astrobeglec

Колонка "Воровство" - экономический расклад при появлении воровства.

Колонка "Идиотизм" - экономический расклад при назначении на должность явно не компетентного управленца.

"Воровство и идиотизм" - два предыдущих случая в одном лице.

Последняя колонка - когда вор и идиот прикрывает себе жопу.

Экономика - игра с нулевой суммой. То есть любой вор/коррупционер/идиот где бы он не находился тянет деньги из моего кармана. Меня это не устраивает.

Меня не устраивают последствия. То что:

1. Врач на нищенской зарплате думает не как меня лечить, а как свести концы с концами.

2. Педагог на нищенской зарплате думает не как учить моих детей, а как свести концы с концами.

3. Полицейский на нищенской зарплате думает не как охранять мои права, а как свести концы с концами.

4. Сотрудники сферы услуг на нищенской зарплате думает не как качественно оказать мне услугу, а как свести концы с концами.

И т.д. и т.п. И я осознаю, что вся эти толпа воров и долбоёбов содержится в т.ч. из моего личного кармана. На примере одного из недавних постов, но принцип работает по всем постам соответствующей тематики.

Предельно некомпетентный глава ТОП-1 банка в России вместо признания своей некомпетентности сочиняет сказки и собирается залезть в мой карман отменив кэшбэк маркетплейсов. Почему долбоёб - он, а платить за это должен я? Почему бы его просто не заменить на не долбоёба?

Практически вся "остросоциальная" сфера является таковой из-за вполне конкретных ФИО. ЕДИНСТВЕННЫЙ способ решения проблемы - устранить её причину т.е. заменить долбоёба или коррупционера на нормального управленца. По другому не работает и работать не может.

Тем, кто аргументирует "они же свои..." Хм... А что там с историческими примерами результатов политики "они же свои"...

Речь Посполитая. Элита - шляхта. "Они же свои". Не подскажете как у этой шляхты дела? Какая по площади сейчас Речь Посполитая? Ой, а её можно смотреть только на картах 1794 года и ранее.

Королевство Франция. Элита -аристократия. "Они же свои". Не подскажете как у этой аристократии дела? Какая по площади сейчас Королевство Франция? Ой, а её можно смотреть только на картах 1788 года и ранее.

Профессиональные историки тут нарисуют ещё несколько сотен примеров в т.ч. Российскую Империю. Чтобы разбавать однообразие и продемонстрировать "ценность" мигрантов могу привести ещё один пример, который прямо сейчас "в процессе".

И как там злые палестинцы не обижают "бедных и несчастных" еврейских мигрантов? Ой, если почитать эту статью в РБК, то окажется, что идёт открытый планомерный геноцид коренного населения. При этом те, кто в доеврейские времена был "элитой" куда-то испарились.

Опять же историки тут накидают как минимум десятки аналогичных примеров.

Ну и последний момент.

Читая про политику Великобритании, которая позволила им стать величайшей империей в истории (а это по факту так) подмечаешь один занимательный момент. На примере США. Англичане не воевали с индейцами. Они купили местную элиту и индейцы под руководством отдельных купленных представителей "элиты" настолько активно резали друг друга, что остатки этого процесса без проблем загнали в резервации. И КАЖДАЯ колония Великобритании имеет в целом ту же историю с поправкой на местные условия.

И отметились они этим в т.ч. и в России. Князь Феликс Феликсович Юсупов (элита, высшая аристократия) купленный или завербованный английским послом Освальдом Теодором Райнером организовал убийство Григория Распутина, который предостерегал императора от участия РИ в первой мировой войне т.к. понимал, что страна этого не переживёт.

Кстати, Распутин уже больше 100 лет активно демонизируется в англо-саксонском мире. Потому что если бы ему удалось убедить Николая II, то последствия для Великобритании и англо-саксонского мира были бы...

Более того контроль над колониями удерживался через "вам не нужно своё высокотехнологичное производств. В метрополии купите"... Ничего не напоминает? Вот вообще-вообще ничего?

Ким Филби из "Кембриджской четвёрки", как воспитанник английской школы работы спецслужб, гордился тем фактом, что смог снизить эффективность английских спецслужб через ввод нескольких бесполезных отчётов... Опять ничего не напоминает? Вот вообще-вообще ничего?

Лично мне не особо хочется на своей шкуре узнавать "как жилось в ААА после БББ" из примеров выше.

Вот и всё.

Один из менеджеров Сбербанка, а именно начальник сектора продаж розничных продуктов Сбербанка сделал запрос в центральную БД и выгрузил данные всех клиентов Сбербанка включая (из приговора) "фамилия имя отчество, паспортные данные, дату рождения, адрес места жительства, номер мобильного телефона, полный номер карты, место работы, остаток собственных средств, учетных записях", короче говоря всю банковскую тайну всех физлиц. После этого скопировал выгрузку к себе на компьютер, переименовал, перепаковал архив и отправил его по частям себе на почту, после чего с другого ноутбука скопировал данные из почты на флешку, отнес домой, потом попытался продать данные в даркнете, опубликовав в качестве доказательств данные 5000 клиентов, за "демо"-данные он получил 25 000 рублей, но попал на контрольную закупку, арестован. Осужден на 2 года 10 месяцев (колония-поселение).

В приговоре есть ещё немало классных моментов:

1. Виновник пользовался учёткой своего руководителя, знал его логин и пароль. Объяснение "чтобы выполнять обязанности в отсутствии руководителя";

2. Данные выгружались из базы и затем копировались много часов и это ни у кого вопросов не вызвало;

3. Система не отследила перенос 5,7 Гб данных из "защищенной" части в не совсем защищенную;

4. В Сбере у пользователей есть техника, которая не имеет защиту от подключения USB-накопителей, с формулировкой "для служебной необходимости" (видать, чтобы данные воровать удобнее было);

5. В Сбере узнали об утечке данных из Банка России, который обнаружил в открытом доступе 200 из 5000 переданных данных. Если бы не инициирование проверки Банком России то не факт, что СБ Сбера вообще узнала бы о сливе всей своей клиентской базы физлиц;

6. Человек просто взял и вынес на флешке.

7. Человек, который это сделал, явно либо очень далек от ИТ, либо делал всё нагло и практически открыто.

Сперва немного отвечу комментаторам прошлых постов. Как понимаете, приговоры это то, что было выявлено, расследовано, дошло до суда и было опубликовано.

@UBM5UBM, ну что, менеджмент банков безгрешный и никакие данные никуда не сливает? Денег им на всё хватает?

@WhiteredMaH, "невозможно защитить ПД", это имел ввиду, что никто такую лавочку прикрывать не будет?

