Пролог
Работу в ИТ-отделе средней по московским понятиям торговой конторе я получил сразу после диплома. Она мне досталась в наследство от приятеля, который дождался приличного места в крупном банке.
ИТ-отдел там был небольшой — пять человек, включая начальника. В таких коллективах все занимаются всем, но за каждым закреплена зона ответственности, которой он должен уделять особое внимание. Мне досталась информационная безопасность, потому что ИБ-шников никто не любит, а я молодой, нервы у меня крепкие, поэтому потерплю.
Уяснение задачи
Поскольку полученные в институте знания о том, как надо организовать свою работу, из меня ещё не выветрились, я решил начать строго по учебнику. Но результат получился не совсем таким, какого я ожидал.
Коллеги объяснили, что строгость контроля и незыблемость регламентов существуют только в головах преподавателей. А на практике ИТ-отдел — это вспомогательное подразделение, обслуживающее своих кормильцев, зарабатывающих деньги. Поэтому если из-за моей принципиальности у них возникнет какое-то неудобство, то виновный будет назначен незамедлительно.
Правда, сам генеральный — человек прогрессивный и адекватно воспринимает все предложения по усилению безопасности. Если, конечно, они не будут создавать проблем для основных зарабатывающих отделов и бухгалтерии.
Оценка ситуации
Несмотря на отсутствие специализированного подразделения, дела в плане информационной безопасности у нас обстояли пусть и не идеально, но вполне прилично. Для удалённого подключения к корпоративным ресурсам из всевозможных удалёнок-командировок используется VPN. Парольная защита везде, где это было целесообразно, заменена USB-токенами. Антивирусы и всё такое — само собой. В общем, явно не хуже, чем у всех.
Правда, значительная часть сотрудников оставляла аппаратные ключи в своих системных блоках, но на это закрывали глаза. В конце концов, принципа взаимозаменяемости никто не отменял и коллегам может зачем-то понадобиться получить доступ к его персональным тикетам и чек-листам.
Значительно хуже обстояли дела с ключами доступа к внешним ресурсам: банкам, системам ЭДО, торговым площадкам и государственным сервисам. Они разные и их много. Причём, сегодня токен нужен одному сотруднику, а завтра другому. Таким образом, решение проблемы само превратилось в проблему.
Ещё было личное обстоятельство. Все «внешние» токены полагалось сдавать под роспись по окончании рабочего дня. Конечно, статус верховного хранителя ключей — это нереально круто, но, по сути, означает обычного кладовщика. А если принять во внимание, что некоторые пользователи задерживались в офисе, зарабатывая себе бонусы, то мне приходилось ждать их просто так — без всяких льгот и надбавок. Хотя мне в мои годы было чем заняться в вечернее время.
Поиски решения
После недолгих размышлений я пришёл к выводу, что работу с токенами надо как-то автоматизировать. Моя эрудиция подсказала, что копать надо в сторону USB over IP. Проще говоря, нам было нужно устройство, в которое можно было воткнуть много USB-ключей и позволить подключаться к ним с удалённого компьютера.
Таким образом, все ключи всегда находятся в одном месте, а управлять ими можно через приложение. Никто ничего никуда не уносит и проблема «принял-сдал» решается сама собой.
Первый соблазн — за счёт родной компании совместно с недавно покинутой родной кафедрой разработать уникальное аппаратно-программное решение. Правда, тут есть один минус. Не в тех я чинах, чтобы залезать в корпоративный карман. А с такими предложениями я до нужных чинов не дорасту.
Собрать самому из подручных материалов? Во-первых, это наверняка значительно сложнее, чем кажется на первый взгляд. Нужен хаб на полсотни USB-устройств, надо всё это хозяйство куда-то поместить, надо настроить софт… Во-вторых, я хоть и не служил в армии, то знаю, что инициатива делает с инициатором. Если что-то поломается, то виноват буду я.
И тут я вспомнил, что «никого не уволили за покупку IBM». Вот это — правильное решение. Надо найти готовое устройство с хорошей репутацией. И не особо дорогое.
