Деловой хозяйке на заметку #14. Готовимся к маски-шоу

«Маски-шоу» (никому, думаю, не надо объяснять, что это такое) — это риск для каждого бизнеса, особенно бизнеса с большим количеством контрагентов — поставщиков и распространителей (вполне логично: чем больше людей, тем больше вероятность того, что кто-то из них решит свести счёты раз и навсегда, рассказав налоговой инспекции интересные истории про вас и ваш бизнес). В России это случалось, случается и, видимо, ситуация будет только ухудшаться. Так что «не удаляйте это письмо — оно действительно работает!»

Вообще, лично мне идея защиты ОТ государства или его отдельных представителей кажется слегка маразматичной (т.к. она базируется на предположении, что правосудием можно манипулировать), но жизнь показывает, что от подобной возможности не надо яро отпихиваться. Вот. Теперь поговорим о том, что может сделать деловая хозяйка, чтобы заработать первый миллион долларов в течение года.

  • Необходимо найти компанию, руководители которой понимают последствия и стоимость «маски-шоу». Это самый простой шаг: на расстоянии плевка таких компаний будет как минимум несколько.
  • Надо понять, чего больше всего боится компания:
    • потери данных и невозможности вести дела (в первую очередь — бухгалтерию)
    • доступа конкурентов к данным
    • долгих разбирательств. С этим не ко мне.
  • Страх потери данных решается ежечасными бэкапами данных на удалённый сервер (я рекомендую Amazon S3). Можно вообще делать «горячий» бэкап, но для этого требуются сравнительно небольшие синхронизируемые файлы и широкополосный канал доступа в интернет.
  • Страх доступа конкурентов к данным решается посредством «прозрачного» шифрования данных на диске (т.е. когда сами данные зашифрованы, но программа этого не видит), причём разблокировка доступа делается через отпечаток пальца или пароль. Необходимо понимать, что пароля должно быть два: правильный (дающий доступ к данным) и умышленно неправильный (удаляющий все данные).

А дальше всё просто: к вашим клиентам вламываются ребята с автоматами, опечатывают компьютеры, привозят к себе — а там облом-с: либо данные не читаются, либо их нет, либо ваш клиент может продолжать деятельность даже при отсутствии изъятых компьютеров (учитывая, что за $500-600 можно купить компьютер вполне подходящей конфигурации, а также если у бухгалтера дома совершенно неожиданно припасён правильно сконфигурированный ноутбук).

Мой прогноз такой: подобная услуга легко может стоить $500-1000 за компанию малого размера (до 50 человек) в месяц. Сделайте софт или просто предложите услугу десятку-двадцатке компаний — и вы сможете приехать ко мне в Сидней и выставить мне ящик коньяка Richard Hennessy за идею.

Предыдущие выпуски: 13 — Когда денег нет — они всё равно есть, 12 — Какой-такой кризис?, 11 — Новые возможности для туристических фирм, 10 — Налог на идиотов.

Подписаться по Email

76 комментариев to “Деловой хозяйке на заметку #14. Готовимся к маски-шоу”

  1. А хорошая идея! 🙂
    Тока вот найти таких клиентов сложно.

  2. Клиентов найти можно и даже очень, только вот «Масква это не Рассея» — в 90% случаев у них просто нет инета (для бэкапов) — он им не нужен по работе. А там где нужен — он помегабайтный и дорогой.

    Но это уже частности, обходное решение всегда можно придумать.

  3. Юра:

    сделать крон с RAR-ом и отсылкой через 3G телефон, подключённый через Bluetooth, — это задача для первоклассника 🙂

  4. Макс, я ж говорю — ты далек от российской действительности 🙂 3G есть в очень немногих городах, в Москве/Питере вообще нет (хотя есть альтернативы, но опять-таки — вопрос цены).

    Но я ж говорю — это и есть «обходное решение всегда можно придумать». Самая идея очень хороша, особенно если с ментами скооперироваться 🙂

  5. Ладно, договорились. Не 3G. Пусть это будет wi-fi через скрытую точку доступа (разумеется, которую нужно добавлять вручную, а не через broadcast). Это может даже тупо быть infrared/bluetooth.

  6. Идея здравая и правильная (сама не представляю жизни без бэкапов и защиты), возможно, в России еще актуальная. Что касается Европы, то никакая нормальная компания без пресловутых бэкапов и защиты информации не работает. Одним словом, ниша уже занята и лететь в Сидней с ящиком Hennessy поздно (тем более я предпочитаю Remy Martin 😉 ).

    P.S. Спасибо за twitter — I’m following you now.

  7. Одно дело — бэкап, а другое дело — невозможность пользоваться информацией неавторизованному пользователю.

