Comments 66
Впервые слышу, чтобы в России где-то был избыток инвестиционных денег. Откуда они? От госов?
Деньги есть, но если сравнивать с западом, то. Дадут вам очень мало, ваш выйгрышь будет сопоставим с возможностями заработать в обычном ИТ, за это вы ещё отдадите, условно 90% доли и на вас вполне вероятно юридически оформят риски в виде возмещения убытков, в случае провала.
Перефразируя классика "Деньги есть, а вы тут не падайте"
С мнением человека который пишет "выйгрышь" вместо выигрыш, априори можно не и считаться. Вы уж подумайте над этим.
Не настолько радикален по отношению к подобным фанатам буквы Й, но к их мнению сразу же скептическое отношение :)
Осторожно:
Рейнкорнированные негройдные рептилойды-войны преймущественно на стеройдах выйграли у хозяйна дройда-линуксойда мозайку, в отличий от войнов-диблойдов-гуманойдов не на стеройдах, нейзвестный телефон на андройде, сидя на астеройде, покрытым руберойдом, под наблюдением вокалойдов, занимающихся койтусом, пролетающим над Украйной в Тайланд
Странный подход игнорировать смысловую часть обращая внимание на орфографию. В каком вузе такому учат? В МГЛУ? Автору спасибо за проведенный анализ и потраченное время на написание статьи.
Одним из последствий от введенных санкций стало перекрытие основных каналов вывода капитала с рынка РФ за границу для инвестиций в иностранные активы. Резко возрос риск вложений в зарубежные активы из-за возможной их заморозки у конкретных физических или юридических лиц. В результате, ранее считавшиеся более рискованными инвестиции в активы на территории России стали менее рискованными по сравнению с зарубежными. И средства начали направляться именно на них.
Рынок ИТ оценивался как быстрорастущий с высоким потенциалом для развития, поэтому в него начали поступать не только государственные, но и частные инвестиции.
Наплыв капитала и иллюзия в виде пустого рынка. В то же время многие компании с капиталом, который стало сложно вывести за рубеж, обратили внимание на пустующую российскую IT-сферу.
Полностью соглашусь с этим пунктом. В этом я вижу две ключевые составляющие.
Первая в том что в основном хотят скопировать бизнес модель которая существует на западе - т.е. какой то сервис или ПО. Но не учитывается то в каких условиях и зачем этот сервис появился на западе - что я вляется ключевым фактором. Дело в том что экономика передовых стран, она крайне конкурентная, цена на человеческий труд очень высокая, людей не хватает. Это заставляет бизнес соглашаться на внедрение технологий которые либо замещают то что мог бы делать человек по меньшей цене, либо дают результат лучший чем то что делает человек. Тут же ситуация полностью обратная - слабоконкурентая экономика на большинство задач можно найти человека за очень маленькую ЗП, качество не требуется - есть массовый запрос на самую низкую цену. Лучшие умы все время уезжают потому что их труд тоже не нужен, а нужен тот кто будет выполнят примитивную работу по самой низкой цене, желательно что бы человек за минимальную цену хоть как то но решал большой спектр вопросов, т.е. фактически замещал сразу большое кол-во специалистов.
Вторая проблема в том что не учитывают что внедрение ИТ требует огромных затрат на продажи. В большинстве случае на Б2Б нужно не покупать рекламу, а продовать выходя на ЛПРов и других заинтересованных людей, циклы сделки даже с мелкими компанями (которые хотят лучшее качество почти бесплатно), будет измеряться в месяцах или полугодиях, чем больше компания тем сложнее продать и основные проблемы с которыми сталкиваются разработчики таких продуктов уже не в том что бы сделать хороший продукт а в том что бы как то сумень договориться и продать. На эту проблему ещё накладывается факт тотальной экономии на всем, в том числе на руководителях - что приводит к тому что ЛПРами будут люди которые не пойму что вы им предлагаете и зачем. Некоторые из них могут даже находится в технологическом состоянии которое ограничивается исспользованием кнопочных телефонов что бы звонить и изредка для СМС. Это в общем есть в немалом кол-ве и на западе, что обясняет феномен почему многие ИТ продукты плохого качества и их возглавляют не технари - вы можете сделать продукт с хорошими технологическими качествами но продать вы его не можете, а они могут продать даже не очень хорошо работающее дерьмо сделанное студентами которое на 90% состоит из никому не нужного функционала. Все потому что они знают кому и как продавать а вы нет.