@RationalVal, ну и чего стоят глубоко разбирающиеся в теме "профессаналы" ИБ Сбербанка? Какая же у них охуенная защита ПД и реальная безопасность.

@pavelkonkov, моя больная фантазия настолько больная, что смогла заразить судей Красногорского городского суда Московской области, которые и вынесли обвинительный приговор по делу. А так же все СМИ, потому что новости о перехваченных продажах данных банков вполне себе регулярные.

А теперь моё заключение.

Я ХЗ сколько Сбер тратит денег на ИБ и сколько макулатуры на это переводит, но...

На скамье подсудимых должен был сидеть не только он. Изучение вопросов защиты информации обычно начинается с Приказ ФСБ России от 10 июля 2014 г. № 378 и постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119, у ИБшников обычно это "азбука для самых маленьких" (с этого обычно начинают).

Так вот из фактов, изложенных в приговоре суда СОБЛЮДЕНИЯ требований данных актов я не нашел. Согласно классификации Постановления в Сбере должен обеспечиваться наивысший уровень безопасности (хранение данных более 100к физлиц).

Далее ссылки на Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности (утверждены упомянутым выше приказом ФСБ) и их нарушения (не все, только основные):

1. (пп. в п. 5) Не утверждены, или "только на бумаге" или просто не соблюдаются требования по разграничениям данных и обеспечение доступа в соответствии с должностными обязанностями.

2. (пп. б п. 5) Не обеспечен учёт и порядок хранения носителей информации.

3. (пп. г п. 5) Не буду прям утверждать, но упоминаний о сертифицированных средствах защиты информации в приговоре я так же не нашел. Но использование iPad в отделениях...

4. (пп. 9) Каждый тип защищаемых данных должен быть защищен в соответствии со своим уровнем защиты. Наличие всех данных в одной БД (раз сделана выгрузка) само по себе уже нарушение.

5. (п. 17) Квалификация сотрудников ответственных за ИБ должна обеспечивать полную защиту персональных данных.

6. (пп. б п. 20) Каждый запрос на получение данных и его предоставление должны быть зафиксированы.

7. (п. 22) Все полномочия доступа должны быть прописаны в специальном электронном журнале, все изменения доступов должны фиксироваться. Не реже 1 раза в полгода должна проходить полная сверка.

Я не буду писать ссылки и цитаты на другую нормативку от ФСБ и ФСТЭК (это в 3 - 4 раза раздует пост), но почему за нарушения которой прописаны прямо в приговоре суда никто не ответил?... И к чему это привело? Через 2 года в СМИ опубликовали информацию о новой масштабной утечке по словам представителя Сбера - фейк, однако прозвон данных журналистами РБК (чтобы по формальным причинам пост не закрыли - свидетельство о регистрации СМИ ИА № ФС 77 - 63848) подтвердил, что данные настоящие.

У Сбера официально "утечки не было", но прозвон по взятым наугад номерам все данные почему-то на 100 % подтверждают, полагаю, что принято решение "если нет официальной утечки данных, то и виновных нет и оправдываться не нужно".

После начала СВО за кибератаки уже отчитываются оптом и в основном в % т.е. уже просто не публикуют сколько раз и кого слили.

Безнаказанность порождает безответственность.

И "вой" банков "не надо нас штрафовать" это прямое признание того, что менеджмент в банковской сфере не может (или не хочет) выполнять требования действующих законов РФ, но уступать свои кресла тем специалистам, кто может обеспечить выполнение законодательства не собирается.

P.S. Просто ещё раз прочувствуйте - спустя 13 лет после принятия закона 152-ФЗ "О защите персональных данных" и 29 лет после принятия закона 395-1 "О банках и банковской деятельности", где были требования по обеспечению безопасности финансовой информации из ТОП-1 крупнейших банков России всю клиентскую базу по физлицам типичный офисный планктон ПРОСТО ВЫНОСИТ НА ФЛЕШКЕ. Никаких тебе мега взломов, крутых хакеров, операций спецслужб, тайных агентов. Просто типичный (хоть и долго работающий) офисный планктон вынес всю базу на флешке...

Начать я хочу с базовой аксиомы информационной безопасности:

Единственным показателем эффективности информационной безопасности (инфобеза) ИТ-инфраструктуры является полное или почти полное отсутствие успешных атак на инфраструктуру.

Сперва здесь я сделал подборку явных нарушений инфобеза (которые видны каждому клиенту, кто в теме) в некоторых из ТОП-10 крупнейших банков, но потом удалил, чтобы не раздувать пост и сосредоточиться только на теме абсолютно безопасного хранения данных.

Итак, первый шаг - организационно-управленческий. Вопрос инфобеза должен быть № 1, полномочия ответственного за инфобез сотрудника должны быть наивысшими.

Практически всегда правила инфобеза налагают жесткие ограничения на сотрудников и бизнес-процессы, требует повышенной квалификации и дисциплины всех задействованных лиц, поэтому прежде всего менеджмент (за единичными исключениями) к ним относится крайне негативно. Да и сотрудники от всего этого не в восторге.

Второй шаг - психологический. Инфобез, это точно та же война. Только проходит она не в реальности, а в киберпространстве. Что отличает солдата от гражданского? Психология. На 1 месте слово "надо". Броник тяжелый и неудобный? Надо. Ползком неудобно? Но надо. Камуфляж не красивый, но так надо. Солдат, который забывает слово "надо" очень быстро приезжает домой в деревянном ящике. То же самое и про инфобез - расслабился, сделал что-то как захотел, а не как надо... И тебя поимели.

Третий шаг - стратегия. Инфобез строится как пирамида, только от вершины к основанию. На вершине стоят стратегические вопросы:

1. Классификация данных, определение того какие данные из всех необходимо защищать;

2. Какую цену готовы заплатить за защиту данных;

3. Какими данными можно жертвовать;

4. Какие процессы защищать;

5. Какое количество уровней защиты.

И т.д. и т.п. Последующие шаги будут делаться исходя из стратегических целей.

Для определения стратегических целей нужна полная инвентаризация данных компании (т.е. описание всей инфраструктуры), бизнес-процессов, составление матриц доступа тип данных (публичные данные, для служебного пользования, секретные, особой важности) / круг лиц имеющих доступ к данным. Главный принцип стратегии инфобеза - минимализм:

- хранимых данных должно быть минимальное количество, если что-то можно не хранить - это не должно храниться;

- доступ к каждой категории данных (кроме общедоступных) должен быть у минимально возможного числа лиц, если нет крайней необходимости, то доступа к данным быть не должно;

- объём программ и оборудования, обрабатывающих данные, должен быть минимально возможным. Всё неиспользуемое обрудование, части операционных систем, прикладное ПО которое может быть исключено - должно быть исключено;

Четвертый шаг - тактика. Каждый стратегический пункт нужно "разложить" в тактическом плане. На каждый тип данных, канал обмена данными, бизнес-процесс составляется матрица возможных угроз и меры по их предотвращению. Я предпочитаю (точнее предпочитал, до выхода из темы) делать это по матрице DCRUD (она является логической переработкой CRUD):

D - Denial of service - Отказ в обслуживании. Сервис и данные всегда должны быть доступны только пользователям у которых есть к ним доступ и недоступны всем остальным.