Перебор вариантов
Если операция «сделай сам» закончится пшиком, то меня поругают. Но потом похлопают по плечу — мол, молодой ещё, ну хоть опыта набрался, инициативу проявил… Похожу недельку с бледным видом, а через месяц все забудут. Денег на мои эксперименты компания не потратила, а что касается моего рабочего времени, то отработаю на авралах.
А вот внезапно сломавшийся купленный аппарат — это серьёзно. Наивно надеяться, что финансовый директор этого не заметит. Причём, отвечать перед ним буду не я, а руководитель отдела. Испортить же отношения с непосредственным начальником — хуже не придумать.
Если выбирать решение по принципу «никогда не уволят», то надо брать продукцию известных западных производителей. Например, готовое аппаратно-программное решение Digi AnywhereUSB на 14 USB-портов. Правда, стоит такое счастье почти 120 тыс. рублей за штуку. А по нашим потребностям нам нужно три таких устройства. Даже заикаться не стоит.
А что если попробовать обойтись только программой? Никаких проблем. FabulaTech за лицензию на 16 USB-устройств с обновлением в течении 5 лет просит почти $2300. Снова умножаю и получаю совершенно неприемлемую для нашей конторы сумму. И это без стоимости самого хаба.
Облачное решение? Такие варианты тоже есть. Например, сервис FlexiHub. Минимальная абонентка на 5 участников — $145 в месяц. Нам, соответственно, будет дороже. Хаб тоже покупать нам. Но главное другое. Непонятно, как в такой системе будет работать токены. А если будут, то использовать для управления секретной информацией софт, который стоит где-то у дяди — идея так себе.
К тому же, импортозамещение. За которое я, если что, обеими руками «за». Поэтому непонятно, как эта стратегия отразится на работе зарубежного ПО с нашими ЭЦП даже в среднесрочной перспективе. Не хотелось бы столкнуться с неприятными сюрпризами.
Остаются отечественные решения. Остановился на DistKontrolUSB. И не только потому, что именно он находится на первых страницах поиска Google и Yandex. Хотя популярность тоже имеет значение — чем больше пользовательская база, тем меньше неприятных сюрпризов.
Выбор решения
Теоретиков уважаю. Но критерием истины продолжаю считать эксперимент. Не уверен — не покупай. Именно по этим прагматичным соображениям было принято решение остановиться на концентраторе DistKontrolUSB.
Концентратор можно заранее протестировать на совместимость со своими USB-ключами. Созваниваешься, приезжаешь, втыкаешь, настраиваешь доступ и проверяешь работу в «боевом» режиме. По-моему, это значительно убедительнее длинных телефонных разговоров про стандарты, в соответствии с которыми всё должно функционировать нормально. Ну не нравятся мне слово «должно» применительно к данной ситуации.
Руководство пользователя я изучил ещё до покупки. Документация — это то, что часто делается абы как по остаточному принципу. Поэтому негодная инструкция не говорит ни о чём. Само устройство может быть вполне хорошим. А вот качественно выполненный мануал свидетельствует о серьёзности разработчика и его вниманию даже к мелочам.
Руководство к концентратору DistKontrolUSB занимает больше 100 листов. Подробное с иллюстрациями. Это означает, что не придётся трезвонить в техподдержку по каждому пустяку.
Цена тоже относительно демократичная для профессионального использования в корпоративном секторе. Управляемый USB over IP концентратор DistKontrolUSB на 48 USB-портов стоит 95500? (его в результате и купили). Это дешевле, чем Digi AnywhereUSB на 14 USB-портов.
В процессе испытаний использовались ключи доступа к 1С (HASP), рутокены для ЕГАИС и устройства семейства EToken. Несмотря на то, что все наши рабочие станции и ноутбуки работают под управлением Windows, на всякий случай мы протестировали совместимость и с Linux. Концентратор также поддерживает клиентов с OS X, но для нас это вряд ли когда-нибудь будет актуально, поэтому «яблочный» ноутбук искать не стали.
В скобках замечу, что установка драйвера под Linux — удовольствие так себе. Хотелось бы, чтобы в рамках импортозамещения процесс сделали более дружелюбным. Тем более, что часть ключей используется для защиты доступа к государственным ресурсам.
