Comments 176
Складывается впечатление, что такая закладка в медицинском оборудовании тянет на уголовное преступление. Особенно если кто-то из пациентов получит проблемы со здоровьем в результате невыполненной диагностики.
Была и об этом мысль. Видимо поэтому сделали закладку на старте операционки, а не при работе. За 10 минут, посчитали они, не успеют положить пациента и диагностировать. Но потеря денег была.
Всё равно же каким-то пациентам в результате отменили или не назначили исследования.
Как минимум, это мошенничество. Как максимум, как написали в соседнем vladimir, кому-то отменили или отложили исследование, а установка проверяет на предмет вероятностей внезапных аритмий с летальным исходом. В общем, препятствование оказанию медицинской помощи, или как оно там называется?
Складывается впечатление, что такая закладка в медицинском оборудовании тянет на уголовное преступление
В РФ это потенциально тянет на две статьи УК - вредоносные программы для ЭВМ и мошенничество. Плюс потенциально можно рассмотреть воздействие на КИИ. Возможно, группой лиц по предварительному сговору.
Особенно если кто-то из пациентов получит проблемы со здоровьем в результате невыполненной диагностики.
Как отягчающее обстоятельство, да. Хотя для "вредоносных программ" это не обязательно, достаточно самого факта (для объективной стороны дела), для мошенничества - нужно определять ущерб.
Мошенники, получающие по 200к за вызов просто откупятся, а больница потеряет контакт на обслуживание (ведь она влезла в компьютер), и право пользоваться этим оборудованием (которое никто не поддерживает). Придет новый мошенник, который сделает закладку посильнее и будет брать уже не 200к, а 400к.
В конечном итоге, больница будет в ещё больше минусе, как и её будущие пациенты. Здесь инициатива расследования должна расти не от больницы, а откуда-то сверху.
Здесь инициатива расследования должна расти не от больницы, а откуда-то сверху.
"Откуда-то сверху" тут ничего произойти не может. Чтобы что-то произошло - нужно заявление в правоохранительные органы. В данном случае - в казахские, те связываются с российскими, ну и далее по установленной процедуре. При определённых обстоятельствах оно и "на контроль сверху" может попасть, аж в двух странах.
Мошенники, получающие по 200к за вызов просто откупятся,
Ну а если ничего не делать, а ждать, что где-то на верху богу-президенту снизойдёт озарение и он сквозь варп прозреет, что вот такая-то контора занимается мошенничеством и надо бы её наказать - этого не произойдёт никогда. Такие чудеса только в сказках бывают.
Потому что в данному случае надо найти нетронутую самостоятельно систему и произвести экспертизу на предмет наличия там закладки. А без этого - ну пойди теперь докажи, что она там вообще была... (а потом проверить другие системы, обслуживаемые этой организацией...)
Не думаю, что случай мошенничества такого рода - первый в мировой практике. А потому должны быть описаны процедуры и правила независимого IT-аудита/IT-экспертизы, имеющие на выходе юридически значимые, неопровержимые доказательства виновности/невиновности. А в данном случае - поди докажи, что ты не сам установил логическую бомбу с целью подставить московскую фирму, ибо это твои конкуренты. Чем-то напоминает историю с 52-летним Дэвидом Тинли. Вспомнилась фраза "Это наша корова и мы ее доим".
Не думаю, что случай мошенничества такого рода - первый в мировой практике. А потому должны быть описаны процедуры и правила независимого IT-аудита/IT-экспертизы, имеющие на выходе юридически значимые, неопровержимые доказательства виновности/невиновности. А в данном случае - поди докажи, что ты не сам установил логическую бомбу с целью подставить московскую фирму, ибо это твои конкуренты.
Так и процесс - не гражданский. Так что заявление "мы тут нашли нечто подозрительное, потенциально похожее на вредоносную программу для ЭВМ, просим проверить и при подтверждении факта - возбудить уголовное дело, или разрешите нам устранить проблему самостоятельно и дальше пользоваться данным устройством" не обязывает заявителя что-то доказывать.
А дальше уже дело следствия - провести экспертизу и установить, что программа делает, выслушать историю про конкурентов и "ой, а ведь тут еще и мошенничество может быть, если оно так и есть", проверить версию - например, вызвать специалиста из Москвы и проверить, что он на самом деле сделает, задержать этого специалиста, если сделает то, что ожидалось (ну или связаться с российскими правоохранителями, если не получится быстро подтвердить гипотезу), опросить других клиентов этой фирмы, при необходимости проверить оборудование у них...
Да, понимаю опасения, но ведь возможен и другой вариант - при обращении в московскую контору заявление правоохранителям могло последовать уже от них. Мол "мы нашли на устройстве закладку, пока мы обслуживали - её не было", дабы конкурентам было неповадно перехватывать у них конкурсы.
У вас был реальный судебный прецедент с похожей ситуацией? Мы судились по госзакупкам очень много: компьютеры, антивирусы. Это отнимало много времени. Сам присутствовал на суде. Очень сложно судье объяснить айтишное используя только общие слова и не применяя технический язык. Что кажется очевидным для нас - там нужно доказывать и объяснять дважды/трижды.
Мы судились по госзакупкам очень много: компьютеры, антивирусы. Это отнимало много времени. Сам присутствовал на суде. Очень сложно судье объяснить айтишное используя только общие слова и не применяя технический язык. Что кажется очевидным для нас - там нужно доказывать и объяснять дважды/трижды.
Начнём с главного - фраза "вы судились" скорее всего, что это был гражданский процесс. Я же говорю об уголовном процессе, причём не о частном обвинении, а о публичном и частно-публичном. Т.е. то самое "привычное многим", которое в суде поддерживает прокурор и дела по которому не подлежат прекращению в связи с примирением потерпевшего с обвиняемым.
В гражданском процессе всё так, как вы говорите. Если хотите упростить себе жизнь - запрашивайте проведение судебной экспертизы, она конечно платная, но зато её заключению поверят не вдаваясь в подробности того, как эксперт пришел к этому выводу. В случае победы её будет оплачивать проигравшая сторона.
В уголовном же процессе этим всем занимается следствие и прокурор, ваше дело только заявить в органы. Правда, без гарантий, что дойдёт до суда, и крайне желательно, чтобы это взаимодействие курировал адвокат (любой адвокат - юрист, но не любой юрист - адвокат).
Да, таким не занимались, действительно. Теперь, конечно же, столько воды утекло. В тот момент даже ни у кого не было таких предложений и не обсуждалось. Решили проблему - живём дальше. Только после написания статьи и чтения комментариев понял, насколько там было всё сложно, начиная от того, что я мог остаться виноватым до вполне серьёзной уголовщины для недобросовестных сопровожденцев.
Если бы о всё этом тогда думали, наверное, и не стал смотреть компьютер, оценивая риски. Тогда без вопрос - "да, посмотрю".
Для таких случаев и введён почти по всему миру институт экспертного сопровождения судебного разбирательства. Не надо ничего судье объяснять техническими терминами. Необходимо заявить ходатайство о проведении судебной экспертизы, и пусть уже эксперт отвечает на понятные судье вопросы понятными судье ответами.
Ну собственно тут рядом сказали правильно, между гражданским и уголовным процессами есть разница.
В гражданском процессе нет презумпции невиновности, вы сами, или ваш представитель (юрист), представляете суду доказательства. Если возникают ситуации, для понимания которых требуются т.н.з. специальные знания, обладателем которых являетесь вы, но не суд, то вы либо пытаетесь это всё объяснить суду, либо ходатайствуете об экспертизе, заключению которой суд поверит, а до технических деталей пусть докапывается другая сторона, если сможет. Оплачивает экспертизу тот, кто запрашивает, но в случае победы это компенсируется другой стороной.
В уголовном процессе, если речь не идёт о немногочисленных статьях т.н.з. частного обвинения, сбором и представлением доказательств занимается следствие и обвинение (прокурор). Тут есть презумпция невиновности, но и возможностей для сбора доказательств у обвинения гораздо больше, чем у сторон в гражданском процессе - за счёт оперативно-розыскной деятельности.
Далее зависит от того, идёт речь о частно-публичном обвинении - тогда требуется заявление от потерпевшего (в случае мошенничества), или о публичном обвинении (преступления в сфере компьютерной информации) - где от потерпевшего заявление не обязательно и заявление нужно лишь для того, чтобы органы узнали о том, что что-то похожее на преступление произошло. Но для того же мошенничества есть исключение, если потерпевшим является государственное учреждение - тогда оно относится к делам публичного обвинения, т.е. в этом случае мнением потерпевшего уже имеют право не интересоваться.