Плиз, сделайте чуть дальший вывод - продавать должны продажники, с отличным опытом именно в продажах. А не так, как требуют в большинстве ит-вакансий "опыт 1-3 года, обязательно в ит-сфере". Ну камон, возьмите продажника с опытом 15 лет из неайтишной среды, дайте ему месяц на изучение продукта - и будет вам счастье ))
Не факт, что щастье будет - скорее, будут другие проблемы. Другое дело, что хороший продажник, с грамотно выстроенной процедурой онбординга и некотором запасом времени (всё-таки больше месяца, но годы не обязательно), чтобы прочувствовать специфику данного типа рынка - да, разберётся.
Технологии "как говорить" во всех продажах одинаковые, и мало отличаются от тех, чем пользуются мошенники ("не обманешь - не продашь", ага).
Вопрос в том, "что говорить" и "кому говорить", и даже сочетания этих факторов (технарям и менеджменту надо говорить по-разному) - это достаточно специфично.
Ну или "для тех, кто еще помнит" - при схожей форме, продажи имеют отличие в содержании.
По пунктаммпройдусь. "Как говорить" вообще не одинаково. Подходы в продажах есть прям разные. "Что и кому говорить" технарям и менеджменту - не специфично. Хороший спец в продажах обладает навыками и с технической и с управленческой позиции. Ну и самое главное - про форму и содержание. Все продажи имеют целью заключение некой сделки. Поэтому тут как раз разницы никакой. Говорю так уверенно, ибо имею 25 лет опыта собственно в продажах в разных сферах. Если есть возражения - всегда рад к дискуссии.
Говорю так уверенно, ибо имею 25 лет опыта собственно в продажах в разных сферах. Если есть возражения - всегда рад к дискуссии.
Заметно - еще о предмете договора не договорились, но уже начали работать с возражениями ;)
На счёт есть разница, как говорить... Подходы-то разные, вот только не так сильно зависят от того, что конкретно продавать. Одно и то же можно разной аудитории разными методами толкать.
На счёт нет разницы что говорить... Разницы нет, если технарей заказчика вообще отстранить от процесса принятия решения, например.
В итоге получится конечно забавное - например, продукт купили, год помучались, признали внедрение неудачным, списали убытки, отправили "на полку" (потому что возможность продукта не соответствуют той цели, для которой его хотели использовать). Мои аплодисменты, разумеется, но продлять поддержку заказчик явно не будет. Или не будет продлять подписку, если продали не постоянную лицензию - это уже неприятнее.
На счёт нет специфики... Ну оно конечно, продавать продукт, у которого половина функций заявлена на будущее (без гарантий, что сделают в нужные сроки и сделают вообще), а то что есть - без гарантий, что не сломается в следующем обновлении (потому что rolling release нынче стильно-модно)...
Причём общаться вам придётся не только с "лопухами", которые первый раз в жизни что-то неширпотребное покупают (типа оси и офиса к ней), но и с тем, что подобный класс продуктов лучше вас знают. Да даже тот продукт, что вы им продать пытаетесь - лучше вас знают.
Ну, работы с возражениями еще и не было, по факту ;) да и обрабатывать возражения надо уже тогда, когда "до" прощёлкано )) по факту технарей - ну смотря что за технари, идут ли на контакт или хотят изначально сделку запороть.. хороший (именно хороший) технарь всегда спокойно переходит на терминологию "ниже. Если не переходит - или так себе технарь или, опять же, пытается слить сделку. По недоработанному продукту и возможному неисполнению обещаний по разработке функций - а что это за контракт, с неисполнением обязательств? По поводу "купили и положили на полку" - если продажник реально хороший, он играет "вдолгую". Если задача впорить нафиг ненужную шляпу... ну это подход родом из конца 90х 🤷🏼♂️ Возвращаемся к началу - хороший продажник спокойно осваивает новый продукт, играет вдолгую и не нашучивает клиента. Для примера могу вспомнить, как внедрялась програмы учета в продажи в 90х, когда понятия "комп? На...он нужен, у нас целый отдел целыми днями пишет". И таки поняли, перешли итд
по факту технарей - ну смотря что за технари, идут ли на контакт или хотят изначально сделку запороть..