Наконец, концентратор понимает самоподписанные SSL/SSH-сертификаты. Для нашей конторы это актуально, поскольку именно они применяются для доступа в внутренним ресурсам.
Ну и субъективный фактор не стоит сбрасывать со счёта. Личный контакт с разработчиком — это всегда хорошо. Подъехал, позадавал вопросы, получил ответы… Опять же, всё увидел своими глазами.
Опыт эксплуатации
Проблем для пользователей предсказуемо не возникло. С их точки зрения нет никакой разницы между локальным USB-портом и портом, который отдаёт им концентратор. Если в системе установлен соответствующий криптопровайдер, то ей всё равно, куда вставлен ключ.
Пока в концентраторе занято 36 портов. 12 оставлено «на вырост». С такой нагрузкой устройство справляется успешно — жалоб на «тормоза» от пользователей не поступало.
Правда, есть один нюанс. Главный минус централизованной системы — если откажет концентратор, то одновременно откажут все ключи. Но к этому мы уже давно были готовы. От возможных аварий на линии электроснабжения мы защитили себя при помощи качественных ИБП. Интернет-канал у нас также резервирован.
Благодаря централизованной схеме орг.вопросы исчезли совсем. Все ключи присоединены к концентратору DistKontrolUSB, управление ими осуществляется дистанционно через веб-интерфейс по защищённому протоколу HTTPS. Командная строка требует SSH, что также максимально безопасно.
Протоколы протоколами, а оставлять на ночь работающий концентратор боязно. Через панель управления создал задание, по которому устройство выключается по расписанию. Если мне надо куда-то уехать по делам, то не надо просить коллег всё обесточить или возвращаться на работу самому. С этим справится автоматика.
Что касается защиты самого ключа от перегрева, то и за этим следит автоматика. При перегреве порт будет обесточен. Имеем минус одну головную боль с заменами вышедших из строя токенов.
Эпилог
Поскольку польза для предприятия очевидна, то я сразу про себя. Успешно решить первую серьёзную задачу — это дорогого стоит. Хотя, конечно, мой вклад в эту работу я оцениваю трезво. Я только «снаряды подносил»: искал варианты, ездил с ключами в офис производителя концентратора и т. п.
Тем не менее, бонус по итогам получил. И свой профессиональный статус в глазах коллег поднял.
Но самое главное — освободил для себя кучу времени для решения задач, более осмысленных и интересных, чем приём-выдача ключей. Пока всем этим занимался, всерьёз увлёкся ИБ. Думаю найти какие-то хорошие заочные курсы, чтобы повысить свою квалификацию.
Из коротких планов: ликвидировать «зоопарк» токенов, разобраться с правами доступа, структурировать корпоративную сеть… Если контора будет расти, то наверняка ей понадобится отдельное ИБ-подразделение. А кто станет его начальником? Думаю, тот, кто всё это начал. То есть — я.
ky0
Валить, валить к чертям из такого болота. Нашли себе «обслуживающий персонал» в виде технических специалистов, зарабатывающие подразделения — перекладыватели бумажек, блин.
DarkHost
Согласен. Как только слышу «обслуживающий персонал», понимаю, что контора — болото. Особенно смешно, когда в IT отделе работают люди с одним, а то и с несколькими высшими, и зарплаты имеют соответствующие.
scruff
Поверьте мне, если вы будете говорить, что вы будете делать а что нет — вас очень быстро заменят. Так что как бы это печально не звучало, с точки зрения бизнеса, ИТ это сервис — как водопроводчики, электрики. Да компетенции и ответственность в разы значимее, но это просто сервиники.
dmitryb90
Поверьте мне, если вы не будете говорить, из страха что меня заменят на более лояльного, то вас не только попросят делать чужую работу, шпыняя при этом как лакея, а ещё и заставят начистить ботинки продажникам и принести кофе из холла для бухгалтерии! 90-е как и 2000-е кончились, в наше время информация важнейший ресурс, если клоуны по ошибке занимающие руководящие позиции не понимают как правильно выстроить работу соответствующего подразделения и обеспечить условия труда — да пускай к черту катятся, это их бизнес развалится, а не мой. Я себе цену знаю и в работе недостатка не вижу, вообще.
