Джордж Спаффорд - Проект «Феникс». Роман о том, как DevOps меняет бизнес к лучшему

Нэнси сухо говорит: «Интересно. Хранение персональных данных не попадает в поле зрения аудита на соответствие SOX-404, так что, с этой точки зрения, сфокусироваться на общем контроле в IT было бы лучшим способом использования времени».

Подождите-ка. Срочная токенизация, выполненная Джоном, была проделана впустую?

Если это правда, то нам с Джоном будет о чем побеседовать. Позже.

Я медленно говорю: «Нэнси, если честно, я понятия не имею, что мы сможем сделать для тебя к пятнице. Мы просто погребены под восстановительными работами и пытаемся еще поддерживать запуск «Феникса». Какие из обнаруженных проблем наиболее важны?»

Нэнси кивает Тиму, который говорит: «Конечно. Первое – это потенциальные существенные недостатки, они отражены на странице семь. Вот этот пункт указывает на неавторизованные и нетестировавшиеся изменения в приложения, которые поддерживают финансовую отчетность. Это могло привести к неопределяемой существенной ошибке, вплоть до мошенничества и т. п. У руководства нет способов контроля, которые могли бы предотвратить или защитить систему от подобных изменений.

Более того, ваша группа вообще не проводит встречи относительно изменений, хотя предполагается, что они должны проходить еженедельно, согласно вашей же политике».

Я стараюсь своим видом не выдать, что на последнее собрание CAB вчера не пришел никто, а во время инцидента с системой расчет зарплаты мы настолько не подозревали об изменениях, которые проводил Джон, что закончилось все тем, что обвалился SAN. Если мы были слепы относительно этих изменений, я искренне сомневаюсь, что мы бы заметили, если бы кто-нибудь украл, допустим, 100 миллионов долларов при помощи специальной программы.

«Правда? Это невероятно. Я обязательно разберусь», – говорю я, надеясь, что в моем голосе звучит достаточно удивления и слышно, что это поражает меня до глубины души. Я киваю, Тим продолжает:

«Затем, мы нашли несколько инстанций, где разработчики имеют административный доступ к производственным приложениям и базам данных. Это существенно усугубляет риск мошенничества».

Я смотрю на Джона: «Серьезно? Ты не говорил. Разработчики вносят изменения в приложения, не получая специального разрешения на изменения? Это определенно звучит как риск системы безопасности. Что бы случилось, если бы кто-нибудь вынудил разработчика, ну, скажем, Макса, сделать что-то без авторизации? Мы должны с этим что-то делать, да, Джон?»

Джон становится ярко-красного цвета, но вежливо отвечает: «Конечно. Я согласен и буду счастлив помочь».

Тим говорит: «Хорошо. Давайте перейдем к шестнадцати значительным ошибкам».

Спустя полчаса Тим все еще объясняет нам. Я тупо уставился в огромную стопку найденных ошибок. Большая часть этих отчетов – вроде тех огромных, бесполезных документов, которые мы получаем от отдела по информационной безопасности, и это еще одна причина, почему у Джона плохая репутация.

Это бесконечное колесо боли: служба информационной безопасности заполняет ящики входящих сообщений бесконечными списками критически необходимой работы по защите информации, квартал за кварталом.

Когда Тим наконец-то заканчивает, Джон выступает с инициативой: «Мы должны подлатать эту уязвимую систему. У моей команды полно опыта в такого рода делах, если вдруг вам понадобится помощь. Эти ошибки, обнаруженные аудитом, – это великолепная возможность закрыть некоторые огромные дыры в системе безопасности».

«Слушайте, вы оба понятия не имеете, о чем просите, – говорит Вэс Джону и Тиму, очевидно раздраженный. – Некоторым из наших серверов больше двадцати лет. Половина компании вылетит в трубу, если они выйдут из строя, а их производитель отошел от дел больше десяти лет назад! Это вещи настолько хрупкие, что если вы просто посмотрите на них не в то время дня, они сломаются и понадобится самая сильная магия вуду, чтобы перезапустить их. Они ни за что не справятся с теми изменениями, которые вы предлагаете вносить!»

Он наклоняется над столом, тыча пальцем прямо Джону в лицо. «Ты хочешь исправить все сейчас самостоятельно, ладно. Но я хочу получить от тебя расписку, что если после того, как ты нажмешь кнопку и половина компании полетит к чертям, то ты лично проползешь по всем менеджерам на производстве и объяснишь им, почему они не получили свои производственные планы. Договорились?»

Я в изумлении смотрю на то, как Джон наклоняется к Вэсу и со злостью говорит: «Ах, вот как? А как насчет того, что мы будем на всех первых полосах, потому что потеряли персональные данные, которые обязаны защищать? Ты лично будешь извиняться перед тысячами или миллионами семей, чьи данные были проданы русской мафии?»

Я говорю: «Так, все успокойтесь. Мы все хотим делать то, что хорошо для компании. Фишка в том, чтобы выяснить, что у нас есть время сделать и какие системы действительно можно подлатать».

Я смотрю на стопку бумаг. Вэс, Патти и я можем найти достаточно людей, чтобы разобраться с каждой проблемой, но кто будет выполнять другую, настоящую работу? Мы уже горим по срокам с «Фениксом», и я боюсь, что этот огромный проект будет той соломинкой, которая сломает спину верблюду.

Я говорю Нэнси: «Я соберу свою команду прямо сейчас, и мы продумаем план. Я не могу обещать, что мы подготовим ответное письмо по всем пунктам, но я даю слово, что мы сделаем все, что можем. Этого будет достаточно?»

«Вполне, – говорит Нэнси дружелюбно. – Пройтись по обнаруженным ошибкам и определиться со следующими шагами – это и были главные цели этой встречи».

Встреча заканчивается, я прошу Вэса остаться.

Заметив это, Джон задерживается тоже. «Это катастрофа. Все мои квартальные цели и бонусы завязаны на том, чтобы мы без проблем прошли SOX-404 и PCI-аудиты. Я провалюсь, потому что вы, ребята, не можете взять себя в руки!»

«Давай к нам», – говорю я.

Чтобы избавиться от него, я говорю: «Сара и Стив решили сдвинуть дату запуска «Феникса» на следующую пятницу. Они хотят просмотреть все отчеты по безопасности. Возможно, тебе стоит поговорить с Крисом и Сарой прямо сейчас».

Как я и ожидал, Джон проклинает все на свете и убегает, хлопая за собой дверью.

Измученный, я откидываюсь на стуле и говорю Вэсу: «Это просто не наша неделя».

Вэс весело смеется: «Я говорил тебе – у меня мозг скоро взорвется от того, что здесь творится».

Я указываю на отчеты аудиторов. «Предполагается, что мы сейчас подготавливаем ключевые ресурсы для «Феникса», но это все меняет. У нас нет такого количества людей, которые могут просто сесть и заняться всем этим, да?»

Вэс качает головой, его лицо непривычно напряжено.

Он еще раз переворачивает стопку бумаг. «Нам определенно понадобятся ведущие специалисты для этого. Но как ты уже и сказал, они все занимаются «Фениксом». Должны ли мы отвлекать их от проекта?