это да, это они могут.
Но часто всё проще - в отличии от руководителей, они владеют конкретикой, что и зачем нужно и какими свойствами должно обладать. У руководства в голове столько деталей просто не помещается, им надо коротко и просто (не всегда потому, что они такие недалёкие - чаще потому, что времени на углубление в дебри нет). Как говорится, лучший вид линии тренда - прямая линия, ибо лучше всего воспринимается начальством :)
хороший (именно хороший) технарь всегда спокойно переходит на терминологию "ниже
Ему надо добиться представления о свойствах продукта. А они описываются в тех терминах и показателях, которые приняты в предметной области. В частности потому ему надо отделить маркетинговый шум, ориентированный на боссов и вообще на привлечение внимания к продукту, от реальности.
Так что нет, "выше-ниже" тут не причем. Или вы отвечаете на их вопросы, или не отвечаете.
По недоработанному продукту и возможному неисполнению обещаний по разработке функций - а что это за контракт, с неисполнением обязательств?
Ээээ.... Вы таки не поверите. Но я достаточно толсто намекал в своём описании не на заказную разработку, а на "коробочный" продукт (в кавычках, потому что классических коробок уже почти нет).
С заказной разработкой в этом плане всё гораздо проще... Ну как проще... Если функциональные приложения к договору составлены не на отвяжись в три-пять абзацев по принципу "каждая сторона пытается поймать рыбку в мутной воде, а потому 90% представления о том, что реально должно быть сделано, оговорено в устной форме и размазано по перепискам". Хотя желание именно там рыбку ловить неистребимо, конечно.
По поводу "купили и положили на полку" - если продажник реально хороший, он играет "вдолгую". Если задача впорить нафиг ненужную шляпу... ну это подход родом из конца 90х 🤷🏼♂️
Ну как бы это помягче сказать... Собрались боссы и продажник, посмотрели на "маркетинговое" описание продукта - вроде как "в больших квадратиках" (tm) "именно оно", и стоит в два раза дешевле конкурента. Проблемы начались на внедрении, когда начали разбираться в деталях и фидбек от конечных исполнителей показал, что он делает не всё, что хотели, и не совсем так, как хотелось. Но полбеды на счёт хотелось - тут боссы могут и власть применить. Недостающие конкретные возможности оказались ключевыми для текущих бизнес-процессов, и сходу даже воркэраунды без затрат приличных денег не реализовать.
Возвращаемся к началу - хороший продажник спокойно осваивает новый продукт, играет вдолгую и не нашучивает клиента.
Осваивает, если он хороший продажник, а не просто у него красивая распальцовка :) Не только продукт, но и сферу, где он применяется. Но не за пять минут, а то и не за пару месяцев, если они сильно отличаются от знакомой сферы деятельности.
Всё вроде и по фактам, но... Нумеро уно - решение окончательное всегда принимает басс. Технарь он или нет - вопрос открытый. Чаще всего нет. Далее - если на стадии внедрения не подошли функции, то я фиг знает, как проводилась сделка. Следующее - что б продукт вот так загадочно "провалился" я даже не знаю что за уровень продукта.. разработка для космической сферы? Шутка, но местами. И по поводу тзучения продукта не за пять минут... Сколько? Я из сферы в сферу тратил до 2 месяцев. На третий вполне бодренько отвечал на большую часть каверзных вопросов. Ну, правда с програмными решениями последний раз дело имел лет так 20 назад, потом всё по производственным процессамине именно производствах (заводы, фабрики, оборудка, материалы). Коллеги из продажной тусовки тоже из сферы в сферы перепрыгивали. И тоже не годы тратили, а несколько месяцев 🤷🏼♂️ но, опять же, в сфере космических технологий знакомств не имею 🤪 (хотя, судя по учебникам, там тоже не годы переподготовки 😁)
Я говорил про "всё-таки больше месяца, но годы не обязательно" )
Опять же, с онбордингом - то будет гораздо проще. А если вам просто дать продукт и сказать "продавай"... Ну, понаоткрываете велосипедов, конечно, с помощью гугла и такой-то матери, рано или поздно разберётесь. Заодно найдёте правильное применение пресейлу ) А вот понять, насколько можно доверять планам разработки конкретного вендора и насколько у него от релиза к релизу устраняются старые баги и фичи, добавляются новые баги и фичи - без онбординга за квартал можете и не понять, надо хотя бы несколько релизных циклов пережить.
