необходимы любому руководителю, и департамент ИТ не исключение. Ведь по сути он представляет собой модель отдельно взятой компании, у которой есть свой штат, бюджет и расходы. А если посмотреть внимательнее, то и свой рынок – оказание услуг внутренним подразделениям компании. Имеются также и свои доходы, которые при желании можно подсчитать.

Как и руководителю любой отдельно взятой компании, руководителю ИТ ежедневно приходиться решать множество различных вопросов, и не только технических. Необходимо «разруливать» конфликты внутри коллектива. Нужно подстегивать отстающие проекты и планировать новые. Нужно справляться с ежедневной рутиной – изучать документы, отвечать на электронные письма, участвовать во встречах. Все это требует различных навыков – организационных, мотивирования персонала, финансовых знаний.

Хорошо поставленные процессы сами по себе ниоткуда не возьмутся. Они или должны вызреть внутри самой компании, или их могут помочь поставить коллеги из материнской компании, или внешние консультанты. Но на данный момент в Украине не так много управленцев, которые хорошо ориентируются во всех вопросах управления бизнеса. А специалистов ИТ с управленческим образованием можно пересчитать на пальцах.

Люди так устроены, что, сколько бы нам не давали денег, времени, отпуска – их всегда не хватает. Остается научиться распоряжаться имеющимися ресурсами и возможностями с максимальной эффективностью.

Регистрация авто через интернет

ГАИ приготовило очередную удобную услугу для жителей столицы. С 11 мая в Киеве новое авто можно поставить на учет по интернету. Во избежание очередей в МРЭО, теперь можно заблаговременно отправить заявку  в ГАИ по электронной почте. Затем нужно только прийти, оплатить необходимые квитанции – и получить номера на руки. По расчетам ГАИ, это должно сэкономить автовладельцам около двух часов времени при регистрации авто.

Хорошая идея, но в самой процедуре есть недочеты, которые следовало бы исправить.

На сайте ГАИ размещен файл в формате xls, который предлагается заполнить и переслать на электронный адрес, но не почтового сервера ГАИ, а бесплатного почтового ресурса. Не самый безопасный способ обработки конфиденциальной информации, которая содержится в заявке на регистрацию авто. Ведь кроме параметров самого автомобиля, в заявке необходимо указать и персональные данные владельца – ФИО, паспорт, контактные телефоны. И эти данные предлагается без какого-либо шифрования пересылать на почтовый сервер, который, по идее, не имеет официального отношения к ГАИ.

Более того, в Соглашении об использовании данного почтового ресурса прямо сказано, что компания предоставляет услуги электронной почты физическим лицам, но никак не юридическим лицам и не государственным организациям. Кроме того, в 6-м пункте данного соглашения прямо указано, что пользователь ресурса обязуется не использовать электронную почту для «сбора, хранения и обработки персональных данных других пользователей».

Как раз для того, чтобы личные данные граждан были защищены от бесконтрольного распространения, в Украине  принят закон «О защите персональных данных», который обязывает защищать от посторонних персональные данные, если их обработка все-таки необходима. Но, к сожалению, пока еще не все госорганизации привели свои процедуры в соответствие с требованиями закона. Остается надеяться, что как только будут приняты поправки к Уголовно-процессуальному кодексу и кодексу об Административных Правонарушениях, у госчиновников появится новый стимул более внимательно относиться к вопросу обработки персональных данных в их ведомствах.

Бесплатный почтовый сервис – вещь удобная, и, безусловно, нужная, но он больше подходит для обработки личной корреспонденции. Вряд ли таковой можно считать заявление на регистрацию транспортного средства. Кроме удобства, интернет-почта несет в себе и ряд рисков.

Например, доступ к почте можно получить с любого компьютера, просто зайдя на веб-сайт. Соответственно, при большом желании можно подобрать пароль к почтовому ящику путем простого перебора. Если же корреспонденция обрабатывается на почтовом сервере внутри организации, доступ к нему должен быть ограничен, что уменьшает риск взлома.

Другой аспект проблемы – неправомерное копирование данных. Ведь если заявка отправляется в формате xls, логично предположить, что она будет обрабатываться инспектором ГАИ на персональном компьютере в программе Excel. В таком случае повышается риск того, что данные автовладельцев могут быть несанкционированно растиражированы. А если учесть то, что в ГАИ уже используются ноутбуки, угроза утечки персональных данных возрастает.

Неизвестно, кто дал разрешение на запуск данной процедуры в ГАИ, и существует ли такой документ в природе, но чиновникам Госавтоинспекции стоило бы пересмотреть подход к обработке персональной информации у себя в ведомстве. Можно воспользоваться опытом налоговиков и комитета статистики. У них уже разработаны и внедрены процедуры обработки персональной информации. Там используются специально выделенные электронные адреса, а информация передается с цифровой подписью отправителя.

Подача заявления на регистрацию авто – дело добровольное, поэтому, возможно, в данном случае нет нужды в  цифровой подписи. Но защитить персональные данные от постороннего доступа необходимо. Одно из возможных решений - загружать заявку прямо на веб-сайт ГАИ, но только через защищенное соединение, чтобы минимизировать вероятность доступа посторонних к персональной информации.

Пока же я воздержусь от использования новой и, безусловно, удобной услуги от ГАИ. По крайней мере, пока она не станет более безопасной.
 

Slack подает жалобу на Microsoft и требует антимонопольного расследования от ЕС

 
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT