Своєчасне делівері і безпека: як показати клієнту, що з українським ІТ варто працювати
Привіт! Мене звати Максим Шаповал, моїм хобі і роботою є інформаційна безпека. Закінчивши профільне навчання у 2011 я працював за спеціальністю і з 2014 очолюю напрямок інформаційної безпеки в різних ІТ компаніях (outstaff компанії Ciklum, Lohika/Capgemini Engineering, а сьогодні — продуктова компанія Uklon).
Ринок ІТ напряму залежить від міжнародного замовника і тому постійно має адаптуватися до нових викликів через зовнішні фактори, спочатку Covid-19, а тепер повномасштабна війна. В цьому матеріалі я пропоную розібрати ключові фактори, які важливі замовникам та партнерам і розібрати як убезпечити свій продукт/проєкт та довести, що робота з Українським ІТ безпечна і надійна.
«Змінюйся, або помри» цей вираз як ніколи стає актуальним для ринку українського ІТ. Якщо на початку повномасштабного вторгнення український ринок ІТ показав стрімкий фінансовий зріст, то уже в наступному 2023 році швидкість зросту не просто зменшилася, а навпаки, дохід почав зменшуватися в порівнянні із 2022.
При тому кількість охочих працювати у сфері ІТ тільки збільшується. Причина зрозуміла — українське ІТ стало отримувати менше замовлень, адже більшість клієнтів була з-за кордону. Проте попри війну і блекаути якість роботи наших спеціалістів, швидкість роботи, готовність працювати за графіком зручним для клієнта ніколи не мали нарікань. Подумаймо що найголовніше для клієнта і які ризики вони вбачають при роботі з українськими спеціалістами. І проаналізуємо як можна дані ризики мінімізувати та продемонструвати клієнту, що ми дбаємо про безпеку і доступність продуктів які створюємо і дані, які в них зберігаються.
Що в першу чергу важливо для замовника?
- Щоб його програмний продукт був доступний клієнтам, ним користувалися і цей продукт приносив гроші.
- Щоб всі дані, які зберігаються оброблюються і передаються через продукт були в безпеці, збережені і доступні для роботи.
- Щоб була доступна команда, яка продукт розробляє, вчасно випускає нові релізи та своєчасно виправляє всі помилки при запитах користувачів.
Які ризики можуть вбачати клієнти:
- Несвоєчасна здача проєкту/нового релізу через недоступність команди
- Недоступність самого продукту через недоступність, нестабільну роботу датацентру
- Недоступність продукту через збільшення кібератак на українські ресурси. Навіть якщо ви/ваш клієнт не є ціллю, але продукт може постраждати «рикошетом» через атаку на датацентр.
- Компрометація чи несанкціонована зміна коду/інтелектуальної власності або бази даних самого продукту через злам продукту.
- Компрометація даних через користувачів/розробників продукту через кібератаки, або крадіжку техніки.
І нам, якщо ми хочемо і надалі стабільно працювати із клієнтами із-за кордону критично необхідно обробити ці ризики до допустимого клієнтом рівня.
Оскільки ризик = це ймовірність того, що існуюча вразливість системи чи процесу буде використана актуальною загрозою, то обробка ризиків зводиться до мінімізації вразливостей.
Розберемо ці властивості
Всеможливі проблеми з командою. Питання недоступності людей через потенційну чергову хвилю пандемії чи мобілізацію ми упустимо, і зосередимося виключно на технічній стороні. Оскільки люди перестали здебільшого відвідувати офіси і робота відбувається переважно віддалено, то необхідно забезпечити команди засобами безперебійного живлення, безпечного віддаленого доступу та стабільним інтернетом.
Питання інтернету та безперебійного живлення буде складно вирішити для кожного окремого члена команди, тому ми можемо лише радити їм користуватися послугами інтернет-провайдерів, які використовують оптоволоконні кабелі, адже ці кабелі не проводять електрику і стійкі до відключень світла. І тому простою мовою — інтернет працюватиме при відключеннях світла. Або ж користуватися послугами найновішої технології супутникового інтернету Starlink (не для всіх може підійти, а також досить дорого для встановлення і використання). А також використовувати зарядні станції чи павербанки, які можуть живити ноутбуки та домашні роутери (бажана потужність не менше 65Вт). DOU багато разів писав про це, ось один із найсвіжіших оглядів.