C - Create - Создание данных должно быть доступно только пользователям с соответствующими полномочиями.

R - Read - Чтение данных должно осуществляться только пользователям с соответствующими полномочиями.

U - Update - Обновление данных должно быть безопасно (можно восстановить всю историю обновления данных) и должно осуществляться только пользователям с соответствующими полномочиями.

D - Delete - Удаление данных недопустимо, данные могут быть помечены как не актуальные, но никогда не удаляться.

Пятый шаг - дисциплина и ответственность. Какой бы совершенной не была инфраструктура, как бы хорошо не были прописаны процессы, если требования и регламенты не будут соблюдать, то эффект на выходе - нулевой. Здесь опять же больше всего косячит именно менеджмент, они же "избранные"... Пароли на листочке на монитора, токены с ЭЦП руководителя гуляющие по всему офису... Ну вы поняли. Но главное не это - обычно, когда безопасник тыкает носом в явные нарушения правил ИБ происходит что? "Не мешай работать". Докладные, что "Вася нарушает правила ИБ, что может повлечь ... " - послушали, покивали... И на этом всё. Ну и т.д. и т.п.

Практический пример организации защищенного хранилища данных с нулевой утечкой (участвовал специалистом в разработке оного в 2015 - 2016-м году, сфера работы компании - медицина). Поскольку было давно, что-то могу помнить некорректно:

1. Провели инвентаризацию данных. Определили, что защищать нужно ПД клиентов компании (ФИО, паспортные данные), а так же услуги клиентов.

2. Сделали два хранилища - публичное и защищенное. В публичном было всё, кроме защищенных данных.

3. Защищенное хранилище физически размещалось в 2-х зданиях (для обеспечения надёжности хранения, например при пожаре в одном из зданий). Серверные в подвалах, на входе железные двери, внутри пост охраны, сами стойки за отдельной решеткой и ключей у охраны от неё нет. Доступ мог осуществляться только по приказу руководителя, который ЗАРАНЕЕ передавали охраннику, он впускал в назначенное время сотрудника, сотрудник СВОИМ ключом открывал доступ в серверную.

4. Все обмены данными (даже публичными) - зашифрованные, как минимум по 3-м ключам шифрования.

5. Сотрудникам организовали минимальный доступ к информации. Например, фамилию клиента видел только сотрудник проводящий первичную регистрацию. Дальше с клиентом работали только по имени-отчеству и ID.

6. Направления на анализы выдавались по UUID, результаты привязывались так же к UUID. Никаких фамилий и имён. Связь пациента и UUID анализа - в защищенном хранилище.

7. Сотрудники носили форму вообще без карманов, любая техника - запрещена. Из оборудования (кроме мед. приборов) разрешались только механические ручные часы. Нарушение правила - безусловное увольнение.

8. На рабочих ПК - урезанный до предела Linux, браузер в режиме киоска + самописная СКЗИ. По времени визита клиента выдавалась только минимум информации.

9. Никакой беспроводной связи. Все кабели с данными только с изоляцией и шумоподавлением в защищенных кабель-каналах с сигнализацией повреждения.

10. Никакого удаленного доступа. Вообще никакого и вообще никому.

11. Все обмены данными строго по "белым спискам" с логированием в журналах;

Защищенное хранилище технически представляло собой 5 серверов (начинка как у обычных ПК) + станция администрирования:

1. Станция администрирования - ПК с которого был доступ к серверам. Каждый сервер имел 2 сетевые карты, 1 сетевая в "общую" сеть и 1 в коммутатор к станции администрирования. Доступ к SSH только через порт 2 (только с IP и MAC станции администрирования и сервера бэкапов).

2. Сервер бэкапов. Сервер все бэкапы забирал сам мог подключаться к остальным серверам.

3. Сервер ключей шифрования. Сервер генирировал и хранил все необходимые ключи шифрования данных.

4. Сервер баз данных. База данных с полным запретом стандартных операций (SELECT, INSERT, UPDATE, DELETE). Все операции только через DDL, в каждой DDL обязательное журналирование всех операций. В таблицы допускалось только добавление строк, UPDATE, DELETE в DDL запрещены. Каждая запись, вместе с ЭЦП прошлой записи подписывается ЭЦП.

5. Сервер приложений. На данном сервере хранились микроприложения, которые работали с БД, IP-АТС и рассылки СМС. 1 задача - 1 приложение. Рассылки СМС брались напрямую из БД, на звонки динамически выделялись номера. То есть номер 0001 сейчас перенаправляется на +7 912 345 68 89, а через 5 минут на +7 912 345 89 68. Каждый сотрудник звонил только на "свой" номер. Т.е. если пациент не пришел, то "свой" номер врача указывал на номер пациента, который записан на текущий момент.

   Ни одно из приложений не было больше 1000 строк кода.

6. Сервер управления, который рулил всем вышеперечисленным.

Каждый сервер имел защищенную процедуру запуска. Без специальной флешки (для каждого - своя) запуск был невозможен, за каждый сервер отвечал отдельный сотрудник и флешка запуска была только у него.

Организация операций с данными от регистрации клиента до архивации:

1. Новый клиент заключает договор, его данные вносятся в форму, распечатывается подписывается. СКЗИ регистратуры шифрует каждый тип данных (фамилия отдельно, дата рождения отдельно, телефон отдельно, паспортные данные отдельно и т.д.) публичными ключами и полученные данные отправляет серверу приложений. Данные шифруются ключом рабочей станции и ключом сотрудника. Сервер приложений получает зашифрованные данные. По IP отправителя отправляет данные на расшифровку, потом по информации сервера управления отправляет данные на расшифровку ключом сотрудника, полученные данные отправляет в DDL СУБД (обращаем внимание - БЕЗ РАСШИФРОВКИ). Бумажная копия документов сразу упаковывается в конверт, опечатывается и сдается в архив. Из публичных данных остаётся только хеш номера телефона (так хранятся пароли).

2. При необходимости оказания услуги клиент называет номер телефона, его вбивают, так же шифруют ключом ПК и сотрудника, сервер приложений так же расшифровывает и возвращает по хешу телефона (из публичной части) UUID клиента зашифрованный ключами ПК и сотрудника.

3. Клиенту делается запись на время Х к врачу. Данные по записи так же шифруются и передаются в формате дата-время-UUID клиента-UUID врача.

