Откуп от ответственности.

Некоторые технические задачи, особенно в области защиты информации сложны настолько, что компания не может не просто реализовать их, а не может даже качественно оценить, как их реализовал подрядчик. Из этого часто возникают ситуации, когда подрядчик фактически получает деньги за некоторые магические услуги, за ритуал, за Театр безопасности (по Брюсу Шнайеру).

Например, некоторой компании нужно защитить свой контент, веб приложение от ботов. Есть разные сложные методы, как будет действовать антагонист, какие трюки (технологические, социальные и их гибриды) он сможет предпринять, чтобы его боты действовали “как живые”. Компания мудро понимает, что она в этом не разбирается, не хочет изобретать колесо, и просто решает откупиться от проблемы. Пользуется услугами другой компании, которая согласна взять за это деньги (если услуга платная). Вот только беда в том, что оценить, есть ли выхлоп от этих затрат - заказчик не может. Не умеет. Он умеет платить только.

Проще всего это пояснить на простом примере капчи. Каких только ошибок в реализации я не видел. Но золотой стандарт ошибки - реализовать капчу только на фронтенде. Теперь пользователи вынуждены щуриться, разглядывать мутные картинки - зато все выглядит, будто у нас в самом деле есть капча! Вот только на самом деле ее нет. На бэкенде мы не проверяем соответствие капчи, потому что как только заработало - программист сдал, его руководитель увидел и принял, все довольны! Естественно, боты про эту капчу даже и не в курсе, работают с приложением так же, как и работали раньше.

Или, некоторый механизм защищает главную страничку сайта от ботов (зачем-то… будто бы они там опасны), но не защищает API. (для этого пришлось бы менять API, менять множество приложений, а это даже и не совсем возможно, так как приложения есть старые). На уровне менеджеров они договорились, технари с обеих сторон схватились за голову и договорились API не трогать (не ломать все). Но задачу в Jira надо закрыть. Приляпали защиту туда, где она не будет мешать. Но эффект от такой защиты хакер просто не видит, его видит только бухгалтерия, которая оплачивает.

Компании покупают амулеты от чумы, оспы, ковида и сглаза на основании цены, сроков интеграции и цветовой гаммы на сайте продавца.

Вместо того, чтобы посмотреть правде в лицо, признать, что есть проблема, и чтобы ее решить - нам придется как-то напрячься (хотя бы, чтобы оценить, как работает стороннее решение) - мы просто платим деньги со счета фирмы и не напрягаемся. Удобно? Удобно! Мир стремится к удобству, поэтому такая удобная схема и случается.

И сильно ли это отличается от ситуации, когда парикмахер или водитель Убера вместо поиска в гугле “как стать программистом” платит сотни тысяч чтобы купить курсы, которые, конечно же, программиста из него не сделают?

comments powered by Disqus