17 Января, 2013

Злорадствую

InfoWatch
Вот! А я вам говорил, что аутсорсинг и удалённая работа зверски недооцениваются. Но тупые эффективные менеджерыв упор не хотят считать деньги и риски. Они упираются рогом (или что там у них на лбу) в "старое доброе" личное присутствие в офисе. Офисные площади дорожают год от года, но такого намёка они не понимают. Денежки-то не свои, не жалко.

И вот сегодня в топе мировых новостей рассказ о стихийном "прокси-сервере". Офисный программист, получив должность, зарплату и рабочее место, сливал все свои задания китайским аутсорсерам за 1/5 часть оклада. Ни к качеству, ни к количеству работы претензий ни разу не было.

А поймали его безопасники заказчика, анализируя аномалии трафика. Они заметили, что защищённое соединение с сервером, где велась отладка продукта, устанавливается не с американского, а с китайского IP. С чего бы это? Потянули за ниточку и выявили весь аутсорсинговый проект менеджера-самородка.

Всё за него китайские аутсорсеры делали, даже отлаживали продукт на рабочей системе. Только одного дела наш герой не доверял китайцам – смотреть котиков в соцсетях. А если бы у них стояла DLP-система...

Ладно, нарушение режима ИБ пресечено, но что дальше? Сумеют ли управленцы сделать надлежащий вывод?

Помните классическую историю, описанную в книге Бориса Березовского? Автомобили ВАЗ поставляли на экспорт по цене ниже внутренней (говорят, даже ниже себестоимости). Не увидеть такую возможность качать деньги было трудно. На бумажном реэкспорте машин Березовский и сколотил себе первые миллионы.

Убыточность очного труда против удалённого и аутсорсингового сейчас очевидна не только для экономических гениев.

или введите имя

CAPTCHA
Пессимист
17 Января, 2013
Всё сложнее
Кто вам сказал что китайцам были нужны деньги? Они получили полный доступ к разработкам фирмы. Возможно в этом и была цель. Возможно парень лох и платил деньги в ситуации когда китайцы готовы были платить ему? Если бы работал удалённо то обнаружить ничего было бы невозможно. Аренда офиса стоит денег. Но потери в случае если бы утечка не была обнаружена могли бы быть больше. Дело не только в краже секретов. Например возможна ситуация когда китайская фирма подаёт в суд на американскую и обвиняет ту в краже китайского кода. И суд это подтверждает, поскольку китайцы под более-менее правдоподобным предлогом предоставили доступ к своему коду независимой третьей сторон раньше чем этот код появился у американцев.
0 |
Пессимист
17 Января, 2013
Простые и дешевые средства, VPN, токен с неизвлекаемым ключом, анализ логов. И это работает. Даже без дорогостоящей DLP системы и ещё более дорогостоящих людей её обслуживающих Анализировали бы логи более тщательно и эта история не случилась бы.
0 |
rk
18 Января, 2013
К тому-же, зачем это всё, если он сам "..Б. выслал по FedEx в Китай свой ключ двухфакторной аутентификации, чтобы подрядчик мог заходить в его аккаунт.."
0 |
Пессимист
18 Января, 2013
Есть разница
Есть разница. Он в любом случае мог отдать часть работы на субподряд в Китай. Вне зависимости от того, работал бы он дома или в офисе он мог это сделать и никто ничего не обнаружил бы. В любой компании. Но только часть. Он отдал всё на субподряд. Для этого пришлось дать китайцам полный доступ к своему рабочему месту. И полный, никак не контролируемый доступ ко всей информации к которой он сам имел доступ. Это было обнаружено. Обнаружено простыми и дешевыми средствами. Могло быть обнаружено и раньше. Теми же простыми и дешевыми средствами. Только их использовать нужно. Логи дорогостоящей DLP системы можно с таким же успехом не просматривать и удалять через шесть месяцев.
0 |
rk
18 Января, 2013
Это и так очевидно ) К тому же в статье оригинала нет указания, отдал он часть или всю работу. Так что рассуждать о этом мы не можем, а только предполагать.
0 |
Пессимист
18 Января, 2013
Он дал полный доступ к своему рабочему месту. Проблема с передачей всей работы на субподряд не в том что работа сделана в Китае. Проблема в неконтролируемом доступе к информации из Китая. Черновую работу можно отдать китайцам и не давая полный доступ.
0 |
NeoLinME
18 Января, 2013
Ответ умному и эффективному блогеру
Уважаемый Н. Н., Вам бы дальновидности побольше, да политкорректностью обзавестись! А то читаю периодически Ваши записи, а конкретных и эффективных мер с грамотно расцененными рекомендациями не было и не вижу!!! С уважением, "эффективный" и "тупой" менеджер, владелец аутсорсинговой компании, выходец из системных администраторов и с образованием специалиста по защите информации.
0 |
Дум - Дум
18 Января, 2013
Ну да, ну да...
Работай этот "Офисный программист" у нас в регионе, кукиш бы он нанял хотя бы одного китайца-аутсортера. Даже за 4/5 "часть оклада"...
0 |
mic
18 Января, 2013
Прежде всего проблема не в наличие-отсуствие удаленой работы, а в работе кадровика, не подобрал сотрудника с нужной мотивацией. А китайцев подключить и удалено можно не хуже.
0 |
18 Января, 2013
Человек возможно станет публичным* первопроходцем в истории, этот метод могут назвать его фамилией. Промах был только в том что следы вели в Китай, ничего бы не узнали в случае использования дополнительного звена VPN у него дома.
0 |
rk
18 Января, 2013
Все правильно. Догадайся он подключить китайцев к своему домашнему компу и как следует пробросить тоннель до работы - о нем не писали-бы газеты.
0 |
Пессимист
18 Января, 2013
Могли и написать. VPN соединение из дома когда сотрудник на работе могли обнаружить.
0 |
19 Января, 2013
В этой ситуации можно придумать выход. 24 часа синхронизация с рабочим местом, что бы дома сразу приступать к работе, там сервер у него может быть тоже, свой backup рабочей среды. 10 Тыс долларов позволяют. В любом случае он попался, с его опытом можно сказать что он и не пытался скрыть свои действия. Может он просто устал от всего этого.
0 |
Вася
20 Января, 2013
Да, пиндосы даже говнокодить не умеют. ПРиходится бедолагам китаезов нанимать. Что и требовалось доказать.
0 |