4. По расписанию приёма сервер управления запрашивает связки UUID клиента и UUID врача. Сервер приложений получает команду на формирование пакета данных, которые будут отправлены на ПК врача - имя и отчество клиента, минимальные данные по профилю (т.е. врач видит только "свои" данные, историю посещений по своему профилю и результаты своих анализов). Данные шифруются ключом ПК врача и ключом самого врача.

5. Направление на анализы - так же по UUID. На направлении нет ни ФИО, ни возраста, ничего. UUID и список исследований.

6. Лаборатория вносит результаты так же по UUID.

Обращу внимание:

1. Все передачи данных идут строго по одной. Списки исключены полностью.

2. Все данные шифруются ПОСЛЕДОВАТЕЛЬНО ключами оборудования, сотрудников и сервисов. Расшифровка возможна ТОЛЬКО на том оборудовании куда идут данные и только сотрудником, которому данные предназначены;

3. Ключ оборудования прописан только в самом оборудовании, ключ сотрудника - на токене / флешке. Токен получается в начале рабочего дня под запись и сдаётся в конце рабочего дня так же под запись.

4. Защищаемые данные в открытом виде не хранятся НИГДЕ.

5. Все данные НИКОМУ и НИКОГДА не предоставляются.

6. Нарушение порядков обмена данными - алармы и журналы.

ОК, давайте представим, что конкуренты решили слить себе данные, что для этого нужно:

1. Украсть одну из серверных полностью. Весь комплекс работает так, что отсутствие одного из элементов делает остальные бесполезными. БД зашифрована, ключи на сервере ключей, сколько раз и какими ключами шифровалось на сервере управления, а как именно шифровалось на сервере приложений. На сервере бэкапов в принципе те же грабли (бэкапы зашифрованы).

2. Украсть все ключи запуска серверов у всех сотрудников.

3. Выкрасть всех разработчиков. Проект разрабатывало 7 человек. Каждый отвечал только за свой участок и защиту своего сектора. "В целом" работу системы понимали все, но конкретики по "чужим" участкам ни у кого не было.

4. Проанализировать с помощью разработчиков системы весь код со всех серверов, составить матрицу что и чем шифруется и расшифровывается и по матрице расшифровать данные.

Почему другие варианты не сработают?

1. "Засланные казачки" бесполезны. Просто потому что "точки слива" нет. Допустим решили получить данные на Х. Для этого нужно знать номер телефона, по которому он зарегистрировался, создать фиктивную запись к врачу, ОПЛАТИТЬ её и получить часть данных по его профилю. С учётом смсок с информированием о записи клиент вполне себе может и вопросы задать. А ответы в логах доступа - кто записывал, с какого рабочего места...

2. Просто запоминать? А что именно? Врач видит, что к нему пришел 3 раз Иван Иванович (фамилию и дату рождения не видит), который сдал такие-то анализы с таким-то результатом. Сфоткать экран нечем, да и смысл? Информации о том был ли Иван Иванович у других врачей и что он там делал - нет. Да и какой именно Иван Иванович - ХЗ, ибо людей с одинаковыми именами-отчествами полно. Бухи видят оплаты, но не видят и не знают кто платил...

3. В регистратуре есть информация о человеке (при регистрации), больше - ничего (он ещё обследований не проходил).

4. При повторном обращении есть UUID и куда пошел человек. Больше - ничего.

5. В лаборатории есть информация, что по UUID есть такие-то результаты анализов. Больше - ничего.

P.S. У данной истории печальный финал. Система отработала несколько лет, прошла проверки в т.ч. по 152-ФЗ, а потом главврач клиники сменился. Новый систему заменил на "более продвинутую, менее сложную от одного из лидеров обеспечения безопасности персональных данных".

Для удобства переноса данных мы её быстро (за 15 минут) "ломанули" и за пару дней перетащили все данные (потребовалось участие всех разработчиков и всех админов). "Ломанули за 15 минут", это не хвастовство и не зря в кавычках - просто эта система имела уровень защиты исключительно от технически неграмотных честных людей, ибо в личных настройках ВСЕХ ПОЛЬЗОВАТЕЛЕЙ (правда довольно глубоко) был логин/пароль к центральной БД в открытом виде, БД разрешала удаленные подключения, а внутри БД разграничений доступа не было от слова совсем.

Закон, о котором речь в посте - второго типа т.е. государство не волнует как именно банки будут обеспечивать информационную безопасность, главное - результат. И в этом и есть настоящая проблема...

В своих рассуждениях люди забывают, что нет такой вещи как банк, власть, чиновник и т.д. и т.п.

Есть группа людей, техники, расходных материалов и процессов которые в своей совокупности и дают понятие, в данном случае "банк".

Самая большая проблема в том, что в банках работают люди...

Отмечал несколько раз, что при отказе в кредите (это происходит в нескольких банках), буквально в течении часа прилетает поток звонков от других банков и МФО. Иногда между отказом и первым звонком - секунды. Это значит, что слив персональных данных идёт на уровне ТОП-менеджмента этих самых банков и зашит в банковские приложения. То есть есть два варианта:

1. Есть менеджер, который продаёт данные конкурентам, есть разработчик, который этот слив написал и есть безопасник / сисадмин, который "прикрывает" канал слива данных.

2. То же самое, но без менеджера.

Сильно сомневаюсь, что такие вещи делаются бесплатно, а значит есть несколько лиц, которые зарабатывают (и полагаю не 3 копейки) на сливе данных. Очевидно, что эти люди не хотят лишаться дохода и тем более менять крутой московский офис на нары в Магадане. Естественно, такие люди на совещании не скажут - мы тут вашими данными барыжим и хотелось бы не сворачивать, поэтому палки в колёса будут ставить молча, но оптом.

Государство приняло решение о защите ПД. Тут помимо указанной выше "команды" пойдут следующие проблемы:

1. Как я уже писал выше, закон целевой. Нужен менеджер, который не будет имитировать бурную деятельность, а обеспечит достижение технически сложной цели. Судя по факту выше в штате как минимум части банков (не готов сказать всех) таких нет (почему - ниже).

