Это интервью я хотел взять ещё в начале 2023 года на форуме «Магника», но тогда не получилось в силу объективных причин. В конце концов мне предложили посетить BIS Summit — крупное событие в сфере информационной безопасности, где я смогу получить все ответы. Я, не задумываясь, согласился. Из‑за плотного графика мне пришлось испортить обед интервьюируемой, но, на мой взгляд, получился довольно интересный разговор. Представляю вам интервью с президентом группы компаний InfoWatch, председателем правления ассоциации разработчиков программных продуктов (АРПП) «Отечественный софт» и сооснователем компании «Лаборатория Касперского» Натальей Ивановной Касперской. Приятного чтения!
Насколько выросло количество утечек конфиденциальной информации (в основном персональных данных россиян) в России в условиях сложившейся ситуации (с начала 2022 года)? Что произошло за тот же период с утечками в мире?
По нашим подсчётам, количество утечек выросло в два с половиной раза, это беспрецедентный рост. Мы собираем статистику утечек с 2007 года, на начальных этапах был значительный рост, а в 2020 и 2021 годах мы отметили снижение количества утечек. И решили, что тема с утечками стабилизировалась. Но в 2022 году начался их резкий рост, причём, что интересно, не только по России, но по всему миру. На мой взгляд, это связано с изменением политической ситуации — разные государства начали ещё более активно, чем раньше, похищать друг у друга информацию. Изменился и характер утечек. Например, по России сейчас больше крадут персональные данные, а по миру большинством краж стала коммерческая тайна и другие подобные утечки. Обычно пропорция украденных данных выглядит как 80% на 20%, где 80% — это персональные данные, а 20% — всё остальное. Сейчас получается так: персональные данные по миру — это 56%, а 44% — всё остальное.
Ваше отношение к биометрии известно. За последний год оно изменилось? Как вы видите возможность защиты биометрических данных граждан? Что тут главное?
С одной стороны, биометрия — это некая общедоступная информация, по крайней мере лицо. Оно у нас открыто, маски мы носить перестали, паранджу не все носят. Да и с маской или паранджой глаза открыты, а вот отпечатки пальцев — уже менее доступная информация. Меня смущает единая база биометрических данных россиян, которую хотят сделать. Во‑первых, это единая точка входа, и любой безопасник вам скажет, что наличие единой точки входа создаёт уязвимость, потому что одно дело — распределённые ресурсы, когда злоумышленнику надо влезть в несколько различных систем, другое — в единую базу. Во‑вторых, согласно 152-ФЗ «О персональных данных» обработка информации должна осуществляться с определённой, заявленной целью в единой базе. Создание единой базы биометрии предполагает, что человек добровольно сдаёт информацию, и дальше она будет как‑то и кем‑то использована, но неизвестно, кем и как. Это прямое нарушение 152-ФЗ. И для меня загадка: если единой базы нет, но при передаче биометрии написано, что «вашу информацию передаём кому угодно, куда угодно», то получается, что база общая есть и про защиту персональных данных можно забыть. Отказ граждан от сдачи биометрии тоже вызван непониманием, для чего её сдавать, как эта информация будет использоваться, с какими целями, каким образом. На мой взгляд, это сейчас выглядит так: давайте в общую помойку всё свалим.
Как вы относитесь к облачным решениям и переносу сервисов в облака? Считаете ли вы, что современные российские провайдеры смогут обеспечить сохранность данных и сервисов в своих облаках?
Я безопасник, я к облакам отношусь плохо, потому что любое облако — это сервера, которые находятся где‑то не у клиента в инфраструктуре. Это «где‑то» клиент не может контролировать. И ни в одном соглашении с облачным провайдером нет никаких гарантий. Облачные провайдеры стараются от гарантий отвертеться. Да, они говорят: есть защита, они обещают услуги, поддержку, но гарантий не дают. Поэтому если у клиента что‑то случилось, он может в рамках лимитированной ответственности предъявлять иски к провайдеру, но облачные сервисы будут от них отбиваться. И дальше начнётся изнурительная волокита. Очень хорошая «прививка против облаков» была сделана в 2022 году, когда несколько компаний перенесли чувствительные и важные сервисы в большое облако, а потом это облако в одночасье было отключено. Очень нехорошая история. Я, например, не вижу, чтобы многие компании переносили инфраструктуру в облака. Я бы сказала, что сейчас, скорее, обратная тенденция — многие компании возвращаются к собственной IT‑инфраструктуре.
Что касается размещения облаков на территории Российской Федерации, обеспечения защиты провайдерами, то проблема ответственности облачного провайдера за клиентскую информацию остаётся. Сколько мы с провайдерами ни беседовали, никто не хочет брать на себя ответственность. Провайдеры понимают, что не смогут защитить информацию, и они это вставляют в контракт. А если у клиента сверхчувствительная информация и защиты не будет на должном уровне, то в облаках её размещать нельзя.