    ЗЫ. по поводу коньяков религиозную войну устраивать не буду. Мой выбор — Richard Hennessy 🙂

  8. Ну, вообще-то, я не мешала мух и котлеты (в смысле бэкапы и защиту aka криптование) — это вещи друг друга дополняющие и необходимые! Я не могу жить ни без того, ни без другого (нормальные фирмы у нас тоже) — даже моя личная информация на ноутбуке с которого я сейчас пишу закриптована 😉 и, конечно же, забэкаплена.

    P.S. OK but you must try Remy Martin Louis XIII. Seriously!

  9. ого, дороговато получаеться…

  10. Ну там же написано: Деловой хозяйке на заметку

    Никто не говорит, что тут нет конкурентов. 🙂 Главное, что тут есть клиенты. Параною никто ещё не отменял. 🙂

  11. Идея отличная, реализация — проста как два пальца… В общем кто захочет, наварится на этом не слабо!

    Я же пошел обдумывать это в применении к своим клиентам и фирмам! По-моему эта идея попахивает свежестью ) для меня )

    А вообще я немного в шоке, первый раз сегодня читал блог, отличный, рад что набрел на него! Однозначно подписываюсь и начинаю не спеша читать архив!

  12. Идея действительна хорошая, и например в Белоруссии я думаю будет очень востребована. Единственно что нужно будет разобрать, так это то как работаю программы, а по интернету сейчас почти везде дсл и скорость хорошая.

  13. Макс, извини, идея здравая, но на практике , по крайней мере в РФ, не реализуемая. Реализовав подобное в своей компании(давно дело было почти 5 лет назад в Казани), я пытался предложить подобный сервис своим партнерам и клиентам, почти все IT-шники сказали — супер! и пошли к директорам. 100% из них оказались. Почему? 100% предприятий вели двойную, а подчас и тройную бухгалтерию. Сама мысль о том что данные о реальных деньгах будут лежать не на флешке у финансового, а где-то «в инете» вызывала лишь гомерический хохот. Впрочем могу допустить, что тогда просто было не время. Возможно.

  14. Достаточно подключить компании Goggle Apps и проблема доступа к документам и письмам компании решается на 90%. Для БД можно использовать Dropbox и пр.

  15. Не скажу за US/EU, но в exUSSR за шифрование (и отказ выдать пароль) могут нарисовать сокрытие улик, не говоря уже о методах получения пароля.

    А в остальном — да. Что хранится в одном месте — его вообще не существует. Что хранится в двух местах — хранится плохо.

  16. Даже создана специальная платформа для создания подобных программ . Была опробована. Великолепно работает даже на низких скоростях. Сервер может быть установлен к того же фин. директоре в подвале (если не сырой). А в случае маски-шоу просто обрывается связь с сервером. У клиента на фирме данных вообще нет.
    http://oleg.kalpa.ru/2009/02/kalpa.html

  17. Не все так просто.
    У нас в конторе (50 чел, торговля) ежедневно создается ок. 12 гиг _инкрементных_ бекапов (запакованные, разумеется), полные — еженедельные, раз в 10 больше.

    «горячйи» бекап за приемлемые деньги, и чтоб он при этом не жрал процессор шо больной — это была бы просто мечта.
    может кто подскажет инструмент?;)

  18. 2Путник: файловые системы, умеющие snapshot (Solaris-ZFS, linux-LVM, Veritas, etc) — позволяют «растянуть» окно бэкапа без необходимости их жать средствами ЦПУ сервера.

    Есть еще способы, включая реплицируемые NAS — меняю на билет в Сидней(коньяк сам куплю 🙂

  19. Еще попадались мне маньяки — они для затруднения работы парням из маски-шоу придумали радикальный вариант: возле каждого винта был прицеплен не то пиропатрон, не то что-то такое взрывчатое, и по нажатию кнопки винты просто подрывались 🙂

  20. Криптование — классное предложение. Пока у вас не спросили пароль или ключевой носитель. Неужели вы думаете, что вы сможете больше получаса утаить пароль от суровых парней и милиции. Особенно в отделении.

    пиропатроны, съедание ключевых флешек, разбивание винтов молотком. Это все здорово. Только когда директора спросят — «что это было». Он сольет все на вас с улыбкой на лице. Скажет «вот этот говнюк препятствует следственным действиям и злостно сопротивляется сотрудникам милиции, а я тут не причееееем» 🙂

    Бэкапы здорово, но траф. будет жрать немеренно. Только для Москвы, да и то… с оговорками.