И есть смутное подозрение, что продажник с опытом работы в сфере N лет требуется не столько ради именно скиллов в продажах, сколько из-за потенциальных связей и/или знания кухни продажи других продуктов (ну и понимания того, что он не ждёт чудесных чудес от нужного нам вендора при продаже его поделия) :)
Без онбординга я еще не видел проектов. В любом раскладе - или тех документация в зубы и проверка после, или тех.документация + "старший товарищ" (супервайзер, нач.направления итд) и опять же провеока. А остальное - кто по скриптам 3 слова, это не продажники, это звонилки/топталки )) Насчет связей и иже с ним - да, таких переманивают. Но узкие ниши это узкие ниши - на всех не хватит это раз. И однотипный продукт прям офигеть как по разному нужно представлять, в зависимости от региона, например. Поэтому прям делать ставку только на "это наш чел, он бронзовые ручки продавал"...ну такое себе.
Основная проблема в том, что Регуляторами (ФСТЭК, ФСБ...) создается огромная куча документов, которым должны соответствовать средств защиты. А вот эти документы создаются с участием "приближенных" компаний (успешных проектов).
Так почти во всех секторах в пост совке. Ну если быть чесным то и на западе этого можно.
Судя по тому что пишут в сети в ЕС открыть бизнес это полный писец - вы просто можете не поятнуть начальные трудо затраты по выполнение всяких норм и требований. Все по тому что старые бизнесы лобируют что бы бюрократы вводили разные нормы которые максимально затрудняют появлению новых конкурентов.
Помниться мне ситуация как Цукерберг выступал на какой то большой конференции в ЕС убеждая местных бюрократов и общественность - что нужно обязательно вводить требование по кол-ву модераторов контента для социальных платформ. Казалось бы зачем ему такой нужно, это же затраты самого фейсбука, но в реальности для них самое опасное это полявление новых соц сетей которые смогут начать переманивать аудиторию фейсбука, что со временем приведет к потери критической массы пользователей и количество доходов станет меньше чем расходы - что приведет к тому что ФБ прекратит свое существование.
По факту экономика США последние 20 лет развивается быстрее всех и одим из ключевых фактором является отсутсвие раздутой бюрокрании и регуляци. Хотя это не во всех шататх так. Самое смешное что в калифорнии не смотря на то что там разрабатывают большую часть хайтека сама ИТ инфраструктура штат существенно отсталая, опять же это из не проверенных сообщений в сети, а причина все так же огромный класс бюрократов и всяких запретов которые они придумывают с гигантской скоростью.
ЕС большой и законы в странах ЕС разные. В Германии открыть бизнес не сложнее чем в России. В Германии придется работать вбелую, конечно, соблюдать всякие там трудовые законодательства и прочие глупые условности, что несколько шокирует понаехавших российских кабанчиков, и они начинают строчить в сети про проклятых бюрократов и лобби старых компаний.
похоже, что Вы не открывали бизнес в Германии.
В Германии придется работать вбелую
Вовсе нет. Просто в Германии сложнее работать в серую (по крайней мере, до 2021 года, дальше отошел от дел). Хотя, глядя на коллег по цеху, все у них хорошо
Это не просто сложнее, это в большинстве случаев невыгодно. Бизнесы, работающие на мигрантах, могут себе такое позволить иногда, но устраивать немцев в серую - себе дороже.
И, да, наличие юрлица != бизнес. Фрилансер на EU-шке это не бизнес, например. Бизнес начинается тогда, когда появляется наемный персонал.
Под открыть бизнес, вы скорее всего понимаете - оформить юрлицо, а вот подводную часть айсберга со всевозможными требованиями вы не учитываете, и если в ит это в основном соблюдение норм труда, то в других сферах будет огромное кол-во документов которые нужно ежемесячно готовить, а еще в зависимости от сферы понадобиться нанять N людей на разные должности и не потому что они нужны для создания услуги/продукта, потому что так требуется по законами.
