На главную
Цифровая Россия
Индустрия 4.0
Пожар, хакеры и санкции: как сделать бизнес устойчивым к форс-мажорам
У многих компаний бизнес завязан на ИТ: персональные данные хранятся в дата-центрах, клиенты заказывают товары через приложение. А пока очередная деталь ползет по конвейеру, десятки специально обученных роботов собирают данные телеметрии. Но активное использование технологий без должной подготовки к проблемам может привести к серьезным финансовым потерям и даже банкротству.

Вся эта кухня уже сама по себе требует большого внимания. И понятно, что компании сосредоточены на эксплуатации систем, а не на защите от возможных проблем. И действительно, при правильной эксплуатации в 95% случаев обойдется без катастроф. Но бывают и форс-мажоры: пожар в дата-центре, санкции, кибератаки — это вещи, к которым нельзя подготовиться в рамках обычной эксплуатации. Но если этого не сделать, можно потерять деньги, клиентов, репутацию и весь бизнес.

В 2018 году Порошенко ввел санкции против крупной российской IT-компании: на всей территории Украины за один день отказал ее платежный провайдер. Платежи остановились на 20 тысячах украинских предприятий, и до сих пор многие из них восстанавливаются после кризиса. Это произошло за неделю, и ни один предприниматель не смог бы полностью переделать свою платежную инфраструктуру за это время.

«Инфосистемы Джет» — одна из немногих компаний на российском рынке, которые профессионально занимаются обеспечением непрерывности бизнеса, она существует уже десять лет. В этой статье мы подробнее расскажем об этом процессе и о ситуациях, от которых вас может защитить грамотно составленный план обеспечения непрерывности.

Потеря данных

Даже самому опытному CTO не всегда очевидно, что финансовую отчетность нужно не только автоматизировать, но и резервировать. Желательно, чтобы данные дублировались в ЦОД, который находится в другом районе, городе или даже стране — так, чтобы в случае пожара, урагана или ремонтных работ пострадал только один дата-центр.

В 2017 году у одного популярного среди молодежи банка рабочие перебили оптоволоконный кабель, идущий к дата-центру. Из-за этого платежная инфраструктура встала: карты клиентов не работали, переводы не проходили. Если бы данные георезервировались, то есть одновременно сохранялись сразу в двух дата-центрах, то в случае выхода из строя одного ЦОДа его функцию сразу же перехватил бы второй.

Санкции

Санкции тоже повлияли на потребление компаниями ИТ-продуктов. После первой волны запретительных законов США некоторые российские государственные и окологосударственные компании были вынуждены перейти на отечественный софт и отказаться от инфраструктуры американских производителей.

В силу внезапности это подкосило многие процессы. Допустим, у компании 15 ТБ клиентских данных в западной CRM-системе. Ее нужно перенести на отечественную CRM. Это проект, который займет от полугода до нескольких лет, и это в случае его ранней проработки. В горящем режиме и бюджет, и сроки увеличиваются.

Чтобы санкции не стали неожиданностью, к ним, как и к любому форс-мажору, можно подготовиться. Например, иметь четко спланированную схему миграции на новое «железо».

В феврале 2018-го крупнейший мировой производитель программного обеспечения для организаций из США ужесточил ограничения на поставку своей продукции российским нефтегазовым компаниям и ее поддержку. Это было сделано из-за принятых Минфином США шагов по расширению санкций против России. По данным Минпромторга РФ, доля импортного ПО в нефтегазовой отрасли на тот момент составляла 91%. При этом планов миграции на отечественное ПО не существовало. Кроме того, российский софт по ряду параметров серьезно уступает западным аналогам. По данным экспертов российских деловых изданий, ограничения на поставки американского ПО ставят под угрозу будущие проекты российской нефтегазовой отрасли, что грозит обернуться огромными финансовыми потерями в будущем.

Хакерские атаки

Корпорации — это большие организмы с медленным метаболизмом. Иногда они слишком вяло реагируют на современные вызовы. Например, на хакерскую атаку со сливом клиентских данных.

В таких случаях нужно не только вовремя перекрыть утечку, но и правильно прокомментировать ситуацию в СМИ. Для этого нужно иметь четкий план действий, в котором специалисты по безопасности блокируют доступ к защищаемой информации, а пиарщики сообщают четкую информацию об инциденте. Всё это можно предусмотреть заранее и составить план, который уже будет согласован и в случае атаки реализуется автоматически.

Катастрофы

Катастрофы, например пожар, также повод для беспокойства. Они всегда происходят внезапно, потому к ним нужно быть готовыми и автоматически реагировать.

Этим летом у одного из крупных российских облачных сервисов загорелся ЦОД. Основной удар пришелся на массивы Mail.ru Group и крупного платежного сервиса. Часть оборудования пострадала, а сервисы стали недоступны на несколько часов. Причем ни облачный сервис, ни его клиенты не были готовы к этому. Если бы у всех был план действий во время катастрофы, который специалисты называют Disaster Recovery Plan, или DR-план, то пользователи даже не почувствовали бы каких-либо проблем.