  21. Еще один вариант — по оптике (лучше 2 канала, на случай трактористов) соединяем офис и подвал за МКАДом в котором стоят серваки, NAS с шифрованием засовываем при этом в микроволновку и дистанционый выключатель ее, в качестве клиентов — терминалки без носителей

    Бэкапы шлем на пленках голубиной почтой в Ступино…

    ps. — рассказывают в одной конторе подготовили специальный сервак, на которым было криптование, а клиенты работали по старинке локально, пришли ребята и вынесли на изучение

  22. Путник, все просто — зачем качать бэкап через выделенку? нужно просто держать все свои данные не в офисе и сливать его по нормально честному фиберу на уровне хранилища. железяки которые при этом обеспечивают и шифрование и резервирование и еще 333 удовольствия уже давно есть и стоят вменяемых денег. По существу можно и нужно сделать следующий шаг и воспользоваться не кусочками разных технологий, но их синергией перейдя к работе в виртуальном офисе. и забыть про всякие лицензией и связаные с ними риски тех же масок шоу, апгрейды железа из года в год, раздутый штат обслуживающего персонала и т.д, и т.п.

  23. Макс, не поверите, я недавно о подобном спектре услуг как раз думал!!! Даже в жж у себя написал, правда все услугу обгадили, типа нет клиента, выскоая конкуренция и много денег нада 🙂 А думать об таком стал после прочтения книги «Тайны ИТ», автора не помню, заинтересует — напишу. Идея супер!

  24. Софт есть для этого дела свободный, давно.

    В общем, конечно, если вы не настолько интересны, чтобы с вас добывали тот самый пароль не вполне законными способами, то идея здравая, жизнеспособная, в определенных случаях приносящая пользу.

    Но надо понимать, что все, что будет сделано — это именно то, что сказано (бэкап и защита от НСД). От прочих приятностей, в т.ч. касающихся первички и проверок, оно не спасает 😉

  25. Альтернативный бизнес — поставлять паяльники, клещи и утюги.
    Очень помогают, когда кто-то не хочет говорить пароль или пальчик прикладывать.
    В «масках», имхо, давно не идиоты работают. Такие советы читал 10-15 лет назад. Всё возвращается на круги своя.

  26. Похоже на пересказ одной старой истории про «тонкие клиенты».

    Краткое содержание предыдущей серии: Фирма, директор «увлекается» супермодными комп.решениями. В фирме установлены у всех тонкие клиенты, в которых даже нет винтов, в серверной стоит сервер приложений, откуда все грузятся, а файлсервер — за океаном, туда регулярно все и уходит по скоростной линии.

    Начало истории: Маски-шоу, все опечатывается, изымается, пишутся протоколы и т.п. Естественно, никакой информации в изъятых компах не было найдено, кроме того, директор накатал иск на представителей налоговой, тех, кто заказал маски-шоу, что «из опечатаных компьютеров неизвестным образом пропали устройства хранения данных винчестеры».

  27. 2 thaler: хотелось бы ознакомиться с вопросом подробнее. черкни плз на mkt gav putnik.net.ua

    2Илья: был анекдот:
    Разговоаривают в кабинете главбуха 2 добромолодца
    — Спорим, я угадаю пароль на базу с 3х ударов?
    — а я с 2х!
    — ну угадывай…

  28. Путник:
    12 Гб в день чего разумного, доброго и вечного (нужного) может нагенерить торговая контора? %) Просто любопытства ради.

    thaler:
    Ну так бекапы где-то в инете, само собой, должны зашифрованными лежать.

    Илья:
    В офисе данные уничтожатся после того, как будет приложен не тот пальчик, а тот, на чей пальчик система реагирует, в принципе не должен ничего знать о бекапах. 🙂

  29. Макс, жаль тебя разочаровывать, но такие решения уже есть — еще год назад видел одно, в точности реализующее схему — включая эмуляцию ‘сбоя’ с полным уничтожением информации.

    Да и что тут особенно оригинального в этой идее? Считаешь, что нашел глобальный рынок, т.е. ‘то, что нужно всем’? Да таких ниш вокруг, где нужно только начать и закончить — море…

  30. А зачем напряги с backup? Пусть работают на web based решениях (Saas тот же) с серверами в абузоустойчивых к российскм наездам юрисдикциях. На родине «масок» (это я так политкорректно совок назвал) при этом нет вообще ничего кроме IE/FF/Chome. Компы — самые дешевые, из которых даже менты погнушаются что-то украсть.