Стоит ли российским разработчикам ПО переносить свою разработку в облака или лучше сосредоточиться на собственной инфраструктуре и её безопасности?
Про разработчиков я ничего пока не говорила. Они могут по желанию размещать среду разработки в любой IT‑инфраструктуре. Я говорила про обычных клиентов, юридических и физических. Повторюсь, если есть сверхчувствительная информация, её не стоит размещать в облаке.
Вы высказывались по поводу возможной блокировки смартфонов на базе ОС Android и iOS. Почему такой блокировки пока не произошло? И произойдёт ли она в дальнейшем? При каких условиях?
Я думаю, этого не произошло, потому что это возможность влияния. Техническая возможность, все понимают, есть. Не хочется гадать, почему не отключают, но могу предположить. Во‑первых, это явно враждебно, и ответ может быть симметричным, и десять раз надо думать, стоит ли это делать. Во‑вторых — это однократное действие. Один раз сделал, больше его повторить не получится. Моя оценка такого события — это маловероятно.
Нашей стране надо, конечно, разрабатывать какие-то свои носимые устройства для населения. Несколько попыток было, все они окончились неудачей. Это сложный и с точки зрения разработки, и с точки зрения продвижения вопрос. Даже наша компания пробовала сделать носимое устройство — «Тайгафон». Мы делали телефон для корпоративного применения и думали, что с такими потребителями будет чуть легче, но ошиблись. Тут встаёт много вопросов — например, вопросы изменяемости версии, модельного ряда, логистики, поставок и так далее. Сейчас у нас на заводах нет возможности создать полный цикл производства носимых устройств. И это проблема для импортонезависимости таких устройств.
Насколько увеличился запрос от различных коммерческих компаний на ваши продукты за последние 2 года? Возможно, всё осталось на прежнем уровне? Был ли рост запросов на ваше ПО от государственных предприятий? С чем он был связан?
Запрос от коммерческих компаний вырос в среднем за 2 года на 45%. Однако надо понимать: есть часть коммерческих компаний с государственным участием. Вот по этому поводу затрудняюсь сказать. Я бы сказала, что если и есть рост запросов от госкомпаний, то незначительный. Мы в основном продаём решения в коммерческий сегмент. Хотя у многих заблуждение, что InfoWatch — компания для госорганов, а у нас в основном крупные коммерческие клиенты.
Насколько вам сейчас сложнее закупать электронную компонентную базу (ЭКБ), по сравнению с 2021 годом? Что ваша компания смогла сделать в связи с этим?
Да, стало сложнее, всем стало сложнее. Но мы открыли несколько новых каналов, работаем с несколькими дистрибьюторами. Мы работаем исключительно с внутрироссийскими компаниями и не занимаемся трансграничной перевозкой, это вообще не наше дело, единственное, что могу сказать — у нас увеличились сроки поставки и цены, что логично. Однако мы все свои внутренние потребности и потребности по поставке для заказчиков закрываем.
В своих решениях вы используете отечественную ЭКБ? Насколько удобны процессоры «Эльбрус» и «Байкал» для ваших решений?
Нет, не используем. Мы проводили тестирование на совместимость «Эльбруса», а с «Байкалом» вообще неизвестная история. Однако процессор — не самая большая проблема, то, что он существует, это хорошо. Вопрос в его использовании, если нет массовых операционных систем для него, нет массового софта, нет массового спроса, то он нам не подходит. Мы пишем ПО верхнего уровня, будет много запросов — можно будет детально говорить о решениях на «Эльбрусе», единичные запросы не дадут развития. Распространённость «Эльбрусов» в нашей стране, мягко говоря, незначительная, поэтому для бизнеса делать на них решения не имеет смысла.
Вы говорили, что на open source нельзя строить системы государственной значимости — на ваш взгляд, что лучше: сделать на основе open source собственное решение или создать его целиком с нуля, не на базе открытого ПО?
С нуля никто не пишет уже много лет. Когда мы начинали в 1994 году антивирус Касперского, наши ребята резидентный перехватчик и сканер писали с нуля на языке Си, но эти времена уже канули в Лету. И я не говорила, что надо всё писать с нуля. Сейчас есть огромное количество библиотек, можно их найти и относительно быстро написать свой софт. Самый яркий пример: фаервол NGFW. Есть определенный стек технологий, берём этот стек, и через 2–3 месяца получаем NGFW, он маленький, низкопроизводительный, тем не менее, это NGFW. Если писать с нуля, я думаю, что это годы.