В Казахстане конечно своя специфика, но должно быть что-то примерно похожее.
We need to go deeper ©
В гражданском процессе каждая сторона обязана доказывать обстоятельства, на которые ссылается. Но есть нюанс: в некоторых случаях природа отношений между сторонами спора такова, что доказательство обстоятельств объективно невозможно для одной стороны, в то время как опровержение этого второй стороной объективно возможно. В этом случае бремя доказательства переклаывается на более сильную в данном случае сторону. Пример.
Впрочем, я не могу представить, как натянуть перераспределение бремени доказывания на данный конкретный случай. Тем более, доказательная база действиями исполнителя приведена в порочное состояние.
В этом случае бремя доказательства переклаывается на более сильную в данном случае сторону.
Не совсем так: там оговорка "если кредиторы с помощью косвенных доказательств обосновали утверждения о...", то есть всё равно нельзя просто прийти и сказать "вы мне должны 100500 тыщ мильёнов, а если не согласны - опровергайте".
А всё потому, что несмотря на отсутствующую по закону, но присутствующую де-факто, у ВС нормотворческой функции, "отменить" ст.56 ГПК РФ он не может, а там сказано "Каждая сторона должна доказать те обстоятельства, на которые она ссылается как на основания своих требований и возражений, если иное не предусмотрено федеральным законом". Только попробовать сгладить "для недопущения злоупотребления правом".
Ну и если уж совсем докапываться, то в гражданском праве возможна ответственность и при отсутствии вины, в отличии от уголовного и административных правонарушений (за исключением нарушения ПДД).
Вот только в данном случае гражданский спор не нужен.
Доказать - это снять на видео процесс запуска ПК, момент перезагрузки после входа пользователя. Затем снимать процесс отключения закладки под админом, пароль которого, мы как-будто нашли в документации?
Поверят ли?
Пригласить специалиста, показать ему это. Может пойти в отказ. Не ставил, сами ставили, сами себе проблему сделали.
Сложно доказать эти вещи. Как доказать, что не мы её туда поставили и его обвиняем?
Еще раз - вам не надо ничего доказывать. В уголовном деле это проблема следствия. И им в любом случае надо будет доказать не только закладку, но и вину лица, её установившего. Сложность именно в этом, именно для этого и нужна ОРД. Более того, вы не всегда вообще сможете представить доказательства, которые потом сможет учесть суд, как раз из-за отсутствия у вас права на ОРД.
Вы, как обслуживающая организация, сделали бэкап, потом, при возникновении подозрения, посмотрели на сделанную копию и нашли подозрительную программу в автозагрузке (реестр тоже можно ведь посмотреть без запуска системы), и на этом основании обратились, мол, у нас тут подозрение на закладку.
В гражданском процессе да - больница доказывает наличие ущерба (закладки, и последствий её наличия), а дальше ответчик доказывает отсутствие своей вины в этом, если сможет. Если не сможет - платит деньги и/или делает что-то в натуре.
Я пытался найти более подходящий пример из свежего в адвокатской газете, честно, но быстро нагуглилось только сплошное рубилово про банкротные дела. Есть более яркий пример, но совсем слабо относящийся к непосредственно этому посту: ЗоЗПП. Тот прямо и недвусмысленно перекладывает бремя доказательства на продавца, уполномоченную организацию или производителя.
Вас поди посадят на этапе вами сброса пароля администратора, ибо вы использовали ПО для взлома))) В современных машинах поди и Bitlocker включён у всех поголовно.
Вопрос интересный, как за такое ловить и наказывать, но опасный, можно неожиданно себе "в лицо с дробовика пальнуть".
Вас поди посадят на этапе вами сброса пароля администратора, ибо вы использовали ПО для взлома)))
А я говорил тут рядом: " "На всякий случай" не стоит говорить, что вы обнаружили закладку. Лучше говорить "обнаружили нечто, похожее на закладку, но нам недостаточно специальных знаний, чтобы быть уверенными". ". И больше ничего не говорить :)
В любом случае, обнаружения закладки недостаточно - надо установить лицо, её установившее, и вину этого лица в форме прямого (не косвенного даже) умысла. Причём лицо или лица - только физические, юрлицо к уголовной ответственности не может быть привлечено.
а был вариант - сообщить GE Healthcare ? (типа "у вас отличный софт, но у техподдержки есть странные позывы. Сегодня они ставят такую штуку, вы можете гарантировать, что завтра это будет не троян?")
Или там оборудование тоже через третьи руки покупалось?
Вы, уважаемый, когда последний раз "просто откупались" от двух статей УК, включая мошенничество по предварительному сговору?
больница потеряет контакт на обслуживание (ведь она влезла в компьютер)
Интересно, а в случае с подобными контрактами можно заказать аудит безопасности или что-то в этом роде? Т.е. нанимается специальная фирма, которая занимается именно безопасностью и она находит закладку.
Далее поставщика уже можно накрячивать вплоть до (меж)государственного уровня (хотя кто там играет и на каких уровнях это тоже вопрос.....).
Плюс, можно привлечь собственно производителя оборудования. Не думаю что ему понравятся такие игры. Дилер вполне может лишиться своего контракта (ИМХО).
По поводу того что это инициатива. Вряд ли разработчика закладки, он бы не стал оставлять исходник - зачем? Т.е. это произошло внутри дилера. Его персонал не обладает квалификацией программиста, а просто действует "по бумажке": скопировать сюда и запустить такую-то команду. Хотя это не отвечает на вопрос кто конкретно был инициатором: конкретный "спец" или дефективный менеджер.
И ещё. Название фирмы, занимающейся подобными вещами обязательно должно быть опубликовано.
А, ну да. Нужно быть терпилой и радоваться, что тебя обманывают не на 400 000, а всего лишь на 200 000.
Другие пытались защищать разработчиков и не мешать зарабатывать деньги так, как кто может.
Так это к разработке уже не имеет отношения. Это «бизнес». Ведь зарабатывать «пыталась» уже не компания производитель оборудования.
Написали код закладки - значит разработчики, может от этого отталкивались.
Ну так можно и дальше пойти. Может тот, кто писал и не знал, зачем эта функция, тогда тут вообще нарисовывается преступная группа по незаконному обогащению. Я сам не юрист вообще, но иногда на глаза попадались статьи и книги, где студенты юридических факультетов «разруливали» такие ситуации.
У меня в школе преподаватель любил шутку: «закладываешь программу в компьютер, а уж она сама покупателя обсчитывает». Видимо некоторые решили воплотить её в жизнь.
Я как-то тоже однажды столкнулся с подобной ситуацией и не стал исправлять, потому что тут речь шла о программе за которую ещё не заплатили, но я предупредил человека, что закладка есть. (У разработчика было ещё много времени на её удаление, т.к. итераций ещё было много). Поэтому как способ гарантии выплаты за работу вполне себе вариант. Но лучше, конечно, поддерживать хорошие деловые отношения.
)))
...А может, товарищ просто хотел попасть на дачу президента в пять часов утра!
Какие то разработчики закладки не серьёзные, коли исходники оставили. Видимо надеялись, что до них не доберутся. Представляю как они будут изумлены, что плановый ремонт отменяется. )))
а как добраться без пароля админа? И кому добираться? Пароль админа далеко на Password1@.
Можно им сообщить, что поломался компьютер, из-за этого умер родственник прокурора, и на время расследования ремонт отменяется.
Это скорее всего для того чтобы было удобно проводить "ремонт" на месте.
Приехали, вошли под админкой, отредактировали файл, скомпилировали — готово.
Меня одного это смутило во всей этой прохладной?
Вообще то это в чистом виде "Мошенничество" с точки зрения УК РФ
неправомерное завладение чужими деньгами или имуществом с целью обращения его в свою пользу или в пользу третьих лиц, совершаемое с помощью обмана или злоупотребления доверием.
Завладения имуществом не было. Оборудование как было так и оставалось в больнице. Никто его не крал. Неправомерное? У них был контракт на обслуживание, где все цифры черным по белому написано кто кому в каких случаях платит. Обман - не факт, а вот злоупотребление доверием- возможно, да. Но тут стоит ещё доказать, кто это ставил, кто был в курсе. Или это ещё один из поставщик говорил что надо делать "чтобы заработало".
При этом автору тоже грозит статья УК про неправомерный доступ к ЭВМ. По крайней мере по УК РФ. Но речь же про Казахстан. В любом случае, если начать наказывать одних, то и сам огрести можешь...
Закладка с целью получения 200К+ за приезд и исправление - покушение на мошенничество по факту явно
Насчет "доказать" - это уже совсем другой вопрос. По понятиям эту обслуживающую фирму просто на десятикратную сумму выставили бы и всё
Закладка с целью получения 200К+
Что если это не закладка? Что если это такое ограничение, чтобы врачи не использовали аппарат после этой даты, потому-что в аппарате к этому времени нужно менять лампу/фильтр/еще какую хрень. В сам аппарат встраивать такие остановки сложно и опасно, вот и придумали короткую тулзу (которую даже и не прятали сильно) на скорую руку.
Лично у меня вызывает сомнение, что в госзакупках, где все стараются уронить цену чтобы захапать контракт, не нашлось ни одного другого лентяя, который был бы готов за 199 тысяч, или даже за 100 тысяч приехать и обслужить такой аппарат... Выходит, что там не все так просто.
Я это к чему. Я не знаю таких ребят (или даже похожих на них), тем более в Казахстане, и никакого отношения к ним не имею, но я не люблю кого-то судить / осуждать / вешать ярлыки только по поверхностной информации, и как минимум не выслушав другую сторону.
В таких случаях в документации описывается этот момент
Тогда у меня в голове возникает ещё сразу ещё пачка вопросов:
1) Где эта документация? Кто-нибудь хотя бы попытался её достать
2) Почему автор не полез в документацию, или хотя бы не попробовал её достать? И ничего не упомянул про неё?
3) Неужели документация к сложному медицинскому аппарату должна быть доступна любому обывателю, как инструкция к микроволновой печи? Типа: Если у вас аппарат издаёт странный звук, и запах разогреваемой еды пациентов вдруг стал слегка отдавать гарью, то аппарату нужна срочная замена электронной лампы генерации колебаний, заказать новую можно у нас, или на Aliexpress, а с заменой справится любой электрик, спросите дядю Васю, он должен справиться.
В таких случаях в документации описывается этот момент
4) Даже если будет документация, и она доступна только очень закрытому кругу лиц (поставщикам/вендорам/представителям), то там вполне может быть черным по белому написано: После проверки оборудования, если всё работает исправно, то загружаемся в режим администратора, запускаем вот такую-то тулзу и ставим новую дату. То есть сами представители могут вполне работать по официальной документации, что она даст?
Не было ничего такого, что натолкнуло бы на чтение документации: коды ошибок, информативные сообщения, подключенное новое оборудование. Рабочий компьютер в один день стал просто выключаться. Причём корректно, как будто нажали кнопку выключения. Не перезагрузка с ошибкой. Вот и подсказка без документации
Неужели документация к сложному медицинскому аппарату должна быть доступна любому обывателю, как инструкция к микроволновой печи?
Главное, чтобы она была доступна владельцу прибора. И в ней было сказано "применена защита от того-то и того-то, так что после истечения такого-то срока и невыполнения таких-то действий - возможно то-то и то-то".
Если владельцу прибора это не было сообщено - такая защита "внезапно" превращается в создание/использование компьютерных программ, заведомо предназначенных для несанкционированного блокирования компьютерной информации.
При этом автору тоже грозит статья УК про неправомерный доступ к ЭВМ. По крайней мере по УК РФ
Вот кстати нет. Его же вызвал и заказал работы вроде бы как собственник данной ЭВМ. Т.е. автор в данном случае не более чем слесарь по вскрытию сейфа для которого забыли код.
не более чем слесарь по вскрытию сейфа
А если сейф не принадлежит тому , кто просил его вскрыть, то вина должна быть на слесаре, или тому, кто заказал вскрытие? А если поменять "сейф" на "квартира" - тоже "я не виноват, меня попросили?". Тогда можно вообще любую квартиру налево направо вскрывать, и говорить, что это меня друг попросил, я ничего плохого не делал!
Подсказка: виновным сделают слесаря.
Так и здесь. Тебя когда просят взломать чей то софт, ты должен понимать, что ломаешь ты, и ответственность на тебе. Достаточно того, что он сделал копию диска , и взломал пароль администратора. Увы, это уже тянет на правонарушение, какие бы светлые мотивы не были в голове.
Похоже всё усложнилось
А если поменять "сейф" на "квартира" - тоже "я не виноват, меня попросили?". Тогда можно вообще любую квартиру налево направо вскрывать, и говорить, что это меня друг попросил, я ничего плохого не делал!
Какие документы нужны для вскрытия?
Аварийное вскрытие замков сотрудниками службы вскрытия осуществляется только при предоставлении владельцами недвижимости (автомобиля, сейфа) определенных документов.
Услуга по открытию доступа в помещение проводится исключительно при предоставлении:
Паспорта с регистрацией по данному адресу или иного документа, подтверждающего личность, а также свидетельства о собственности на помещение или его доли.
Паспорта либо другого документа, удостоверяющего право пользования помещением (договор аренды).
Паспорта, водительских прав, документов, подтверждающих право собственности/пользования транспортным средством (техпаспорт или доверенность, заверенная нотариально).
В других случаях аварийное вскрытие авто , квартиры/дома выполняется с письменного разрешения, а также в присутствии сотрудника полиции (участкового).
Кому доверить аварийное вскрытие замков
__________________
Все же описано и регламентировано.
Так и здесь. Тебя когда просят взломать чей то софт, ты должен понимать, что ломаешь ты, и ответственность на тебе.
В данном случае речь шла не о взломе чужого ПО, а о диагностике неработающего оборудования, которое было приобретено данным медцентром, оплачено им же и поставлено на баланс. Т.е. является собственностью данного медцентра.
В данном случае речь шла не о взломе чужого ПО, а о диагностике неработающего оборудования
На каком этапе должна была остановиться диагностика? Вот у меня почему то перестала работать авторизация на сайте Пентагона, не могли бы вы взломать посмотреть что с ним не так?) Это же просто диагностика, я раньше совершенно точно заходил под админом! Документы? А зачем, ты же в тот раз не спрашивал документы, зачем сейчас тогда спрашиваешь?
На каком этапе должна была остановиться диагностика?
Если оборудование и ПО приобретены, то ни на каком — это собственность покупателя. Просто пока законы еще не подстроились под новые реалии.
Просто пока законы еще не подстроились под новые реалии.
Dura lex sed lex. То, что закон нелогичен или суров не делает его недействующим. То, что он не соответствует духу времени - тоже. Закон ещё не подстроится = значит пока действует предыдущий закон, по которому взлом является незаконный, если оно не обговорено в лицензионном соглашении.
Закон ещё не подстроится = значит пока действует предыдущий закон, по которому взлом является незаконный, если оно не обговорено в лицензионном соглашении
Мы про закон какой то конкретной страны сейчас говорим?
Dura lex sed lex. То, что закон нелогичен или суров не делает его недействующим.
По ст.273 УК РФ давно должна сидеть половина Лаборатории Касперского. Но не сидит. Закон точно действующий, или "действующий избирательно"?
На каком этапе должна была остановиться диагностика?
На этапе непредоставления документов о праве собственности на представленный для исследования экземпляр. Впрочем, если они даже не были предоставлены, но исполнитель уверен в правомочии заказчика, он может исполнить заказ без запроса документов. В этом случае уже следствие обязано будет доказать, что экземпляр не принадлежал заказчику (или заказчик не был уполномочен владельцем на совершение действий, заказанных исполнителю).
На этапе непредоставления документов о праве собственности на представленный для исследования экземпляр.
А должны были быть предоставлены?.. Закон требует их предоставлять? Если нет, то ой, максимум можно что-то предъявить в связи с разумной осмотрительностью, да и то в рамках гражданско-правовой ответственности.
В этом случае уже следствие обязано будет доказать
Следствие всегда обязано доказать, обвиняемый имеет право не доказывать ничего. Это не гражданский процесс.