  31. примерно такими игрушками занимается небезызвестный Алексей Глазков, он скорее всего легко реализует идею…

  32. Все красиво, только не описан риск того что хозяйка будет отвечать своей головой если контейнер повредится а восстановить его человеку умеющему варить макароны, не под силу.. надо оценивать здраво объем ответственности …

  33. Да, Макс, ящика тебе не видать. Предыдущие «ораторы» абсолютно правы. Правильный пароль взламывается за несколько минут «жёстким» способом (причинное место в створ двери) или «брутфорсом» (неделька в камере). Спрос на шифрование и удалённое хранение конечно есть. Но вот парадокс. Когда предлагаешь какое-то решение таким людям, оказывается, что оно для них жуть как дорого! Даже 1000$ неподъёмные деньги. Проверено на практике. Как правило они выбирают самый бюджетный вариант — внешний, подключаемый к сети хард, расположенный за фальш потолком. В случае изъятия компов, конфигурацию сети не проверяют и метут то, что на виду и в первую очередь сервер, а уж понять, почему был и нет диск Y… не до того.

  34. 2Djons:
    > Правильный пароль взламывается за несколько минут “жёстким” способом

    ерунда, обходится на ура — смотрим hidden containers в TrueCrypt и подобных

    > Спрос на шифрование и удалённое хранение конечно есть. Но вот парадокс. Когда предлагаешь какое-то решение таким людям, оказывается, что оно для них жуть как дорого! Даже 1000$ неподъёмные деньги. Проверено на практике.

    А вот тут — стопудово подпишусь под каждым словок.

  35. cosmichorror: решения такие есть — это факт. Но успех — это не когда ты разработал решение, а когда внедрил и «доишь» фирмы, которые тебе платят за помощь.

  36. Ладно, не $1000. $500 — тоже деньги. $300 — но в месяц — тоже пойдёт.

    Решается всё просто: какая стоимость ущерба от «маски-шоу»? Разделим её на 12-24 и будем столько брать денег «за помощь» ежемесячно 🙂

  37. Сервис решает все! Здесь люди в основном из ИТ, понятное дело для нас это легко, установил, настроил и не хоботишся, а для дядьки, у которого какой-нибудь магазин или агентство не все так понятно и просто, вот он и обращается за услугами, за сервисом, за который и платит. А то, что «нет ничего нового под небом» итак понятно, концептуально идея была придумано давно, прятать ценное подальше 🙂

  38. Идея не нова. Я лично над ней бьюсь уже полгода (для своей компании).
    Вопрос только в объёмах бекапов. У меня только по ключевым системам ежедневный бекап только логов транзакций занимает 200 Гб.
    Т.е. около 20 Мб/сек, а лучше в два раза больше, т.к. нагрузка по суткам не равномерная. найти такой канал до провайдера — не проблема, а вот до хостинга — уже большие проблемы.

  39. Дима: а если у провайдера поставить машинку, куда всё будет складироваться?

  40. 2 Dmitry Evseev

    Не нужно бекапиться. Надо изначально строить удаленную систему. В этом случае гонять данные и вовсе не надо. А при грамотной огранизации дела объем трафика для удаленной работы будет минимальным. Если есть опасения ареста провайдера, то удаленное сетевое приложение можно поставить на зарубежном хостинге или вовсе дома.
    Писал выше.

  41. 2Pashugan: почта, логи транзакций, 1С, работа с регионами, офисные док-ты, сайт.

    Мда, все упирается в скорость канала.

  42. 2 Max:
    [..] внедрил и “доишь” фирмы, которые тебе платят за помощь.[..]
    Понятно — значит тебя привлекает сервисная модель..

  43. cosmichorror: на немонополизированных рынках (типа рынка операционных систем) это наиболее действенный способ обеспечить себе cash flow.

  44. Очень опасное и легкомысленное предложение.
    Нельзя! Подобную проблему сводить только к техническим решениям.
    Обязательно, если вы уж задумаетесь о подобном бизнесе, просчитайте чуть дальше чем просто банальные «крон с RAR-ом и отсылкой через 3G телефон» технические решения.