А чего из этого не будет при ведении бизнеса в России? Вот, ознакомьтесь, сколько всего надо сдавать: https://www.regberry.ru/nalogooblozhenie/otchyotnost-ooo#Otchetnost_za_zastrakhovannykh_lits
И это только часть отчетности, касающаяся налогов и сборов.
Если у вас есть хоть один сотрудник, то вы так же будете отчитываться каждый месяц. А уж в различных регулирующих и контролирующих бизнес органах в России уж точно недостатка нет. Попробуйте, например, ресторан или аптеку в России открыть, я уж не говорю про лицензируемые виды деятельности.
Кстати,по отдельным видам деятельности компании в России обязаны нанимать не только бухгалтера, но порой и охрану, и инженера ПТБ, и кучу других людей, не участвующих в создании продукта.
А, если вы будете рассказывать про ИП на упрощенке без сотрудников - так в Германии тоже есть аналогичнвя ИП форма, и там тоже отчетность минимальная. Но это не бизнес, а самозанятость по сути.
Вы почитайте что я выше писал, а именно - то что в ЕС так же как в РФ огромное кол-во регуляций которые мешают ведению бизнеса, но в США ситуация намного лучше - по этому последние 20 лет рынок США растет лучше всего из развитых стран. Вы во первых не внимательно прочитали то что я писал, во вторых придумли то что я не утверждал, и начали опровергать этот придуманный вами же тезис. )
Судя по тому, что именно народ рассказывает - бюрократия жёсткая, но понятная. Если нужно проходить Все инстанции, то проходят реально все. Без ускорения, обходов и вотэтовотвсё. Т.е. заложено по мануалу поллгода возни - полгода и есть. Ускорить не выйдет
Если верить сообщениям в сети, мы который год замерзаем, моемся щенятами, доедаем последнюю белку. А ещë у нас нет NFC, доставок еды, медстраховки, и все мы ездим лечить зубы в россию.
Сразу ФСТЭК и ФСБ виновато. Насколько я слышал ФСТЭК вообще ослабляет хватку, позволяя тестироваться для сертификации самим разработчиками софта.
По мне так для маленького рынка внутри страны- слишком много игроков, так же, как и отечественной ОС, что распыляет силы на разработку однотипного софта в стране, а так же не позволяет нарастить потенциальных клиентов для получения прибыли. А глядя на цены, которые выставляют на свои продукты компании, тебе приходится в первою очередь смотреть на них, а не на более качественные.
Насколько я слышал ФСТЭК вообще ослабляет хватку, позволяя тестироваться для сертификации самим разработчиками софта.
Есть поговорка про ветер и слова :-/
Если бегло посмотреть сайт ФСТЭК (раздел с новыми документами), то там действительно есть документ, который позволяет проводить тестирование для сертификации не испытательным лабораториям, а самим разработчикам ПО. НО! Для этого им придется сертифицировать свой конвейер РБПО (это так в документа импортозаместили SDLC - разработка безопасного программного обеспечения). Сертификацию проводит единственная организация - ИСП РАН (совпадение? не думаю!).
И кто же у нас первыми получил подтверждение о сертификации? Лаборатория Касперского и СберТех.
Там для прохождения сертификации требований побольше, чем для прохождения PCI DSS. Крупняки осилят (или договорятся в кулуарах), средняки будут продолжать платить испытательным лабораториям. Остальные побоку.
Чтобы аргументированно утверждать подобное- надо быть погруженным в эту тему. Но как погружённый как раз, смею утверждать, что погружённый такую ересь не напишет. Отсюда простой вывод- Вы понятия не имеете о том, о чём взялись рассуждать ☺️
Быть погруженным - это выступать с бесполезными докладами на ТБ Форуме из года в год одно и тоже, что идёте к светлому будущему (а потом попивать виски в кулуарах еще более приближенной аудиторией)? :)
Нет. Мне как раз таки пришлось погрузиться во всё это, не по своей воле. К сожалению те, кто принимает решение в нашей стране, делегирует принятие важных решений лицам, которые теоретики.
Я пытался задавать конкретные вопросы по решению конкретных задач (в том числе и исполнению документов). В ответ меня сначала отправили в испытательную лабораторию, где запросили заоблачные суммы. Я не отстал. В конце концов в мою сторону отгрузили огромное количество материала, который представлял из себя выжимки из научных статей и диссертаций уважаемых лиц.
Бизнесу нужен результат, а не бесконечные требования. Сделайте бесплатными svace и sydr. Почему они должны быть бесплатными и кто заплатит за потраченные усилия? Идите к Государству за субсидиями (пока только спекуляции, что делаете хорошо для всех). Сделайте общедоступной информацию из https://gitlab.community.ispras.ru/ Если Вы делаете вклад в OpenSouce, то почему скрываете информацию? Выглядит, как фейк, копипаст CVE на русский язык чтобы успеть поместить в БДУ ФСТЭК.
Такая ситуация: cерверное помещение закрывается на ключ, серверная стойка закрыта на ключ, вк..ли электронные замки на каждый сервер.
И теперь, открываешь серверную, открываешь стойку, набираешь пароль, закрываешь стойку, закрываешь серверную. Будет кто-то обновлять такой сервер или лишний раз настраивать?
Цель этого действа продать отечественную разработку, подорожавшую арифметически в 5-10 раз. А говорите денег у них нет :)
А зачем, чтобы настраивать/обновлять сервер, Вам нужно открывать стойку?
Например обновляем ядро linux, перегружаемся, вручную вводим пароль в серверной. Или ничего не обновляем и надеемся на бумажки.
Обновления это дело хорошее. А стойку зачем открывать?
Ключ к СДЗ сервера приложить чтобы. Физически.
Ко всем 2764 серверам? Вы точно админ?
А как вы предлагаете iButton по-другому прикладывать?
Хорошо если об этом подумали, а не сначала выполнили требование, а потом начали думать, что теперь делать с 2764 серверами...
Подумать заранее всегда полезно.
Проблема не в замке на стойке. Он решает важную проблему несанкционированного доступа к железу и снимает всякие риски с выниманием дисков нарушителем из сервера БД. Проблема в том что не подумали и спроектировали систему плохо. За такое надо платить и все переделывать нормально. Ну и заодно перестать экономить на тех людях которые умеют думать и делать нормально.
Подумать заранее всегда полезно.
Особенно если до этого не сталкивался с этой фигнёй и пытается выбрать более дешевое решение, чтобы "заткнуть" это требование.
Проблема не в замке на стойке
Замок не на стойке, замок на самом сервере.
Он решает важную проблему несанкционированного доступа к железу и снимает всякие риски с выниманием дисков нарушителем из сервера БД
СЗД - это средство доверенной загрузки. Она решает проблему запуска компьютера без участия неавторизованного персонала и/или с несанкционированного носителя при условии невскрытия корпуса. Для чего, собственно, и нужно к серверу подойти с ключом при старте.
Вынуть диск оно никак не помешает. Да и прочитать его данные тоже в большинстве случаев не помешает.
Ну и заодно перестать экономить на тех людях которые умеют думать и делать нормально.
А причина описана еще во времена Карла Маркса ;(
Скрытый текст
На рынке есть люди которые умеют делать нормальные датацентры которые проходят все сертификации. Это вообще не проблема. И есть те кто представляет как это должно быть, но делать не умеют.
Если у вас нет ни первых ни вторых, то просто купите облако. Дешевле выйдет.
На чем конкретно замок стоит не принципиально. Хоть на полку с дисками ставить можно. Это тонкости.
Включение сервера через ipmi и загрузка до рабочего ssh соответствует всем требованиям и ничего сверх не требуется. Я вижу системы которые так сделаны и сертифицированы на все.
Просто сделайте датацентр где лазить в стойку надо только если сервер физически сломался. И все будет хорошо.
На рынке есть люди которые умеют делать нормальные датацентры которые проходят все сертификации.
Умеют. Но берут за это деньги. Причём достаточно приличные. Найдите дурака, который захочет на этот тратиться, если можно не тратиться и поручить это своему персоналу за зарплату?
Особенно помятуя, что для не-ИТ бизнеса "энто ваше ИТ" - это расходная, а не доходная, статья расходов. А бизнес на ней экономил, экономит и будет экономить.