Достаточно того, что он сделал копию диска
Если не ошибаюсь, ответственность наступит только тогда, когда данные из этой копии (сведения, составляющие медицинскую тайну) утекут. И да, в данном случае вина будет на исполнителе. А заказчикам прилетит халатность, пожалуй. Если нет в УК РК какой-то особой статьи за небрежное обращение с данными, составляющими медицинскую тайну, касающуюся именно лиц, обязанных эту тайну хранить в силу закона.
взломал пароль администратора
Увы, этот пароль администратора, хоть и держался в секрете подрядчиком, принадлежит тому, на чьем балансе, как сказали ниже, находится и софт и железо. Таким образом, заказчик в данном случае имел полное право заказать работы по вскрытию (более того, неинвазивному, то есть, без прямого изменения этого пароля на другой). Опять же, конкретно в данном случае варианты следующие:
что-то пошло не так, заварилась каша, у заказчика все пошли в отказ, печалька, но исполнителю может прилететь что-то вроде "неправомерного доступа к компьютерной информации" (ведь бумаг нет, но можно попробовать соскочить через скриншоты переписки в телеге, которую, конечно же, неплохо бы забэкапить во избежание удаления заказчиком)
И... всё. Совсем всё. Вообще всё. До тех пор, пока данное вскрытие (с сохранением пароля, причём) не используется в целях нарушения лицензий на ПО, это не является даже нарушением функционирования компьютерных программ в какой-либо мере. Впрочем, может и правда оказаться, что это фишка производителя ПО, будет очень интересно посмотреть, как он в суде будет в качестве свидетеля настаивать на том, что ему отключением автошатдауна нанесли ущерб и вообще нарушили нормальное функционирование его ПО. Пожалуй, я бы записался в очередь на попкорм.
А заказчикам прилетит халатность, пожалуй
"Халатность" - это устаревший термин, сейчас у неосторожности два вида - легкомыслие и небрежность. Но достаточно того, что это неосторожность - а если в статье УК не указано прямо, что она применяется в форме неосторожности - то требуется умысел, а в некоторых случаях - так только прямой умысел.
Для гражданского процесса оно может и будет достаточно, но там и вина не всегда важна для наступления ответственности.
Увы, этот пароль администратора, хоть и держался в секрете подрядчиком, принадлежит тому, на чьем балансе, как сказали ниже, находится и софт и железо
Кажется вас прям занесло. Таким образом вообще любой взлом можно оправдать. И файлы лицензий сносить, и софт крякать, и вообще за лицензии не платить - оборудование же куплено , вот сторт! А софт - хрен с ним.
Сюрприз! По крайней мере, по российским законам это так. Можно взламывать даже средства защиты 1С в той мере, в которой это не приводит к нарушению лицензионных ограничений.
Например, взлом HASP для экземпляров программы, расположенных в одной физической локальной сети (при соблюдении всех прочих лицензионных условий, связанных с приобретением соответстувующих лицензий на использование) не является нарушением закона и потому не преследуется, в том числе, уголовным законом.
А взлом HASP для экземпляров, расположенных в дистанционно разнесенных подразделениях организации, о чем есть специальные оговорки в лицензионных условиях, с попыткой объединить экземпляры в единую локальную сеть с помощью VPN, уже является нарушением и при соответствии дополнительным условиям уголовного закона наказываются и уголовным законом.
Еще раз: взлом легально приобретенной лицензионной копии игры, чтобы Denuvo не портил впечатление от игры -- законен. Если же лицензионное соглашение требует от клиента MMO-игры подключаться только к официальным серверам, но пользователь с помощью кряка разблокировал возможность играть на фри-шардах и играл на таковых -- это не законно.
И вот мы постепенно наконец подошли от всяких догадок к мысли, что надо было почитать что написано в лицензионном соглашении... Там либо невиновен, либо уголовка.
Мне очень сложно придумать схематоз, по которому лицензиатом на OS Windows остаётся поставщик или обслуживающая организация, а лицензиатом управляющего ПО, работающего поверх этой ОС, является медицинская организация, и всё это представляет собой единый программно-аппаратный комплекс.
Иными словами, лицензиатом на OS Windows является та же организация, которая в рассматриваемом случае является заказчиком услуги по взлому пароля администратора.
Лицензионное соглашение на управляющее ПО никаким образом не может подменять собой лицензионное соглашение на OS Windows, не может влиять на положения лицензии этой ОС. А лицензия OS Windows не запрещает (и не может, по крайней мере, по российским законам) исследовать программы и базы данных, входящие в комплекс OS Windows. Взлом пароля (как минимум, в данном случае) произведен исследовательским спообом, а не инвазивным, посредством снятия копии (тоже прямо разрешено ГК РФ, не может быть запрещено лицензионным соглашением). Лицензионное соглашение OS Windows не запрещает входить в эту ОС под учетной записью администратора, пароль которого был подобран исследовательским способом. А само управляющее ПО вообще никаким образом не модифицировалось, то есть исполняемые файлы остались в изначальном, предоставленном лицензиаром, виде, а базы данных этого ПО в том виде, в каком само это немодифицированное ПО их содержало.
В общем, мухи отдельно, котлеты отдельно.
Мне очень сложно придумать схематоз, по которому лицензиатом на OS Windows остаётся поставщик или обслуживающая организация, а лицензиатом управляющего ПО, работающего поверх этой ОС, является медицинская организация, и всё это представляет собой единый программно-аппаратный комплекс.
Реально сложно. Я даже не уверен, что ваша лицензия на винду допускает её установку на железо, которым вы не владеете на праве собственности, аренды или иным аналогичным образом. А железом тут владеет ЛПУ.
И вот мы постепенно наконец подошли от всяких догадок к мысли, что надо было почитать что написано в лицензионном соглашении... Там либо невиновен, либо уголовка.
И лицензионное соглашение не распространяется на манипуляции с информацией на диске, где находится винда, включая манипуляции с паролем.
А вот на что оно точно распространяется и на что никто, похоже, не обратил внимание - это на запуск клона винды на другом компьютере. При наличии лицензии винду можно сколько угодно держать без активации. А при отсутствии - нельзя нисколько. (исключение - триальная лицензия, но это определяется ключом активации, и не распространяется на иным образом установленную винду)
Например, взлом HASP для экземпляров программы, расположенных в одной физической локальной сети (при соблюдении всех прочих лицензионных условий, связанных с приобретением соответстувующих лицензий на использование) не является нарушением закона и потому не преследуется, в том числе, уголовным законом.
Хмм... "Зависит от".
Т.к. формально ситуация следующая:
- есть ТСЗАП (технические средства защиты авторских прав), есть СЗИ (средства защиты информации).
- Несмотря на сходство по технологии, СЗИ подпадают под раздел УК "преступления в сфере компьютерной информации", но он сам по себе настолько резиновый, что по нему полстраны можно посадить. А ТСЗАП - не подпадают, только под нарушения авторского права.
- На практике разницы между СЗИ и ТСЗАП "не замечают", однако, бОльшая часть дел основана на признательных показаниях, и эта практика ВС не проверялась. Кроме того, имеем избирательное применение соответствующего раздела УК. При этом недавно ВС дал толкование для статей из этого раздела, правда, для этого "слегка" занялся нормотворчеством (чего, в теории, делать не должен, но на практике этим занимается), но всё равно не ответил на вопрос, кто же имеет право санкционировать действия с информацией.
Если исходить из того, что хозяин компьютера - это обладатель находящейся на нём информации, то он действительно может санкционировать любые манипуляции с ней. Но не с ТСЗАП и объектом авторского права. При этом лицензия на объект авторского права - не распространяется на информацию.
Потому при буквальном (а не резиново-произвольном) толковании закона, HASP всё-таки нельзя ломать (если правообладатель позаботился об этом и запретил подобное лицензией),
Но пароль администратора винды - явно не относится к ТСЗАП, так что под лицензионный запрет не попадает. А обладатель информации - имеет право санкционировать действия с ней.
Подсказка: виновным сделают слесаря.
Не сделают, если слесарь не дурак сделал всё не по устной договорённости, а документально зафиксировал заказ.
Могут домахаться в рамках гражданско-правовой ответственности, но во-первых, это будет уже не следствие, а пострадавший, а во-вторых, при "проявлении должной осмотрительности" - например, в договоре привезщий сейф клянётся и божится, что это его сейф, и при вскрытии не замечено признаков, это опровергающих, то и тут ничего не грозит.
А вот по устной договорённости уже очень не рекомендуется такие вещи делать, ага.