    Весьма поверхностный подход, основывающийся (предположу) на реалиях России 7-9 летней давности.
    Маски шоу тогда и теперь- это две большие разницы.
    Если раньше достаточно было оставить в изымаемом системнике загрузочную дискету с форматце в аутоекзеке, чтобы спокойно попивать коньяк, (особо продвинутые умудрялись потом еще и наехать «за испорченное оборудование»)
    То теперь все гораздо серьезнее и подготовленнее. При серьезном деле (а тем более если оно инициировано серьезно настроенными конкурентами) с вежливыми дяденьками в масках обязательно придет один-два спокойных молодых человека, которые посмотрят на компьютеры, может быть прямо тут же в присутсвии понятых сделают образ заинтересовавших их компьютеров акронисом. Иногда даже могут не поленится, разобрать офисный потолок, чтобы отследить сетевые провода и определить где на самом деле имеется серверная.
    Далее. не стоит строить иллюзий относительно того, что никто «Маски- шоу» до сих пор не знают что такое OTFE. И никто не будет ломать брутфорсом диск, зашифрованный супер-пупер алгоритмом. за компом ведь кто- то работал? ну вот этого бедного неподготовленного пользователя возьмут в оборот. и максимум через час общения со следователем марья ивановна, что сидела на НДС, в предынфарктном состоянии сама наберет пароль. Большинство работников предпочтет потерять работу (тем более такую нервную) чем защищать работодателя.
    Это первая сторона картинки. Теперь самое вкусное.
    Давайте поговорим о вас, как о «поставщике услуг». Какую услугу вы укажете в договоре? Если у вас нет суперподкованного юриста- то вы не сможете все существенные условия зафиксировать на бумаге. А значит скроее всего будут иметь место «пацанские договоренности». И все риски по таким договоренностям вы тоже будете нести по «пацански». вернемся к нашему гипотетическому случаю. Марья Ивановна отдала пароль и, всхлипнув и успокоившись уехала домой.
    На прощание ей было сказано: «Вы не переживайте, все равно бы мы пароль сломали- у нас есть секретные разработки ФСБ и фапси, может это было бы чуть долльше». Как вы думаете, с точки зрения рядового работника что проще: признаться что ты спалил контору или свалить вину на неведомые разработки ФАПСИ? конечно второй вариант. «Я не виновата, молчала как партизан, а они сами все узнали». И теперь заказчик думает что всему виной- вы, который поставил не ту программу.
    Готовы к пацанским разговорам?
    Ну и еще одно соображение: одна фирма, две, три. Очень хорошо. бизнес растет. Но растет и риск лично для вас, как исполнителя. зачем конкурентам договариваться искать выходы на го структуры, когда проще найти вас и популярно объяснить, что нужно принести. Нет. боже упаси, никаких паяльников. гораздо дешевле предложить Вам 30-40к$ чем раскручивать государственную машину (которую, кстати, раскрутив зачастую невозможно остановить).а если бизнес пошел и у вас уже 10-20 фирм- то почему бы не наехать с помощью той же гос машины на вас, получив уже большой пирог- всех ваших клиентов.

    Итого: это бизнес как раз не для среднего уровня. Либо берите в обслуживание небольшое количество маленьких фирм и надейтесь что они никогда не попадут в серьезный оборот- но это не бизнес 🙂
    либо походите основательно и серьезно. С хорошей юридической поддержкой и серьезными клиентами.
    Просто список рисков, возникающие при реализации такого проекта в серийном масштабе очень большой, и большинство из них вне технической сферы.
    Я не утверждаю что сама идея плоха. моя мысль- сводить все к «типа простым техническим решениям»- это профанация. От Крайнова честно говоря это даже странно слышать. Ну. спишем на большую оторванность от предметной области. 🙂

  45. Pbipxa: по пунктам.
    1. я не говорил, что это «чисто технические решения». Напротив, я утверждаю, что тут главное — контракт. Но что существуют решения. которые можно и нужно внедрять.
    2. дело в том, что человеческий фактор — это аргумент из другой плоскости. А также фактор давления со стороны «органов» — это тоже аргумент из другой области. Я помню, как лет 7 назад Саше Каталову, CEO Элкомсофта (для тех, кто не знает, — самой известной российской компании, занимающейся восстановлением зашифрованных данных), на День рождения подарили огромный паяльник. Этот же паяльник, применённый к 99.999999% людей, выведет на чистую воду любого. Только это, как я уже сказал, решение из другой плоскости. Жаль, что из той же реальности.

  46. Из начального поста складывается именно такое впечатление: делов то- все винты зашифровали и бэкапы в инет поместили. пару дней потестили и стригем капусту » на расстоянии плевка».
    цель моего первого комментария- привлечь внимание именно к нетехнической стороне.
    Рискну повторится: такая услуга, правильно организованная и безопасная именно для исполнителя не может стоить меньше 2-3К$
    именно по причине существенных накладных расходов .
    Если вы берете меньшую сумму и остаетесь в плюсе- скорее всего вы не закрываете риски, которые мне лично представляются существенными.

