Один замечательный человек из компании Аладдин задал вопрос, что нужно сделать, чтобы я как системный администратор купил их продукт под названием SecretDisk. Если кто не в курсе, это средство шифрования дисков с хранением ключа на eToken или на смарт-карте. Подробности функционала можно почитать по ссылке на продукт или обратиться к людям, которые его продают. Предполагаю, что развернутый ответ будет интересен не только Аладдину, но и всем, кто хочет продать или купить эту программу.
Вопрос на самом деле состоит из двух частей. Чтобы продать SecretDisk нужно, во-первых (и главных :)), убедить клиента, что шифрование данных ему нужно в принципе. И только уже во вторую очередь нужно убеждать, что SecretDisk – это наше все 🙂 Распишу подробнее обе части.
Дело в том, что клиент никогда не будет использовать средство шифрования, если он не считает, что оно ему надо. Причем клиент в широком смысле, а не конкретно сисадмин. Поэтому для начала надо выяснить задумывался ли клиент над этим вопросом или абсолютно уверено, что все и так хорошо. Здесь проблема в том, что не очень понятно к кому идти и кого убеждать. Если есть безопасник, то к нему, конечно же. А если нет? Тут может ключевую роль играть как сисадмин, так и вообще кто угодно в компании. Наверное, первая цель – действительно системный администратор, но если его убедить в необходимости шифрования данных не удалось, есть смысл зайти еще к кому-нибудь. Я бы (в случае неудач) пошел по людям в таком порядке: сисадмин, директор, бухгалтер, начальник продажников, юристы.
Кого-то в компании может не быть (юристов, например), значит идем к следующему человеку. Логика следующая – сисадмин может оказаться слишком ленив, чтобы что-то внедрять, но он подчинится директору (скорее всего). Бухгалтер обычно имеет довольно большой вес в компании и поскольку такая нефиговая часть компаний работает «вчерную», бухгалтерии обычно есть что прятать от врагов в лице конкурентов и прочих налоговых органов. Остальное уже почти мертвый номер, но продажники могут цепляться за клиентскую базу и действующие сделки и бояться, что все это дело утечет к конкурентам. На юристов можно попытаться надавить персональными данными, но это тоже вариант, близкий к безнадежному.
Гут. Предположим, что клиент готов шифровать свои секретные данные. Тут снова два варианта – либо решение принял директор (пусть и с подачи какого-нибудь бухгалтера), либо сисадмин убедил начальство, что это нужно. Здесь все зависит опять от лени сисадмина 🙂 Если мы имеем дело с первым случаем, то скорее всего сисадмину откровенно влом заниматься поиском и выбором решений, так что тут нужно просто вовремя появиться и сказать «Вам нужно шифрование? Его есть у меня!». Скорее всего, не понадобится долго рассказывать про поддержку ГОСТовых алгоритмов, широту функций и наличие свистелок – прокатит стандартная презентация «для ознакомления». Разумеется, можно попробовать подкупить сисадмина в стиле «Если контора закупит SecretDisk, мы тебе персонально подарим eToken и лицензию на SecretDisk». Майки-кружки-аксесуары, кстати, тоже можно использовать – мы это любим 😉
А вот если решение об использовании средств шифрования продавил в компании сисадмин, то тут все гораздо сложнее. Вероятнее всего, в этом случае сисадмин человек думающий и интересующийся. Это значит, что он наверняка будет искать и почти точно найдет альтернативы. Навскидку могу назвать TrueCryprt и BitLocker. Здесь придется повоевать. Сами eToken продать будет не проблема, потому что уж больно удобны они в качестве смарт-карт (с драйверами проблем нет, известная марка, USB рулит и прочее). Я бы настоятельно рекомендовал тем людям, которые продают SecretDisk, плотно познакомиться с конкурентами, чтобы было чем крыть.
Если кратко, TrueCrypt бесплатен, а BitLocker мало того, что с Windows последних выпусков (со старшими версиями) уже идет в комплекте, так еще и может управляться через AD. Кстати, возможность подкупа, как в предыдущем случае никто не отменял 🙂 В конечном итоге деньги-то все равно конторские. Хотя вариант перед продажей задарить сисадмину лицензию «на попробовать» вполне может сработать.
Вопрос под номером 2+ заключается в том, какие версии можно вообще предложить клиенту (это при условии, что он все же выбрал SecretDisk). Если компания маленькая, выделенного сервера может просто не быть и предлагать SDSNG просто бессмысленно. А если сервер есть, то с моей колокольни представляется, что шифровать что-то, кроме файловых серверов (да и то не всех) большого смысла не имеет. Кстати, в качестве файлового сервера вполне может использоваться аппаратный NAS, куда SDSNG просто не встанет и об этом тоже забывать не стоит. С персональной версией тоже все на так радужно, как хотелось бы. Проще всего объяснить необходимость SD на ноутбуках, которые в принципе покидают офис – защита от утечек данных при краже или каком-то ином несанкционированном варианте доступа к диску и компьютеру.
Для простых рабочих станций большой необходимости в шифровании данных нет. Единственный внятный аргумент – перенос данных на разного рода флешках с работы домой. Но тут тоже есть несколько подводных камней. Во-первых, совершенно не факт, что конкретный пользователь не будет лениться шифровать конфиденциальные данные. А во-вторых, где гарантии, что бумажка с паролем на eToken не будет приклеена на сам eToken? Или eToken с ключом будет лежать на виду, да еще и с бирочкой «ключ к зашифрованному диску». Другими словами, нужно понимать насколько пользователи готовы подчиняться правилам безопасности. Мои вот не готовы в большинстве своем.
Еще одну мысль кину вдогонку. Вы знаете, что заставить женщину использовать смарт-карты в том или ином исполнении несколько затруднительно? Причем связано это с такой особенностью, как отсутствие карманов в женской одежде. Носить карточку или токен на «ошейнике» некрасиво (неудобно, детский сад, прочее), а положить в карман никак по причине отсутствия таковых. Посмотрите на соседок по офису. Стандартная одежда – блузка и юбка, и то и другое без карманов. Как вы думаете, какова вероятность, что покидая рабочее место женщина возьмет токен с собой? Мужик кинет в карман к прочему хламу и будет относительно доволен, а женщина скорее всего оставит его где оно есть.