Обновление и миграция продуктов Oracle. Что мы рекомендуем сделать в этом году

Что происходит сейчас?

Сейчас в интернете можно найти множество статей на тему того, как выстроить работу в условиях карантина и отсутствия прямого доступа к офисам. Очевидно, что происходит оперативная трансформация бизнеса и, наверное, мир уже не будет прежним. Все больше людей понимает, что можно работать удаленно; не обязательно ездить в офис, а экстренные совещания можно проводить по видеосвязи. Отдельная история – более глубокое погружение ритейла в онлайн: многие из нас и в будущем продолжат все больше и больше пользоваться онлайн-магазинами, в том числе по доставке еды или одежды, а не только техники. Вероятно, что все больше пользователей подключатся к онлайн-медиасервисам и останутся там и после карантина. Таких примеров очень много.

Сейчас мы видим, что нагрузка у одних компаний  резко выросла, а у других – наоборот;  а кто-то находится в “режиме ожидания”, когда это закончится и можно будет снова продолжить привычную деятельность.

Время оптимизаций

Сейчас, пока нагрузка на ИТ-системы снижена, самое время запланировать апгрейды и миграции систем!

Oracle Database

В 2019 году корпорация Oracle выпускает новую версию своей СУБД: Oracle Database 19c, и это конечный выпуск для семейства СУБД Oracle Database 12c. Премиальная поддержка этого выпуска продлится до марта 2023 года. Компания DBI рекомендует обновиться до этой версии.

Почему мы рекомендуем выбирать обновление до версии 19c?

Для предыдущих финальных выпусков (11.2.0.4 и 12.1.0.2) уже нет возможности все продлить поддержки бесплатно, а платная поддержка закончится в течение двух лет.

Для промежуточной версии, которую компания Oracle выпустит в этом году (20c), поддержка продлеваться не будет, а срок премиальной – очень ограничен по сравнению с 19c.

Oracle 19c — это стабильная, рассчитанная на длительное использование версия зрелого продукта, доработки для которой будут выпускаться еще многие годы. Все это является убедительным аргументом при выборе версии как целевой версии для обновления, так и миграции.

Сотрудники DBI провели более 500 различных апгрейдов и миграций СУБД Oracle. У нас есть опыт работы с версиями, выпущенными вендором за последние 20 лет: от 7-й до 11g и далее.

С нашей помощью вы сможете осуществить как обновление базы данных, так и ее миграцию при переходе на другое серверное оборудование и/или систему хранения с возможной сменой платформы.

Наши опытные сотрудники предложат вам оптимальный план обновлений и миграций в зависимости от версии базы, объема данных, требований по даунтайму.

Мы провели множество миграций (с сопутствующим апгрейдом или без) с платформы HP-UX на Solaris, Linux и даже на Windows. Кроме того, наши специалисты успешно выполняли проекты по миграции с IBM Power (AIX) на ПАК Exadata (Linux).

Oracle eBusiness Suite

Похожим образом выглядит ситуация с еще одним популярным решением от Oracle: eBusiness Suite.

В декабре 2021 года заканчивается поддержка версии 12.1, в то время как актуальная версия 12.2.9 будет поддерживаться как минимум до декабря 2031 года.

Однако многие до сих пор работают с версией 11.х, избегая обновления до более современной. У компании DBI для таких случаев есть собственный «сканер». Эта программа способна точно определять полный список кастомизаций и возможность их переноса на все более новые версии, в том числе с учетом миграции на другую платформу (например, с AIX на Linux).

После такого «сканирования» заказчик получает исчерпывающую информацию, которая позволяет принять верное решение: оставить все как есть, провести апгрейд, внедрить систему заново, попутно повысив версию, или же мигрировать на Oracle ERP Cloud.

А еще…

Мы готовы провести апгрейды не только Oracle Database или Oracle EBS, а также Weblogic, SOA, Identity Management и прочих платформ и продуктов.

Отдельно стоит отметить вышедший в феврале релиз Oracle Analytics Cloud 5.5, включающий в себя технологии, которые ранее были известны под названиями Oracle BI EE и Oracle Data Visualization), и это тоже очень интересный сейчас продукт для апгрейда или внедрения.

Поэтому мы рекомендуем использовать текущую ситуацию с пользой и выйти с карантина с новыми силами и обновленными технологиями!

Рынок аутсорсинга в “коронакризис”. Интервью Михаила Сарычева

Условия самоизоляции, очевидно, изменили мир, в том числе и ИТ-мир. Как, на Ваш взгляд, текущие события повлияют на рынок ИТ-аутсорсинга? Будет ли компаниям выгодно нанимать команды? Какие основные преимущества аутсорсинг можно выделить?

Михаил Сарычев: Возникновение тревожной эпидемиологической обстановки из-за COVID-19 кардинально изменило существующий мир: часть бизнеса и даже целые сектора экономики оказались на грани выживания; остальным в срочном порядке приходится перестраиваться, а именно – искать возможности снижения социальных контактов как внутри своих предприятий, так и личных, “face-to-face”, контактов с потребителями и клиентами. Однако не у всех компаний выстроены бизнес-процессы, позволяющие “безболезненно” перевести сотрудников на удаленный режим работы и сохранить уровень предоставляемого сервиса, при этом не снизив эффективность. На мой взгляд, после перевода сотрудников на “удаленку” и перестроения своих рабочих процессов часть компаний просто не захотят возвращаться к старому режиму работы даже после снятия ограничений.

В то время как у большинства компаний появились проблемы, у некоторых, наоборот, – бизнес начал увеличиваться в разы, а так как единственный канал коммуникации с клиентами, через который растет спрос – это on-line, то и нагрузка на ИТ-отделы многократно выросла, пришлось в спешном порядке наращивать ресурсы, а самый быстрый способ это сделать – привлечь подрядчиков.

Экономическая выгода от привлечения аутсорсинга зависит от многих факторов и не всегда напрямую коррелирует со стоимостью расходов на оплату услуг компании-аутсорсера. Например, своевременное внедрение какого-либо решения по экономическому эффекту может значительно превысить расходы на привлечение подрядчика по сравнению с выполнением этих работ собственными силами, особенно без достаточного опыта или квалификации. Построение собственной команды, которая будет поддерживать в высокодоступном режиме текущую инфраструктуру, состоящую из набора разных решений, часто различных вендоров, –  дорогое удовольствие, особенно когда мы говорим про непрерывность бизнеса и режим 24х7х365. Принимая во внимание, что нагрузка на сотрудников в рамках задач технической поддержки бывает «рваной» и редко превышает 30-40%, то становится выгоднее привлечь внешнюю команду, обладающую всем необходимым опытом, навыками и знаниями, при этом сократив до 50% свои расходы. Не секрет, что на территории РФ действуют специализированные налоговые режимы для ИТ-компаний, которые помогают оптимизировать затратную часть, которая на 90% состоит из зарплат сотрудников.

Также дополнительный фактором в пользу аутсорсинга служит возможность более гибко управлять объемом услуги. Если заказчику необходимо выполнить какую-либо специфическую задачу два раза в год, то нет необходимости сначала нести затраты на поиск сотрудника , а потом удерживать специалиста в течение всего года. В то же время, если временно услуга не нужна, то можно приостановить ее, не решая дилемму: сократить сотрудника выплатив ему две заработные платы и потерять его навсегда или продолжать платить ему заработную плату во время простоя.

Какие факторы повлияют на спрос услуг аутсорсеров в такое неспокойное время?  

Михаил Сарычев: Основной фактор сейчас – длительность пандемии. Если режим изоляции будет повторяться, то бизнес перестроится и будет пользоваться услугами аутсорсинга значительно в большем объеме. Если же все ограничения снимут относительно быстро, то спрос на аутсорсинг, соответственно, останется на прежнем уровне и продолжит расти с прежней скоростью. Однако нужно принимать во внимание, что идет общий спад экономики во всем мире, и это не может не повлиять и на общий спрос на ИТ-услуги.

Вообще общий спрос на аутсорсинг будет постепенно расти, так как рынок ИТ-услуг в России еще недостаточно развит и есть потенциал к росту. В Европе и США, думаю, он тоже вырастет, так как пандемия вынудила всех перейти на удаленный режим работы, а, привыкнув к нему, все больше клиентов начнут смотреть в сторону оптимизации расходов за счет аутсорсинга. В этом есть определенная выгода для заказчиков, так как стоимость часа работы инженера в Силиконовой долине в разы выше, чем, например, в Восточной Европе. Даже уже сейчас мы это наблюдаем, так как работаем на обоих континентах.

Михаил, а что отличает аутсорсинг в России от аутсорсинга в Европе и США?

Михаил Сарычев: Как явление, аутсорсинг позже всех развитых стран пришел в Россию. Поэтому культура и готовность бизнеса пользоваться данными услугами была ниже, соответственно, и спрос был ниже. Но Россия быстро интегрируется в мировую экономику, и ситуация меняется.

Как в США, так и в Европе, и также в России бизнес при принятии решения о привлечении аутсореров оценивает выгоды и риски. Если первых больше, чем вторых, то выбор падает на внешние команды. В России меньше конкуренция, но и меньше рынок: все клиенты, можно сказать, «посчитаны». Здесь возникает некий диссонанс, потеря любого клиента становится очень серьезным ударом по бизнесу аутсорсера, при этом у бизнес-заказчика не такой уж и большой выбор среди исполнителей, как например, в США. 

В России до сих пор не любят получать отрицательную обратную связь и начинают спорить и доказывать что заказчик не прав, в США немного другая история: если заказчик недоволен, значит ты что-то делаешь не так, не нужно ничего доказывать, а нужно перестраиваться и полностью удовлетворять нужды клиента. Также в России заказчик бывает более жестким и грубым в переговорах, что связано с общей культурой общения, это ни хорошо и ни плохо, просто это так. При этом в США клиент в течение пары дней может принять решение о прекращении взаимоотношений с вами как с исполнителем по разным причинам; в России в 90% вам дадут второй шанс.

На какие технологии Вы ожидаете наибольший спрос в ближайшее время?

Михаил Сарычев: Если говорить про горизонт планирования до 6 месяцев, то большинство клиентов заняли выжидательную позицию, приостановили проекты по развитию (в основном это разработка и внедрение новых функциональностей), при этом полностью оставили нетронутой поддержку текущей инфраструктуры, причины, думаю, понятны. В рамках годового плана все больше и больше будут пользоваться спросом технологии информационной безопасности, RPA, аналитика данных и развитие on-line коммуникаций с клиентами.

Что поменялось на рынке аутсорсинга за последние 5-7 лет?  

Михаил Сарычев: Так как рынок ИТ становится все более зрелым, соответственно и требования заказчиков становятся все более сформулированными и точными; руководитель ИТ отдела точно знает, чего он хочет от исполнителя; подготовлены метрики, SLA, по которым будет оцениваться работа подрядчика. Уже сформированы стандарты работ, они достаточно часто встречаются и повторяются в документации многих заказчиков. Все больше клиентов стали доверять удаленной работе, перенося всю коммуникацию в онлайн. 

Стало больше понимания со стороны клиентов различных схем аутсорсинга.

Также нельзя не упомянуть про развитие облачных технологий. Это неразрывно связано с аутсорсингом. Так или иначе доля сервисов, предоставляемых в облаке, растет. Россия в этом плане отстает от США и Европы, но, думаю, что через 3-4 года ситуация изменится кардинально. 

Многие руководители со стороны заказчиков настороженно относятся к командам-аутсорсерам. Как Вам удается развеять сомнения заказчика и доказать эффективность вашей работы?

Михаил Сарычев: Все наши действия строго регламентированы и документируются через сервис-деск; все оцифровано, каждая задача  имеет название, время выполнения и продолжительность, исполнителя и краткое описание действий, что позволяет владельцу систем иметь полную картину производимых работ. Наши процессы выстроены в соответствии с практиками ITIL. 

Для того чтобы чем-то управлять, это нужно в первую очередь измерить, поэтому мы предлагаем и инструменты аналитики. 

Конечно, помогают отзывы от существующих клиентов, пилотные проекты. Это всегда комплексный подход, состоящий из многих шагов, которые приводят нас к заключению контрактов. Важной деталью является постоянные улучшения нашего сервиса, внедрение новых моделей обслуживания и дополнительных инструментов в работе, обновление базы знаний и аналитика зависимостей.

Есть ли разница в выстраивании работы в России, Европе и США?

Михаил Сарычев: Для нас особой разницы нет, все наши процедуры стандартны и унифицированы, онбординг и дальнейшее сопровождение клиентов у нас полностью совпадает как в России, так и в дальнем зарубежье. Отличается процесс привлечения Клиентов, но это другая тема для разговора 🙂

Как заказчику решиться на перевод услуг на аутсорсинг? Какие сигналы говорят о необходимости это сделать?

Михаил Сарычев: Особой магии в этом плане я не вижу: есть потребность у заказчика и есть тот, кто ее может удовлетворить. Если данное уравнение решилось, то заказчик выбирает подрядчика. Конечно, лучше начинать, как принято говорить в США, с “baby steps”, если перед этим не было опыта работы с аутсорсингом: начать с передачи сторонней команде одной из систем, а не всего ландшафта или отдельной задачи. У нас, например, многие клиенты начинают с аудита инфраструктуры или СУБД, по результатам видят набор рекомендаций, могут оценить глубину экспертизы, качество и подход. Чем больше мы работаем с заказчиком, тем больше возникает доверия и тем больше мы интегрируемся со внутренним ИТ-отделом, после чего пропадает различие, внешний ли подрядчик или собственные сотрудники выполняют работы. Для нас это показатель доверия к нам и ПАРТНЕРСКИХ отношений, так как в данном контексте мы заинтересованы в росте и успешности бизнеса наших клиентов и делаем для этого все возможное, часто стараемся предвосхитить ожидания. У нас практически нет разовых клиентов, а наоборот, есть компании с которыми мы работаем более 15 лет, а это уже не роман – это семейная жизнь 😊


Ваша компания предоставляет услуги разработчиков и инженеров на аутсорсинг. Какие ключевые моменты в части управления такой командой Вы можете отметить? Что самое сложное? 

Михаил Сарычев: Для управления любой командой важно построить систему – набор повторяющихся действий, приводящих к схожему результату и качеству. Таким образом, при управлении командой инженеров важно иметь инструменты, которые помогут точно и вовремя измерять качество услуг, соблюдение SLA, удовлетворенность клиента, возможность получать своевременную обратную связь и производить корректирующие действия, отследить если что-то пошло не так, иметь прописанные эскалационные процедуры. В комплексных проектах мало иметь команду опытных инженеров, важно иметь проектный офис, который будет управлять проектом и отслеживать события. Соответствующий уровень профессиональных навыков – это просто необходимое условие. Очень важна коммуникация, ее никогда не бывает много, исключение – это обсуждение эпидемиологической обстановки 😊

Наш бизнес довольно сложный, и основная его сложность заключается в том, что приходится работать с клиентом, когда у него уже есть проблема, и он приходит чтобы мы ее решили. Это всегда дедлайны, нервы, напряжение, ожидающий немедленного результата топ-менеджмент. Нужно уметь работать в стрессе, решая чужие проблемы, не бояться сложных переговоров, иногда принимать непопулярные решения и говорить то, чего от вас не хотят слышать. Такой бизнес никогда не бывает легким: это всегда конкуренция, быстро меняющаяся обстановка, отсутствие правил и постоянная неопределенность, а так как информационные технологии в 21 веке воспринимаются как электричество, без которого 99% операций просто не возможно, то и требования и спрос с исполнителя соответствующие.

Михаил, а как Вы составляете планы развития и обучения специалистов? На какие технологии делаете упор?

Михаил Сарычев: Никакого “rocket science” в данном вопросе нет. Ведем статистику и тренды прироста клиентов по соответствующим технологиям. Опираясь на эти цифры, формируем кадровый резерв. Также у нас есть свой непрерывно действующий обучающий центр, позволяющий за год подготовить хорошего специалиста из вчерашнего студента. Это долгий и кропотливый труд, который нужно просто начать делать и доводить до конца. Плюс ко всему, мы достаточно пристально следим за сменой и обновлением технологий, чтобы быть готовыми оказывать востребованные услуги. Чему-то учимся у наших клиентов. На самом деле, чем сложнее и амбициознее проекты у наших клиентов, тем сильнее наша команда, все как в спорте: хочешь стать сильнее – тренируйся с лучшими.

Какова Ваша стратегия поведения в условиях спада экономики с текущими клиентами? Как справляетесь с проблемами со своевременной оплатой, снижается ли объем запросов со стороны заказчиков?

Михаил Сарычев: Да, это самый болезненный вопрос в данный момент. Так случилось, что у части заказчиков сейчас не лучшие времена, например, у авиаперевозчиков, развлекательных комплексов и тех заказчиков, бизнес которых связан с необходимостью прямого контакта с людьми. В один момент бизнес просто остановился на все 100%; финансовые потоки перекрыты, а как-то поддерживать существующую инфраструктуру заказчикам нужно. По согласованию с такими клиентами временно приостановлены проекты развития, команды пришлось переориентировать на новые проекты, а поддержку оставить в минимально необходимом объеме, при этом, фактически, мы пока бесплатно оказываем услуги поддержки и надеемся, что бизнес клиентов постепенно возобновится. Как я и говорил ранее, мы стали партнерами, а партнеры друг друга в трудную минуту не бросают!

Технологии на страже экономической безопасности

Статья Алексея Захарова, директора по региональному развитию, и Екатерины Кошкаровой, ведущего технического эксперта, журналу “Банковское дело” 

Во все времена банковская система рассматривалась не только как инструмент управления финансами и инвестициями, но и как площадка для проведения мошеннических действий: незаконное ростовщичество, нелегальные переводы и выводы средств, финансирование преступной деятельности и так далее. Поскольку с каждым годом финансовое мошенничество вооружается новыми схемами, идеями и технологиями, комплекс мер противостояния ему — финансовый контроль или комплаенс — должен быть на шаг впереди.
В данной статье рассматривается набор технологических инструментов, задействованных в комплаенсе, а также делается попытка определить, что задает основные тренды в технологическом обеспечении экономической безопасности ближайших лет.

Стоит оговорить, что будут описаны тренды автоматизации только основных задач и процедур финансового комплаенса.

Комплаенс, в некоторых источниках именуемый как ПОД/ФТ (противодействие отмыванию денег и финансированию терроризма), представляет собой комплекс мер, направленный на:

  • управление рисками, 
  • исполнение требований регуляторов и законодательства
  • внутренних стандартов организации
  • формирование соответствующих документов, отчетности
  • проведение аудита и консультирование

Основная цель комплаенса – контроль и исключение финансовых и репутационных потерь банка или иной финансовой организации, которые могут возникнуть в результате участия банка в незаконных видах деятельности.

Исторически первой задачей комплаенса являлась задача идентификации клиента, получения максимально полной информации о нем, сверка с различными списками «неугодных» клиентов – то, что сейчас носит название KYC, “Know Your Client”, “Знай своего клиента”. Хотя официально этот термин был введен совсем недавно, сама процедура существовала всегда: во все времена ростовщики и менялы, а потом и банки, биржи, брокерские конторы и другие финансовые институты не хотели связываться с клиентами с плохой репутацией. Сначала представители банков обменивались списками клиентов, обращались друг к другу за справками, затем все переросло в централизованную работу с различными списками и источниками. 

Как правило, для клиента, например, для физического лица, KYC начинается с так называемого “онбординга” – постановки на обслуживание, в ходе которой производится сбор и анализ паспортных данных, по возможности, информации о состоянии счетов, а также данных, находящихся в открытом доступе, например, выписки из реестров. Важнейшая часть KYC – проверка клиентов, как физических, так и юридических лиц, по санкционным спискам и PEP-спискам, в результате чего каждому клиенту присваивается уровень риска.

Кроме вышесказанного, KYC подразумевает постоянный мониторинг клиентов и повторные проверки, а также проверки бенефициаров и, в некоторых случаях, проверку “клиентов клиентов”.

KYC и последующий Due Diligence считаются первым шагом в процессе борьбы с отмыванием денег и самой эффективной операцией для препятствия финансированию терроризма и уклонению от уплаты налогов. 

 

После идентификации клиента и получения максимально полной информации о нем перед финансовым институтом стоит другая задача: постоянный контроль операций, проводимых клиентом. Комплекс соответствующих действий и процедур сокращенно принято называть AML (Anti-Money Laundering), хотя, как правило, он включает и противодействие финансовым операциям, связанных с терроризмом. 