Когда я говорю, что нельзя государственные информационные системы строить исключительно на open source, я имею в виду, что государственные служащие берут сами какие‑то компоненты, сами пишут, сами адаптируют и сами внедряют. Потом люди, которые писали эти решения, уходят, а в госструктуре остаются те, кто не знает, как всё внутри устроено. Дальше эти решения ломаются. Это известная тема.
Вместо того чтобы создавать вот такие не самые удобные решения на базе open source, я полагаю, лучше брать их из реестра Минцифры РФ. У нас там есть много хороших решений. Пусть лучше профессиональные разработчики занимаются созданием таких решений для госведомств. Они дадут свою гарантию, что это решение будет работать, а не сломается тут же, завтра. Да, они тоже пишут на open source, но в схеме «госведомство»‑»разрабочик»‑»конечный пользователь» есть посредник, ответственный за проблемы созданного ПО. А если сам госорган пишет нужные решения, какой с него спрос, он госорган. Например, лег критически важный сервис, он скажет: «Ну да, лег, мы не виноваты, у нас оpen source», — но так нельзя делать. Поэтому я уверена в том, что такие решения должны делать российские разработчики, которые смогут поправить недочёты и поддержать созданные на open source решения. С них и будет спрос при крушении системы. И это будет правильно. И клиентов, использующих такие решения не оставят один на один с большими техническими и иными проблемами.
Какими вы видите меры наказания за утечки данных для компаний, которые их допустили? Про оборотные штрафы вы говорили, что это не лучшее решение. Что, на ваш взгляд, будет оптимально?
Наказание — вообще сложная тема. Так, например, на пленарной сессии BIS Summit их обсуждали, на эту тему высказывалось много мнений, они были радикально противоположными. Например, регулятор высказался за наказание всех подряд. Если произошла утечка, ответственные за ИБ в любом случае несут ответственность. Однако вице‑президент «Газпромбанка» Александр Егоркин возразил, сказав, что внедряется презумпция виновности для безопасников. Они там старались, внедрили все мыслимые системы информационной безопасности, построили сложную, круговую, многоуровневую, многослойную защиту, но утечка произошла. Потому что может быть «крот» внутри или хитрая многослойная атака с использованием внутренних людей (методов социальной инженерии), особенно если компания огромная. Стопроцентной гарантии от утечки нет. И эти безопасники должны быть менее наказуемы, чем те, кто вообще ничего не делал, а данные разбрасывал налево и направо. На мой взгляд, такие вещи тоже нужно учитывать.
Второй вопрос — кто виноват. Это острый вопрос. К сожалению, я не читала законопроект по утечкам данных, его прячут где‑то в кулуарах. Только на BIS Summit впервые от Александра Хинштейна я услышала концепцию по этому документу. Пресса всё время обсуждает законопроект по утечкам данных, из неё мы узнаём какие‑то отрывочные куски. По этим кускам, основными виновными будут генеральный директор и начальник службы информационной безопасности. Это тоже не совсем правильно, тем более если вспомнить предыдущую идею Егоркина. Причём про людей, непосредственно допустивших утечку, их выявление, доказательство их вины ничего не сказано. Мне кажется, это неправильный подход. В основе алгоритма определения вины должно лежать более взвешенное решение.
На той же пленарной сессии возник диалог с «Роскомнадзором» (РКН). Представитель ведомства заявил, что РКН готов работать и выявлять виновных взвешенно Не просто ответственных по умолчанию должностных лиц, а тех, кто действительно причастен к утечкам. И если это будет сделано, это станет феноменальным итогом нашего общения на сессии.
Разговор получился интересным, во многих вопросах я согласен с Натальей Ивановной. Да, есть ряд утверждений, которые покажутся спорными — не мне, а представителям отраслей, указанных в интервью. Однако сами по себе обсуждаемые вопросы сложные и вряд ли имеют одно чёткое решение. Большого послесловия не будет.
Комментарии (63)
PereslavlFoto
22.11.2023 18:49+6Когда я говорю, что нельзя государственные информационные системы строить исключительно на open source, я имею в виду, что государственные служащие берут сами какие-то компоненты, сами пишут, сами адаптируют и сами внедряют. Потом люди, которые писали эти решения, уходят, а в госструктуре остаются те, кто не знает, как всё внутри устроено. Дальше эти решения ломаются.
Очень интересна мысль о том, что нельзя использовать свободные программы, потому что свободные программы приводят к увольнению ответственных и компетентных сотрудников. Значит, именно свободные программы сами собой добиваются того, что разработчики уходят с этой работы и переходят на другую. Потрясающе, да. Программы начинают управлять людьми, причём не все программы — а только свободные.
