Даже если откинуть скажем несовместимость ПО, странные настройки и т.д… По вопросам, так или иначе, с шифровальщиками сталкивается до трети системных администраторов. Как вы думаете, какой процент пользователей сразу предоставляет всю необходимую для решения проблемы информацию? Или хотя бы готов конструктивно обсудить проблемы? Нередко до момента, когда дело доходит до конкретных рекомендаций, проходит 7-10 итераций! Диалог с клиентом идет, а шифровальщик в это время вполне может продолжать свою работу.
Все примеры для данной статьи взяты из реальных запросов. Орфография и пунктуация сохранены, мат и персональная информация убраны.
Здравствуйте.
Пропал файл:
/var/.../хххххх.pid
Пришлите, пожалуйста.
1. Готовы ли вы к инциденту? В России, как известно, каждый выпавший снег является неожиданностью. Но список проблем, по которым нужно обращаться в техподдержку, скорее всего, конечен. Более того — еще более короток список того, что нужно предоставлять работникам службы технической поддержки для решения проблемы. В большинстве случаев это полная информация о системе, информация о версии продукта и его настройках, логи работы продукта. Однако подавляющее число запросов не имеет в своем составе такой информации, и на ее получение уходит не только время сотрудников техподдержки, но и — самое главное — время самого клиента. А в это время вирус вполне может продолжать работу
У меня завёлся непонятный вирус! Я не могу его удалить! Что это за вирус, и как его удалить, подскажите пожалуйста!
Соответственно:
- В компании должна быть общеизвестная и введенная в действие приказом руководства процедура, в соответствии с которой можно в минимальное время собрать всю нужную информацию. Именно так. Типичный пример — праздники. Новый год и май. Две недели на работе нет никого. Думаете, злоумышленники этим не пользуются? Администратор в отпуске, напарник попал в больницу. Типичная ситуация?
В любой момент времени дежурному по компании, в том числе секретарям (вполне были прецеденты, когда проблемы разрешались с помощью этих милых девушек), должны быть доступны контакты, кому нужно звонить и писать в случае проблемы. Кого можно вызвать на работу в случае какой проблемы, как получить доступ к таким-то данным, куда нажимать, чтобы самому сотруднику собрать отчет. - Заранее узнайте, куда нужно звонить по какой проблеме и какую информацию собирать. Уже упоминавшиеся шифровальщики. Проблема известна всем, но практически никто не знает, что нужно прислать в антивирусную компанию. Максимум прикладывают один файл. А то и просто скриншот.
- Отслеживайте новости. Случаи бывают разные. Телефоны и контактные лица периодически меняются.
2. Будьте готовы предоставить нужную информацию. Достаточно часто запрашивают некие действия (раньше лечение файлов, сейчас расшифровку), но при этом не готовы предоставлять информацию, так как она содержит некую коммерческую тайну. В крайнем случае, информация не предоставляется принципиально: «я позвонил, вы обязаны решить проблему и точка, присылать ничего не хочу, давайте ответ».
Соответственно:
- Будьте морально готовы к тому, что в результате инцидента пострадает важная информация и для восстановления ее нужно будет передать в некую организацию. Подготовьте соответствующие шаблоны договоров — не все компании готовы принять типовые договора иных компаний.
- Заранее побеспокойтесь о возможности сбора такой информации в компании. Как минимум, о такой потребности должны быть уведомлены руководители подразделений.
- Имейте под рукой все необходимые утилиты.
- В группу реагирования должны быть включены юристы.
3. Обращаясь в техподдержку, понимайте, чего вы хотите добиться. Скажем, в случае заражения вредоносным ПО — хотите ли вы просто пролечить систему, передать найденный вами вирус, получить консультацию или расследовать инцидент. Процедуры действий будут совершенно различными.
Помните, неверно обозначив цель запроса, вы возможно не просто потратите свое время и ресурсы, но и сделаете невозможным получение истинной цели. Например сбора доказательной базы для передачи в суд.
4. Не стоит начинать обращение с агрессии. Сотрудники технической поддержки скорее всего не имеют никакой связи с проблемой, которая у вас возникла. Более того, они, как правило, прилагают все силы для того, чтобы решить вашу проблему — вы не можете видеть той переписки, которая возникает по поводу вашей проблемы между подразделениями. И уж совершенно недопустим мат.
минут 15 назад у меня стоял ваш продукт хххххх хххххххх ххххх
я пользовался им более двух месяцев вроде
он слишком самостоятельный, и именно в тот момент, когда мне нужна производительность моего i7 с 8 Гб оперативки, он душил мою машину, и даже убивая по 40 минут в попытках понять, куда ему биииип чтобы он потух, я так и находил решения. позавчера мне пришлось в пол второго ночи спать лечь, т.к. он мне всю работу сломал, которой оставалось на 15 минут
просто ублюдок какой-то, а не удобный антивирусный продукт, хуже — бииип
никогда в жизни я больше не поставлю его!
