«Мне в Париж по делу срочно…». Эти слова из миниатюры Жванецкого для многих стали привычными реалиями. Человек ищет где лучше, отсюда и миграционный бум…  И если у родственнику требуется помощь, то приходится не идти в соседний дом, а порой даже лететь в другую страну.

При чём тут бизнес? Очень даже при чём. Это иллюстрирует история, случившаяся на нашем предприятии.

Бабушка заболела

В конце сентября один из наших ведущих логистов сообщил, что он вынужден срочно лететь в Ереван. Мол, у меня там бабушка заболела, когда вернусь — не знаю, не от меня зависит.  Бабушка — дело святое, поэтому вариантов у человека нет, и к таким вещам наше начальство относится с пониманием. Особенно, когда речь идёт о действительно ценных специалистах, много сделавших и делающих для нашего общего благополучия.

Тем более, что никаких особых проблем от этого не ожидалось. В ковидные времена мы уже отправляли на дистанционку всех, кого можно. В том числе и логистов, которые прекрасно работали дома без потери эффективности. В Ереване с интернетом всё в порядке, поэтому нам оставалось только пожелать коллеге счастливого пути, а его бабушке — скорейшего выздоровления.

Пока кто-то не сказал, что Ереван всё-таки намного дальше, чем Орехово-Борисово. И тут мы дружно вспомнили Гегеля и закон перехода количества в качество.

«Ковидная» дистанционка

Её специфика заключалась в том, что дистанционка была частичной и «пунктирной». В офисах оставались какие-то сотрудники, а отправленные работать домой при необходимости могли всегда туда приехать.

Применительно к логистам это означает следующее. Разрабатываемые ими маршруты — коммерческая тайна, причём достаточно строгая. Поэтому доступ к соответствующим ресурсам, как нашим, так и наших партнёров, возможен только по аппаратному ключу.

«Ковидная» дистанционка этого правила не отменила. Например, если какому-либо логисту был нужен новый ключ, он садился в машину, приезжал в офис, где айтишники выдавали ему требуемый девайс.

Учёта очных визитов мы не вели, но по словам самих логистов, они только за токенами и приезжали. Причём не только за новыми. Кто-то случайно сломал уже выданный, кому-то требовалась копия ключа другого сотрудника, когда тот по каким-либо причинам нуждался в помощи…  Всё остальное они прекрасно делали дома.

С дистанционщиком, находящимся в Ереване, такой номер не проходил. Лично приехать в офис за токеном человек не мог. Что делать? Отправлять новый ключ по почте или транспортной компанией? Это  вариант мы решили пока всерьёз не рассматривать.

Обращаемся к айтишникам

Коллеги из IT-отдела отнеслись к нашей проблеме с пониманием. Тем более, что в их отделе происходило то же самое — у некоторых молодых сотрудников внезапно заболели родственники, живущие за рубежом и они вынуждены срочно ехать на неопределённый срок. Правда, токенами они не пользуются и могут работать дистанционно сколько угодно.

Вариант замены аппаратного ключа обычным паролем они предложили сами. Но тут же добавили, что это на самый крайний случай. Гибридные модели с их точки зрения — самые плохие с точки зрения технической поддержки.

К тому же, парольный доступ можно сделать только для собственных ресурсов. Партнёрам, дающим доступ к своим документам, такое даже предлагать не стоит. Перекладывать свои проблемы на других — последнее дело.

Выход по сути один — технология USB over IP. Что означает организацию удалённого доступа к аппаратным ключам. В этом направлении они и предложили думать.

Варианты

Вариант первый — специальное устройство, устанавливаемое в серверную. К нему подключаются токены, к которым требуется обеспечить удалённый доступ. Такой подход обеспечивает полный контроль за ключами, но он целесообразен только тогда, когда количество этих ключей измеряется десятками.

Покупать такой концентратор ради пяти-шести токенов — вряд ли правильно с экономической точки зрения. Тем более, если обеспечить удалённый доступ к ключам требуется на какое-то время, а не навсегда. Бабушка-то рано или поздно выздоровеет и сотрудник вернётся.

Второй вариант — сервис. Надо найти поставщика услуги удалённого доступа к токену. Иными словами, организацию, которая установила у себя несколько USB-концентраторов и сдаёт порты в аренду.

Для временной меры это идеальное решение. Арендовал ровно столько портов, сколько нужно в данный момент. А когда потребность исчезнет, то забираешь свои ключи и не продлеваешь договор аренды.

Выбор был очевиден и мы приступили к поиску сервиса.

Выбор

Выбору поставщика услуг у нас предшествовал выбор способа организации доступа к порту. Либо виртуальная машина и программное решение, либо аппаратный маршрутизатор. Айтишники сказали, что с точки зрения пользователя разницы нет, но они предпочли бы «железо». Тут же признали, что это предубеждение, но тем не менее.

В результате айтишники предложили нам следующий вариант. Если говорить о железе, то есть отечественный USB-концентратор DistKontrolUSB, который зарекомендовал себя неплохо. Его я хорошо пощупал на прошлом месте работы. Как постоянное решение он бы нам идеально подошёл.

Но нам нужно решение временное, поэтому они начали поиски сервиса, работающего на основе именно этого маршрутизатора. Нашли сервис WebHOST1, который этому требованию отвечал.

