«ДІЯ» изнутри, или голая правда об ІСЕІ: неграмотное руководство, загон рабов в стойло, нулевые требования по безопасности⁠⁠

Пишет Анонимус: «Привет, Ебаная редакция! Сегодня поведаю вам голую правду о части Дії, а именно — об ІСЕІ. Это отдел, который отвечает за то, чтобы ты, анонимус, мог залогиниться в Дию и сопутствующие госсервисы (кабинет водителя, Трембита и так далее), где используется авторизация через id.gov.ua.

Поехали!

Первое: техническая реализация проекта — это боль и страдания. В проекте всего несколько серверов с очень ограниченными ресурсами, которые вполне соответствуют хорошей сборке домашнего ПК.

Второе: программная реализация. Сделано все на коленке, с использованием устаревших методов и не соответствует лучшим best practices.

Третье: организация. Нет никакой документации по сервису, его устройстве, нормальному функционированию системы, документации по тестированию на high availability, и так далее. Зато есть сертификат от КСЗИ на соответствие, что приводит к мысли — а кто там работает, что разрешил вывести такое говно в прод?

Четвертое: некомпетентность руководства. Видели когда-нибудь сисадмина, который объясняет что такое кластер, нода руководителю, рассказывает как нужно построить процесс резервного копирования, чтобы не терять данные? Я видел — это печаль. Руководитель такого отдела должен быть технически грамотен (хотя бы минимально), чтобы не пришлось объяснять вполне очевидные вещи, раз руководитель участвует в процессе управления сервисом. Вместо этого он занимается тем, что впаривает договора через чат в Телеграме и нагружает этим остальной персонал.

Пятое: отсутствие какого-либо понимания безопасности информации. А именно о том, что не нужно всех клиентов ставить в копию (есть же для этого скрытая копия), в результате чего все клиенты могут общаться в переписке. И когда на это указывает сисадмин — нужно задуматься, а те ли люди сидят в отделе?

Шестое: отсутствие автоматизации. Она находится на уровне Perl-скриптов, нет современных решений типа zabbixa, grafana, ELK, бекапы хранятся в том же сторедже, где крутится основная система.

Седьмое: некомпетентность начальника отдела IT-поддержки. Ноутбук выдают ненастроенный, от слова совсем. И я еще понимаю, если бы это был фулл ремоут, где тебе привозят новый запечатанный ноут, и даже в таком случае тебе его помагают настроить согласно корпоративных стандартов админ организации. Тут все наоборот — ноут тупо заводят в АД и досвидос. Никакого шифрования, никаких требований по безопасности нет. Плюс ко всему вышеупомянутый начальник считает, что он шарит в Линуксе и упорно отстаивает точку зрения «я БД в 10 гиг за 5 минут раскатаю, а ты?» и при этом не учитывает то железо, на котором оно крутится — он где-то в интернете увидел, причем в каментах ОП уточнил — это описка, не 5, а 50 мин.

Восьмое: загон рабов в стойло. Да-да, все в лучших традициях галер, никакой удаленки, онли офис. Увольнение одним днем, без предупреждения за 2 недели согласно КзОТ, зато на работу ты должен придти ровно в 9 и уйти в шесть. Даром, что к 10 все равно никто ничего не успеет сделать, кроме как попить кохве и перетереть кости остальным отделам.

Девятое: обязательная вакцинация. Если не вакцинирован — раз в 2 недели ПЛР-тест за свой счет. А хули, в Дии миллионы платят!

И десятое: эти люди хранят ваши данные, отвечают за аутенфикацию. Очень сомнительная цель существования ИСЕИ, после того, как был проведен аудит логов на серверах и было обнаружено миллион попыток подсунуть инъекцию или запустить вредоносный код, xss атаку… По сути, хороший ddos эту систему положит за 1-2 часа, и все. Не будет id.gov.ua. Но начальство: «да? Ломают? Похуй, потом разберемся!»

Короче, это треш, а не отдел. Я бы еще мог понять, если бы это был студенческий проект, который только в стадии тестирования… Но это — госсервис, который родился уже безногим и на костылях, без рук, ушей и мозга. Не ходите работать в Дию — только будет жаль потраченного времени и сил.»