адиос, уважаемые работники службы поддержки
всего вам доброго
— Цель использования: Защита домашнего компьютера/ноутбука
Операционная система: N/A
Выбранный продукт: N/A
Серийный номер/номер лицензионного ключевого файла:
Ни версии продукта, ни версии системы, ни описания проблемы…
Естественно, запрос будет разобран и на него дадут вежливый ответ в установленные сроки. Но как вы думаете, какой запрос будет обрабатываться в последнюю очередь?
Более того, вежливое обращение с описанием проблемы, как минимум, будет доведено до разработчиков, маркетологов или иных специалистов. А обращение без необходимой информации скорее всего пропадет втуне. И стоит оно того?
Соответственно:
- Придерживайтесь фактов и отбросьте эмоции.
- Если проблема решена — поблагодарите того, кто вам помог. Люди обрабатывают десятки запросов в день и перегружены негативным обращением. Сделайте им приятное.
5. Выполняйте то, что у вас просят, говорите (пишите) грамотно и четко. Если вам высылают инструкцию — поверьте, она написана если не кровью, то точно опытом проблем клиентов и знанием нюансов работы систем. Но, как ни странно, в ответ на запрос вполне может прийти совсем не то. Выполнение запрошенного почему-то считается необязательным!
Соответственно:
- Ваш запрос — это ваше время. К сожалению, качественных бубнов сейчас не производят, и узнать, что у вас происходит можно только с вашей помощью.
- Не стоит использовать сленг, терминологию вашей отрасли, сокращения и т.д. Вас вполне могут не понять и предоставить совсем не то, что вам необходимо для решения проблемы.
6. Жалуйтесь туда, куда нужно. Как показывает практика, что бы не произошло — виноват антивирус. Однако даже в случае конфликтов ПО — это далеко не всегда так. Зачастую в нарушении тех же RFC может быть виновата иная компания. Естественно виновный найдется, но время, время…
Не стоит искать решения там, где нет специалистов. Зачастую за помощью от тех же шифровальщиков, с проблемами на тормоза и т.п. обращаются куда угодно, но только не в техническую поддержку. Проблема не будет решена, а виноват кто будет?
И заодно. Да, лицензия без техподдержки дешевле. Существенно. Но если вы купили такую лицензию — вы сознательно сделали свой выбор, не стоит обвинять бездушных сотрудников, которые не хотят вам помочь. Их зарплата складывается в том числе из денег, которые были заплачены за лицензии.
7. Если тебе удалось найти ответ на свой вопрос первым, не забудь сообщить об этом тому, у кого ты спрашивал. Это позволит ему не терять понапрасну время и добавит лояльности к тебе в том случае, если ты обратишься к этому человеку с другим вопросом в будущем. Ваше решение вполне может помочь тем, кто обратится после вас.
Все вышеописанные правила достаточно просты и, будем надеяться, что они позволят вам уменьшить время решения вашей проблемы. Более того — быстро и грамотно проведенный разбор ситуации поможет не только вам, но и иным пострадавшим — зачастую в момент эпидемий трекер просто захлебывается от запросов. Ваша помощь в обнаружении нового трояна вполне может оказаться критически важной, а время, высвободившееся у сотрудника техподдержки в результате быстрого разбора ситуации вполне может быть потрачено на помощь тому, кому она в данный момент суперкритична
Информационная безопасность зачастую зависит не от стоимости закупленного софта, а от готовности к некой ситуации.
Комментарии (15)
piva
15.06.2015 14:56А как лучше поступить, если ответа на запрос о помощи нет?
(заметка интересная, спасибо)teecat Автор
15.06.2015 15:29Зависит от компании и от того, как приобреталась лицензия. Обычно вместе с продуктом идут необходимые контакты. Но это к сожалению не всегда правильный путь — зачастую местные представители не могут решать сложные проблемы.
Проще всего бизнес-пользователям. Если все сроки вышли, то они могут через продавца выйти непосредственно на компанию- разработчика. При этом тоже нужно соблюдать указанные советы. Точное описание проблемы поможет правильно перенаправить полученное письмо внутри компании, а иногда и сходу решить проблему. Очень часто не прикладывают номер тикета. Время уходит на его запрос. Сначала идет жалоба, потом выяснение проблемы, потом запрос тикета и тд
Можно написать на форум компании. Многие разработчики его просматривают
Кстати в случае нашей компании зачастую задержка бывает связана с запросом техподдержки в разработку в момент когда идет очередная эпидемия
ntfs1984
15.06.2015 16:24— Сколько нужно программистов, чтобы вкрутить лампочку?
— Ни одного, это задача электриков.
90% проблем с техсаппортом происходит тогда, когда за компьютер садятся филологи.
Когда с техсаппортом общается специалист (как и должен) — проблем в недопонимании чаще всего не бывает, напротив, техсаппорт (адекватный, например Odesk) приветствует поддержку со стороны клиента.
teecat Автор
15.06.2015 16:48Увы. У нас не так. С одной стороны море домашних пользователей с понятным уровнем знаний по безопасности. С другой стороны системные администраторы, ничего не знающие о вредоносных программах и способах им противодействовать.