Под выражением “отмывание денег” подразумевается набор мер по приданию денежным средствам, полученным незаконным путем (взятки, махинации, мошенничество), законного вида. Отмывание – самый многогранный вид мошенничества: с завидной регулярностью появляются новые алгоритмы и способы скрыть “нечистое” происхождение денежных средств.

Поскольку отмывание средств представляет собой набор определенных шагов, в большинстве случаев наиболее эффективным средством определения, была ли последовательность операций прецедентом по отмыванию денег или нет, является механизм сценариев. 


Например, такие операции, как регулярные переводы одной и той же суммы денег, взнос большой суммы (скажем, больше 10 тысяч долларов) наличными в кассу, перевод сумм больше определенного порога с нескольких счетов на один счет, могут нести в себе мошеннический характер и указывать на попытку «обелить» денежные средства.  

AML в лучших практиках включает в себя и процедуру KYC: в ходе исполнения сценариев параллельно проводятся повторные скрининги по спискам счетов и лиц. Таким образом, AML – самый полномасштабный и комплексный этап комплаенса, на который тратится больше всего времени и средств. 

Процедуры в рамках KYC и AML регулируются как законодательством, так и предписаниями регулятора, а также стандартами международных организаций, в частности, FATF – межправительственной группой разработки финансовых мер борьбы с отмыванием денег. На территории РФ основным законодательным актом является закон 115-ФЗ “О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма”.

Еще один важный этап комплаенса – противодействие уклонению от уплаты налогов.

Во многих финансовых институтах действия по выявлению уклоняющихся от уплаты налогов уже включены в KYC и заключаются в скрининге по спискам. Но, тем не менее, существуют отдельные регламенты, на которые стоит обратить внимание: это американский закон о налогообложении иностранных счетов FATCA и его европейский аналог – стандарт CRS. Оба стандарта обязывают страны обмениваться данными о резидентах с целью исключить прецеденты уклонения от налогов.

В свете подключения к CRS все новых и новых стран исполнять этот стандарт становится все сложнее. Во многих странах мониторинг и отчетность ведутся в ручном режиме, так как подотчетных по CRS и FATCA мало. Тем не менее, комплаенс не стоит на месте, контроль по этим стандартам становится неотъемлемой его частью.

Ни для кого не секрет, что с момента выхода информационных технологий в массы именно банки стали основными потребителями новинок аппаратно-программных средств; автоматизации подвергаются все аспекты банковского дела, и задачи комплаенса не стали исключением.

Первыми на защиту репутации банков встали технологии, связанные с базами данных, например, практически безграничные в данном случае возможности языка SQL и его процедурных расширений. Даже на сегодняшний день, на фоне развития специализированных систем и инструментов, многие банки не отказываются от систем ПОД/ФТ, написанных самостоятельно с использованием  исключительно технологий баз данных. Действительно, это наиболее простой способ обработать большое количество транзакций: “проводка” появляется в базе данных, после чего можно сразу ее проанализировать и при необходимости остановить. Однако по мере развития информационных технологий средства комплаенса пополняются новыми, более гибкими, инструментами.

Огромный вклад в защиту от отмывания и финансирования внесли BI-системы: вооружившимся графиками и дашбордами аналитикам и комплаенс-офицерам удается зафиксировать случаи странного поведения, которые затем, после расследования, классифицируются как незаконные, а также вести постоянный мониторинг и строить отчеты. К слову, одна из самых востребованных специальностей в российских банках, входящих в ТОП-10 – аналитик данных: выявление новых зависимостей и последовательностей в отмывании денег требует создания новых алгоритмов обработки большого количества исторических данных, статистики. Особое место в технологиях комплаенса сейчас играют графовые базы данных, которые помогают установить и визуализировать связи между подозрительными счетами и транзакциями.

Самые крупные (и не только) игроки на финансовом рынке активно пользуются и инструментами, построенными на базе обучающихся нейросетей. Вообще технологии машинного обучения отлично встроились в комплаенс: обучение сети на основе существующей аналитики по подозрительным проводкам не занимает много времени, но дает эффективные результаты. Стоит заметить, что даже при высоком уровне автоматизации комплаенса обработка и анализ всего потока финансовой информации не поставлены на самотек: все инструменты автоматизации и, особенно, результаты скринингов и проверок контролируются комплаенс-офицерами. 

Новые технологии приходят на помощь не только AML, но и KYC: все больше банков практикует идентификацию клиентов на основе биометрических данных, с использованием технологий распознавания лиц и голоса.

Отдельная история – специальные программные комплексы от ведущих ИТ-вендоров, направленные на многосторонний анализ и контроль всех видов деятельности физических и юридических лиц в рамках процедур ПОД/ФТ. Такие комплексы включают в себя модули, автоматизирующие все процедуры комплаенса, легко интегрируются в существующее окружение, демонстрируют высокую производительность и часто уже несут в себе преднастроенный функционал, например, наборы сценариев отмывания, основанные на многолетнем опыте вендоров, или готовые шаблоны для отправки отчетов по FATCA и CRS.

Появление новых мошеннических схем, а также всплески финансирования террористической деятельности ставят перед технологиями новые задачи. Например, если еще 10 лет назад банки устраивали отложенные проверки проведенных за сутки транзакций в рамках AML, то сегодня в требованиях появляется необходимость скрининга в режиме онлайн: только такой подход в силах вовремя остановить потенциально опасные проводки.

Но что именно вынуждает развиваться технологии комплаенса и заставляет вендоров создавать новые инструменты и системы для увеличения охвата и скорости процедур контроля? В первую очередь это геополитическая ситуация.

По состоянию на февраль 2020 года обстановка на Ближнем Востоке снова накалена: практически еженедельные конфликты Израиля с Сирией и Палестиной, а также ситуация вокруг Ирана, который, кстати, включен FATF в черный список стран (https://regnum.ru/news/2865705.html), переключает внимание регуляторов и международных организаций на страны, где потенциально можно зафиксировать случаи финансирования терроризма и других видов незаконной деятельности.

Геополитическая ситуация задает тренды не только в самых “горячих точках”, но и в окружающих их странах. Так, в ситуации с Ираном особое внимание постепенно приковывается к странам Средней Азии и Кавказа. Страны этих регионов выступают посредниками между Европой и Ближним Востоком не только в культурном и экономическом плане, но и в контексте проведения операций, связанных с отмыванием денег и финансированием терроризма. Данная ситуация вынуждает окружающие Ближний Восток страны ужесточать законодательство, вводить новые регламенты и стандарты комплаенса, а весь технологический мир – автоматизировать эти стандарты. Уже сейчас уровень подготовки комплаенс-офицеров стран Кавказа и Ближнего Востока в разы превосходит уровень их коллег из Европы. По этой причине большое количество траншей из европейских стран проходят AML-скрининги в Европе, но останавливаются и помечаются как подозрительные в банках восточных регионов.