2. В нормальной структуре крупной организации руководитель ИБ (который должен запустить закон в действие) входит в высший эшелон управления (прямое подчинение гендиру / совету директоров). Если не так, то это "козёл отпущения типичный". То есть с учётом подлянке из п. 1 в штат нужно ввести "человека с улицы", причём ввести на самый верх. А "люди с улицы" имеют сразу несколько проблем для менеджмента всех уровней:

   - они знакомы с ситуацией "внизу", как минимум в качестве клиентов этого банка. Очень дохуя проблем (ради премий среднего и ТОП- менеджмента) на его же уровне "растворяются" и не доходят "наверх" ;

   - они не втянуты в политические игры внутри компании, у них нет союзников и врагов т.е. такой специалист относительно независим и договариваться с ним надо будет на его условиях;

   - ИБ накладывает очень неудобные профдеформации (там много идейных), которые договариваться или не будут, или "договоряться", но при первом удобном случае сольют;

   - по должности ИБшник может нагнуть почти любого, а вот наоборот - почти нереально;

   - ИБшник имеет доступ много куда. Рано или поздно сливающие данные сотрудники будут вычислены и тогда их могут сдать гендиру, полиции или посадить на крючок и сделать расходником уже в своих планах;

   Короче говоря расклады привычного менеджерского серпентария могут сильно пошатнуться... В банках не работал, точно не скажу, но чую что грехов там немало и шухер будет знатным.

3. Поставлена цель, начИБ довольно быстро может накидать изменения. Эти изменения будут двух типов - организационные и технические. И оба пункта - проблемы.

4. Организационный пункт - нужно провести инвентаризацию процессов, внести изменения, обучить работать по новому, обеспечить исполнение новых регламентов. Каждый подпункт - проблема:

   - много не формализованных процессов, а из формализованных очень много "через жопу". И всё это г-но всплывёт вверх;

   - начИБ может указать точку проблемы и суть проблемы, а вот решение и как его встроить - задача руководителя, который отвечает за участок. ВНЕЗАПНО окажется, что довольно много управленцев - идиоты и не факт, что обойдётся без кадровых решений;

   - процессы обучения и переквалификации, как и другие целевые вопросы, это одна из больных тем менеджмента, ибо ими управлять нужен отдельный навык;

   - поскольку процессы изменились, изменяются и процессы управления. Создать или поправить процесс, это совсем не то, что по инерции поддерживать кем-то построенное ранее процесс. Это принципиально разные вещи. "Новый" банк вполне может стать неуправляемым.

   Можно сказать, что раньше менеджер ездил на Лексусе, а теперь его пересаживают на БМП-3...

5. Технический пункт. Приложение и безопасное приложение, это ОЧЕНЬ разные приложения. Кто читает компьютерную литературу, тот возможно замечал, что безопасности там внимание практически не уделяется. А про обеспечение абсолютной безопасности вопросы поднимаются реже, чем жемчужины на берегу встречаются. Более того, очень много "общепринятых правил" прямо конфликтуют с высокими уровнями ИБ.

   Грубо говоря "обычный программист" учился делать обычные мерседесы, а тут приходят и ставят задачу, что вот это вот нужно переделать так, чтобы в лоб РПГ-7 держал... Общего между А и Б примерно столько же, сколько между тем же мерседесом и Т-90, а у них - лапки.

   Обычных разработчиков и так мало, а разработчиков с прокачанным "ИБ феншуем" можно сказать, что и нет совсем... Потому что по настоящему безопасный код зачастую "настоящими программистами" считается говнокодом.

6. После всего этого окажется ещё один страшный для менеджмента момент. Безопасность, это долго. До 5 - 8 раз. То есть если "как получится" 1 фишка в неделю на программиста, то при работе с защищаемыми данными (а там почти все такие) будет 1 фишка в 5 - 8 недель на программиста.

Короче говоря задача "сделайте так, чтобы данные банков были защищены" для планктона в отделениях обернется переобучением, а для всех кто выше в иерархии и связан с ИТ - геммороем, возможными анальными карами и необходимостью думать.

В банках (имеется ввиду уровень интересов сотрудников) защищать данные клиентов не интересно никому, следовательно этому процессу будут вставлять палки в колёса (кстати, то же самое происходило и с импортозамещением. На бумаге - импортозаместились, по факту ЕС и США заменили на Китай).

Почему я в этом уверен? Потому что банкиры сами это признали:

Банки предлагают отменить введение оборотных штрафов за повторную утечку персональных данных в размере до 500 млн руб. «Вызывает обоснованные сомнения тезис о том, что уплата столь значительных штрафов может заставить компании наращивать инвестиции в информационную безопасность (ИБ), поскольку все последние годы расходы на ИБ и без того растут на десятки процентов ежегодно. Напротив, при введении административной ответственности даже просто в силу самого факта утечки персональных данных при отсутствии вины компании ее средства будут уходить на уплату оборотных штрафов, а не на развитие ИБ. Крупный штраф может действовать как стимул только тогда, когда организации могут предотвратить его уплату своими добросовестными действиями», — говорится в письме НСФР.

Первоисточник

То есть представители банков в открытую говорят, что данные будут утекать и утекать многократно (возмущены частью с ПОВТОРНЫМИ утечками), вопросы ИБ рассматриваются только как финансовые (формулировка "инвестиции в ИБ", следовательно вариант замены идиотов на квалифицированных специалистов не рассматриваются), все действия делаются и будут делаться только формально (фраза "при отсутствии вины компании"), на обеспечение результата никто работать и не думает (фраза "предотвратить ... добросовестными действиями")...

И одновременно это - завуалированное предложение всё так и оставить. Мы делаем вид, что защищаем данные клиентов, вы делаете вид что данные клиентов защищены. А мошенничества с данными клиентов - это проблемы самих клиентов...

Уровень управленцев, которые это подписали неприятно поражает. Фразу выше можно переписать как: "Руководство и ТОП-менеджмент нашего банка некомпетентны в ключевых вопросах (а для банка надёжность - один из ключевых показателей), но зарплаты нам нравятся, поэтому мы хотим чтобы завтра было как вчера и ничего не менялось".

P.S. Если будет интересно, то могу коротко написать чем системы с ориентированием на безопасность отличаются от "обычных".

1. Дел в ФССП - очень дохуя, поэтому вникать в каждое у сотрудников просто нет времени. Физически.

2. Дела разные, поэтому вникать во все - нет квалификации.

3. Нет полной картины ситуации т.к. в исполнительном листе или судебном приказе пишется не многое.

4. У приставов нет полномочий оспаривать явный идиотизм.

Но не подумайте, что я их защищаю. Потому что:

1. Нарушения сроков и порядка взыскания - обычное дело, это правило, а не исключение.

2. Кадровый голод, поэтому руководство особо не наказывает сотрудников. Из-за этого:

3. Почти поголовный синдром вахтёров и крайняя степень охуевания у сотрудников.

4. На свои обязанности большинство приставов кладут хуй, даже если его нет.

Пример из жизни:

У меня есть просроченная карта, которую не могу закрыть и которая будет со мной до конца жизни, потому что:

- в 2015-м году выписали штраф, вовремя оплатил;

- в ГИБДД кто-то накосячил и штраф пошел как не оплаченный в мировой суд;

- мировой судья вынес судебный приказ, но ничего мне не прислал;

- пристав, которому попал приказ, молча сделал списание и наложил арест на счета.