  47. Еще раз повторю — шифрование локальных данных, географическое утаскивание бэкапов и т.п. это все не решает главную проблемму — наличие человеческого фактора и существование термоанального криптоанализа =)))
    Нужно оторваться от существующей реальности — бизнес это офис в здании с людьми сидящими за рабочими местами. Причем оторваться и поставщикам услуг/сервисов и потребителям. И еще не известно кому в первую очередь это нужно сделать.
    Почему подобная схема действительно закрывает поднятую изначальным постом проблематику? Потому что ни у потребителя подобной услуги, ни у оказывающего её сервис-провайдера не остается крючков для зацепки компетентными людьми.
    Потребитель всегда может показать/доказать существование «чистых» данных. Поставщик услуг же вообще не знает о характере данных которые хранятся и обрабатываются у него в виртуальной инфраструктуре. Все что с него можно взять — образы виртуальных машин. Берите — не жалко. А если учесть что сервера могут находиться в стойках где нибудь в Швецарии, а фирма зарегистрирована еще в каком нибудь Уругвае. Ну в общем даже этот образ получить будет крайне затруднительно. Юридически все выглядит тоже ровно и прозрачно — за примерами далеко ходить не надо, можно опираться на существующий опыт да хотя бы и вот такой http://www.google.ru/accounts/TOS

    но еще раз выскажу свой опыт — подавляющее большинство лиц отечественных за принятия решения не готовы к тому что реальные данные в том или ином виде будут храниться и обрабатываться за пределами «физической зоны ответственности». Маразм ситуации особ обостряется тем что эти же люди не видят ничего страшного чтобы в качестве бизнесс-инструмента использовать коммуникаторы типа ICQ.
    вообщем вот такой вот зоопарк.

    P.S> коллеги, особо странно видеть в комментариях восклицания «подумаешь эка новость». вроде как Макс и не предполагал что он сделал открытие, он лишь подметил что не смотря на наличие технических решений, сервисов подобного рода на каждом углу не сыщищь.

  48. >> для исполнителя не может стоить меньше 2-3К$
    Посчитать себестоимость работ исполнителя — это, по-моему, не половина и даже не треть работы.

    Основная задача (исполнителя, а не заказчика) — это умение определить стоимость «риска». С оценкой этой стоимости справится не каждый владелец (ИМХО) — и отсюда проблемы: владелец недооценивает серьезность угрозы — не делает сам — не соглашается на запрашиваемую цену услуг — а потенциальный исполнитель не может обосновать адекватно _риски_ (а не себестоимость своей работы) для заказчика.

    А на оценке рисков (даже без выполнения работ по страхованию — а пиропатроны и бэкап hdd это именно страховка) можно делать отдельный бизнес: выдавая рекомендации, реализовать или как их реализовать решает заказчика. Вы можете предложить компанию-сателит, которая сделает всё лучшим образом (или же ваше же подразделение).

    Проблема мне видится ещё и в том, что адекватную оценку рисков «со стороны» в России (а м.б. и не только в РФ) сделать сложно из-за низкой чистоты бизнеса, наличия серых схем, двойных-тройных бухгалтерий, взятия денег из кассы, крышевания, связей и проч и проч.

  49. …не сыщешь.

    …потому что это, по всей видимости, лицензируемая деятельность — стойкая криптозащита данных и т.п. Кому нужны такие услуги от конторы с завязками на госструктуры?

  50. что значит лицензируемая деятельность? обеспечение физического доступа к сетям передачи данных? да — это лицензируемая деятельность. но для этого существуют провайдеры. обеспечение хранения «почты» ? нет. не лицензируется никем и негде. не хотите совсем никаких завязок с госструктурами РФ? не используется ГОСТ-овых криптоалгоритмов.
    о какой именно деятельности идет речь — вот в чем вопрос?

  51. Грубо, если вы ограничитесь продажей (ну или установкой и настройкой, например) программных средств криптозащиты, алгоритмы и интерфейсы которых открыты, то лицензировать не придется. Закрытые — может, и придется.

    Алгоритм ГОСТ здесь частный случай. Работу с ним придется лицензировать, да, но случай этот не единственный.

    Я СКЗИ не занимаюсь дано, копать лень. Еще и потому, что это в данном случае не главное. Но аспект немаловажный.

  52. …не занимаюсь давно…, сорри

  53. Pbipxa: ты говоришь правильно и по существу, но забываешь ключевой фактор: если _в месяц_ исполнитель берёт $1000, и, скажем, продолжительность контракта составляет 24 месяца, исполнитель будет счастлив потратить $3000 на установку всех программ, протоколов, проводов, сим-карт и т.п. — лишь бы была возможность оказывать услуги заказчику.

  54. Слышал о одном параноике который работал на удаленном сервере(страну забыл Таиланд что-ли). Однажды пришла маски выгребли все компы, забрали в налоговою. А там облом + он еще выставлял налоговой претензии, что они уничтожили ему данные.

  55. Sasha, см. посты выше. в частности, мой. 😉

  56. 2 Max:

    [..]на немонополизированных рынках (типа рынка операционных систем) это наиболее действенный способ обеспечить себе cash flow[..]