А от питання стабільного і безпечного доступу до корпоративних ресурсів варто розглянути більш детально. Наразі недостатньо звичайного VPN підключення, оскільки люди можуть працювати з будь-якої техніки. Тож наступним витком розвитку VPN стала технологія ZTNA. Zero-Trust Network Access — це модель при якій відсутні довірені пристрої чи особи і будь-яке підключення, а будь-яке підключення верифікується і весь трафік сканується.Актуальний перелік найкращих рішень можна знайти на сторінці аналітичного агенства Gartner.
Також важливо пам’ятати про питання доступності операційних даних, з якими працюють команди. Враховуючи питання блекаутів, людина має мати змогу легко переключатися з ноутбука на планшет, телефон, чи інший пристрій і знову продовжувати свою роботу. Тому варто впровадити сервісу бекапування інформації з техніки в хмарні сховища, щоб мати змогу працювати з цими даними 24/7.
Задля забезпечення комунікації між клієнтом і командою бажано використовувати хмарні SaaS рішення на кшталт Google Workspace, Microsoft 365, що гарантуватиме роботу ресурсів незалежно від вашого датацентру чи приватної системи комунікації, а також забезпечить мінімально необхідними заходами безпеки.
Питання доступності продукту. Як би не було нам зручно чи фінансово вигідно, проте враховуючи реалії, варто відмовлятися від локальних датацентрів на перевагу IaaS, PaaS сервісів. Такий перехід позбавить нас від проблем недостачі живлення у Датацентру чи Інтернет-провайдера, а також ризику втрати ІТ інфраструктури у випадку влучання ракети/дрона, а головне — забезпечить доступність інфраструктури і продукту 24/7, резервування/балансування навантаження головних сервісів і бекапування даних.
Окрім того, приємним бонусом буде швидкість відгуку продукту, адже передові хмарні провайдери можуть розмістити ресурси в декількох зонах ЄС, Азії, Америки.
В той же момент такий перехід виведе вас з під прицілу російських хакерів, які регулярно сканують всі українські ІР адреси на предмет шкоди/виводу будь-якого сервісу з ладу.
Ну і звісно ж, ви отримаєте передові сучасні можливості захисту ваших продуктів.
Компрометація даних. Це питання сьогодні стало ще більш нагальним, оскільки атаки на українські ресурси стали буденням, випадки крадіжки техніки також збільшилася в рази.
Перше, що варто зробити — налаштувати складну парольну політику і включити
Також важливо обмежити можливість входу із локацій, а яких не працює ваша команда (з росії, Білорусі, Венесуели і т.п.), а також обмежити доступ до самого продукту лише з країн, де цей продукт використовується.
Ну і звісно ж варто мати систему детектування і протидії втручань (Intrusion Prevention System, IPS) та систему логувань втручань, спроб переборі паролів і т.п.
Ну і, репрезентативним, найкращим підтвердженням того, що ваші люди, процеси, технології, розробка і продукт в безпеці і працюють неперервно є наявність сертифікацій:
ISO\IEC 27001:2022 — Система Управління Інформаційною Безпекою
ISO 22301:2019 — Система Управління Неперервністю Бізнесу
Це всесвітньо визнані сертифікації та найкращий набір правил, що гарантують наявність процесів для забезпечення безпеки, неперервності і постійного вдосконалення цих систем управління.
Звісно ж, всі ці рекомендації не вичерпні і необхідно підходити до потреб кожного клієнта точково і уточнювати основні критерії роботи, проте наявність мінімального — гарантованих заходів безпеки даних і доступності продукту та команда розробки/підтримки однозначно зіграє на вашу користь при обговоренні співпраці.
31 коментар
Додати коментар Підписатись на коментаріВідписатись від коментарів