Насыщают, так сказать, сотрудников государственного учреждения своим лицензионным ароматом.
zbot
22.11.2023 18:49+6"...сами пишут, сами адаптируют, сами внедряют...." а потом приходит эффективный менеджер в лице ... например главбуха и говорит - а нахрена нам эти бездельники которые только кофе пьют и ничего не делают, а давайте их сократим или платить будем только за вызов на работу.
А затем следует - "...люди, которые писали эти решения, уходят, а в госструктуре остаются те, кто не знает, как всё внутри устроено. Дальше эти решения ломаются..."
P.S. но вероятно бывают и другие варианты :-)PereslavlFoto
22.11.2023 18:49+1Почему же такой эффективный менеджер будет постоянно платить подрядчику за сопровождение ПО, переименованного из свободного? Почему эффективный менеджер будет платить за vendor lock?
freeExec
22.11.2023 18:49Так то обычно свободное ПО продолжает быть свободным даже после "адаптации и внедрения".
JuryPol
22.11.2023 18:49+7А откуда вы взяли, что «свободные программы приводят к увольнению»? Получается, что при вольном пересказе приведенной вами же цитаты, вы проталкиваете лично свою мысль. У Касперской этого нет. Все же не надо забывать про всем известное правило «после не означает поэтому»…
PereslavlFoto
22.11.2023 18:49+3Очень может быть, что вы правы и я неверно понял её мысль. Прошу вас выразить эту мысль так, как поняли вы. Я вот вижу, что она против свободных программ, потому что их трудно поддерживать штатными силами, потому что за штатные силы не платят. А коммерческие программы легко поддерживать, потому что за подрядчику платят за поддержку.
То есть штатному — не платят, а подрядчику — платят. И в этом недостаток свободных программ.
Теперь положим, что я ошибся. Как же надо понимать её мысль?
Спасибо.
BugM
22.11.2023 18:49Давайте я скажу.
Мысль в том что не надо делать. Надо брать готовое сделанное теми кто это умеет делать. Мысль очень правильная, очередное поделие не нужно. Берите лучшее с рынка.
PereslavlFoto
22.11.2023 18:49+2То есть надо брать готовое ПО, сделанное теми, кто умеет это делать. Надо брать лучшее ПО с рынка.
Однако нельзя брать готовое ПО, сделанное теми, кто умеет это делать, если оно свободное. Нельзя брать лучшее ПО с рынка, если оно свободное.
Правильно ли я понял?
BugM
22.11.2023 18:49-2Не правильно.
Надо брать лучшее с рынка сделанное профессионалами. И не лезть в то как они делают. Не надо делать самим на основе чего угодно. Пусть даже опенсорс выглядит так что пара студентов за квартал допилят до того что вам нужно. Все равно не делайте этого. Купите у тех кто умеет.
Яркий пример это ПосгресПРО. Он на самом деле стоит своих денег.
PereslavlFoto
22.11.2023 18:49+1Но если лучшее с рынка, сделанное профессионалами, свободное, тогда нельзя его брать? Вот, например, MediaWiki? Или вот Apache?
То есть лучше купить коммерческое, чтобы пара студентов за квартал допилила коммерческое ПО до нужного?
BugM
22.11.2023 18:49-1Не надо. Берите Конфлюенс и коммерческое что-угодно (сорри не владею информацией что сейчас лучше, сам использую совсем частную разработку вам не подойдет) развертывания софта на серверах. Или для чего вы там Апач собрались использовать. Оно точно будет лучше и в итоге вы даже денег сэкономите.
PereslavlFoto
22.11.2023 18:49То есть надо строить веб-сайт на базе Конфлюэнса?
BugM
22.11.2023 18:49+1Медиа вики на Конфлуенс заменить надо. Веб сайт строить можно много на чем. Тильда, Битрикс для простых решений. Дальше уже зависит от. Вариантов тоже много. Самим писать точно не надо.
Вы помните контекст? Речь не про софтверные компании. И даже не про корпорации, которые сами разберутся. А про обычный бизнес. Им надо просто купить. На рынке много всего хорошего.
PereslavlFoto
22.11.2023 18:49Значит, нельзя пользоваться Drupal, DokuWiki, Joomla, LaTeX, Wordpress и Inkscape, потому что их получают бесплатно по свободной лицензии?
Ведь в статье-то идёт речь не про «самим писать», а про «нельзя брать свободное». Я ещё раз процитирую:
нельзя государственные информационные системы строить исключительно на open source. ... Пусть лучше профессиональные разработчики занимаются созданием таких решений для госведомств. ... Да, они тоже пишут на open source.
По её мнению, нельзя платить своим сотрудникам за работу со свободным ПО, однако можно платить чужим сотрудникам за точно такую же работу со свободным ПО. Потому что свои сотрудники, может быть, уволятся, а чужие сотрудники не уволятся никогда.