Именно ситуация вокруг Ближнего Востока сегодня вынуждает ит-специалистов банков ускорять работу средств комплаенса, проводить более глубокую интеграцию со всеми банковскими системами и искать новые пути максимально быстрого и точного перехвата подозрительных проводок.

Озадачило мир комплаенса и распространение технологии блокчейн и криптовалют. Принцип децентрализованного хранения данных, несмотря на огромное количество новых проектов, направленных на благо человека, поставил под угрозу все наработки предыдущих лет, направленные на соблюдение принципов ПОД/ФТ. Полная обезличенность контрагентов, а также невероятная скорость совершения транзакций между странами (несколько часов вместо нескольких банковских дней) несут в себе новую угрозу: невозможность проведения комплаенса “старыми” технологиями. Таким образом, потенциально отмывание денег и финансирование незаконной деятельности может быть перенесено в мир блокчейна. Некоторые криптовалюты и криптобиржи функционируют при соблюдении норм KYC и AML: в данном случае держатели криптовалют жертвуют своей конфиденциальностью, но в то же время сокращают свои риски. Тем не менее, процедуры KYC и AML проходят далеко не все криптовалюты и площадки, да и изначальный смысл парадигмы децентрализации и анонимности теряется. Многими банками всерьез рассматривается вариант повсеместного согласованного отказа от блокчейна с целью не допустить возможности перевода самой мрачной части банковской деятельности в никем не регулируемую среду.

https://www.bankdelo.ru/magazine/pub/3154

Как обеспечить безопасность баз данных: инструменты и методики

Комментарий Алексея Захарова, директора по региональному развитию, журналу InfoCity (Азербайджан)

В текущей обстановке в условиях мирового карантина и сопряженных с ним событий можно долго рассуждать о новых способах и подходах атаковать компьютеры и другие устройства пользователей. Однако одно остается неизменным: конечная цель хакеров — это данные организаций, самое ценное.

Не стоит делать выводы, что, если в вашей базе данных не хранится никаких персональных данных пользователей или данных банковских карт, то она не представляет интереса для злоумышленников. Любая информация несет ценность, и, соответственно, ее утечка приведет к убыткам для организации.

Примеров может быть много: скомпрометированные данные программ лояльности, систем обработки заказов, пусть даже и обезличенные, в руках конкурентов — это мощное оружие. Не говоря уже о данных, похищенных из банковских систем.

Важно отметить, что потеря данных для бизнеса опасна не только потому что из полученных сведений можно сделать какие-либо выводы касаемо ведения бизнеса, но и потому что сам факт хищения данных у компании наносит ущерб ее авторитету.

В последнее время фиксируется всплеск утечек данных, предпосылкой к которым выступает банальная незащищенность СУБД от уязвимостей; растет число инсайдерских атак, другими словами — хищений данных сотрудниками, в основном с целью дальнейшей перепродажи. По данным аналитического центра «Гарда Технологии», в 2019 году на черный рынок баз данных в России попали данные 70 млн. клиентов более чем 40 банков. 91% всех похищенных баз данных выставлялись на продажу сотрудниками банков, 8% — посредниками, например, сторонними командами. И лишь 1% данных стали доступны благодаря уязвимостям в банковских системах. (источник http://www.tadviser.ru/index.php/Статья:Расценки_пользовательских_данных_на_рынке_киберпреступников)

Почему так происходит?

Казалось бы, база данных должна быть максимально защищена всеми возможными силами. Однако, лишь 15% всех затрат на безопасность направляются на защиту баз данных, в то время как на сетевую безопасность идет 67%. Увы, основная проблема халатного отношения к вопросу защищенности данных — человеческий фактор: либо ответственные лица уверены, что данные компании никому не интересны и поэтому не могут стать конечной целью злоумышленников, либо чересчур полагаются на средства информационной безопасности компании (кстати, часто они ограничиваются лишь антивирусами и файрволлами). Излишнее доверие работодателей и невнимательность к разграничению прав доступа также открывают возможности для хищения данных собственными сотрудниками.

Какие действия стоит предпринять организации, чтобы защитить свои данные, хранящиеся в БД?

Средства защиты можно разделить на несколько уровней:

  1. предположение (аудит, обследование)
  • позволяет выявить слабые места в защите данных
  1. предотвращение (недопущение нелегитимного доступа)
  • запрещает технически совершить намеренные или ненамеренные действия, которые могут скомпрометировать данные
  1. определение (максимально быстрое выявление мошенничества) и расследование (возможности выявить нарушителя, когда факт мошенничества зафиксирован)
  • оперативно позволяет определить факт совершения подозрительного действия позволяет отследить все действия с данными, чтобы понять кто и каким образом произвел незаконные действия

Предположение

Первый шаг — понять и оценить реальный уровень защищенности базы, построить детальные отчеты, включающие в себя:

  • анализ параметров конфигурации СУБД

Первоочередная задача в аудите баз данных.

В первую очередь проверяются настройки безопасности, длительность жизненных циклов паролей и другие параметры.

Такой аудит может проводиться утилитами, предоставляемыми вендорами, программными продуктами от независимых производителей либо скриптами, заранее подготовленными специалистами

  • анализ привилегий и ролей, выданных пользователям

Это та часть настроек, о которой традиционно часто забывают.

Важно полностью контролировать привилегии доступа и, по возможности, согласовывать выдачу прав на изменение и удаление объектов с представителями службы ИБ.

Тем не менее, даже жесткие регламенты не могут гарантировать полного отсутствия прецедентов выдачи избыточного доступа к данным.

Таким образом, мы рекомендуем периодически формировать отчеты о текущих привилегиях пользователей.

  • анализ поведения пользователей

Например, статистика по неудавшимся попыткам входа или факты доступа к определенным объектам БД.

Такая статистика помогает наглядно отобразить количество нежелательных действий и, если необходимо, провести расследование и принять меры.

После формирования отчетов, в зависимости от результатов аудита, следующим шагом идут уже принятия решений по внедрению конкретных инструментов и систем безопасности. Одного универсального “рецепта” нет, однако, можно перечислить наиболее эффективные подходы.

Предотвращение

К вариантам по предотвращению можно отнести несколько технологий:

  1. ограничения для администраторов баз данных

Возвращаясь к теме инсайдерских атак: подавляющее большинство хищения данных происходит руками пользователей с правами администраторов баз данных, или DBA, так как данная роль предоставляет техническую возможность для просмотра всех таблиц и для любых манипуляций с данными. Привилегии DBA в ходе проекта могут получить разработчики, администраторы, аналитики, даже менеджеры проектов. Помогают в данной ситуации специальные программные инструменты для ограничения возможностей доступа к данным администраторами БД. Программные продукты такого класса обычно разрабатываются вендорами-производителями СУБД. При попытке обратиться к таблицам, защищенными такими утилитами, DBA получает ошибку доступа, а сам факт такой попытки будет занесен в журнал. Такой подход не только убережет данные от инсайдерских атак, но и позволит выявить ненадежных сотрудников.