Но пост немного не о том. Фактически он озвучивает поговорку о необходимости заранее подстилать соломку. К сожалению очень и очень часто в компаниях (в компаниях в целом, а не на уровне ответственного админа) не знают, что делать, когда пришел например шифровальщик. Типичный пример — Новый год. Банк. Из сотрудников — секретарша. Мы фиксируем атаку. А толку? — со стороны клиента никого нету, чтобы что-то сделать.
Крайне мало обращается внимание на процедуры и инструкции. В результате инцидент — как снег на голову. И выяснение того, что нужно делать начинается в момент инцидента. Проблем в недопонимании может и не быть, но критично время. Скажем зашифрован главный сервер банка. И тут начинается…
Специфика именно ИБ — в критичности времени реакции
6a6ypek
15.06.2015 17:12Лингвист по специальности «Теория и методика преподавания иностранных языков и культур». Работаю в техсаппорте.
По идее, за моим ноутбуком должно было произойти деление на ноль и образование ч0рной дыр :)teecat Автор
15.06.2015 17:24По этому поводу хотелось бы обратить внимание на одну особенность. Зачастую именно неспециалисты, получив инструкции из саппорта, выполняют их побуквенно и в результате саппорт получает нужную информацию. На моей памяти был запрос секретарши из Владивостока, которую внезапно назначили администратором. И никаких проблем при общении с ней не возникло
ntfs1984
15.06.2015 17:28Угу.
А я филолог. И мой процессор показывает изображение с кубиками в Windows. Предыдущий дядька спрашивал меня страшные вопросы про какую-то «Версию DirectX», «Частоту работы ядра GPU» и прочие «Подписанные драйверы на видеоадаптер», но я не хочу знать какая у меня частота работы, я хочу чтоб мой Windows выводил изображения без кубиков! Иначе вы мне продали бракованный процессор, и вообще встретимся в суде =))teecat Автор
15.06.2015 17:47Законное желание. И на это должны быть спец утилиты. У админа под рукой, а у саппорта в готовности выслать вместе с пошаговыми инструкциями. Плюс возможность удаленного доступа на машину клиента
ntfs1984
15.06.2015 17:50+1Как минимум три пункта перечислили.
Хотя на самом деле, проще за этот «процессор» посадить человека, который дружит с головой, который знает как найти версию DirectX, узнать частоты и так далее.teecat Автор
15.06.2015 22:11Увы. Для домашних пользователей это невозможно. Хотя как раз у них и могут быть наибольшие проблемы как в связи с недостаточными знаниями, так и в связи с невозможность обеспечения требуемого уровня защиты на отдельном компьютере.
Да и не может и не должен каждый пользователь быть специалистом во всех областях.
sledopit
16.06.2015 10:068. Даже если ты абсолютно уверен, что проблема не на твоей стороне, не нужно упорствовать, что ты Д'артаньян, а там все безрукие идиоты. Нередко в конечном итоге можно обнаружить, что идиоты совсем не на том конце провода (:
teecat Автор
16.06.2015 11:18Хорошее добавление. Хотя не раз бывало так, что проблема есть, но в тестлабе не воспроизводится никак. Хоть свою машину на опыты отправляй
И пожалуй еще одно добавление:
— если есть время, не торопись. Зачастую решение проблемы становится очевидным в момент нажатия кнопки «Отправить отчет»
max-kuznetsov
Лишние эмоции, конечно, вредны. Но не только отрицательные. Важно минимизировать поток информации и обеспечить возможность для быстрого нахождения полезной информации. В идеале, минимум вежливости («Добрый день» в начале и «Спасибо» в конце исходного текста запроса) и всё остальное — только фактическое описание проблемы.
И никакой благодарности в ответ на решение конкретного запроса! Такая благодарность только отвлекает и без того загруженных специалистов техподдержки. Приятно, конечно, когда тебе говорят спасибо. Но лучше не в ответ на решение проблемы: когда таких сообщений сотни в день, это уже не так приятно и можно запросто пропустить что-то важное. Ведь такая благодарность изначально воспринимается, как новый запрос или возобновление уже решённого. Мы специально пишем заказчикам, чтобы они не отвечали на наш ответ, если проблема успешно решена.
Лучше по результатам квартала отправьте благодарственное письмо на имя руководителя организации, осуществляющей качественную техподдержку. Одно!
max-kuznetsov
И ещё я бы добавил в самое начало пункт «Посмотреть на сайте производителя системы список известных проблем (если он предоставляет такие сведения): возможно, решение проблемы уже известно.»
teecat Автор
Пожалуй. Но на этого надеяться сложно. Практика показывают, что на сайт вообще не заглядывают. Мне например постоянно сыплются запросы на системные требования. И ладно бы на какие-то странные конфигурации. На поддержку Windows 8/8.1…