Штраф - 200 рублей, но все счета заблокированы.

- иду в банк, дают постановление по которому было дело;

- иду к приставам - получаю приказ;

- иду в ГИБДД с квитанцией, они признают косяк, пишут в суд "отказную";

- судья аннулирует судебный приказ, отношу в ФССП, где мне говорят, что аресты снимут в течении недели...

Месяц тишины.

- беру у судьи 2 экземпляр решения, отношу в банк. Счета разблокируют, но арест 200 руб. на карте остаётся в силе. Да-да до сих пор.

На ...дцатой жалобе и ответами "да-да вот завтра арест снимем" во все возможные и невозможные инстанции я просто смирился с тем, что у меня есть "вечная карта" с замороженными на ней 200 руб.

Недавно по этой же схеме у меня опять заблокировали счета из-за оплаченного за год до этого штрафа (оплаченного через Госуслуги, кстати, на следующий день после постановления). С каждого открытого счёта списали сумму штрафа...

Для тех, кто далёк от юриспруденции, в п. 12 ст. 30 Федерального закона от 02.10.2007 г. № 229-ФЗ "Об исполнительном производстве" у должника от факта получения постановления есть 5 дней на добровольное погашение. Постановление - ознакомление должника - 5 дней - взыскание.

А теперь следите за руками:

День Х:

- постановление о возбуждении исполнительного производства "по данным ГИС" т.е. вообще без исполнительного документа;

- обращение взыскания на все счета во всех банках через постановление;

День Х + 1:

- сходил в ГИБДД, показали, что в их БД стоит оплата штрафа, т.е. по данным ГИС всё оплачено.

- пошел к приставам - послали нахуй. Вот прям в лицо сказали что со мной разговаривать не будут;

- жалоба на действия пристава через Госуслуги (прям в здании ФССП писал);

День Х + 3:

- ответ от начальника ФССП через Госуслуги, что "при проверке нарушений не выявлено";

- жалоба в прокуратуру на пристава и начальника ФССП;

День Х + 5:

- уведомление о возбуждении исполнительного производства приходит через Госуслуги;

День Х + 6:

- все деньги с арестованных счетов вернулись назад на эти же счета.

День Х + 15:

- ответ от прокуратуры, что в действиях пристава, начальника ФССП нарушений не усматривается...

Обычно в постах делается акцент именно на сотрудниках... Посмотрите выше - квалификация сотрудника, это безусловно самый малозначительный фактор в вопросах з/п и объясню почему:

Прежде всего бизнес-стратегия компании. Если условный ИП открывает овер9000 однотипный ларек на рынке, то он откусывает от сформировавшегося рынка долю. Но при этом больших оборотов у него не будет. В свою каморку он затащит товара на 100к, получит выручку 200к, налоги 20к, аренда 30к, положит на карман половину и на ФОТ сотрудника остаётся 25к. Больше просто нет. И работай там хоть дебил, хоть студент, хоть профессор уровень з/п особо не изменится.

Влияние квалификации сотрудника хорошо иллюстрирует недавний случай:

Крупная компания с большим ИТ подразделением (двузначное число сотрудников). Годовая премия. Самый большой бонус сорвал один из сисадминов - он больше всего закрыл задач, у него меньше всех косяков. Случайно задали простой вопрос по профилю, он - "да ХЗ". WTF??? Стали расспрашивать и копать, ибо нихуя себе - человек азов не знает. Углубленная проверка показала, главный факт - человек реально ни-ху-я не понимает в ИТ. "Йа блондинко", уровня "эта коробка - системный блок, эта коробка - принтер". WTF уже в кубе??? Начали углубляться в то как он работает, чем руководствуется... Оказывается два последних начальника ИТ очень много и жестко имели весь отдел насчёт формализации всех процессов, документации и ИСО20000 (ИТИЛ). В регламенте по пунктам указано, что делать, а если не получилось, то задачу эскалировать (передать) на одного из сеньоров. Человек тупо, но строго по инструкции делал вообще всё не понимая толком о чём там речь. В итоге он успешно закрыл в 1,7 раз больше задач, чем средний показатель сектора.

И это не разовый случай, просто на текущий момент хронологически последний пример.

Теперь с другой стороны, два случая:

Производство. Купили линию, в которую по технологии засыпается сырья на 5 млн. руб. и из которой выходит готовый продукт стоимостью 16 млн. руб. за смену 11 часов. По технологии после этого 1 час делается ТО и снова. Грубо говоря линия зарабатывает 22 млн. в день (правда обслуживающий штат и цена расходников делают эту цифру в разы меньше). Пришел "гениальный оптимизатор" он же "эффективный менеджер". Где-то на просторах Ютуба он увидел, что можно линию на ТО и не останавливать, а делать ТО "на ходу". Слесаря - нельзя. Ну принцип "я начальник, ты - дурак" никто не отменял, заставил + депремирование "умных" сотрудников. Месяца - полёт нормальный... Начальник орлом ходит... Авария (технические детали думаю будут не интересны). Линия стояла месяц. Ремонт и пусконаладка после - порядка 100 млн. руб. + оплата сотрудникам простоя + упущенная выгода... За счёт кого банкет? Сотрудников т.к. з/п + премия, причём з/п минималка, а при простое и она не полностью платится. В среднем 20 % от того, что получали когда линия нормально работала.

Другое производство, другая линия. По технологии под эту линию здание должно быть в форме буквы П, где 1 ножка - склад сырья, перекладина - сама линия, вторая ножка - склад готовой продукции. Строить новое здание - дорого, нашли в виде буквы Г, совместили склад сырья и готовой продукции (помещение разделили вдоль, продукция - железки, им похер). Начальник цеха при установке оборудования сделал смещение станков и в самом дальнем от склада участке цеха сделал площадку. В начале смены работники выстраивались в "живой конвейер" и на смену натаскивали на площадку заготовки. Прошло пару лет, дочка генерального (не собственника) выучилась на подходящую специальность. Начцеха убрали, поставили её. Заставила расставить станки "по феншую" (на равном расстоянии друг от друга). Аргумент "проходила обучение по программе Бережливое производство, надо делать так". У цеха две недели простоя. Площадка после перестановки пропала. Теперь токарь, который 1 в очереди по 1 ящику заготовок должен в 1 лицо таскать, как прошлая коробка заканчивается, а это - простой. Выработка из условных 1000 деталей упала до +/- 900. Плохо работаете. Поскольку з/п сдельная, расценку на деталь понизили. Два наиболее квалифицированных токаря послали новую начальницу в то место, которым она экзамены сдавала (и это явно не голова) и уволились. Одно место постоянно вакантно (случай года 2 назад был). Выработка упала до 790 - 820 деталей / смена. Дочь гендира - святая, а работать некому.