    Патентный троллинг, имхо, еще лучше. 😉 Ни производить, ни продавать (один раз не в счет) не надо.. Чиста интеллектуальный бинес..

  57. Макс: сервер у провайдера — рассматриваем, как вариант. Но он (провайдер) «слишком близко» к нам. Чем дальше, тем лучше.

    Oleg: Пока это фантастика. Существует уже достаточно большая инфраструктура — переводить её на такое решение, слишком дорогое удовольствие, да и надежных каналов связи у нас нет. А вообще конечно, с удовольствием пообщался бы с CIO компании на 700 рабочих мест, работающих 24 часа/7 дней в неделю, который бы рискнул воплотить в жизнь эту идею.

  58. Dmitry Evseev :
    А далеко ходить не надо. Сбербанк РФ — почти 100% операционных отделений работают в терминалах. Альфастрахование — вся филиальная структура держится на терминальных серверах. И поверте мне это больше чем 700 рабочих мест.
    Мне можно возразить что у них сервера хостящие сервисы находяться в собственных дата-центрах. Ну и что? Какая разница в том где находится терминальный сервер ?

  59. Есть закон РФ «О персональных данных», который обязывает тех, кто хранит и обрабатывает персональные данные, обеспечить их адекватную (с т.зр. законодательства РФ) защиту.
    Следовательно, гнать данные за границу, шифровать их западной криптухой может быть незаконно. Злые языки поговаривают, то истинная цель принятия этого закона — как раз борьба с теми, кто держит сервер со своей бухгалтерией где-нибудь в Австрии или на Кипре.

  60. cosmichorror: да, это так, только «выстреливает» едва ли 5% всех патентов. А на остальные просто тупо тратятся деньги — сначала на подачу документов, а потом на поддержание выданного патента.

  61. thaler: Увы, но у Сбербанка, возможности несравнимо выше и влияния куда больше. Им каналы связи прокладывают по щелчку пальцев — причём далеко не по тем космическим ценам, что предлагают нам. И обязательства перед сбербанком у них куда выше. Сомневаюсь, что они используют обычный «гражданский» интернет.

    В целом, в саму технологию я верю. Не верю, что коммерческая организация (не связанная с государством), сможет позволить себе такие риски в российских условиях. Слишком легко становится «завалить» деятельность организации — достаточно тем или иным способом аккуратно лишить её связи под благовидным предлогом.

  62. 2 Max:
    [..]да, это так, только “выстреливает” едва ли 5%[..]
    Значит надо подать как минимум 20 заявок 😉 Это как с мусорными облигациями … или теми же стартапами.

  63. cosmichorror: 20 сильно разных заявок, а не однотипных. Это как «у него не 20 лет опыта, а 1 год опыта, повторённый 20 раз» 🙂

  64. Dmitry Evseev: уверяю вас альфастрахование в своих филиалах использует обычный «гражданский» интернет. сильно сомневаюсь что и в сбере дело обстоит по другому. технологии VPN никто не отменял.
    как можно лишить связи организацию под любым предлогом — кроме как физически обрезать провода и поставить глушилку всех беспроводных технологий?

  65. thaler: любой здравомыслящий директор ИТ — оценивает все риски и пользу того или иного решения. С многофилиальной структурой — всё более менее понятно. Неоспоримое преимущество данной технологии — быстрый доступ к актуальной информации.
    В моём же случае разносить один офис и один ЦОД по разным местам, т.е. вносить дополнительный фактор в виде каналов связи (которые в наших местах не больно-то и разживёшься) — неразумно. С маски-шоу можно бороться более надёжными и дешёвыми способами.
    А лишить связи компанию очень легко. Государство это умеет делать. Конкуренты — тоже. Достаточно надавить на провайдера и «технический сбой» обеспечен.

  66. Dmitry Evseev: ну любое решение всегда суть выбор одного из вариантов. и естественно что если есть более дешевые, простые способы то их и будут применять в первую очередь. но все течет и меняется =)

  67. В Сбербанке точно есть какая-то своя сеть, в разговоре с людьми там работающими она упоминается, о деталях реализации сказать ничего не могу, но вроде как от интернета она отделена

  68. 2 Max:
    [..]20 сильно разных заявок[..]
    Вообще, имхо, здесь есть вполне правомерна некоторая аналогия между патентами и стартапами: a) да, выстреливает далеко не каждый, b)если уж выстреливает, то прибыль окупает многие неудачи.