Руководству не стали говорить так как вопрос сложный с субподрядчиком.
ИМХО зря. Общество должно быть нетерпимым к таким проявлениям.
Какие мысли о том, что было бы дальше? У нас не было понимания через что придётся идти и как доказывать. Обслуживающей компании лишнее внимание вряд ли нужно было. Медцентру хватало в то время судебных исков по госзакупкам (компьютеры, обслуживающие компании, мед. препараты и прочее, прочее)
Суд, возврат ранее потраченных "на обслуживание" сотен тысяч, смена обслуживающей организации на другую, возможно более порядочную. Замалчивание - как раз и есть причина того что такие "тендеры" цветут и пахнут
смена обслуживающей организации на другую, возможно более порядочную
Либо на другую, ещё менее порядочную, и более дорогую)
Это не узнать пока не сменишь. Если будут наказываться непорядочные, то останутся только порядочные.
Это не узнать пока не сменишь
This. И зачем тогда рисковать? Лучше жить в лёгком дискомфорте с занозой в заднице, чем попасть на риск остаться вообще без одной ягодицы.
В конечном итоге - да! - если история разоблачения начнётся с них, то добро в итоге победит и через десять-двадцать лет от подобного мошенничества не останется и следа. Но в процессе этого "приключения" у бизнеса есть ненулевой шанс понести огромные разовые убытки, попасть в скандал, оказаться облапошенным и т. д. А такие "приключения" бизнес не любит и предпочитает терпеть текущее положение дел.
Мы не будем менять обосранные штаны, потому что новые тоже могут быть обосраны (с)
Лица, принимающие решения на уровне "подавать в суд или нет" часто тоже в доле от этих 200k.
Кроме того, если задействовано гос.финансирование, всё становится ещё чуть сложнее. Прокуратура не всегда вникает в то, кто потенциально виноват: деньги уплочены - должно работать, а как и где брать запчасти их не интересует.
Суд, возврат ранее потраченных "на обслуживание" сотен тысяч, сотен тысяч, смена обслуживающей организации на другую, возможно более порядочную. Замалчивание - как раз и есть причина того что такие "тендеры" цветут и пахнут
Про замалчивание - верно, а вот про суд - уже всё несколько сложнее. Вообще говоря самой медорганизации нет практического смысла самостоятельно ввязываться в спор с обслуживающей организацией. Лучше переложить эту проблему на голову правоохранителей, включая ту же прокуратуру (а если это еще и КИИ - то и "более специальные" службы, хотя это в РФ, в Казахстане как-то по-другому).
А там или те накопают в ходе проверки и возбудят дело, или не накопают и дадут отказ в возбуждении. Собственно, конкретный результат не так важен, главное, что в случае чего - любой проверке расходования средств можно это предъявить и сказать "я не я и лошадь не моя - всё из-за того, что компетентные органы что-то нашли/не нашли".
p.s. я тут упустил один момент... Если у обслуживающей организации доступ к этому системному блоку был официально (а он был вроде как), то не знаю, как в случае Казахстана, но в случае РФ обратиться в органы могло любое из двух лиц - медучреждение и/или обслуживающая организация.
и во фразе " нет практического смысла самостоятельно ввязываться в спор с обслуживающей организацией" - имелась в виду организация, из которой раньше приезжал человек "чинить" закладку, а не та, которая выиграла конкурс.
С чем в суд? Мы в нарушение договора дали поковыряться во внутренностях нашего комплекса знакомому чуваку, и он сказал, что там программа, которая не дает работать, верните нам миллион? Чтобы эти жернова правосудия провернуть и добиться какого-то расследования, надо потратить столько денег, времени и сил, при отсутствии какой-либо гарантии результата, что проще плюнуть и забыть, дешевле выйдет. Так устроена эта система.
Скорее всего руководство пригласило бы знакомого прокурора на консультации, вопрос с поставщиком решили бы досудебно, деньгами.
Ну вот такие замалчивания и поощряют такое мошенничество.
А зачем вам что-то доказывать?
В здоровом обществе я вижу это так:
1. Вы сообщаете руководству.
2. Руководство инициирует проведение внутреннего расследования.
3. Компания проводит консультацию с юристами.
4. Компания извещает компетентные органы о произошедшем.
5. Органы занимаются сбором доказательной базы: проводят контрольные закупки и\или просят вас вернуть все на место и вызвать обслуживающую компанию.
Далее уже все переходит в судебные инстанции. И на каждом этапе можно замолчать, "забить" и т.д. и пока так и происходит нельзя общество назвать здоровым. Мы живем в больной среде, в которой кто-то замалчивает, кто-то просит "не мешать разработчикам зарабатывать" и т.д.
Да, вы сами сказали про больную среду. Именно поэтому автор поступил компромиссно. Потому что неизвестно, на чем бы ваш вышеизложенный план споткнулся. Например, на мнении суда, что автор самовольно забрал рабочую станцию себе домой и сделал не реверс-инжиниринг, а ту самую закладку (или сделал эту закладку раньше, а сейчас дома подчистил, испугавшись запала). Я хз, как там в казахском праве, вон в Штатах, да поправят меня знающие люди, есть "плоды отравленного дерева", где ты хоть страшного маньяка разоблачи, но если ты сделал это, взломав его квартиру, все найденные там улики и цепочки доказательств не будут учитываться. А рассказчик не имел права даже системник домой приносить, не то что реверсить.
В реальности могло быть что угодно, вплоть до возможного сговора подрядчика с учреждением, что они вот так друг другу услуги фармят. Доказать в одиночку, не записав процесса внедрения зловреда конкретным лицом, вы ничего не сможете, а повесить всех собак на автора могли совершенно неиллюзорно. Это я молчу про то, что саму станцию заберут как вещдок на годик-другой, а поставщик оборудования вряд ли захочет (а может и не сможет по закону) поставить новое оборудование тому же юрлицу, которое возбудило на него дело, и целый кусок диагностики в медцентре накроется.
Серые схемы и мошенничество ровно там и возникают, где нельзя на суперменском максимализме пойти в лоб через суд. Автор поста решил проблему максимально деликатно, починив оборудование в короткий срок и послав явный сигнал мошенникам, что на его поляне такое больше не прокатит, свой гражданский долг выполнил на 200% как по мне.
Тут момент ровно какой - проводится проверка где еще данный подрядчик "обслуживает" аналогичное оборудование, так же регулярно ломающееся. После чего оборудование изымается для экпертизы ( делается копия диска и изымается), и соответственно получаются вполне законные доказательства.
Потому что маловероятно что они не поставили данную процедуру на поток.
Да, это потом уже возникли мысли о негативе и возможных проблемах. Первая реакция на эмоциях помочь и попробовать. Руки чещутся помогать и решать проблемы. Кто их знает, не получись оно с паролем и всех собак повесили б...
Кто их знает, не получись оно с паролем и всех собак повесили б...
В данном конкретном случае, кажется, можно было вычистить закладку и без пароля админа.
Но вот с момента "Специалистам обслуживающей компании показалось странным периодическое выключение компьютера сразу после его включения" действительно, "неофициально помочь" конечно можно, но при условии, что те, кому помогается, со своей стороны всё проделали и оформили формально верно, и заодно - они достаточно надёжны вплоть до того, что потом заявят, что указанные действия они проделали сами (ну или задним числом оформят помощь официально).
Я хз, как там в казахском праве, вон в Штатах, да поправят меня знающие люди, есть "плоды отравленного дерева", где ты хоть страшного маньяка разоблачи, но если ты сделал это, взломав его квартиру, все найденные там улики и цепочки доказательств не будут учитываться.
в Казахстане, как и во многих странах континентальной правовой системы, доказательства, полученные с нарушением закона, не должны учитываться судом.
Доказать в одиночку, не записав процесса внедрения зловреда конкретным лицом, вы ничего не сможете, а повесить всех собак на автора могли совершенно неиллюзорно.
А ему и не надо ничего доказывать как раз - для этого есть специально обученные люди.
А рассказчик не имел права даже системник домой приносить, не то что реверсить.
А вот тут не факт, если корпус можно вскрыть и сделать копию диска. Например, для целей резервного копирования.
Проблема в другом. "На всякий случай" не стоит говорить, что вы обнаружили закладку. Лучше говорить "обнаружили нечто, похожее на закладку, но нам недостаточно специальных знаний, чтобы быть уверенными". Не знаю как в Казахстане с этим, но в РФ ст.273 УК - весьма резиновая.
