Потери потерянных потерь
Есть практики, которые просто нельзя натянуть на суровую действительность. Например я являюсь адептом практики inner source, т.е. когда все исходники доступны всем участником производственного процесса. И до сих пор считаю, что это самая крутая практика для повышение вовлеченности в разработку и распространения знаний по кодой базе, и до недавних пор мне не было возможности в ней усомниться с точки зрения эффективной применимости её для любой компании. Возможно вы подумали из утверждения выше, что я считал эту практику радикально всем подходящей? И вы не сильно далеки от истины. Да, я понимал, что она где-то не приживется или не сработает, но вреда от неё я точно не осознавал. В полной мере.
Несмотря на то, что безопасность исходных кодов – это достаточно скользкая тема, потому как если разработчик имеет возможность скачать проект на рабочую машину, то по факту исходники уже утекли.. И если начать переживать на этот счет, то стоит идти считать стоимость внедрения DLP систем на предприятие и выделять отдельную стойку под железо для всех остальных систем информационной безопасности, ибо ИБ должно быть комплексным, а не точечным. Ну и там до паранойи рукой падать. Можно еще сотрудников на полиграфе гонять раз в месяц и устраивать смену паролей раз в неделю. И в целом все это может звучать как полный и тотальный бред, ведь такой уровень секретности и безопасности нужен ну в обороннке, ну может быть в нии всяких работающих над чем-то секретным, а нам в коммерческой разработке такое нафиг все не надо, поэтому будем молодцами и будем проповедовать практику "всё доступно всем". Так вот несмотря на это всё, безопасность исходных кодов – это не только безопасность компании.
Есть истории, их достаточно много в интернете, а кому-то дядя-друг-мамин-брат-старшей-сестры рассказывал ну про этих, как их там... хакеров, которые пентагон сломали, ну вы знаете! Шутки шутками, а пытливые умы, которые хотят навредить потому что идейные, потому что деньги, потому что скучно, потому что, "а почему бы и нет?" – существуют. И в достаточном количестве. Это не значит, что завтра вас всех перекинут через колено и дадут прикурить, сперев все ваши никому не нужные исходники. Но что делать, если компанию поломают используя лично вас? (тут должен пробежать холодок по спине, кто понял к чему речь идет)
Представьте, что сломали не компанию, а сломали ваш микротик (реальная ситуация вполне, в прошлом году дважды отбивался) или NAS, или не важно как, но зловред оказался у вас на машине, а вы на удаленке и не заметили этого. Представили? Ну в общем-то в течении пары дней через ваш компьютер могут быть вытянуты все исходники из вашей системы контроля версий из под вашей учетки и без вашего ведома. А логи доступа и действий на серверах останутся. Потом исходники толкнут на рынок, компания понесет репутационные риски, не дай бог финансовые. И когда настанет черед разбираться и искать виновного – найдут того, кто по логам скачал все исходники. И не дай бог вы работаете в компании недавно и доверия к вам нет.
Тут конечно никто не виноват, конечно это взлом, конечно это можно попробовать доказать.. А если не сможете? У нас за это дело уголовка по закону предусмотрена, ну в лучшем случае огромный штраф. Не думаю, что хорошо будет спаться и жить после этого с доступом ко всем исходным кодам в другой компании? Да и сможете ли вы работать после этой всей истории в другой ИТ компании? Ой хз.
Я конечно тут нагнал пурги немного. Но ситуация не то, что бы вымышленная. И не то, что бы я на что-то намекаю. А еще помнится была история, как один сотрудник моего знакомого сменил религию, ударился в радикальные взгляды и одним днем ушел из компании в закат, возможно (история умалчивает), ничего и не взял с собой, а потенциально мог бы и забрать и тут риски вообще не понятны.