«Ты сам во всем виноват»: как SaaS защищают пользовательские данные
Спойлер: не так старательно, как хотелось бы.
Что там пишут в библии современного бизнесмена? Дай голодному рыбу — и он будет сыт целый день. Дай удочку — и он больше не вернется к тебе за рыбой. Это шустро поняли разработчики ПО и переквалифицировались из продавцов удочек в поставщиков рыбы — перешли с коробочных решений на облака и SaaS.

Причем перешли даже те, кому было не к лицу — например, Adobe. Их коробочный Фотошоп хорошо разошелся по рынку и быстро забил нишу. Adobe осталось только прижимать пиратов и заставлять их покупать лицензионное ПО. Либо выпускать новые версии Фотошопа. Но пираты закончились (или ушли в глубокое подполье), а глобально обновлять продукт — напрягаться же надо. Придумывать что-то крутое, чтобы пользователи старых версий захотели перейти на новую. Еще и продвигать её. Сложна.

Другое дело — подсадить пользователей на SaaS, постепенно допиливать небольшие изменения, не напрягаться с продвижением и перманентно тянуть копеечку с подписок.
Получается, основная цель перехода на облако — подсадить покрепче как можно больше пользователей. С тех пор, как программное обеспечение стали делать не инженеры, а маркетологи, прогресс замедлился, а ПО стало хрупким.

Мы не призываем бойкотировать SaaS. Просто разберем ситуацию без запудривания мозгов маркетинговой чепухой. Потому что за каждым обещанием сладкой жизни от SaaS — соломка, которую подстрелили корпоративные юристы.
Что обещают маркетологи
К чему готовиться, когда пользуешься SaaS-сервисами? Давайте разберем по пунктам, которыми они заманивают в свою секту.

1. ПО без капитальных затрат

Платить небольшими частями проще и приятнее, чем сразу отвалить кучу денег. Зато в последнем варианте ПО становится вашим — вы приобретаете лицензию и пользуетесь программой как хотите (в рамках лицензионного соглашения) и сколько хотите. Правда, в этом месте все чаще появляются оговорки, но, по крайней мере, не нужно постоянно платить. А при выборе SaaS вы пользуетесь программным обеспечением, только пока есть интернет и деньги.

Ну и логичная аналогия: что вы предпочтете — купить квартиру или всю жизнь платить аренду? Этот же выбор вы делаете, когда выбираете между коробочным и SaaS софтом.

2. Автоматические обновления

Тексты, прославляющие SaaS, описывают установку коробочных ПО и их обновление как кровавую битву сисадмина и злобного компьютера. Но этот процесс не так страшен, если установкой занимается рукастый и головастый человек.

А вот обещание автоматических обновлений SaaS настораживает. Это значит, что в один прекрасный день вы придете на работу и вместо привычной программы запустите неведому зверушку — тестовую бетку, которая хромает на четыре лапы. И откатиться до крепкой предыдущей версии будет невозможно.
3. Доступность из любого места

Из любого, где есть интернет. Например, при переезде в новостройку, куда интернет протянут только через 2 недели, с полноценным SaaS-софтом придется попрощаться.

Еще проблемы с доступностью из любого места наблюдаются, когда сервис лежит и ждет, когда кто-нибудь в Кремниевой долине его поднимет.

4. Шифрование и защита данных


SaaS хранит наши данные на своих серверах. И ладно, если это макеты дизайна — допустим, мы не боимся их спалить. А если речь о дико секретной и крайне важной переписке в Скайпе или Слаке? Неприятно получится, если эти данные утекут. Вы не задумывались о такой возможности? Тогда держите пищу для паранойи:

  • сентябрь 2014: массовый взлом iCloud знаменитостей с целью наворовать оттуда горячих фотографий. В Apple провели расследование и выяснили, что «хакеры» не взломали сервис, а аккуратно просочились туда, подобрав ответы на контрольные вопросы. А здесь показано, как легко это сделать.
  • апрель 2016: аккаунты Telegram трех журналистов взломаны несмотря на двухэтапную авторизацию. Предположительно, смс с кодом перехватил оператор.
  • июнь 2016: взлом «Вконтакте», украдены данные 171 миллиона пользователей.
  • июль 2016: письма Хиллари Клинтон, которые она отправляла с личной незащищенной почты, опубликованы на Wikileaks.
  • за 2016 год со счетов Центрального Банка России хакеры угнали 2 миллиарда рублей.
  • всегда: единичные угоны профилей в социальных сетях, Steam. Всех когда-то взламывали. Или взломают в будущем.

Компании, которым мы доверяем конфиденциальные данные, не защищают их на 100%. Даже если это банки — которые тот же SaaS, только про деньги. И мы никак не влияем на сохранность данных, если выбираем SaaS, а не ПО из коробки.
Что пишут юристы
То, что данные живут своей жизнью непонятно где — полбеды. Главная проблема современных компаний — свою пятую точку они защищают старательнее, чем пользовательскую информацию. Поройтесь в юридической документации и увидите, как нас вежливо посылают.

Вот, например, что пишут маркетологи Microsoft:
Защита ваших личных данных исключительно важна для нас. Разрабатывая Skype для Windows 8, мы вложили значительные ресурсы в улучшение процесса регистрации и защиту учетной записи. Регистрация, вход и усиленная безопасность были для нас приоритетами.