И второй момент - было бы лучше лицу, нашедшему закладку, до этого момента не иметь доступа к этому системному блоку. Тоже "на всякий случай".
Типичная "подписка" на услуги, на аппаратном уровне.
Хотел написать несколько подробных историй из собственного опыта, но потом передумал, напишу без деталей.
Чинили УЗИ, МРТ, рентгены, были бэдблоки на жестких дисках, битые реестры Windows, ломали/подбирали пароли/автозагрузки на вход в ОС систем.
Из общих советов, на каждый аппарат после окончания гарантии должен быть образ диска. В какой момент делать образ диска, каждый решал сам. В идеале считается за месяц до окончания гарантии или сервисного договора.
Но на практике, обычно образ диска приходилось снимать уже через dd_rescue.
Один из примеров, который вспомнился. УЗИ-аппарат, на котором примерно через год заканчивалось место на системном диске. В каталог c:\temp клались картинки предпросмотра снимков и не удалялись. Основные же снимки лежали на большом диске D
Каждый год приезжал специалист от вендора и просто раскатывал образ системы с нуля, не разбираясь, что там и как.
Рентгеновская система, в котором управляющий компьютер периодически лаборантами выключался через общий рубильник питания установки. Как результат после включения или битая БД управляющего софта или нерабочая Windows. В инструкции для лаборантов не было пункта, что завершать работу нужно через кнопку в управляющем ПО.
Много всякого было...
А вот еще вспомнил.
Система на базе windows, в которой стоял срок действия пароля БД 365 дней. После этого софт переставал работать. (Наверное, все-таки продолжал работать, но часть функционала там отваливалась)
Про базу похожая ситуация была. Стояла ограниченная версия SQL Server. Либо спеца вызывать для очистки и сброса в историю, либо работа вставала. И никто не говорил секретов из консультантов. Лишь однажды подсмотрели что можно самим это делать и бесплатно.
С другой стороны руководство категорически против рисков было. Дорогое оборудование - не прикасаться. Висит инструкция по включению, уборке и локальному обслуживанию.
В идеальном мире, каждый аппарат должен быть на обслуживании сертифицированной фирмой, ибо здоровье людей. Условный неправильно работающий рентген, из-за которого врач не увидит чего-то фатального в пациенте, а тот потом умрет.
Но в реальной жизни, в которой уровень квалификации фирменных инженеров оставляет желать лучшего, и иногда они эти аппараты вообще первый раз видели, и никакой документации к нему не имели.
В итоге руководители ЛПУ сами принимают решение, которое в теории может привести к уголовной ответственности. Чинить аппарат своими несертифицированными силами и продолжать прием, либо не вести прием неизвестное количество времени, платить деньги за выезд инженера, который напишет потом формальную бумажку, что нужен ремонт (а то мы не знаем, что нужен ремонт) и в итоге вообще терять врача, которому не платят ЗП потому, что нет пациентов, или все деньги ушли на ремонт.
В целом можно долго дискутировать можно ли простой УЗИ чинить самим, где риск для пациента минимален. И какой класс оборудования не трогать вообще, какой-нибудь позитронно-эмиссионый облучатель. И опять-таки иметь в виду, что приезжающие инженеры иногда делают только хуже. Не хочу никого обидеть, но даже и такие случаи были, когда оборудование на официальном обслуживании, но чинили сами.
А уж что привело к такой ситуации, так это вообще отдельная тема...
УЗИ-аппарат, на котором примерно через год заканчивалось место на системном диске. В каталог c:\temp клались картинки предпросмотра снимков и не удалялись. Основные же снимки лежали на большом диске D
Вот именно так и выглядит закладка умного человека. Вместо того, чтоб класть в систему вредоносный код, что очень палевно и можно легко поиметь проблем если найдут, достаточно просто нашаманить с настройками системы.
Благо, в Windows существует множество возможностей штатными средствами системы, просто подобрав настройки, сделать так, чтобы где-то что-то накапливалось и не удалялось. Или чтобы через полгодика система начинала тормозить до полной неюзабельности.
Даже если сторонние спецы разберутся, в чём тут прикол, доказать злонамеренность будет крайне сложно.
В данном случае будет некомпетентность. Что в медицине тоже самое, что злонамеренность
Если подтянуть производителя возможность есть, то через исследование тестового стенда вполне можно доказать злонамеренность. Например, там есть сертификаты о прохождении обязательных испытаний, ведь есть же? Давайте внимательно посмотрим на тестовые стенды. А почему там самая свежая дата от вчера? А можно конкретного тестировщика теперь в качестве свидетеля (уголовная ответственность за дачу заведомо ложных показаний). Итак, что тестировалось, как тестировалось, сталкивались с обсуждаемой проблемой? Можно посмотреть отчёт? Теперь нам нужна выгрузка всего трекинга сообщения об этой проблеме.
Не гарантия, но можно.
Каждый год приезжал специалист от вендора и просто раскатывал образ системы с нуля, не разбираясь, что там и как
Был случай, когда работал в одной большой сети магазинов продавцом. Подоходит товаровед и просит посмотреть, чет комп не врубается и BSOD показывает. Пишет ошибку в дравйвере drweb. Загрузился с безопасном, переименовал драйвер и сказал, чтобы передали системотехнику, обновить антивирус позже, когда drweb фикс выпустит. Так этот системотехник просто переустановил систему как-то криво и в итоге часть базы товаров для закупки похерилась. Мне товаровед потом это рассказал, сказав что у нас -2000 позиций по магазину теперь)
У того, кто это придумал логика школьного уровня в модном сейчас стиле "запланированное устаревание". Вызовы будут и без подобных "проблем". Делать надо стараться как можно лучше и надёжнее, так как косяки образуются как-то и так сами по себе. Проходит лет 10 и оборудование или его части требуется и так заменять. И если твоё оборудование безпроблемно отпахало положенные сроки, причём это много у кого так, к тебе же и обратятся снова, так как если руководство клиники вменяемо, то не будет устраивать эксперименты по смене поставщика под страхом случайного слома ритмы работы организации. А если есть свободные ресурсы… так пилите другое оборудование — интересно же должно быть! Ой, что это я — бизнес это же про деньги, какой интерес-то...
Проходит лет 10 и оборудование или его части требуется и так заменять. И если твоё оборудование безпроблемно отпахало положенные сроки, причём это много у кого так, к тебе же и обратятся снова, так как если руководство клиники вменяемо, то не будет устраивать эксперименты по смене
Возможно у отдела разработки/тех. обслуживания KPI привязан к количеству выполненных задач, а не к сроку бесперебойной работы.
Подобная "раскачка" (устранение проблемы так, чтобы она появилась вновь) может быть санкционирована руководством фирмы-сервисника, чтобы вы на сервис-контракте платили не за каждый выезд, а за значительно более дорогой SLA c фиксированным временем простоя. Поскольку оборудование обычно хорошее и неломучее, такой контракт получается выгоднее для сервисника: деньги капают по времени, а сервиснику никуда ездить не надо.
Чтобы производители так себя вели нужно чтобы руководству в детстве привили гуманистические ценности. Тогда человеку, занимающему руководящий пост будет важнее благополучие общества, а не повышенный заработок (т.к. хорошая услуга или товар будут оплачены, речь не о безвозмездном делании добра :)
Это идёт от культуры и воспитания.
Вы сильно переоцениваете мощь пропаганды и воспитания. К тому времени, как человек доберётся до руководящего поста, он уже целиком и полностью перевоспитается в стандартном ключе.
Идеалисты, попавшие в потогонную контору, а тем более в бюджетные организации вроде больниц и школ, менее чем за пять лет становятся "как все".
Ну, учитывая как вы обобщаете, я бы не стал доверять этим утверждениям.
В вашем исходном посте тоже одно сплошное обобщение. Не говоря уж о том, что сам пост из раздела "мыши, станьте ёжиками". Человечество за всё время своего существования так и не смогло изобрести надёжно работающий метод воспитания, потому что люди — это не роботы, которым можно установить прошивку и залочить память, чтоб эта прошивка оставалась в неизменном виде до конца срока эксплуатации.
Без построения общества на основе гуманистических ценностей (на словах, а не на деле!) никакой культуры у отдельных индивидуумов ожидать не стоит.
Так а я о том же самом, разве нет?