BugM
22.11.2023 18:49-1По её мнению, нельзя платить своим сотрудникам за работу со свободным ПО, однако можно платить чужим сотрудникам за точно такую же работу со свободным ПО
Именно. Чужие профессионалы. Они зарабатывают на этом деньги и годами собирают грабли. И с ними контракт который не даст им всем внезапно уволиться.
На чем основаны их разработки для бизнеса покупающего их в целом не важно. Важно качество готового решения, поддержка и все такое.
Я тут недавно понял страшную вещь. Для совместно редактируемых таблиц Эксель на голову выше вообще всего остального. Оказывается сделать нормальную не дергающуюся таблицу с фичами всякими которую сразу редактирует три человека в браузере и МС смог лучше всех.
PereslavlFoto
22.11.2023 18:49+1Постойте минуточку, товарищ!
Вы пишете, что нужны профессионалы, нужны долгосрочные контракты, нужен опыт. Вот именно это всё и есть у своих штатных сотрудников.
Но ведь в статье-то говорится не про ваши очень верные аргументы. В статье сказано, что нельзя использовать свободную лицензию. И ещё сказано, что можно платить своим сотрудникам за использование платного софта, однако нельзя платить им же за использование бесплатного софта.
Вот, например, программа QGIS для картографирования. Это решение превосходного качества. Однако нельзя, потому что его исходники доступны по GPL.
BugM
22.11.2023 18:49Вопрос именно в штате и профессионалах. За деньги хорошие конторы вам дают гарантированный сервис и гарантированное качество. Обычный бизнес делая сам непрофильные для него штуки даже близко не может приблизиться к этому сервису и качеству делая что-то сам.
Это именно про бизнес. Что им делать когда бизнесу что-то нужно. Наталия верно говорит что купите у тех кто умеет это делать. Не делайте сами.
PereslavlFoto
22.11.2023 18:49Вот бизнесу нужен веб-сайт. Поставить вордпресс самим нельзя, а заплатить за установку вордпресса можно, да?
BugM
22.11.2023 18:49-1Не надо ставить. Не надо заплатить чтобы поставили. Надо купить у Тильды или Битрикса готовое решение. За настройку или как это там сейчас называется тоже заплатить. И за контент заплатить.
Бизнес хорошо умет делать свою работу. Продавать ручки. Не надо распыляться и заниматься сайтом. Надо найти хорошего поставщика и платить ему за сайт. Не человека, поставщика. Человек завтра уволится. А с поставщиком контракт.
PereslavlFoto
22.11.2023 18:49+2Тильда не позволяет бекапить сайт.
Битрикс не позволяет купить решение, а только подписаться, то есть вы каждый месяц платите, а взамен у вас ничего не остаётся.
Заплатить за контент? То есть заплатить третьим лицам за то, что производят сотрудники самого предприятия? То есть сначала заплатить сотрудникам за их работу, а потом ещё раз заплатить поставщику за уже сделанную работу? Но зачем такие сложности?
Человек завтра уволится, а поставщик завтра закроется. Договора с ними одинаковые и риски тоже одинаковые.
Sercius
22.11.2023 18:49+1Вот на примере QGIS как раз может получиться так, что некий Вася выстраивает производственные процессы на основе этого открытого ПО, к нему прикручивает не менее бесплатный Geoserver, пишет какие-то свои плагины, а потом в один момент решает, что уже перерос это всё и увольняется и уходит. А в организации остается связка QGIS +Geoserver, неведомо как настроенная, плюс какие-то самописные плагины, на которые нет ни исходников ни документации. И если что-то ломается, то концов уже не найти.
PereslavlFoto
22.11.2023 18:49+1Будет лучше, если QGIS настроил подрядчик, который закрыл свою фирму и уехал в другой город, оставя неведомо как настроенную программу? Которая, впрочем, и не требует настроек от подрядчика? И главное, при чём тут лицензирование?
Если производственный процесс основан на QGIS, почему же в этом производственном процессе нет штатного сотрудника, который понимает в QGIS (то есть умеет читать документацию)? И главное, при чём тут лицензирование?
А вот исходники к плагинам — почему они утрачены, а не сохранились в резервных копиях серверов, на которых всегда хранились? И главное, при чём тут лицензирование?
freeExec
22.11.2023 18:49Оппонирование к свободным лицензиям у неё в ключе, что это можно взять достаточно просто, но никакой поддержки нет, а она нужна. Она же тут же в пример приводит, что своя поддержка может быть не эффективна в плане долгосрочности.
