Редакторский_800-400 (23)

Уход некоторых зарубежных IT-компаний с российского рынка — наша новая реальность. Ещё в начале марта свои операции в России приостановили SAP, Autodeskи Microsoft, а украинская Terrasoft (разработчик CRMCreatio) заявила о прекращении работы с российскими клиентами и партнёрами навсегда. Сложившаяся ситуация хорошо подсвечивает проблемы выбора IT-решений, актуальные для всех отраслей бизнеса, включая девелопмент.

Достаточно часто при выборе софта на первое место ставили его визуальную составляющую – действительно, в красивом интерфейсе приятно работать, но далеко не всегда он оказывается на деле удобным и функциональным. Также важно учитывать соответствие функционала продукта бизнес-процессам компании. Недостаточно оценить, есть ли в софте определенный инструмент или нет, нужно понимать, как он будет работать и встроится ли в существующие процессы. Оценка инструментов только по принципу наличия может приводить к невозможности их использовать в полной мере.

При этом пользователи не привыкли задумываться об источнике устанавливаемого ПО — главное, чтобы оно закрывало поставленную задачу. Посмотрите на свой рабочий стол, и вы увидите офисные инструменты Microsoft и Google, без которых уже сложно представить рабочий процесс.

Поэтому сейчас, пока одни компании ищут отечественные аналоги своего софта, другие ставят процессы на паузу и выжидают. Но есть и третий путь – навести порядок в бизнес-процессах уже сейчас, чтобы стать сильнее и более защищенным.

Почему нельзя просто ждать?

Для начала разберём, чем грозит российскому бизнесу уход зарубежных IT-гигантов с нашего рынка. Если не вдаваться в подробности того, как именно работает предоставляемое компаниями ПО, может сложиться мнение, что уход компаний никак не коснётся бизнеса. Не придёт же представитель Autodesk в офис застройщика, чтобы удалять Autocad с каждого компьютера, верно? Верно, да им это и не нужно, — любой иностранный софт может быть отключён удалённо.

При желании, IT-компания может заблокировать пользователям доступ к системе или стереть данные из базы. За примером далеко ходить не надо — ещё 1 марта CRM-система для общепита Poster отключила 10 000 (40% всей базы) пользователей из России и Белоруссии и заблокировала им доступ к сервису. Теперь у заведений есть удобный софт, которым они никак не могут воспользоваться. Другой пример: владельцы сервиса рассылок Leeloo.ai, отправив от имени своих пользователей их клиентам массовые рассылки с политическим содержанием, нанесли им как минимум репутационный ущерб.

Чтобы избежать потенциального вмешательства со стороны разработчика, многие советуют отключать автообновление софта. Но, во-первых, это не защитит вас на 100%, а во-вторых, создаст новую проблему. Новые киберугрозы появляются каждый день. Обновления нужны не только для расширения функционала и исправления багов, но и для защиты ваших данных от внешних угроз. С отключением обновлений защита довольно быстро устареет и взломать вас будет проще простого. IT-индустрия живёт по принципу «вы в безопасности, пока вы никому не интересны».

Иными словами — «вас не взломают, пока не захотят», что доказывают успешные хакерские атаки на крупнейшие российские СМИ, а также сервисы Яндекса, ВКонтакте, СДЭК. В одном случае взлом вызвал сбои в работе, а в другом привёл к утечке данных о клиентах. Итак, что же следует делать уже сейчас, чтобы предотвратить потери?

Пять рекомендаций, которые помогут защитить бизнес

  1. Необходимо иметь стратегию по сохранению бесперебойности бизнес-процессов независимо от внешних условий

Пандемия в своё время сильно встряхнула бизнес и показала, что компании могут и умеют адаптироваться к новым условиям, если захотят. Но ещё она показала, насколько легче справиться с непредвиденной ситуацией и организовать удаленную работу за считанные дни, когда альтернативный вариант организации работы проработан заранее.

  1. Отключить автообновление сервисов и настроить сервер обновлений

Сервер обновлений — это тестовый контур, где можно наглядно увидеть, какие именно изменения будут внесены в систему очередным обновлением и как они повлияют на функционал, доступы и данные. В идеальном мире тестовый контур должен быть у компании всегда, а не только в кризис. Обновления иногда бывают «сырыми» и вступают в конфликт с остальной системой, вызывая баги, сбои в процессах. Поэтому, прежде чем выгружать обновление на боевой сервер, нужно его проверить.

  1. Настроить резервное копирование с функцией перезаписи и хранить копии вне контура компании

Представьте, что ваша компания – это трёхкомнатная квартира. Все три комнаты квартиры — это внутренний контур компании. Если в одной комнате вы храните паспорт, а в другой его ксерокопию, то в случае пожара или потопа будут утеряны и оригинал, и копия. Но если паспорт хранится в квартире, ксерокопия в офисе в другом здании, а скан на флешке, которую вы отдали вашему бухгалтеру, то пожар в квартире хоть и уничтожит оригинал, копии останутся целы и восстановить данные будет намного проще.

  1. Настроить список допустимых ресурсов и действий, и работать по принципу «что не разрешено, то запрещено»

Сейчас компании уже не взламывают, если от них ничего не нужно. Чтобы снизить риск взлома, использовать стоит только проверенные инструменты и приложения, авторизованные внутри системы. При таком подходе запустить в вашей системе внешний файл, которого нет в списке разрешений, будет невозможно, а значит и взломать вас будет сложнее.

  1. Настроить внутри компании собственный VPN как превентивную меру, если нужно будет подключиться, не показывая местоположение.

Сегодня VPN используется в основном для обхода блокировок, но изначально эта технология служила для объединения в защищённую сеть нескольких устройств, не подключённых к одной сети. Отсюда и название — виртуальная частная сеть.

По сути, VPN-сервис создаёт зашифрованный туннель между вашим устройством и неким сервисом, у которого есть владелец. И вряд ли он предоставляет доступ бесплатно. С момента вашего подключения к внешнему сервису, владелец сервиса получает доступ к вашему трафику, поэтому может встраивать в него рекламу и зарабатывать на её показах. Другой вариант монетизации — предоставление платного доступа, гарантирующего отсутствие рекламы.

И конечно, владельцу будут доступны все ваши данные, а значит, он сможет использовать их в интересах аналитики и не только. Поэтому для компании всегда надёжнее иметь собственный VPN, не зависящий от внешнего владельца.

К чему это мы?

Как правило, мы не задумываемся о защите до тех пор, пока нас не взломают. Сложившаяся вокруг российского IT-сектора ситуация лишь подсветила проблемы, которые давно пора было решить. И выход из нее принесет новые возможности для развития и усиления.