  1. скрытие данных от пользователей

Все встречались с ситуацией, когда вы видите только четыре последние цифры банковской карты. Это типичный способ скрытия данных. В зависимости от роли пользователя в компании или вне ее, данные должны отображаться в соответствующем виде. Уже эта функция позволяет существенно снизить “соблазн” что-то сделать с данными.

Подобный функционал можно реализовать несколькими способами: это трансформация данных при передачи их для отображения, ведение отдельных таблиц, или же встроенные функции СУБД, где могут задаваться соответствующие настройки.

  1. маскирование и изменение способа отображения данных

Еще ряд уязвимостей может возникнуть в результате передачи доступа к данным сторонним командам разработчиков, например, для тестирования каких-либо систем. Организация доступа к БД посредникам, несмотря даже на подписанные документы о неразглашении информации, несет в себе определенные риски.

Однако и реальные данные для отладки, однозначно, нужны, поэтому оптимальный вариант — замаскировать данные для определенных пользователей, поменять их отображение, чтобы записи в таком виде просто не были интересны для похитителей. На примере номера банковской карты: маскирование может быть реализовано как замещение символами 12 цифр из 16 в номере (например, “звездочкой”); другой способ изменения отображения — целенаправленная фальсификация, замена всех 16 цифр другими.

В отличие от функции, описанной выше, есть возможность маскирования данных без какой либо возможности восстановления. Такую “маскированную” базу можно спокойно передать разработчикам, подрядчикам, даже выложить в публичный доступ — никакого смысла данные не будут иметь.

Однако тут важно понимать, что при маскировании может быть нарушена целостность данных, поэтому сам процесс маскирования не так прост, как может показаться на первый взгляд.

Для реализации такого подхода стоит присмотреться к различным встроенным или внешним утилитам, которые позволят автоматизировать процесс маскирования.

  1. шифрование данных

Шифрование данных СУБД — еще одна возможность избежать утечек. Даже если зашифрованная база будет доступна извне, а в последствии будет украдена, без ключа данные нельзя расшифровать.

У шифрования данных есть обратная сторона — шифрование и дешифрование может негативно сказаться на производительности базы данных и связанных с ней приложений. Поэтому данный вопрос часто становится камнем преткновения между службой безопасности и разработчиками.

Мониторинг трафика, анализ запросов к БД

Очень часто злоумышленники пытаются получить доступ к БД через приложения, которые постоянно обращаются к базе. Наиболее популярный подход — так называемые SQL-инъекции: внедрение в обращения приложения к базе данных произвольного SQL-кода. Чаще всего такой код содержит запросы на выдачу прав или на получение набора данных. В качестве “лекарства” от внедрения неконтролируемого кода можно посоветовать закладывать защиту от SQL-инъекций в архитектуру приложений. Однако более надежным и эффективным подходом видится постоянный контроль трафика и мониторинг запросов к базе. Такой мониторинг, как правило, производится на стороне СУБД специальными инструментами семантического разбора обращений к БД и уведомляющими о появлении возможных SQL-инъекций.

За выявление SQL-инъекций отвечают программные продукты класса Database Firewall. Они накапливают статистику запросов, создавая “белые списки”, а также формируют “черные списки” (часто производители предлагают уже готовые варианты). Все подозрительные запросы в этом случае помещаются в карантинную зону и уже обрабатываются отдельно.

Расследование

Какими бы ни были средства защиты СУБД, всегда есть риск, что злоумышленник обойдет их, например, через “дыру” в защите приложения. Для сбора, хранения и анализа таких случаев в организации может использоваться отдельная база данных, в которой будут консолидироваться данные о всех действиях в целевой, защищаемой базе (т.н. Audit Vault). В случае возникновения инцидента, офицер безопасности сможет восстановить последовательность событий и расследовать происшествие, основываясь на журналах, хранящихся в базе Audit Vault.

Вывод

В данной статье мы описали лишь некоторые возможности защиты данных. Конечно же есть и другие способы, и мы будем рады вашим комментариям, а также если вы укажете на какие-то неточности с нашей стороны, и далее — мы сможем также описать другие способы защиты информации.

Главное, на что хочется обратить внимание: защиту данных нужно осуществлять на каждом контуре: и на внешнем (VPN, Антивирус, межсетевые экраны и пр.), и на среднем (распределение прав и контроль доступа), и на внутреннем — непосредственно на уровне базы данных!

https://infocity.az/2020/04/kak-obespechit-bezopasnost-baz-dannyh-instrumenty-i-metodiki/

Пандемия переходит на сторону киберпреступности

Комментарий Екатерины Кошкаровой, ведущего технического эксперта, для журнала InfoCity (Азербайджан)

В свете последних событий, связанных с принятием большинством стран режима карантина, экспертами по информационной безопасности отмечается всплеск кибератак и других мошеннических действий. Увеличился объем рассылаемых фишинговых писем, распространяемых через сообщения якобы с рекомендациями ВОЗ. Участились взломы аккаунтов пользователей сервисов такси и доставки еды, на которые сейчас особенно повышенный спрос, а также прочих сервисов и мобильных приложений, привязанных к банковским картам. Стоит упомянуть и многочисленные попытки заработать на страхе перед коронавирусом и продать медицинские маски по завышенной цене или даже несуществующую вакцину от COVID-19.

Новых угроз, связанных с утечкой данных, стоит ожидать организациям, в том числе банкам, перешедшим на удаленный режим работы. Проблемы кроются не только в том, что, находящиеся дома сотрудники будут гарантированно отвлекаться и перестанут оперативно реагировать на угрозы, но и в том, что контролировать IТ-инфраструктуру становится в разы сложнее.

Каждую неделю эксперты в области информационной безопасности публикуют отчеты о новых и новых способах атак устройств пользователей. Например, Positive Technologies на днях раскрыли новые цифры об уязвимостях, связанных с ошибкой безопасности BlueKeep. Такая ошибка «помогает» получить доступ к компьютеру под управлением ОС Windows по протоколу удаленного рабочего стола (RDP). Количество машин, доступных по удаленному рабочему столу по состоянию на конец марта 2020 года, составило около 115000 единиц, из них примерно 10% уязвимы для BlueKeep (источник https://www.ptsecurity.com/ru-ru/about/news/zloumyshlenniki-mogut-poluchit-dostup-k-kazhdomu-desyatomu-otkrytomu-udalennomu-rabochemu-stolu/).

Уязвимость инфраструктуры банков, государственных структур, коммерческих организаций в условиях пребывания большей части сотрудников на «удаленке» повышается через необходимость выдачи дополнительного доступа к информационным сетям и ресурсам, которые ранее находились в закрытых контурах и были недоступны извне, а также за счет массового использования мессенджеров в корпоративных коммуникациях. Каждый из нас замечал, что проще воспользоваться одним из популярных мессенджеров, чтобы задать коллеге какой-то вопрос и быстро получить ответ. Такой подход, хоть и экономит время на коммуникацию, ставит под угрозу конфиденциальность данных. Даже в более спокойное время сложно полностью исключить возможность утечки данных, ведь больше половины всех утечек происходит именно на стороне конечных пользователей, а полностью контролировать действия пользователей во время самоизоляции — почти невыполнимая задача. Также нереально ограничить использование общедоступных, некорпоративных, мессенджеров в рабочих целях.

