пятница, 19 марта 2010 г.

Кросс пост. 9,5 правил ведения безопасного IT-бизнеса в России

1. Держите сервера за границейs3img_74917149_79_1

Почему так? Далеко за примерами ходить не надо, а случай не единичный.

Представьте, что у вас, например, сервис электронных магазинов. Или хостинг. И тут под предлогом «поиска улик» у вас выключают и опечатывают все сервера. Вы теряете клиентов и попадаете на убытки. В лучшем случае вы просто вне бизнеса, в худшем — еще и с долгами.

Да даже если ваш скромный интернет-магазин никому не нужен, где гарантия, что когда будут трахать вашего хостера, не вырубят ваш сервер, даже бекапы не дав сделать. Да, и делайте бекапы регулярно. Любое серьезное изменение — бекап на локальную машину или сервер в датацентре, не связанном с тем, где хостится ваш сайт. А то обычно оказывается, что и бекапы все были на той же машине.

2. Регистрируйте домены за границей

Если ваш бизнес понравится, или если вы не понравитесь — в России не нужно даже решения суда, чтобы ваш домен заблокировали. Пример — недавняя позорная история с torrents.ru

Так что для любого серьезного проекта, если у вас, конечно, нет крыши, регистрируйте домены вне зоны RU и обязательно у известного регистратора, для которого письма из отечественных «органов» не будут иметь силы превыше закона. Кроме того, актуальность домена в международной зоне вы поймете, дочитав до конца эту заметку.

Доменное имя — это актив. Это ваши инвестиции. Это рубли, доллары и евро, вложенные в рекламу, оптимизацию. Это время, силы, нервы и идеи, вложенные в пиар и маркетинг, в работу с сообществами и т.п. Если в России закон не может защитить ваши вложения — пусть их защищает закон другого государства.

Если уж ваш домен мыкается на зоне RU, хотя бы выбирайте такого надзирателя регистратора, который не запятнал свое имя и не покрыл себя вечным позором. Лично я с «Ру-Центром» не свяжусь.

3. Регистрируйте компанию за границей

Законодательства развитых стран содержат нормы, серьезно затрудняющие рейдерские захваты. Берите пример с патриотичного «Яндекса»: хоть там и есть «золотая акция Сбербанка», но главная компания называется Yandex N.V., зарегистрирована в Голландии, ей и принадлежит 100% российского ООО «Яндекс».

Кроме того, можно делать такую штуку: например, технология принадлежит материнской компании, а дочерняя ее лишь лицензирует. Во-первых, это защищает главный интеллектуальный актив.

Во-вторых, дочерняя компания сможет оплачивать материнской компании эту лицензию, таким образом, совершенно легально выводя деньги из зоны высокого риска (чиновничьей олигархии) в зону, где работают законы и суды.

4. Держите деньги за границей и не держите яйца в одной корзине

Знаете ли вы, что ваши счета могут быть заблокированы? Ну или проблемы могут быть не у вас, а у вашего банка. И плевать, что вам надо платить зарплаты, оплачивать аренду, трафик, рекламу. Даже если потом все рассосется — репутация подмочена, клиенты ушли, партнеры ушли.

Как легально держать деньги за границей? Смотрите пункт третий.

Если вам не надо держать постоянно деньги на расчетном счету — выводите их легально и быстро. Тем более что на расчетных счетах средства не застрахованы, и если проблемы у банка, то проблемы и у вас. Имейте пару расчетных счетов в банках, не связанных между собой через аффилированных лиц.

5. Не держите, говорю, яйца в одной корзине!

Даже в цивилизованных странах есть придурки и тупые чиновники. Вот, в Австралии, к примеру, запрещают сниматься в порнухе женщинам с небольшой грудью. Мол, педофилы на них медитируют, а потом идут и растлевают младенцев насквозь. Ну кем надо быть, чтобы такие законы принимать?

А это значит, что даже за границей может найтись придурок, который заблокирует ваш сервер. Или датацентр. А это значит, что сервер не должен быть один, если у вас от него зависит что-либо серьезное. Критичные вещи нужно дублировать на сервера, находящиеся не только в другом датацентре, но и в другой юрисдикции.