PereslavlFoto
22.11.2023 18:49То есть своего сотрудника обязательно уволят, потому что денег нету, а подрядчику будут платить деньги всегда, даже когда денег нету?
freeExec
22.11.2023 18:49Что у вас в каждом сообщение денег нет, никто про это даже не говорил. У тебя работника нет и компетенций в IT. Это не говоря уже о том, что затраты на работника при обслуживание одного клиента и сотни разная.
PereslavlFoto
22.11.2023 18:49Для сотни клиентов нужна сотня работников, потому что клиент, оплатив работника, потребует от него постоянно работать.
А если нет компетенций в IT, тогда и программы никакие не нужны.
M_AJ
22.11.2023 18:49+1Чужая поддержка точно так же может быть неэффективна, кстати в случае популярного свободного ПО у вас хотя бы чисто теоретически может быть шанс сменить поставщика поддержки, а вот в случае плохой поддержки закрытого решения вам придётся полностью менять решение, и потраченных денег вам тоже никто не вернет, и убытки не компенсирует.
REPISOT
22.11.2023 18:49Свободное ≠ Open Source
PereslavlFoto
22.11.2023 18:49Свободное — это когда лицензия позволяет создавать производные работы. Для этого необходимо предоставлять исходники.
M_AJ
22.11.2023 18:49+1Надо брать лучшее с рынка сделанное профессионалами. И не лезть в то как они делают.
Ну да, а потом профессионалы говорят, "мы больше не поддерживаем эту версию" или начинаю просить неприлично много денег, или уходят по каким-то причинам с рынка, или просто закрываются, и всё — приехали.
BugM
22.11.2023 18:49У всех версий всего нормального софта есть заранее известный срок жизни. К его концу проблем там обычно уже нет, но ничего нового в том числе железа поддержано уже не будет.
Бизнес или сразу закладывает обновление в известный срок или готовится жить на старой версии закладывая в том числе запасы железа на годы вперед.
Это нормальный процесс. Бизнес умеет с таким работать.
M_AJ
22.11.2023 18:49+1У всех версий всего нормального софта есть заранее известный срок жизни.
Ну да, как с Юбиками было, покупаешь точки, через год тебя уведомляют, о том, что ещё через год у твоих точек EoL
К его концу проблем там обычно уже нет
Только дыры никто не задевает, и бизнес сидит десятилетиями на старой дырявой версии
Это нормальный процесс. Бизнес умеет с таким работать.
Увольнения сотрудников тоже нормальный процесс, и нормально организованный бизнес тоже умеет с этим работать. Если у вас любой процесс в том числе и поддержка инфраструктуры построенной на Open Source софте, зависит от одного человека это просто означает что у вас не выстроены процессы. Закрытость Windows никак не спасает бизнес от бардака в AD.
BugM
22.11.2023 18:49У вас стандартная ошибка. Мол если нельзя сделать идеально, то и просто лучше делать не надо. Надо. Идеального ничего не бывает. С рисками надо работать и минимизировать их. В купленных у приличных контор решениях рисков заметно меньше чем в том что у вас допилили студенты.
M_AJ
22.11.2023 18:49+1В купленных у приличных контор решениях рисков заметно меньше
Это утверждение требует доказательства. То что за продуктом стоит корпорация этого не гарантирует хотя бы потому, что в абсолютном большинстве пользовательских соглашений написано, что они ни за что не отвечают и ничего не компенсируют. Все основание -- вера в "приличность" компании, что по мне так вообще странно, потому как все они руководствуются исключительно выгодой, а не какими-то моральными категориями вроде приличия, если завтра отдел маркетинга решит, что выгода от "неприличного" решения превышает репутационные риски, то компания сразу перестанет быть приличной. Пример я привел – Ubiquiti.
чем в том что у вас допилили студенты.
Можно нанять и не студентов. Я уже писал, в случае с открытым продуктом у вас есть пространство для маневра, в случае с закрытым вы попадаете в полную зависимость от вендора. Завтра вендор решает, что решение больше не поддерживается, и вы без вариантов идете все переделывать или покупать новую версию.
BugM
22.11.2023 18:49Вы опять про идеальные решения. Гарантии это оттуда. Надо просто лучше. Вендор делает лучше.
Версии любого софта имеют срок жизни и устаревают. Не бывает ничего вечного. Не надо что можно допилить самому. Нельзя. Компетенций не хватит. Надо просто понимать когда софт перейдет в статус устаревшего и быть готовым или жить с этим или обновляться.
M_AJ
22.11.2023 18:49+1Вендор делает лучше.
Или делает хуже. Пример тоже есть – 3CX.
Компетенций не хватит.
Это уже только от вас зависит. Компетенции не небесное благословение, а вещь вполне приобретаемая. Многие компании используют открытые решения, и им хватает компетенций их поддерживать, и передавать эти компетенции внутри компании.