scruff
Покажите мне хоть одну компанию где нет «клоунов». Лично я за свой 20+ стаж не встречал. Уверен, что даже если у вас ИП — то в ней найдется как минимум один клоун. Да информация важна и что? Что тут такого? Теперь молиться на нее что ли? Молиться будут на маркетологов, сэйлзов, клерков наконец — короче те, кто приносит прибыль. Но только не на тех парней, кто занимается распределением информацией, к сожалению, т.к. последние это простые сервисники. Такой перелом случился благодаря «иновативным и передовым» ИТ-практикам типа ITIL и прочее, которые обесценили ИТ-шников до уровня электриков.
dmitryb90
Да я не предлагаю поставить в каждом кабинете алтарь it отдела, возлагать на него пиво и чипсы, а по пятницам петь гимн системных администраторов, пускай владелец компании молиться на кого угодно, хоть на клининг. Его дело. Но нормального, делового отношения заслуживают все! Или только те кто типа "зарабатывает"? Конечно мой стаж не 20+, а в 3 раза поменьше, но я не видел чтобы владелец на кого то реально молился, если не устраивает кто то — всегда можно заменить. Обесценили it до уровня электриков? Завтра в вашем бц отрубят свет, не будет не одного электрика в городе, сколько денег потеряет бизнес? Долго продержится на плаву? Так что важны все, а эти сказки про " Вы не зарабатываете, значит вы никто" Рабский менталитет и только. Уважающий себя человек такого бреда себе не позволит. Клоуны есть везде, это да, но хуже всего когда клоуны в руководстве. Тут от них зависит что нужно цирк или продуктивная работа.
ky0
Мне кажется, в наше время абсолютно любое коммерческое предприятие сложнее продажи кофе навынос (да и там в случае сетевого варианта), если хочет оставаться конкурентоспособным — обязано использовать мощь информационных технологий. А значит — и роль продажников в качестве главных «кормильцев» становится менее ярко-выраженной.
Понимание этого факта, как раз, иногда и рождает оппортунистического вида измышления вроде «мне пофигу на регламент, давайте быстро делайте удобно — я тут деньги компании зарабатываю, а не на кнопочки нажимаю как вы, бездельники.»
alekseytrey Автор
Я как раз примерно этим и прикрывался когда аргументировал трату на оборудование. Только более красивыми словами.
anonymous
IT в большинстве небольших торогово-промышленных контор тратит деньги. Не зарабатывает. В лучшем случае, помогает за счет автоматизации что-то сэкономить, но это ещё надо считать и доказывать :)
Да, без IT встанет вся работа. Ещё ITшники могут сделать так, что контора вообще закроется, например протеряв базу клиентов и бухгалтерию (или слив её конкурентам).
Но ведь и без слесаря забитый толчок парализует работу. И устроив небольшой говнопотоп, слесарь может надолго парализовать работу офиса, отправив его на капитальный ремонт.
Ну и это я говорю про «офисное» айти. Понятно что всякие Web-IT и аутсорсеры именно на девопсах и программерах делают бабки. Но мы же не про них?
ky0
Вы всё совершенно правильно говорите.
Но ценность сотрудника же не описывается одной переменной — сколько денег он приносит компании. Вполне реально подсчитать, сколько денег «не теряет» компания от стабильно работающих сервисов, в том числе тех, которыми пользуются эти самые «зарабатывальщики» — офисный интернет, почта, магазин на сайте и т. д.
Вдобавок, на IT-отделе лежит здоровенная ответственность (в отличие от продажника, который, не беря злонамеренные мотивы, может максимум провалить крупную сделку) в виде, используя ваш собственный пример, «забитого толчка, парализовавшего всю работу».
anonymous
Стабильно работающие сервисы — это даже не обсуждается. Это то, для чего админам и прочим айтишникам платят деньги. И это можно и нужно делать прозрачно для остальных сотрудников компании.
А вот ужесточение любых правил доступа к информации/ресурсам, обмена информацией и т.п. — это аффектит уже практически всю компанию, поэтому прежде чем что-то внедрять — надо понять какова стоимость и так какие риски это убирает, а также можно ли эти риски устранить или снизить не создавая дополнительных и/или чрезмерных ограничений и не усложняя выполнение своих функции другим сотрудникам.