Не стоит, однако, делать вывод, что все обстоит так плохо, и подавляющее количество организаций находятся в опасности. В компаниях с масштабируемой инфраструктурой и компетентными специалистами, которые были готовы к переводу коллег на режим работы в самоизоляции, переход на «удаленку» произошел достаточно безболезненно.

Другая актуальная проблема — уже упомянутая положительная динамика в части компрометации данных пользователей разных систем и сервисов. Наверное, один из самых резонансных случаев за последние пару недель – утечка данных более 5 млн. постояльцев сети отелей Marriott (источник https://mysupport.marriott.com/).

Кроме того, в Сети замечен рост числа мошеннических ресурсов, маскирующихся под популярные в условиях карантина сервисы доставки продуктов и других товаров на дом, онлайн-кинотеатров, обучающих платформ и т.д. В результате покупки товаров у таких «продавцов» с карты списываются деньги, но никакого товара, само собой, преступник не получает. Участились случаи и телефонного мошенничества. Представляясь сотрудниками клиник, преступники вымогают деньги за лечение родственника жертвы, якобы зараженного коронавирусной инфекцией. Не стоит списывать со счетов и инсайдерские атаки, совершенные руками сотрудников финансовых организаций, воспользовавшихся напряженной ситуацией и служебным положением.

Ущерб для «белой» экономики не закончится только на хищении средств. Помимо вышеописанного, банки ждет другая проблема. Все деньги, полученные преступным путем, мошенникам еще предстоит «отмыть», то есть перевести их в другие активы, скрыв преступный путь их получения. Во многих случаях к этой процедуре добавляется еще вывод средств из страны. Компрометация данных клиентов — это лишь первый шаг во всем процессе отмывания денег, и за ним неотступно следует размещение средств в банке с последующим проведением различных операций. Таким образом, вслед за ростом кибератак начинается настоящий экзамен для комплаенс-систем банков, которым предстоит принять на себя основную нагрузку в маркировании преступных транзакций на фоне общего увеличения безналичных расчетов. В зоне риска находятся банки, в которых уровень автоматизации процедур AML, противодействия отмыванию денег, не соответствует тому уровню, которого достигли финансовые мошенники в своем «мастерстве». Часто антифрод-системы либо не справляются с большими потоками данных, либо анализируют данные по клиентам и связанных с ними транзакций недостаточно оперативно и комплексно. Не исключено, что ситуация вокруг распространения коронавируса привнесет в банковский мир новые сценарии и механизмы легализации доходов, например, через благотворительные фонды, деятельность которых якобы посвящена поискам вакцины от вируса, или через присвоение средств, выделенных на так и не проведенные мероприятия, а также работы по борьбе с инфекцией. Точно можно сказать одно: несмотря на то, что сотрудников в коридорах офисов стало меньше, объем задач для сотрудников отделов информационной безопасности и финансового комплаенса в разы увеличился.

https://infocity.az/2020/04/pandemiya-perehodit-na-storonu-kiberprestupnosti/

Как обеспечить работу компании в экономически нестабильное время: взгляд со стороны IТ-департамента

Комментарий Алексея Захарова, директора по региональному развитию, журналу InfoCity (Азербайджан)

Какой бы налаженной ни была деятельность организации, будь то крупный банк или небольшая компания по подбору персонала, всегда существует риск возникновения форс-мажорных обстоятельств, которые поставят под удар все бизнес-процессы. 1998, 2008, 2013, … — кризисы происходят постоянно, и последние годы наглядно демонстрируют нам такие примеры: несколько финансовых кризисов, которые коснулись мирового сообщества; экономические санкции, наложенные, например, на Россию; военные конфликты в некоторых странах Ближнего Востока, влияющие на обстановку во всем регионе, падение цен на нефть. Наконец, актуальный сейчас режим общемирового карантина.

В таких нестабильных условиях перед каждым работодателем стоит непростая задача: обезопасить свой бизнес и, что немаловажно, своих сотрудников. На помощь, как и во многих других случаях, неизменно приходят информационные технологии. Текущая ситуация с коронавирусом показала, насколько необходима возможность обеспечения удаленной работы сотрудников. Да, на первый взгляд, это довольно тривиальная задача, однако, многие компании оказались не готовы к переводу своих сотрудников на работу из дома. Среди таких компаний не только крупные государственные организации или банки, стандарты безопасности которых ограничивают доступ ко внутренним ресурсам, но и просто коммерческие компании, где подобную возможность не рассматривали и не организовали ранее по каким-то причинам.

Настройка удаленного доступа к системам и/или ресурсам компании — это не единственная сложность, с которой сталкиваются IT-специалисты. Организация быстрой и простой коммуникации сотрудников — это следующая сложная задача. В социальных сетях появилось огромное количество опросов на тему «а как вы выстраиваете удаленные коммуникации», и зачастую наиболее популярный ответ: «используем не менее 3-4 каналов связи, причем часть из них — это не корпоративные системы, а общепринятые средства обмена сообщениями».

Стоит заметить, что даже в наше время повсеместной автоматизации около половины компаний имеют в своем распоряжении только электронную почту и мобильные телефоны. Обладая только таким арсеналом, вести совместную работу не всегда удобно, тем не менее, даже у крупных компаний не всегда доходят руки до установки и настройки систем ведения проектов, формирования базы знаний и т.д.

Кстати, новые возможности для оперативной организации удаленного доступа и совместной работы предоставляют программные продукты с открытым исходным кодом (например, открытая система управления проектами Redmine): не нужно согласовывать приобретение лицензии, соответственно, тратить средства на приобретение продукта, «скачай и пользуйся». Однако не стоит воспринимать такой подход как панацею: опенсурс-платформа не всегда способна на 100% заменить проприетарное решение, да и конечная стоимость внедрения может быть больше, а самое важное — процесс внедрения требует времени и несет риски, поскольку коммерческие решения поддерживаются самим вендором, а продукты с открытым исходным кодом, как правило, — своими силами организации или сторонними компаниями-интеграторами.

Сейчас в ходе общения с нашими заказчиками и партнерами мы выделяем следующие проблемы в деятельности IТ-отделов, которые мешают компаниям оперативно и качественно реагировать на форс-мажорные обстоятельства в части обеспечения непрерывности деятельности компании:

  • Недостаток компетенций

В инфраструктуре многих организаций встречается целый спектр используемых технологий; основной риск в такого подхода — потребность в постоянном присутствии в штате сотрудников, обладающих глубокой экспертизой по всем внедренным продуктам.