    А если есть похожесть, значит и подход тут может быть аналогичный — как действует грамотный венчурный инвестор? Первым делом он анализирует рынок (его емкость, развитость, стоимость входа) — рынок это всегда фактор №1. Далее — анализируем конкурентные преимущества, которые позволяют закрепиться на этом рынке и урвать свой кусок — это будет №2. В зависимости от того насколько они существенны, защищены итп определяется потенциал рыночной ниши, которую Компания будет разрабатывать.

    Между прочим ИС, имхо — это и есть __надлежащим образом оформленное__ конкурентное преимущество, своего рода ‘охотничья лицензия’, которая столбит за вами нишу в рынке. Без такого оформления (патента) лицензия носит лишь временный характер.. Иногда — даже очень временный — до тех пор пока вы держите свое преимущество в секрете…

    Теперь, внимание — финт ушами — а зачем вообще ‘пачкаться’ с продакшеном? Обязательно ли надо воплощать это самое конкурентное преимущество в работающий код, устройство итп ?? ДА ВОВСЕ ЭТО И НЕ ОБЯЗАТЕЛЬНО!

    Таким образом мы приходим к эдакой идее, назовем ее — мини-стартапов, чисто инжиниринговых компаний — все то же самое, что могло бы быть в случае нормального технологического стартапа, только без… продукта! 😉 То есть — без его физического воплощения. А зачем? И так найдется тысяча и один способ его физически получить. Это ж не ‘Лунная Соната’ Бетховена — по спецификации любой (почти) сделает.

    Короче — мысль такая — если грамотно к делу подойти, сделав отсев и ‘выцелив’ выгодную нишу, то можно существенно поднять шансы. Ведь венчурные инвесторы тоже не на одну только статистику полагаются…

  69. cosmichorror: это мечта любого юриста и изобретателя — придумать что-то много и разного, а потом доить компании. Для того, чтобы это сработало, требуется бюджет в размере $30000 * число патентов + линию кредита в $1M на судебные разбирательства.

  70. 2 Max:

    Если ‘доить’ — то это чистый троллинг, бюджет на разбирательства действительно необходим итп. Если же создается инжиниринговая компания без физического воплощения продукта — то это почти такой же стартапинг, имхо.

    Что покупает венчурный инвестор вкладываясь в стартап, где есть продукт и нет ИС? Разве что временнУю фору.. ну и готовую комманду (и далеко не факт, что идеальную). Но комманда специалистов — это рыночная сущность — экспириенс покупается.

    Во всем джентльменском наборе хорошего стартапа — идея, комманда, продукт, ИС — наибольшую стоимость имеет ИС, имхо. Поэтому я не вижу особых причин, почему бы венчурным инвесторам не вкладываться в чисто инжиниринговые компании.

  71. Макс! Тебе реально накидали техническую стороны реализации проекта защиты и архивирования данных с удалённой копией для небольшой организации.

    Абстрагируемся «маски шоу» и подумаем, кому интересен такой сервис?

    1. Параноикам любых видов.
    2. Фирмам, предоставляющим работникам ноутбуки для работы на них (в случае потери)
    3. Есть варианты?

  72. Наверное, чаще всего, подобные проблемы решаются начальником безопасности «из бывших», который за время работы оброс кучей знакомств. И он будет заранее знать: что, когда и как. Или оплата услуг «охраны». Так что эта нища занята, причём давно и накрепко. А на простое, хоть и красиво решение, вдумчивый директор не согласится.

  73. Во время споров и обсуждений как то забылась основная мысль поста Макса — помочь компании оправиться от последствий внезапной потери всех данных в следствии СЛУЧАЯ (пожара, наводнения, землетресения итд).

    Дисклаймер.
    Информация может быть не точна. Уточниете детали у своего юриста.
    Препятствовать следствию — это уголовно наказуемое деяние. И поэтому любые попытки уничтожить (исправить) документацию во время и после изятия будут считаться преступлением. Как и отказ в предоставлении пароля.

    Приведу пример: против фирмы, в которой я работал (небольшой) открыли дело о налогах, забрали бухгалтерский комп и бумажный архив документов.

    Разбирательство длилось несколько лет. А работать то надо. А без документов ох как тяжело. Изымают подлиники, на основании которых можно провести следствие. Копии никого не волнуют. Если бу остались копии договоров и счетов, всё было бы по другому.

  74. Павел: продать реализацию этой идеи можно тем, кто понимает весь риск отсутствия бэкапов. Напугать «масками» проще всего 🙂

  75. Да Макс.

    Это самый простой пример применения системы. Да и самый распространённый.

    🙂

  76. Ыыыыы….
    Пили на днях пиво и вели разговор как раз по схожей теме…
    В разговорах дошли до того, что неплохо завести iPhone в сеть и хранить базы 1c и прочие документации в нём 🙂