Управленец, он же руководитель, он же менеджер - это объективно самая тяжелая работа. При условии, что человек реально работает руководителем, а не делает вид, что он руководитель. Проблема в том, что таких настолько мало, что про них пишут отдельные посты на Пикабу. Не хвастаюсь, но до похожего состояния своей занятости я подчиненные структуры доводил.

Про "обычных" начальников пишут намного больше и совершенно другого содержания.

И знаете в чём настоящая проблема?

В том, что мнение "начальник = идиот" на 99% правда.

Давайте вспомним как обычно становятся начальниками?

1. Повышают из исполнителей

2. Родственные связи

Оба пути, не смотря на то, что являются национальной традицией - терминальный идиотизм и клинический дебилизм.

Настоящий начальник т.е. лицо полностью соответствующее требованиям по квалификации к руководящему составу и полностью способное выполнять возложенные на него обязанности должно иметь:

1. Профильное образование и опыт работы в управляемой сфере (это есть у тех, кого "подняли")

2. Средний уровень экономического образования или штатный экономист в подчинении.

3. Отдельное образование по теории управления.

Причём по каждому пункту должно быть образование эквивалентное полноценному высшему образованию (магистратуре), при штатном экономисте уровень владения экономикой - среднеспециальный.

Теория управления в целом, это адаптация специальности инженера АСУ ТП (автоматизированные системы управления технологическими процессами), только специфика работы с оборудованием заменена на специфику работы с людьми.

При этом у теории управления ВНЕЗАПНО есть даже свои разделы математики (есть даже профильные СМИ по математике в управлении), по которым даже есть отдельные учебники (именно по математике в управлении). Более того некоторые популярные направления в ИТ такие как машинное обучение и нейросети изначально создавались для решения задач именно теории управления. Нейросетки работу у художников стали сильно потом отбирать.

Высшая математика, тервер и теория игр для настоящего управленца должны быть, как сложение и вычитание для бухгалтера - на уровне инстинктов, потому что это - ежедневный инструмент.

Начальник, это ни разу не "сидеть и пиздеть".

Базовый цикл:

Стартует всё с Постановки целей работы. Чтобы цели ставить нужно иметь точную информацию по текущему состоянию организации, её позиционированию на рынке, её возможностях, вероятности неблагоприятных факторов, аналитику по управлению рисками.

Точную - это значит точную. Не "думаю", не "возможно". Точную.

На этом этапе гуманитариям передают привет тервер и теория игр, которых нужно скрестить с экономикой. Поскольку 100500 параметров ни в какой в голове не удержать, нужна матмодель бизнес-процессов организации (а для этой матмодели их нужно сперва формализовать и перевести в формулы). И планировать только исходя из этого.

Потому что психология человека, это система реального времени, в которой точность принесена в жертву скорости принятия решений. Если нет системы объективного контроля, системы автоматического сбора отчетности и проверенной матмодели компании, то изменения в показателях бизнес-процессов будут мало похожи на реальные данные. Эмпирический опыт показывает, что 80% идей выносимых на рассмотрение руководству бизнеса в качестве целей - убыточны и нецелесообразны. Поэтому без инструментов выше и хорошего оперирования высшей математикой выбор целей делается "пальцем в небо". Если не повезло - привет банкротство.

Цели разбиваются на задачи (Планирование). Управленческое планирование, это прежде всего теория пределов, в какой-то мере присутствует ТРИЗ и тервер. Декомпозиция целей в задачи производится параллельно в 4-х взаимно перпендикулярных плоскостях (граф или изображение процесса перехода при правильном планировании как минимум 4-х мерный и его практически невозможно визуализировать). Измерениями графа являются квалификация сотрудников (может ли исполнитель решить задачу, если нет, то как научить), время сотрудников (потому что нельзя перегружать человека - уволится), использование машин и механизмов (потому что большинство сотрудников чем-то работают), расход материалов (без расходников и ТО не работает ничего). Опытные настоящие управленцы сразу делают ещё и риск-менеджмент (например, бас-фактор т.е. "если завтра ключевого сотрудника насмерть собьёт автобус"). Всё это выражается в планах по проектам, изменениях текущих инструкций и графиков проведения плановых работ, резервных графиков.

По созданным на прошлом этапе документам работа выполняются исполнителями (Исполнение). Для успешного произведения работ исполнитель должен обладать интеллектом, чтобы прочитать и понять инструкцию, а сумма интеллекта исполнителя и руководителя должна позволять решить задачи. В идеале сотрудник должен работать только спинным мозгом - всё должно быть декомпозировано до примитивных и однозначных процессов, в принципе исключающих принятие решений. Потому что при спиномозговых процессах вероятность косяка 0,2 %, а если сотрудник "включает голову", то количество косяков вырастает и до 3% (цифры взяты из личного опыта).

Выполнение задачи контролируется во-первых и главных - теми или иными автоматизированными системами через правильно составленные отчеты (привет теория графов и почти вся высшая математика). Главных - потому что ETL-системы цифры в Excel отчетах под свою премию не подгоняют, ибо 0,2 - 3 % из пункта выше никуда не рассосались. Штрафов за % естественных ошибок быть не должно. Если кто-то утверждает, что не косячит или в отчетах 100% выполнение - два варианта. Либо плохо контролируют, либо отчетность правят руками.

В голове у человека - мозг, а его структура (даже в теории) не может обеспечить безошибочное выполнение какого-либо процесса.

Кто-то больше, кто-то меньше, но косячат абсолютно все. Если нет надежного автоматизированного контроля, то "ручной" контроль должен быть полным и как минимум двуступенчатым (пример - двойная запись в бухгалтерии), ибо ВНЕЗАПНО косячат-то не только исполнители, но и контролёры тоже.

Для выполнения контроля управленец должен иметь квалификацию по контролируемой профессии, чтобы, например, не списывали установку карбюратора на дизельный двигатель (есть и настолько "квалифицированные" управленцы).

Отсутствие контроля = безответственность.

Везде, где можно проебаться - исполнитель будут проёбываться, потому что как минимум 65% сотрудников абсолютно похуй на бизнес / службу.

Всё, что можно (а иногда и нельзя) проебать - будет проёбано. Потому что это не своё, а чужое не жалко.

На основе результатов контроля собирается статистический материал и проводится анализ (второй привет высшей математике, особенно дискриминантам). Прежде всего анализируется соответствие цифровой и реальной моделей достижения целей, она перерабатывается и дорабатывается под вновь выявленные факторы. Потом анализируется и деятельность организации по процессам.