Мне показалось что нет, так как на разных чашах весов у ЛПР будут заработок vs общественное благо. И все будет зависеть только от его внутренних убеждений, и никто не осудит его за любой из выбранных вариантов.
Кмк, в обществе, построенном на гуманистических ценностях, должны быть социальные механизмы (кнуты и пряники), помогающие сделать правильный выбор). Другими словами, гуманистические ценности и нравственный релятивизм — вещи (скорей всего) несовместимые.
руководству в детстве привили гуманистические ценности
Тогда эти люди просто не станут руководством. Это как предложение "пустить нормальных людей во власть вместо тех что есть".
Отсутствие морали - это сильнейшее преимущество во время борьбы за власть.
Некоторые считаю, что софтина (и хард) для медицинского оборудования это вершина надежности, почти на уровне космической техники для исследования далекого космоса, ведь речь идет о жизни и благополучии людей.
Реальность куда злее - в медицинском хай теке из-за обилия социальщины и бюрократии не сделать так быстро деньги, как в других областях, свободных денег куда меньше, чем в том же фин техе, да и всякие новшества отбиваются куда дольше.
В результате наиболее амбициозные разработчики находят себя в иных индустриях, а в мед оборудование часто идут ... ну кто в общем идет.
Ну и оставляют такие закладки, ведь если можно, почему бы и нет?
Тут главное не перепутать, да? Ведь кто из разработчиков старой школы настольных приложений не добавлял в свои произведения защиту (или закладку) от неблагонадёжных заказчиков.
Уровень не тот.
Одно дело, когда вы как исполнитель и он как заказчик нашли друг друга по сарафанному радио или на форумах; другое дело, когда и у заказчика фирма и у исполнителя фирма и у тех и у других есть юристы и всё такое. Совсем разный, так скажем, уровень. Поэтому если вы, как фрилансер, сделаете тайм-бомбу на случай неоплаты -- это одно. А если контора, которая получает нормальные деньги за обслуживание через договора -- то это совсем другое.
Ведь кто из разработчиков старой школы настольных приложений не добавлял в свои произведения защиту (или закладку) от неблагонадёжных заказчиков.
Зависит от обстоятельств. Закладка, отраженная в лицензионном договоре, называется ТСЗАП (техническое средство защиты авторских прав).
А она же, но не отраженная в договоре - в РФ тянет на статью УК о вредоносных программах для ЭВМ, плюс на мошенничество (одно из двух, может даже на новую статью о мошенничестве в сфере компьютерной информации), если на этом еще и деньги дополнительные зарабатывали.
Закладку в данном случае оставлял почти наверняка не производитель мед оборудования.
К оборудованию у автора претензий не было
Стало понятно, что с технической стороны не могло просто что-то сломаться, делали качественно и обдуманно.
В целом медоборудование — оно разное бывает. Есть дешевое, есть топовое. Денег соответственно тоже по разному, как и требования к фичам. Кто-то экономит на разрабах, кто-то наоборот ищет таланты. В конечном итоге все упирается в сложность создаваемого устройства и да, она зачастую отнюдь не космическая. Тот же рентген — это по сути вьювер для картинок. А вот компьютерный томограф уже требует от разработчиков несколько иного уровня квалификации. Не работал в финтехе, но думаю что там примерно такой же разброс.
Ну и в целом "стоимость разработчиков" и "надежность оборудования" имхо довольно слабо связаны, более того — самые крутые передовые разработки от самых крутых разработчиков частенько не особо то и надежны. А медоборудование может быть технически примитивно, но зато надежно. Надежность — это больше про объем и качество тестирования, имхо.
Хороший кейс с точки зрения решения технической задачи.
Не менее интересный кейс с точки зрения обслуживания сложной медицинской техники. Ведь за скобками оставлены вопросы сервисного контракта на обслуживание (на сколько лет составлен договор и насколько обязательно его выполнять) и была ли замена программы-закладки единственным действием, которым занимался приезжавший специалист. Есть шанс, что он занимался чем-то еще полезным, помимо перекомпиляции закладки.
Представьте, что у вас есть оборудование, от работы которого зависит жизнь людей. Оборудование точно не подключено к сети. И раз в год вам надо смотреть логи и проверять корректность его работы. Медцентры все разные и вы точно знаете, что какие-то будут пытаться оптимизировать это обслуживание, подвергая таким образом жизнь пациентов.
В таком свете наличие закладки с таймером выглядит, как возможное решение этой логической задачи.
Хотя можно было бы ограничиться большим красным баннером "пройдите обслуживание".
Да, можно такую задачу давать аналитикам "на креатив", кто что может придумать.
А разве это не решается одним пунктом в договоре?
Соглашусь, что это может быть просто таймер для клиента, ничего не понимающего в ИТ. А за ним может скрываться вполне нормальное обслуживание: замены жестких дисков или чего еще.
Для сложного оборудования идея "отказаться работать" вместо "работать с повышенным шансом сбоя и каким-то уведомлением, которые не читают в 99%" вполне может быть здравой.
Добавлю сюда одну историю из своей практики, правда не про мошенническую закладку, но вообще, про способ решения проблем с оборудованием в схожем антураже (как всегда в таких случаях – я в этой истории не я, и происходила она в другой галактике).
Итак, имеется дорогостоящий микроскоп в бюджетном учреждении (слава Богу, не медицина). В какой-то момент микроскоп начинает издавать дрочащие странные звуки, и перестает включать лазеры для флуоресценции, вернее, подавать их свет в объектив.
Что делать? Микроскоп вроде уже не на гарантии, но на обслуживании в компании-дочке-дистрибьюторе. После звонка в компанию они сразу же заряжают ценник в 50 К на выезд крутого специалиста из крутого города на "посмотреть, что у вас".
Начальство не дает добро на такие деньги на "посмотреть", да и платить их вроде не с чего: у подразделения нет внебюджетного финансирования со статьей расходов на ремонт. В общем, надо как в оригинальном посте, "попробовать обойтись так".
Для этого вызывается Один Чел, который на самом деле умеет ремонтировать оборудование вплоть до сложного медицинского, и его для таких целей и держат в учреждении. Один Чел приходит, внимательно смотрит на симптомы и подозревает один из внешних управляющих блоков, забирает его на недельку. После недельки простоя (и вопросов к автору этих строк, когда все заработает снова), Один Чел отвечает, что в железе модуля проблем он не нашел, и проблема наверное программная.
После этого выхода не остается, как позвать кого-то со стороны, хотя бы для определения проблемы. Из средств "с кармана" делается запрос в ремонтную фирму. Приехавший на вызов Левый Ремонтник предупредил, что дистрибьютору оборудования не понравится, что я его вызвал, а поэтому, если что, он тоже из другой галактики и был вообще не здесь. Надо сказать, произвел он благоприятное впечатление, быстро локализовав проблему: зеркало, перенаправлявшее лазерные лучи на призму к фильтрам и объективу, яростно дергалось при включении и не занимало штатного положения. Сообщив, что надо искать проблему в механизме привода зеркала, а запчастей для этого у него все равно нет, и в любом случае нам не обойтись без помощи дистрибьютора, Левый Ремонтник ушел.
Настала моя очередь убеждать начальство, что без дорогого мастера не обойтись, и за диагностику все равно платить – я же не могу сказать, что прибор вскрывали непредназначенные для этого люди, хоть они ничего кроме винтов корпуса и не трогали? Со скрипом как-то там, не знаю как и откуда, деньги выделяются, из другого города (и все еще с вопросами коллег "когда прибор" – а занимает все перечисленное примерно месяц) мастер едет к нам.
Мастер 1 вскрывает прибор под моим чутким руководством – "я ж прям чую, что звуки как будто зеркало не фиксируется". Зеркало и правда не фиксируется, а Мастер 1 сразу же говорит: проблема в датчике Холла, вот видите, он не видит этот винт и не останавливает зеркало напротив него. Будем заказывать и менять.
Окей, проходит еще уже не помню сколько, может месяц, также с вопросами "когда прибор" - долгожданные новости: приедет Мастер 2 с датчиком! Он приезжает, разбирает прибор, и тут я хочу закричать, как на той обложке с CoD "ты не туда воюешь, ***!"
Я уж не знаю, Мастер 1, или Неизвестный Менеджер, или Головной Офис, но короче говоря приехал совершенно другой, соседний с необходимым датчик Холла, расположенный где-то возле призмы!