Если у вас нет ни первых ни вторых, то просто купите облако. Дешевле выйдет.
Не дешевле. Особенно если количество девяток после запятой не очень большое, и/или уже есть персонал, который в силу масштаба организации просто так не сократишь - кто-то должен "бегать менять картриджи в принтерах" достаточно быстро, а не когда там аутсорсеры подъехать смогут, и так получилось, что и железо тоже уже есть.
Можно сделать колокейшен в датацентре, или даже шкаф арендовать, конечно... Ну и да, там понадобится как-то обеспечивать защиту этого всего.
Но отечественный ИБ-подход иногда даже в собственной серверной заставляет ставить СДЗ.
Включение сервера через ipmi и загрузка до рабочего ssh соответствует всем требованиям и ничего сверх не требуется.
До ssh еще надо прогрузиться. Но даже IPMI с KVM не помогут, если при загрузке биоса СДЗ пишет "ключ аппаратный принеси, дорогой".
Я вижу системы которые так сделаны и сертифицированы на все.
Сертифицированы или аттестованы? ;)
Насколько помню, ЦОД в принципе нельзя "сертифицировать" под то же законодательство о персданных. Можно аттестовать. Сертифицировать можно под какой-нибудь Tier.
Ну и вот да, в этом случае проблемы обеспечения работы железок уже будут на стороне ЦОДа... Правда, это будет стоит дороже также же "обычной" услуги в том же самом ЦОДе, потому что накладные расходы на "бумажную ИБ" перекладываются в итоге на заказчика. Которая может оказаться дороже размещения всего у себя, в зависимости от ситуации.
Ваша проблема не в том что у вас ключи. А в том что у вас нет людей которые могут сделать нормально. И особенно в том что ваше руководство считает что ему выгоднее взять побольше дешевых людей которые будут работать ногами, а не головой. Работать в таком месте или нет решать вам, но я бы не стал.
Облака просто все сделают за вас. Вы просто показываете их сертификат и к железу претензий больше нет. Вы как будто последние лет 10 пропустили.
И даже добавлю к предыдущему сообщению:
во-первых, даже если у СДЗ USB-ключ, не факт, что он пробросится через impi/kvm (всё-таки тип устройства отличен от storage, ЕМНИП).
во-вторых, не факт, что даже если пробросится, его не проигнорирует плата СДЗ (настроенная в соответствии с требованиями производителя).
в-третьих, даже если это всё заработает - это всё с высокой вероятностью будет запрещено оргмерами, потому что не просто так СДЗ пришлось ставить, что просто захотелось, а потому что модель угроз такая.
И коллеги "из практики ИБ" говорят, что для СДЗ удалённое подключение ключей даже не рассматривается.
На чем конкретно замок стоит не принципиально.
Как раз принципиально. Замок за шкафу и/или на помещении не мешает компьютеру загружаться самостоятельно. Впихнутое в комп СЗД - не даёт загрузиться без ключа.
А то, что у кого-то где-то когда-то было сделано так, что сервер грузится без всего этого - то с очень высокой вероятностью это означает не то, что им удалённо ключ дают, а что контора смогла "отмазаться" от условий, при которых требуется СДЗ. Не всем и не во всех обстоятельствах удаётся.
Вы говорите с уверенность что какие-то ключи необходимы.
Но это не так. Облака без проблем дают железки без всего этого. Железки которыми можно нормально управлять. И у них есть бумажки на все. Могу предположить что бумажки полностью легальные. Вот и вот. Про банки я и не говорю, там уже давно обычная инфраструктура.
Вы говорите с уверенность что какие-то ключи необходимы.
Я говорю о случае, если СДЗ оказался необходим.
Но это не так. Облака без проблем дают железки без всего этого. Железки которыми можно нормально управлять. И у них есть бумажки на все. Могу предположить что бумажки полностью легальные. Вот и вот. Про банки я и не говорю, там уже давно обычная инфраструктура.
Только указанные Яндекс и ВК вроде как железки и не дают, PaaS туда не попал. Только SaaS/IaaS. Причём Яндекс отмазался от СДЗ аппаратного уровня, в вот у ВК он заявлен )
Железки даёт Selectel (но не только железки). В т.ч. не только для ИСПДн, как Яндекс с ВК, но и для ГИС. И СДЗ как опция для них есть.