6. Держите базы данных за границей

Это актуально для любого российского бизнеса. Если в ваш офис вломятся люди в масках по наводке конкурентов, они изымут сервера и компьютеры. Делается это, как и арест расчетных счетов, не с тем, чтобы «найти доказательства», хотя я не понимаю, что может помешать записать туда «эксперту» терабайт жесточайшего детского некрозоопорно с массовыми расчленениями, осквернением всех мировых религий, разжиганием розни сразу ко всем расам, национальностям и социальным группам, а также экстремистскими пособиями.

Ну или софта на 146-ю статью, часть посадочную. От этого лично я спасения не вижу (чуть ниже мой внутренний параноик кинет идею, но я сомневаюсь в его компетентности).

Делается это для того, чтобы парализовать работу, заставить компанию буквально истекать кровью и вынудить директора или собственника согласиться на условия захватчиков. Поэтому держите свои базы, бухгалтерию и т.п. на заграничных серверах и связывайтесь по шифрованному туннелю. VPN практически бесплатен, а восстановить работу офиса можно практически мгновенно посредством тонкого клиента.

Ну и базы останутся в целости, а не попадут к родственникам типа в маске. Если большие файлы нужны тут — можно держать их на локальном сервере, в зашифрованном виде, в другом помещении. Но обязательно делать бекапы за границу.

7. Документируйте все, что касается вашего обеспечения

И этот совет касается не только IT. В фирме должен быть приказ об установлении определенного комплекта ПО на машины. Должен быть приказ о запрете устанавливать или записывать что-либо еще, включая ПО и медиа. Под ним должны подписаться все сотрудники. Равно как и под актом, в котором вы передаете им автоматизированное рабочее место в определенном состоянии.

Внутренний параноик подсказывает мне вариант с аппаратным шифрованием винтов, Trusted Platform Module, сбросом состояния винтов, сетевой загрузкой и т.п., а также ежедневным составлением и подписанием актов осмотра оборудования и установленного ПО.

8. Разделяйте активы и риски

Например, у вас поисковая система. Технологией, доменом, патентами, правами и т.п. пусть владеет одна компания, сервера пусть будут на другой, а риски, например, связанные с тем же ПО, арендой, возможностью рейдерского захвата, кадровыми вопросами пусть несет третья.

9. Еще можно отдаться добровольно

Или крышу найти. Ну там «золотые акции» выпустить, проспонсировать что-нибудь, толкать правильные речи за нужную партию. Хотя… шакалам всегда хочется больше.

10. Уезжайте за границу

В самом деле, сервер стоит держать за границей, а себя любимого? Все просто: это как игра, где надо набить очков, чтобы перейти на следующий уровень. Надо выучить язык, получить востребованную профессию, накопить денег или сделать такой проект, который будет кормить вас в любой стране.

Надо выйти на уровень, в котором в игре появляются доступные и честные суды. На уровень, в котором уже не преследуют монстры в масках и с автоматами. Там появляются другие монстры: юридические гоблины, патентные тролли, опытные конкуренты 80-го левела. Но они действуют по четким правилам, а эти правила действуют для всех одинаково.

А не так, что у шакалов (оборотни — слишком громкое слово для падальщиков) в погонах оказывается over 9000 иммунитет к свету, общественному мнению и СМИ, +100500 к иммунитету против закона, способность наложить отворотное заклятие на камеры видеонаблюдения, аннилигировать показания свидетелей или кастануть на вас заклинание «СИЗО смерти».

Кроме того на этом уровне также появляется возможность сохранить свои деньги и вещи, а построенные дома не снесут урукхаи.

Будут доступны дешевые кредиты (-200 к процентной ставке), будет работать DHL (-200 к идиотизму перманентно), не будут блокировать ваши электронные кошельки (-200 к совку во всей локации).

Не будет Петриков и Грызловых. Не будет того, что описано вот в этом блоге: «Как меня пытаются посадить», а это многого стоит.

 


Взято отсюда. А Вы что думаете по этому поводу?

4 комментария:

  1. 6. Держите базы данных за границей

    Как самый простой и дешевый вариант - usb жесткий диск с кабелем на 5 метров, находящийся в туалете/подсобке с установленной виндой/базой данных. В такие вещи иногда верится больше чем в PGP и самой распространненной на него атакой - термо-ректальный криптоанализ.