Skype
А вот что говорят (точнее, горланят капсом) о безопасности юристы:
МЫ НЕ ГАРАНТИРУЕМ, ЧТО РАБОТА СЛУЖБЫ БУДЕТ БЕСПЕРЕБОЙНОЙ, СВОЕВРЕМЕННОЙ, НАДЕЖНОЙ И БЕЗОШИБОЧНОЙ, А ТАКЖЕ НЕ ИСКЛЮЧАЕМ ВОЗМОЖНОЙ УТЕРИ ВАШЕГО СОДЕРЖИМОГО. ТАКЖЕ МЫ НЕ ГАРАНТИРУЕМ КАКОЕ-ЛИБО СОЕДИНЕНИЕ С КОМПЬЮТЕРНЫМИ СЕТЯМИ ИЛИ ПЕРЕДАЧУ ИЗ КОМПЬЮТЕРНЫХ СЕТЕЙ.

В СТЕПЕНИ, ДОПУСКАЕМОЙ МЕСТНЫМ ЗАКОНОДАТЕЛЬСТВОМ, МЫ ОТКАЗЫВАЕМСЯ ОТ ПРЕДОСТАВЛЕНИЯ КАКИХ-ЛИБО ПОДРАЗУМЕВАЕМЫХ ГАРАНТИЙ, ВКЛЮЧАЯ ГАРАНТИИ ТОВАРНОЙ ПРИГОДНОСТИ, УДОВЛЕТВОРИТЕЛЬНОГО КАЧЕСТВА, ПРИГОДНОСТИ ДЛЯ ОПРЕДЕЛЕННОЙ ЦЕЛИ, КАЧЕСТВА ИСПОЛНЕНИЯ И ОТСУТСТВИЯ НАРУШЕНИЯ ПРАВ ИНЫХ ПРАВООБЛАДАТЕЛЕЙ.

— тоже Skype
В таком же тоне (то есть с подтекстом «ты сам во всем виноват») говорят с пользователями другие корпорации, предоставляющие SaaS-софт.
Наша компания не несет ответственности перед вами и любыми другими лицами: (a) за любую утрату возможности использования, потерю данных, репутации или прибыли, которую можно или нельзя было предвидеть; и (б) любые фактические, случайные, косвенные, последующие или штрафные убытки любого рода (даже если наша компания была предупреждена о возможности этого ущерба), включая следующий ущерб: (э) причиненный в результате невозможности использования, потери данных или упущенной прибыли, независимо от того, было ли это предсказуемо; (ю) на основании любой теории ответственности, включая нарушение контракта или гарантии, неосторожность или прочие неправомерные действия; или (я) любые другие претензии, вытекающие из использования вами или связанные с вашим пользованием или доступом к Услугам или Программному обеспечению.

— Adobe
APPLE ОТКАЗЫВАЕТСЯ ОТ ПРЕДОСТАВЛЕНИЯ КАКИХ-ЛИБО ГАРАНТИЙ, ЯВНЫХ ИЛИ ПОДРАЗУМЕВАЕМЫХ, ВКЛЮЧАЯ ЛЮБЫЕ ГАРАНТИИ ТОЧНОСТИ, СОБЛЮДЕНИЯ ПРАВ, ПРИГОДНОСТИ ДЛЯ ПРОДАЖИ И ПРИГОДНОСТИ ДЛЯ ИСПОЛЬЗОВАНИЯ В ОПРЕДЕЛЁННЫХ ЦЕЛЯХ. APPLE ОТКАЗЫВАЕТСЯ ОТ ЛЮБОЙ ОТВЕТСТВЕННОСТИ ЗА ДЕЙСТВИЯ, БЕЗДЕЙСТВИЕ И ПОВЕДЕНИЕ ЛЮБЫХ ТРЕТЬИХ СТОРОН В СВЯЗИ С ВАШИМ ИСПОЛЬЗОВАНИЕМ САЙТА И/ИЛИ ЛЮБЫХ УСЛУГ APPLE. ВЫ БЕРЁТЕ НА СЕБЯ ВСЮ ОТВЕТСТВЕННОСТЬ ЗА СВОЁ ИСПОЛЬЗОВАНИЕ САЙТА И ЛЮБЫХ СВЯЗАННЫХ САЙТОВ.

— Apple
У нас был такой случай: пришло письмо от пенсионного фонда с предупреждением, что мы будем сурово наказаны, потому что якобы не подали отчетность. Хотя мы отправляли её, и это зафиксировала облачная «1С-Отчетность».

Пишем в саппорт, нас отфутболивают в еще один сервис — «Калуга Астрал». И уже в «Астрале» нам объясняют, что отправка была, но почему-то подписана она не тем сертификатом. На вопрос, а как же так получилось, ответили, что ошибка на стороне 1С.

Поддержка 1С комментировать это не стала. Так и сказала: «Мы не можем комментировать ситуацию».
В такой ситуации юридически ответственность лежит на нас (а не на сглючившем ПО). Я уверен, что юристы 1С на этот случай тылы прикрыли. Хотя мы действовали корректно и отчетность отправили своевременно.

Владимир Завертайлов
Руководитель студии интернет-решений Сибирикс
Получается, если сервис глюканёт или хакер сольет наши персональные данные — виноваты будем мы.

Грустно, конечно. Но это не повод отказываться от SaaS — в современных реалиях это невозможно. Просто будьте готовы. И по возможности для критичной инфраструктуры покупайте коробочное ПО, ну а деньги храните в сейфе.

Комментарии

У вас есть проект?

Давайте обсудим его. Продумаем. И сделаем!

Заказать клёвый проект
Заявка отправлена
Спасибо, ваша заявка отправлена. Эксперт студии Сибирикс свяжется с вами в ближайшее время для уточнения подробностей.