  • Ограниченные ресурсы рабочих станций/ноутбуков

Руководители IТ-подразделений подавляющего большинства компаний не предполагали, что перевод сотрудников на удаленный формат работы во время пандемии примет такой массовый характер, поэтому столкнулись с дополнительной головной болью помимо возможного отсутствия технических компетенций в процессе организации «удаленки»:

  • В том случае, если в офисах принято использование рабочих станций, а не ноутбуков (как, например, во многих банках), то сотрудников предстоит снабдить вычислительными мощностями: часто у работников дома имеются только ограниченные по производительности ПК или ноутбуки, ориентированные на использование в личных целях и не всегда подходящие для выполнения рабочих задач. Это вынуждает работодателя приобретать дополнительные достаточно мощные ноутбуки, что, конечно, является незапланированными расходами. Помимо компьютеров потребуются также новые лицензии на офисные программы и специальное ПО;
  • IТ-инфраструктура на время удаленного доступа слабо контролируется; основной риск — утечка данных не только из-за предоставления доступа к системам, ранее находящихся в закрытых периметрах, но и из-за невозможности развернуть на ноутбуках клиенты систем безопасности. По сути, установка стороннего ПО больше не контролируется системными инженерами и сотрудникам службы безопасности, и информация, предназначенная для служебного пользования, становится доступна для программ-шпионов;
  • Сами сотрудники далеко не всегда могут самостоятельно настроить свои компьютеры, например, для работы по VPN или разобраться в тонкостях систем управления проектами без посторонней помощи.

Самыми эффективными методами обеспечить бесперебойную работу организации в части IТ на сегодняшний день можно считать:

  • IТ-аутсорс. Речь не идет о необходимости замены IТ-команды организации на специалистов компании-аутсорсеров (хотя, к сожалению, часто сокращение персонала рассматривается как вынужденная антикризисная мера): часто при возникновении внештатных ситуаций команду заказчика необходимо временно усилить опытными специалистами технической поддержки, разработчиками, архитекторами. Такой подход позволяет качественно выполнить работу и не перегрузить собственных специалистов. Многим компаниям во время карантина 2020 года потребовалась помощь сторонних команд даже в задаче экстренного перехода на удаленную работу, не говоря уже о потребности в дополнительных руках в части технической поддержки (такую потребность испытали на себе ритейловые компании и дистрибьюторы продуктов питания в моменты возникновения повышенного спроса на категории товаров первой необходимости на фоне общей паники).
  • внедрение облачных технологий: «Облака» — это не только набор технологий, о которых последнее время много говорят, но и архитектура, способная помочь в сокращении трудозатрат на техническую поддержку, масштабирование; облачные платформы успешно становятся площадками для взаимодействия распределенных по разным странам команд без предварительных мероприятий по предоставлению сетевого доступа и выдаче прав. Яркий тому пример — облачные сервисы совместной работы команд от Atlassian.
  • использование новых каналов коммуникации: многие из нас замечали, что иногда с коллегами быстрее и проще взаимодействовать не через корпоративную электронную почту, а с помощью мессенджеров. Корпоративная этика компаний все чаще и чаще регламентирует и поощряет использование мессенджеров, чатов и ботов в рабочем процессе. Мессенджеры хорошо показывают себя в случае возникновения форс-мажорных ситуаций, и здесь стоит упомянуть не только о быстром обмене сообщениями и фотографиями, но и о механизме оперативных оповещений, например, с помощью ботов. Кстати, боты находят применение и в задачах технической поддержки. Таким образом задача IТ-отдела — интегрировать мессенджеры в повседневную работу, корректно их настроить и подключить всех сотрудников.
  • использование программ для контроля «теневого» программного обеспечения и управления лицензиями, таких как SaasLicense или Oracle CASB: с помощью дополнительных инструментов контроля за ПО можно организовать мониторинг использования лицензионного ПО, а также отследить установки нежелательных программ и утилит, что, соответственно, снизит риски утечки данных.

Нельзя предугадать, какие задачи придется решать IТ-департаментам завтра и насколько оперативно, но, выстроив инфраструктуру, руководствуясь принципами быстрого и надежного масштабирования, можно не только обезопасить компанию от непредвиденных затрат, но и обеспечить максимальную непрерывность бизнеса.

https://infocity.az/2020/04/kak-obespechit-rabotu-kompanii-v-ekonomicheski-nestabilnoe-vremya/

DBI анонсирует цикл вебинаров, посвященных безопасности баз данных Oracle

На фоне кризиса во всем мире неуклонно растет число утечек данных. Предпосылкой к этому часто выступает банальная незащищенность СУБД от уязвимостей. По данным аналитических центров, в 2019 году на “черный” рынок баз данных в России попали данные 70 млн. клиентов более чем 40 банков. До 90% всех похищенных баз данных выставлялись на продажу сотрудниками банков. В связи с такой тенденцией компания DBI запускает цикл вебинаров, в ходе которых наши специалисты расскажут, какие опции безопасности уже есть в СУБД Oracle и когда их нужно использовать.

Комментирует Алексей Захаров, директора по региональному развитию DBI:

“Казалось бы, база данных должна быть максимально защищена всеми возможными силами. Однако, лишь 15% всех затрат на безопасность направляются на защиту баз данных, в то время как на сетевую безопасность идет 67%. Увы, основная проблема халатного отношения к вопросу защищенности данных — человеческий фактор: либо все уверены, что данные компании никому не интересны и поэтому не могут стать конечной целью злоумышленников, либо чересчур полагаются на средства информационной безопасности компании (часто они ограничиваются лишь антивирусами и файрволлами). Излишнее доверие работодателей и невнимательность к разграничению прав доступа также открывают возможности для хищения данных собственными сотрудниками.

В цикле наших вебинаров мы осветим разные инструменты и подходы к обеспечению защиты СУБД Oracle. Затронем темы оценки уровня безопасности Вашей базы данных, опции маскирования данных, шифрование и сокрытие данных от администратора баз данных. Каждая такая онлайн-встреча будет сопровождаться не только описанием кейсов, но и демонстрацией той или иной опции безопасности. Наши вебинары, думаю, будут интересны широкому кругу слушателей”.

Участие бесплатное, требуется только предварительная регистрация. Вебинары в записи можно посмотреть на нашем Youtube-канале: https://www.youtube.com/channel/UC9Q1MHKwVWYDpLAbkQ2DRtQ

«Уральские авиалинии» удостоены премии «Крылья России»

Поддержка ИТ-инфраструктуры авиакомпании подобна обслуживанию самолета: слаженная работа разных специалистов, оперативное решение проблем и максимальное качество выполняемых работ. Коллектив DBI поздравляет авиакомпанию «Уральские авиалинии» с заслуженной наградой и желает ей новых побед и новых высот!

С 2016 года мы работаем с Уральскими Авиалиниями над разными большими и маленькими задачами. Мы рады быть частью команды!

https://www.uralairlines.ru/news/element/uralskie-avialinii-udostoeny-premii-krylya-rossii-v-nominatsii-tsifrovye-tekhnologii-dlya-aviakompan/