Однажды офис компании «Инфосистемы Джет» загорелся, но не в одном зале, как у того облачного сервиса, а с крыши до фундамента. Сгорело всё, даже несгораемые сейфы. За пару часов здание стало полностью непригодно для эксплуатации. Но имея DR-план, сотрудники переехали в новый офис и за два дня восстановили ИТ-инфраструктуру, системы и данные на достаточном уровне, чтобы продолжить работу. Причем половину этого времени мы ожидали поставку нового оборудования. Пожар произошел в пятницу, а в понедельник все сотрудники уже вышли работать в новый офис.

После того случая «Инфосистемы Джет» начали предлагать услуги по разработке DR-планов и процессов обеспечения непрерывности бизнеса. Компания сотрудничает с Veritas и производителем решений по управлению BCM-процессами ClearView. В портфолио «Инфосистемы Джет» — создание стратегии развития непрерывности IT-сервисов и бизнес-процессов, а также построение отказоустойчивой инфраструктуры для крупнейших российских компаний.

Значение BCM для современного бизнеса подтверждают и рыночные исследования. Такое в начале 2019-го провела в России компания «Инфосистемы Джет» совместно с CNews Analytics и компанией Veritas. Были опрошены представители крупной промышленности, ритейла, финансов, ТЭК, телекома и авиатранспорта с годовым оборотом от 20 млрд руб. из топ-500 рейтинга РБК.

«Увеличение степени зависимости бизнеса от ИТ повышает требования к тому, каким образом происходит переключение на резервную инфраструктуру в случае ЧС, и делает наличие средств автоматизации практически обязательным условием. Вместе с этим особенности построения современных ИТ-инфраструктур накладывают ряд требований на такие средства автоматизации: поддержка различных технологий виртуализации, возможность репликации данных между физическим и облачным ЦОДами, поддержка физических платформ и наличие агентов, понимающих особенности приложений и СУБД. Возникают новые задачи по оркестрации и автоматизации переключения сложносоставных ИТ-систем с учетом зависимостей между модулями и компонентами. Veritas видит будущее средств автоматизации DR именно за такими решениями и сама активно занимается разработкой таких решений», — сообщает руководитель подразделения технических решений Veritas по России, СНГ и Польше Николай Починок.

Из чего состоят BCM и BCP в «Инфосистемы Джет»

За рубежом этот процесс называют Business Continuity Management, или BCM, он включает несколько этапов:

• определение рисков;
• оценка их воздействия на бизнес;
• разработка плана действий в экстренных ситуациях;
• улучшение ИТ- и бизнес-процессов для стабильного реагирования на угрозы.

Игорь ТюкачевРуководитель направления непрерывности в «Инфосистемы Джет»«Мы рассчитываем несколько вариантов потерь. Финансовые — когда компания недополучает прибыль или оказывает услуги, но не может их протарифицировать. Репутационные — например, что напишут о нештатной ситуации в СМИ и как это повлияет на стоимость компании и бизнес. Также мы оцениваем влияние на клиентов, партнеров и контрагентов. Один из важнейших показателей — влияние нештатных ситуаций на жизнь и здоровье собственных сотрудников компании. Помимо этого, мы оцениваем фактор штрафов регуляторов, к примеру, нефтяная компания в случае пожара или разлива нефти может получить такой штраф из-за загрязнения окружающей среды.

Мы рисуем наихудший сценарий, разбиваем его на шкале времени по часам и совместно с заказчиком определяем, в какой момент ущерб для компании достигает неприемлемого уровня. Это дает понять, за какое время нужно любым способом восстановить ключевые бизнес-процессы компании».

В этот же процесс входят разработка планов непрерывности, кризисного реагирования и альтернативных способов организации бизнес-процессов в случае нештатных ситуаций (Business Continuity Plan, или BCP) и аварийного восстановления после сбоев (Disaster Recovery Plan, или DRP). Первое направлено на предупреждение проблем, второе — на их решение.

Позитивный пример применения BCM в сфере телекома — один крупный европейский сотовый оператор. В апреле 2012-го пожар вывел из строя оборудование в одном из ключевых узлов оператора. По всей Голландии абоненты лишились связи. Однако компания быстро справилась с чрезвычайной ситуацией, перенаправив абонентский голосовой и СМС-трафик на резервные узлы в Амстердаме. Также удалось возобновить работу 3G-интернета для примерно 50% абонентов благодаря сотрудничеству с другими операторами. В итоге сеть была полностью восстановлена менее чем за сутки.

По мнению экспертов «Инфосистемы Джет»

Построение зрелого процесса BCM — это сложная, многоэтапная программа проектов. Первый этап — обследование организации: на этой стадии эксперты определяют ключевые бизнес-процессы и ресурсы (люди, ИТ-технологии, данные и инфраструктура зданий), определяют их зависимости между собой и формируют группы рисков.

Второй этап — планирование. В него входят определение стратегии BCM, разработка процессной документации и формирование целевой архитектуры бизнес-процессов и ресурсов, от которых они зависят.

Третий этап — тестирование планов непрерывности и технических решений по ее обеспечению. В рамках данного этапа существующие планы проходят тестирование в «боевых» условиях.

Заключительный этап — обучение персонала.

Нештатных ситуаций избежать нельзя, и произойти они могут в любое время. Последствия даже небольшого инцидента могут быть катастрофическими: от потери важной информации до банкротства. В зависимости от сферы даже несколько минут парализации деятельности могут обернуться миллионными потерями. И именно поэтому так важно озаботиться обеспечением непрерывности бизнеса заранее — до того как форс-мажор нанесет сокрушительный удар.