Исключительно на основании анализа и обосновываясь им принимаются решения по изменениям в матмодели организации, целях на следующий этап, корректировки планов.

Делается это потому, что мозг ранжирует данные по эмоциональному отклику, а не по математической важности. Истеричка с вопросом на 5 копеек имеет больший шанс на приоритет своей "проблемы", чем молчаливый специалист с вопросом на 5 миллионов. Поэтому личную оценку приоритетов по задачам делают ровно в 2-х случаях:

1. Нет объективной картины, экономических оценок и расчёта вариаций (т.е. никому ничего не понятно).

2. Идиоты.

Цикл управления начинается заново.

Кто всё это делает? Ну как раз тот самый 1 %, про которых потом пишут посты "ничего не делает и всё работает". Потому что выведя управляемую систему в оптимальное состояние (обычно это занимает годы) нужно только парировать единичные неучтённые факторы.

Что делают остальные 99% управленцев?

- не планируют. Вектор экономического движения бизнеса - результирующая "лебедя, рака и щуки". Вместо развития - метания, всех всё заёбывает и бизнес распадается;

Выскажусь, раз затронуто. Часто слышен идиотский аргумент в "оправдание" отсутствия планирования: "я не знаю, что завтра будет"... Высказавшийся сразу признаёт, что не просто не является управленцем, а принципиально против матчасти. Как врач отрицающий биологию или бухгалтер отрицающий математику.

Планирование - это не просто накидать список дел со сроками выполнения. Это сложный многоступенчатый процесс выстраивания системы перехода между состояниями бизнес-процессов, который себя кратно окупает даже если 100% пунктов плана не выполнились. Это прежде всего ревизия текущего состояния, которое от "должно быть" может отличаться на 90%, это поиск возможностей, проработка вариантов реализации возможностей, проработка рисков и т.д. и т.п.

- не декомпозируют поставленные задачи и не разграничивают зоны ответственности. Нет границы ответственности - никто ни за что не отвечает, а раз не отвечают - не делают;

- разделяют функции управления и ответственности. "Управляет" и получает премии один, а отвечает назначенный козёл отпущения. Естественно у участников мотивация делать что-то правильно - абсолютно нулевая;

- не организовывают должный контроль, в результате "на бумаге" и "в реальности" не редко принципиально разная ситуация. По документам в складе 10 тонн продукции, по факту - голые стены;

Тут можно многотомник писать по нарушениям базовых правил теории управления. В принципе, на Пикабу и так есть 200500 примеров "начальник - идиот", где человек достаточно подробно расписывает и нарушение теории управления и последствия.

Кадровый голод и низкие зарплаты - это уже просто классика следствий управления жопой.

Может @astrobeglec пиздит, всё заебись и бизнес прекрасно существует без всяких ваших теорий управления, так сказать на духовных скрепах? Нет

Как же бизнес при этом существует?

1. Бешенные торговые наценки. Все убытки перекладываются на конечного потребителя, и именно поэтому у нас такие бешенные цены.

2. Фактически повсеместный рабский труд. При отсутствии нормально выстроенных бизнес процессов идут колоссальные потери оборотных средств (тут каждый может прикинуть что именно у него на работе через жопу делается) и бизнесу негде взять деньги на компенсацию идиотизма своих управленцев, кроме как из з/п сотрудников-исполнителей.

3. Ошибка выжившего и банальное везение. Выживает далеко не каждый бизнес (график ниже), а с учётом конкретных цифр можно уверенно говорить, что в 99 из 100 случаев успешный бизнес = просто повезло.

Источник - Федеральная служба информации

Вот именно поэтому зарплата - копейки. Управление и экономика, это единственные области где работают законы технической и гуманитарных сфер. Буква "и" не зря выделена, технические и гуманитарные дисциплины имеют свои объективные особенности, при этом только в этих двух сферах работают обе.

В России образование и управленца и экономиста считаются преимущественно гуманитарными, поэтому ходят легенды об отдельных отделах отдельных юрлиц, где нет очевидных проёбов по техническим аспектам теории управления и экономики. Безусловно такие есть, но это реально единичные случаи (сам видел и даже немного своими руками такое делал).

Типичный бизнес в России это так:

- возникла идея. Зачастую тупая. Просадили стартовый капитал и закрылись.

- повезло пережить п. 1. Поскольку новый рынок не создали, все дружно подняли цены и покрыть себестоимость хватило. Иначе - закрылись.

- скопированные наугад бизнес-процессы бывших работ оказались не совсем тупыми. Есть какая-то прибыль. Иначе - банкротство.

- неудачно поставили "эффективного менеджера", он проебал маржу - банкротство.

А потом, если всё это прошло мимо, то просто становится страшно что-то менять.

Как-то там оно работает, хоть какие-то деньги приносит и на этом хорошо. Потому что просто ни у кого из "управленцев" нет понимания, что в этом можно трогать, а что - нельзя...

В госуправлении, кстати, всё примерно так же...

Потому что управление - это прежде всего управление людьми, процессами и ресурсами. В каждом государстве менталитет населения разный, а в каждом крупном государстве серьезные отличия в менталитете могут быть даже между регионами. Помимо непосредственных инструментов управления людьми на менталитете строятся и процессы в бизнесе. Выделение и управление ресурсами так же зависит от местного менталитета.

Всё это - серьезные факторы, которые невозможно игнорировать без огромного падения эффективности бизнеса.

Ну и подсластим пилюлю - у подавляющего большинства стран в мире абсолютно такая же ситуация. Серьезное внимание вопросам управления уделяется только в США (там есть ряд хорошо финансируемых специализированных высших учебных заведений, которые параллельно с обучением ведут и серьезные исследования в теории управления), оказывается должное внимание этим вопросам и в странах Западной Европы.

При этом "обучающие программы" made in США (вроде МВА) сделаны так, что нормально будут работать только в США, следовательно попытки привить и адаптировать эти программы вне США изначально неэффективны. Личное мнение - так сделано специально.

P.S. В СССР проблему управления решали просто - разделением должностей и зон ответственности. Директор - общее управление, Главный инженер - технология, Экономисты - экономика. Сейчас всё это хотят видеть в 1 лице.

P. P. S. Себя я высококлассным управленцем не считаю т.к. в идеале тип мышления должен быть распределен практически строго пополам между гуманитарным и техническим, а у меня сильный перекос в техническое. Но именно сильных управленцев, которые полностью соответствовали всему написанному выше видел. Их мало, но они есть. И у них реально, после достижения оптимума в процессах работа "смотреть футбол, а оно всё само как-то делается". Лично мне удавалось сократить работу над управлением при полном контроле всех процессов до 1 - 2 часов в день при штате подчиненных в 13 человек, но это - как олимпийский рекорд, на 150% усилий.