Стоимость услуги: 2400 руб/мес за три порта плюс 800 руб/мес за каждый дополнительный порт. Нам она показалась вполне приемлемой. Более того, уезжающий сотрудник сказал, что он согласен оплачивать это из своего кармана — зарплата ему позволяет.

Такое его решение всех сильно обрадовало. Одно дело — уведомить генерального о переходе сотрудника на дистанционку при полном отсутствии каких-либо технических проблем, другое — грузить его подробностями и просить пусть небольшие, но деньги. Понятно, что в конечном итоге деньги выделены будут, но для начальника отдела это лишний головняк.

На том и порешили.

Что получилось на практике

Коллектив у нас дружный, поэтому сотрудник оставил четыре своих токена коллеге, оплатил месячную аренду пяти USB-портов (четыре уже нужно, один про запас) и улетел в Ереван к любимой бабушке. Коллега доехал до офиса WebHOST1 и воткнул ключи в арендованные порты. Адреса и реквизиты наш сотрудник получил через личный кабинет. Подключение токенов производится при помощи программы DistKontrolUSB Client для Windows, которая загружается из базы знаний портала.

Больше всего времени потребовала поездка в офис WebHOST1. Но нам тут повезло — мы расположены относительно недалеко по московским меркам.

Дополнительный порт нам действительно понадобился. У нас появился новый партнёр, который дал токен для доступа к своим ресурсам. Отвезли, воткнули — никаких проблем.

Соответственно, эффективность работы отдела логистики осталась на прежнем уровне. Наши партнёры не заметили разницы.

Кстати, ереванская бабушка уже пошла на поправку. Наш товарищ пишет, что подождёт ещё пару недель для верности и будет возвращаться домой. Зная при этом, если бабушке снова станет плохо, он сможет приехать к ней достаточно быстро и без отрыва от производства.

Да и другие сотрудники заметно успокоились. Бабушки-то у всех есть. Мало ли что… Бабушка заболела…

Комментарии (8)


  1. baldr
    01.12.2022 13:03
    +18

    если бабушке снова станет плохо, он сможет приехать к ней достаточно быстро

    Приказа о том что бабушкам можно перестать болеть так и не было, несмотря на уверения всех ээ.. врачей.. А пограничник может попросить не ехать пока к бабушке из-за, эээ... эпидемиологической спецоперации..


  1. SlFed
    01.12.2022 13:29
    +12

    Я может чего-то не допонял, но отдавать свой электронный ключ в чужую организацию это нормально ?


    1. Voiddancer
      01.12.2022 14:15

      Это же не "ключ от всех дверей", он даёт доступ к определенному пользователю с определенными правами.


  1. alizar
    01.12.2022 14:05
    +8

    Если рекламируете свои USB-концентраторы, то можно перейти в хабы "Я пиарюсь" и "Сделай сам".


  1. vdudouyt
    01.12.2022 14:30
    +4

    Немного не понятен следующий момент - если USB-over-IP для Вас вариант, то в чем проблема взять одноплатник / ПК-шку с Linux и расшарить ключи на ней? Тогда и отдавать ключи в стороннюю организацию не надо. Или это как-то бюрократически зарегламентированно?

    Наш товарищ пишет, что подождёт ещё пару недель для верности и будет возвращаться домой. Зная при этом, если бабушке снова станет плохо, он сможет приехать к ней достаточно быстро и без отрыва от производства

    Если честно, то я даже немного беспокоюсь за бабушку данного товарища. Что если когда она снова приболеет, визит ее любимого внука к ней станет невозможен из-за эпидемиологической ситуации?


  1. sergyalosovetsky
    01.12.2022 14:36
    +5

    Была уже подобная статья

    Вы вообще в курсе, что таким образом эффективно умножили безопасность этого всего на ноль?

    ЮСБ флешка потому и флешка, что выдается лично в руки, и предполагется, что к ней доступ имеет только один юзер - ее владелец

    Если же флешка в серверной, то ее может использовать кто угодно - и ему ничего не будет

    насчет юсб овер ип отдельная история, флешка не предполагалась для такого использования, потому сложно сказать насколько именно все плохо с точки зрения безопасности

    Если вдруг у вас есть безопасник, дайте ему это почитать, он будет очень громко матюкаться

    Особо забавно, что такую статью вы решили выложить в общий доступ, для меня это приблизительно как если бы выложили статью с описанием как лучше прятать ключ под ковриком двери


  1. Stillgray
    01.12.2022 14:49
    +2

    А что мешало через виртуальную частную сеть сотруднику подключаться к своему рабочему компьютеру, в который уже подключены необходимое число токенов? Удалённый рабочий стол - вполне рабочее временное решение, более безопасное (с учётом доверия к соседям по офису), более удобное (никому ничего не надо везти и втыкать) и гораздо менее затратное...


  1. sergeyns
    01.12.2022 15:07

    Хм, читаю статью и не понимаю как у нас на работе безопасники выдали всем USB токены и они почему-то работают на домашних компах. Удивительно! Без таких танцев! Всего-то читалка для токенов и vpn клиент к виртуалке в офисе... Чудеса! И никакого шаманства в серверной.