Надо просто понимать когда софт перейдет в статус устаревшего
Юбики о которых я говорил, объявили об этом примерно за год. До этого знать, когда решение станет устаревшим было принципиально невозможно.
BugM
22.11.2023 18:49Бывает всякое. Я чуть выше писал про управление рисками. Посмотреть на вендора и как он раньте работал это разумно.
Компетенций все равно не хватит. Их нельзя нарастить. Я все еще про обычный бизнес. Не слишком крупный, допустим до 1000 человек. У них никогда не будет компетенций.
Узнать когда поддержка кончится можно почти всегда. Открыть типовой договор, например. Или погуглить по сайту. Исключения бывают, не сомневаюсь. Вычеркивайте таких из списка тех с кем стоит работать и все. Пусть умрут без денег.
M_AJ
22.11.2023 18:49+1Бывает всякое. Я чуть выше писал про управление рисками.
Именно. И закрытость только повышает риски, и никогда не снижает. Просто многие этого не видят, просто априорно считая, что если что-то стоит больше денег, то оно должно быть качественнее, и что если они заплатили, то о них позаботятся, но это не так – никто из вендоров официально этого не обещает.
Компетенций все равно не хватит.
Зависит исключительно от решения. Многие свободные продукты достаточно готовы к продакшену для того, чтобы быть внедренными и поддерживаться силами небольшой команды, или как минимум не превышающей команду необходимую для поддержки закрытых и часто дорогих альтернатив.Пример: OpenCart vs. Bitrix или Asterisk vs. вообще вся остальная ip-телефония.
Пусть умрут без денег.
Не умрут, как и люди, которые верят, что если кто-то берет с них деньги, то это автоматически означает наличие каких-то обязательств или более высокая качество продукта.
PereslavlFoto
22.11.2023 18:49В 99% случаев свободное ПО устанавливает и обслуживает не студент, а квалифицированный штатный специалист со многолетним опытом работы в госорганизациях.
Отчего вы придумали студентов, трудно понять.
BugM
22.11.2023 18:49В компании средней руки далекой от IT нет и не будет хороших специалистов. Откуда им там взяться? Чем их там загружать? Это не вы предлагали админу настраивать СКУДЫ и видеонаблюдение? Вот на таком уровне все там и будет.
А вот в подрядчике хорошие специалисты именно по вашей проблеме будут.
Didimus
22.11.2023 18:49Мысль была в том, что свободное по часто означает отказ от ответственности.
PereslavlFoto
22.11.2023 18:49Но ведь проприетарное *всегда* означает отказ от ответственности. Там прямо пишут — as is, проблемы клиента решает сам клиент.
Didimus
22.11.2023 18:49Суд может решить, что дефект оплачивает поставщик решения. В случае со свободным ПО такое не пройдёт
В свободном ПО намного выше вероятность намеренной контаминации, что мы и увидели с началом всего этого
2medic
22.11.2023 18:49+1Мне кажется, что Наталья имела ввиду следующее: есть на работе человек, которому интересно заниматься разработкой. Он ею занимается. Разработка внедряется и работает. Никто не знает, что там под капотом и не отвечает за качество того, что у этой разработки под капотом. Затем этому человеку становится не интересно/скучно/некогда всем этим заниматься и он бросает поддержку своего поделия. Перерос, набрался опыта и ушёл. Потом что-то меняется, например, законодательство, и ПО начинает работать вне правового поля. Нового разработчика либо нет, либо ему сложно/невозможно разобраться с существующим ПО. Именно поэтому такое ПО будет обречено на провал. Именно так я понял её слова.
Собственно вот прямая цитатаПотом люди, которые писали эти решения, уходят, а в госструктуре остаются те, кто не знает, как всё внутри устроено. Дальше эти решения ломаются. Это известная тема.
JuryPol
22.11.2023 18:49+1Платят... не платят...
Вы постоянно хотите в ее словах обнаружить какой-то второй, потаенный смысл.
Все проще, как мне кажется. Не должны системы государственной значимости базироваться на шатком фундаменте. Что я понимаю под шаткостью? В самом общем случае - необязательность. Отсюда - повышенная вероятность нарваться...
Да, они тоже пишут на open source, но в схеме «госведомство»—«разработчик»—«конечный пользователь» есть посредник, ответственный за проблемы созданного ПО.
Обратите внимание на слова "они тоже пишут на open source". Решительно не вижу, как отсюда вытекает "что она против свободных программ"...
igorts
22.11.2023 18:49+1По поводу размещения важных инфраструктурных сервисов в облаках, когда начался этот хайп, я был в сильном недоумении - ведь риски и потенциальные проблемы в различных аспектах (юридическом, технологическом, безопасность и тд) лежали на поверхности! Действительно, есть ощущение, что все должно быть хорошо, не гарантии нет и вряд ли когда либо будет.