Так что нет, проблема лечится не облаком (в т.ч. потому, что её надо лечить еще и в облаке на аппаратном уровне), а немного другим способом, но тем, кому не повезло и у него комплекс аттестован с СДЗ, требующим совать в сервер аппаратный ключ при загрузке - тому не повезло.
p.s. хотя "не повезло" тут относительно, т.к. другой вариант, по отзывам специалистов, на конкретном железе мог и не пойти, предварительно "окирпичив" мат. плату.
Джамперы перекинуть. Это всë-таки суверенные отечественные сервера.
Может он имеет в виду обновлять физически? Старое железо обменять на новое. Но, понятно, что просто некомпетентный ответ. Очень много некомпетентных людей отписалось в этой теме.
Так там к серверу присовокуплён какой-нибудь модуль доверенной загрузки (типа Соболя). Чтобы перезагрузиться нужно "таблетку" приложить, а это уже в стойку надо лезть.
на относительно небольшом рынке в 135 миллионов человек
Откуда взялась эта цифра? Статья помечена как мнение, но сделать один запрос в поиске можно было
По прочтению всей статьи, главный совет автору - вычитывайте то, что заставляете писать нейронку вместо себя.
появилось множество продуктов, но они не связаны между собой ни идеями, ни подходами, ни технологиями
Почему мой продукт, по моим технологиям, с моим подходом и на основе моих идей должен быть с чем-то связан? Он связан с ИБ.
ожидать лишь базовый функционал, да и того часто не видим.
В этом абзаце говорится о появлении множества программ на рынке ИБ. Как всё их многообразие можно так обобщить и сетовать на базовый функционал, когда типы продуктов совершенно разные?
Да и где бы мне хоть одним глазком взглянуть на эти сонмы компаний, которые «полностью новые разработки»
При этом рынок заполнили однотипные продукты невысокого качества.
Да дайте же на них уже посмотреть!
Про микросхемы раздел вообще шедеврален. Представляете, для подавляющего большинства стран этой планеты комплектующие импортные. Не всем же рождаться китайцами или американцами.
о процессе их разработки
кого "их"?
В погоне за длинным рублем
Так длинный рубль или быстрая монетизация, абзацем выше?
Многие компании полагали, что достаточно скопировать существующие образцы, создать интерфейс и использовать open-source-компоненты.
Вот один в один рассказ про 100500-й сайт с воронкой продаж или генерации лидов.
«авианосцы» от КБ
Красное и Белое, я полагаю?
отсутствует как моновендорная, так и внешняя экосистема
Шта?!
традиционно отличающиеся высоким качеством.
Хорошо, что хоть к концу статьи отечественные ИБ продукты превратились из "лишь базовый функционал" и "которые работают нестабильно и непредсказуемо." в высококачественные.
Ну правильно, ведь упомянутые компании - мирового уровня, которые, вопреки написанному, могут обойтись без продажи своих долей всяким МТС.
Как пример — МТС
Во всей статье это сочетание из 3 букв появляется в тексте раз 3 точно. Эта статья - их реклама или они оплатили product placement?
Так длинный рубль или быстрая монетизация, абзацем выше?
Мда... Рекомендую вам погуглить происхождение и смысл устойчивого выражения "погоня за длинным рублем". Подсказка: в этом выражении слово "длинный" не имеет никакого отношения к срокам вложения.
Там в тексте в одном месте "не" пропущена, что естественно, меняет смысл на противоположный. Такую нелепицу не только сложно читать, но и вредно для мозга. А вообще, хабр стал не тем уже давно. Как только сняли регистрацию по инвайтам.
Я бы ещё по мимо Касперского и позитивов отметил Инфотекс например. Есть косяки, но в целом неплохие продукты выпускают на мой взгляд. Код безопасности вроде тоже ничего, хотя плотно с ними не работал, фактор-тс как по мне тоже неплохие продукты выпускают, хотя конечно и не с таким обширным функционалом как у того же инфотекса.
«Половина компаний закроется, вторую половину купят» — итоги импортозамещения в ИБ