Простой пример.
Допустим вводится какая-то процедура, которая отнимает у сотрудника дополнительно всего 10 минут каждый день. В компании работает… ну пусть 60 человек. В итоге получаем что общие трудозатраты составляют 10 часов в день или 1.25 ставки. Если для компании 1 человек обходится в 100 тыр в месяц, то введение этой процедуры компании обходится в 125 тыр ежемесячно или 1.5 миллиона в год.
Казалось бы — всего 10 минут на человека в день и 125 тыр ежемесячно/1.5 миллиона в год — уже заметные деньги.
А сколько таких процедур по «лишние 10 минут в день» может быть? И есть ли уверенность что все они оправданы?
dmitryb90
Тогда не надо нанимать тех кто не приносит денег, пускай продажники все обслуживают, какие проблемы?
Mur81
Если бизнес компании не связан с ИТ, то ИТ-отдел это и есть обслуживающий персонал и расходная статья. И в этом нет ничего плохого и зазорного, потому что обслуживающий персонал тоже может быть высококвалифицированным и иметь соответствующие зарплаты. И адекватное руководство понимает, что расходная статья не означает чистый убыток, а помогает зарабатывать бизнесу.
Непонимание этого тоже приводит к печальной ситуации когда ИТ-отдел или отдельно взятый сисадмин начинает думать, что не он для бизнеса, а бизнес для него. И может, например, купить сервер за 100500 денег потому, что ему интересно с ним поиграться, в то время как бизнесу он реально не нужен.
В этом случае я просто говорю руководству, что я так делать не буду потому, что это приведут к проблемам в той сфере деятельности компании за которую отвечаю Я, а следовательно это скажется на вашем бизнесе в итоге.
И вот если на этом этапе руководство не понимает, тогда уже надо валить.
JonnyD
Странно у вас описание. Неужели в компании нет CRM,ERP, СЭД если отношение как в начале 2000-х к ИТ? При этом широко внедрены смарт-карты.
И ...1С (HASP)… разве они не к серверу подключаются? Пользователям они зачем?
По закону… для ЕГАИС… разве не должен в УТМ быть подключен? Самому интересно стало.
alekseytrey Автор
К сожалению, не так просто сейчас найти местечко. А когда тебя постоянно прикармливают красивыми речами мол костяк, перспективное будущее и все такое, в это конечно хочется верить, ну а с этой верой и хочется двигаться вперед и продвигать контору. Ну и в глубине мозга понимаю что манагеры деньги зарабатывают а не IT отдел.
ky0
Отставить подобные упаднические мысли! :) Ваша функция — не зарабатывать деньги, а минимизировать убытки от аварий и прочих форс-мажоров.
Если компании норм, когда, условно, полдня (или час, или полчаса) из-за перебитого интернет-кабеля не работает весь офис или сайт — значит, компания ещё не доросла до той степени серьёзности, когда ей нужны квалифицированные айтишники, достаточно ограничиться эникеями, которые бы вовремя меняли мышки продажникам. Но это, опять же — не ваша вина и принижать себя совершенно незачем.
anonymous
А что, у ИТ-отдела появились статьи доходов? Нет? Ну значит «обслуживающий персонал».
Вообще в термине «обслуживающий персонал» нет ничего плохого. Бухгалтерия по сути тоже обслуживающий персонал.
Касательно любой безопасности и в частности ИБ — когда инициативные товарищи начинают внедрять какие-то новшества не представляя работу других отделов и ставят в позу пол компании — вы считаете это правильно? Любое усложнение бизнес-процесса, снижение мотивации сотрудников, усложнение найма новых сотрудников, прохождение доп.обучения и т.п. — это дополнительные косты компании. Надо адекватно подходить к рискам и стоимости его предотвращения/реагирования. И если безопастник это не понимает — не надо его останавливать если он вдруг решает «валить, валить к чертям»
pfsenses
Бухгалтерия чаще всего считает себя чуть ли не главными добытчиками. :-)