В свое время развернул почту для небольшой компании на яндексе, и ведь предчувствовал, что будут проблемы, но повелся на скорость и легкость развертывания.
konst90
22.11.2023 18:49В той или иной мере это проблема любого аутсорса. И надо просто оценить риски и удобства.
Даже если я отправляю контрагенту письмо через Почту России - у меня есть риск, что моё письмо прочитают или потеряют по дороге. Но вряд ли вы будете возить с нарочным каждое письмо.
Mike-M
22.11.2023 18:49многие компании возвращаются к собственной IT-инфраструктуре
Ну вот, теперь и другие начинают перенимать Ваши мысли. И мои мысли тоже.
M_AJ
22.11.2023 18:49В свое время развернул почту для небольшой компании на яндексе, и ведь предчувствовал, что будут проблемы, но повелся на скорость и легкость развертывания.
Зависит только от компании и процессов в ней. Если ее почта будет развернута на стоящем в углу сервере, который никто не обслуживает, и за бэкапами которого никто не следит, ее точно так же могут ждать неприятности, причем вероятно даже на большую сумму, чем 250 р. в месяц за пользователя. Сравнимый с Яндексом по уровню надежности и функционалу сервис при селфхосте будет иметь значительный уровень постоянных затрат, и будет дороже, если у вас компания на 20 человек, в которой даже эникея нет.
igorts
22.11.2023 18:49Все вы верно пишете, и для маленьких компаний это замечательное решение. Про яндекс почту я упомянул с точки зрения непредсказуемости условий использования сервиса, как одного из факторов риска.
Mike-M
22.11.2023 18:49Наказание — вообще сложная тема.
А мне кажется, не такая уж и сложная, если отказаться от фиксированной суммы штрафов и привязать ее к процентам от прибыли/дохода.
ABRogov
22.11.2023 18:49Причем здесь прибыль компании? А то получается, что если у мелкого бухгалтера утекли данные десяти клиентов, ему это даром, а какому-нибудь яндексу за те же десять учеток - миллиардный шраф. В чем тут логика?
Может быть лучше от масштаба ущербаб то есть от количества пострадавших людей?
Mike-M
22.11.2023 18:49+1В чем тут логика?
Логика тут в том, что условные 10 тыс. рублей штрафа для мелкого бухгалтера будут чувствительны, а для какого-нибудь Яндекса это как укус комара. Вот и получается, что с нынешними штрафами их проще платить, чем вкладываться, например, в обеспечение безопасности данных клиентов. Если же превратить те самые 10 тыс. рублей, скажем, в 10% от прибыли, то такой штраф ощутит любая компания.
Может быть лучше от масштаба ущерба
Бесспорно, наказание должно быть адекватно содеянному — это один из основных принципов правосудия. Но опять же, наказание должно измеряться не в рублях, а в проценте от прибыли, чтобы провинившийся испытал, мягко говоря, дискомфорт и не захотел получить такой ощутимый штраф повторно.
Недаром в нормальных компаниях размер премии зависит от оклада. Потому что при зарплате 100 тыс. рублей премия 25000 ₽ — это целая четверть оклада, а при зарплате в 300 тыс. — капля в море.
ABRogov
22.11.2023 18:49Ну вот допустим будет по 10 т.р. за пострадавшего. Если и там и там по 10, то и шраф должен быть одинаковый. А если у крупного игрока утекла база значительной части пользователей, то по 10т.р. за каждого вполне себе нормально. Так же оно в принципе может превышать прибыль, и компания может разориться на штрафах - и это тоже нормально. А по вашей схеме, 10% от оборота просто превращаются в налог, который будут закладывать в экономику компании. Для них не будет стимула к снижению утечек, ибо ганарнтировать 100% они точно не смогут, а значит даже за небольшую долю утечек всё равно надо будет много платить. В схеме с "подушевым" штрафом, играет роль как раз масштаб. Да, утекло не много, но хотя бы не вообще всё. Имеет смысл работать над снижением.
BugM
22.11.2023 18:49Часть не утекает примерно никогда. Базы они сливаются целиком или не сливаются вообще.
Гарантий не будет в любом случае. Все фирмы просто заложат этот штраф в стоимость своих услуг. Она у всех будет одинаковой в пересчете на пользователя. Вы станете просто платить еще один налог.
funca
22.11.2023 18:49-1Без относительно самой гостьи, статья является примером нормальной журналистики. Жаль, что получила не так много плюсиков.
Teimir
Интересное интервью