    ОтветитьУдалить
  2. И снова здрасьте,

    Для перезда за границу, нужно как минимум знать язык страны где собираешься жить. Иметь довольно много денег "напервое время". Которое может растянутся на довольно долго. Иметь способность общаться с "местными" да и вообще уметь общатся. Не депресовать по мелочам и упорно добиватся своих целей. Это не всегда удаётся, и не всем.

    Но тем не менее жить "за границей" это более чем реально. если это не базируется на принципе "хорошо там где нас нет".

    касательно ведения "онлайн" бизнесса - держать ИТ активы в датацентрах забугром, это правильно. да и вообще активы забугром это лучше.

    но для получения такой возможности надо много изучать предложения. в некоторых случаях ездить, разговаривать, договариваться. (подписывать нормальные договора должен живой человек).

    это всё дорого.

    предложения найденные через интернет не всегда надежны, и могут быть просто опасны. тут куча разных причин. от компании к компании отличается. все хотят много денег, не все хотят их честно получить. нужно изучать разные предложения, и отзывы потребителей.

    но на самом деле сильно "параноить" на тему "всё забугром" не стоит. проблемы "отключат сервера" начинаются только на сильно продвинутом этапе бизнеса. на этом этапе уже другие правила игры.

    а на начальном этапе, мелкий бизнес никому серьёзному не нужен. хищники предпочитают крупную рыбу. она вкуснее.

    Для онлайн решений на начальном этапе нужно брать либо бесплатные от крупных разработчиков - как например Гугл, или делать самому. хостинг брать крупный и заточенный под аудиторию клиентов.

    денег платить по миниму, или не платить совсем.

    главное в онлайн бизнессе, не модель. модель, как вести бизнес, уже дватцать лет отработанна до блеска.

    главное в онлайн бизнессе это продукт. решение проблем(ы) клиентов. и поток денег от клиентов.

    Илья

    ОтветитьУдалить
  3. Отличные комментарии, спасибо! Конечно, параноить не надо. И конечно, все зависит от масштабов. Но здесь другой момент - если ты сразу начинаешь масштабно, то у тебя сразу могут быть масштабные проблемы) Поэтому нужно думать с самого начала.
    По поводу того, что модель двадцать лет как отработана - не согласна. Слишком мало удачных примеров для констатации наличия стандартной отработанной модели. Что первичней, курица или яйцо? Продукт или бизнес-модель? В моем понимание, бизнес-модель включает в себя все - от продукта до деньгопотока. И если она кривая, то и бизнес будет кривой))) И проблем много)

    ОтветитьУдалить
  4. И снова доброе утро,

    не стоит маштабно. маштабные проблемы обычно не решаемы. ну то есть они решаемы но решение стоит слишком много денег.

    проблемы есть всегда, они проявляются в подядке развития проекта. предсказать их может только человек который уже давно занимается именно "этим" бизнессом. и как говорится собаку сьел. а так можно только обозначить контуры бизнесс модели и по ходу развития корректировать стратегию.

    модель онлайна очень простая, осталась в наследство с "порнушных" (95-99) времен. практически ничего не изменилось. компания, расчетный счет, сайт, продукт, система оплаты. система маркетинга- продвижение проекта через спам, рассылки, обьявления, дженерик и платные поисковые запросы, оптимизация под аудиторию и запросы аудитории. качественное обслуживание клиента, качественная доставка продукта. правильная ценовая политика, отражаюшая реальную ситуацию на рынке. и собственно всё.

    всё остальное зависит от продукта. у вебхостинга например свои прибамбасы, сервера, поддержка, взлом, итд. у вещегого инетмагазина другие прибамбасы, почта, недоставка, поставшики, чарджбеки, итд. у всего остального свои прибамбасы. их не предугадаешь если не сидишь в проекте уже несколько лет.

    и чем более забитый, конкурентноспособный рынок, тем меньше денег на выходе.

    но всё зависит от продукта. какой у продукта потенциал. но любой электронный продукт всегда сверхприбыльный, при правильном подходе.

    Илья

    ОтветитьУдалить