И тут началось самое интересное. Когда я, находясь уже в чудотворном расположении духа от происходящего, указал на суть проблемы, Мастер 2 предложил: так может быть, попробуем магнитиком датчик проверить? Ага... работает. Тогда, гм, тогда вот этот винтик напротив него надо просто вывинтить подальше... ага, работает. Но винтик болтается теперь? А несите суперклей, мы его зафиксируем. Вот так.
Датчик Холла на другом модуле Мастер 2 также заменил, поскольку "ну чего уж, раз привез". И из офиса потом на мою претензию перезвонили, предложили потом за ненужный датчик скидку сделать на другие последующие работы у них. Цену за выезд Мастера 2 я не запомнил, запомнил только стоимость приехавшего аж из-за рубежа сложнейшего рассыпушного датчика Холла - 15 000 рублей, что по моим подсчетам примерно в 15 000 раз выше его себестоимости.
Какая мораль у этой истории? Их много.
1) Кроилово ведет к попадалову. ВСЕГДА. Даже хоть это и поговорка из автомобильной среды – она применима к ремонту любого класса техники. Все равно вы придете к дорогим медленным дядям, может быть, попозже и став победнее.
2) Даже взаимодействие с крутой уберкомпанией, владеющей суперкосмическими технологиями и единственной имеющей лицензию на трогание пальцем вашего суперпродвинутого куска говна aka "piece of equipment", не страхует от нубских ошибок.
3) У вас никогда не будет времени не то что на суды, а просто на разбирательство чужих косяков, одна итерация работы бухгалтерий, закупок, менеджеров занимает недели, а у тебя лайф гоуз он, сука, работать на приборе нужно здесь, сейчас, и не только тебе.
4) Бюрократические нормативы о порядке работы с бюджетными средствами совершенно точно разработаны в другой галактике относительно коммерческого ведения дел "договор-скан-счет-акт". Я уже и не помню, сколько денег я угрохал из своего кармана на всякие мелочи, которые тупо ставить на тендер, и решения проблем здесь и сейчас, а не через месяц.
здесь и сейчас, а не через месяц.
в смысле - через месяц? А это с кем-то согласовано? Вы сначала попробуй в план закупок на следующий квартал попасть, а потом мы с вами пообщаемся... На этот квартал план закупок и тендерных мероприятий уже согласован, подписан, и изменению не подлежит!
Зависит от величины организации и иерархичности взаимоотношений в ней. В тесном коллективе, да и в организации, где большая часть - все же внебюджет, никто так разговаривать не будет, но от законных месяца тендера или от стандартной длительности поставок из-за бугра в три месяца никуда не убежишь.
О, как знакомо. Благо из прошлого уже
Если вы из НИИ Питания, то "левый ремонтник" мог быть я :) но вообще лезть в оборудование, которое кем-то официально обслуживается, такое себе развлечение, даже если хорошо знаешь начинку: из-за малых тиражей вендоры очень любят делать нестандарт, например, на нестандартное напряжение, хотя по сути там обычный ардуиномодуль с другими номиналами резисторов и ОУ на бакс дороже (привет, датчики уровня от BC). Еще более грустно, когда деталь сидит в корпусе хитрой формы и залита в эпоксидку, хотя там в принципе ничего сложного быть не может.
Я не оттуда. Но вот "из-за малых тиражей вендоры очень любят " – это в десятку. Первое, что они любят - накручивать цену на 1000% на любую деталь или модуль. Вот например имею я дело с установкой "открытое поле". Там само поле - плексигласовый короб 50х50 см с ручками и крышкой, по периметру на металлических уголках две рейки, устанавливаемые на переменной высоте по просверленным в уголках дыркам. На рейках - с полтора десятка спаренных ИК-излучателей и датчиков. Цена по каталогу - 5000 евро.
Второе, что они любят - выкатывать новые версии. Вот например имею я дело с установкой "открытое поле". Там само поле - плексигласовый короб 50х50 см с ручками и крышкой. Хочешь докупить новое за 5000 евро – тебе говорят: фууу, мы это старое говно больше не производим, покупайте новую систему за 200 000 евро.
Не, ну мож для каких-нибудь европейских стейт-оф-арт научных центров такое и норм, но с российских грантов не разбежишься.
Интересным образом с 90х цены на оборудование коррелируют с размером грантов в США, и при этом с цен на оборудование и расходники воют даже в США, не говоря о Европе и прочих странах. Более активно дают гранты на новые методы исследований (с использованием новейшего оборудования, естественно), и старые методы публикуются и разрабатываются не так активно, но это не потому, что все низковисящие яблоки сорвали. Проблему как бы все понимают, как с научными издательствами, но пока не знают, что делать.
По поводу годного оборудования за разумные деньги есть варианты, но они все связаны с потерей гарантии производителя и часто не одобряются руководством:
- Смотреть вторичку США на том же craigslist. В США грантодержателем часто является завлаб, поэтому при закрытии лаборатории он уносит оборудование и расходники с собой.
- Уйти на tier 2-3: Standa, Thorlabs. Еще по слухам китайцы научились оборудование делать и поддерживать, но это с местными надо разговаривать.
- Организовать Instrumentation Facility (в СНГ очень по-разному называется), которое будет отвечать за комплектацию и поддержку оборудования учреждения. Часто оно же отвечает за непосредственную эксплуатацию, например, сделать сложные снимки на микроскопе, отработать новый протокол и т.п.
- Сделать т.н. "открытую систему", т.е. самопал из оборудования от разных производителей и кустарных решений, и самому ее нянчить. По моему опыту, имеет смысл покупать оптику и часть механики, остальное как бы не дешевле сделать самому или заказать локально.
- Примерно как п.4, только обратиться к кустарям типа меня или других ребят, которые достаточно долго нянчили оборудование, чтобы растерять пиетет и начать лазить с паяльником и напильником.
Мне так на первой работе предшественник оставил тайм-бомбу в самописном ПО. Чудакер, в общем, оказался. Зато все кругом уверяли, какой хороший парень этот олежка
И я бы на месте сотрудника не пытался залезать в оборудование без соответствующих бумаг от руководства.
Ибо в юридическом аспекте это похоже на: сотрудник самовольно вскрыл дорогостоящее оборудование и (не дай бог) сломал его, в его должностных ничего подобного не было, квалификации на это не было, следов поручения руководства тоже не было, в результате действий дополнительно нарушилась медицинская тайна сотни пациентов. Теперь можно взыскать с него по суду всю стоимость оборудования и компенсации за медтайну. С вас 10млн рублей.
Что значит "залезть"? Пломб на оборудовании не было. Системный блок открывался без проблем. Была одна проблема, которую не стал описывать. DVD работал скверно, плохо читались диски загрузочные. Вот прямо несколько часов решал это путём записи разных носителей. А так все работы на отдельном диске в другом компе. Зашли в систему же под административными правами без взлома.
Вы как будто злитесь на комментаторов за СВОЙ косяк. История интересная, все негодяи, но огрести могли именно ВЫ за свой несанкционированный эксперимент, на который пошли именно ВЫ.
Мне все же кажется что в случае разбирательств, крайним был бы таки не автор, а те кто к нему обратились и доставили системник домой. Он же не коварно украл его к себе на выходные. Больничные товарищи вообще с тем же успехом могли системник отвезти к рандомному эникейщику с симптомом "выключается в течении 10 минут", никак не упоминая что это там какой-то критичный медицинский софт. Проблема же по сути вообще никак не связана с тем самым софтом.
Что значит "залезть"? Пломб на оборудовании не было.
А они и не обязаны быть. В автомобиле тоже пломб нет, а сломать там много чего можно. Вобщем, обдумайте еще раз риски. Ваше оборудование могло сломаться даже по независящим от вас причинам: вот банально дефект в блоке питания был, вы его потрясли пока возили, подключили обратно — выгорела часть мед оборудования. Дальше все перешло в область юридических разборок, начальник дал заднюю и отрицает, что вообще знал о ваших действиях. Вы и станете тем, кто оплатит ремонт/покупку нового. Особенно, учитывая "то есть без уведомления руководства медицинского центра".
Вот, кстати, очень метко разжёвано.
Ваше оборудование могло сломаться даже по независящим от вас причинам: вот банально дефект в блоке питания был, вы его потрясли пока возили
Не то чтобы я хотел сказать что такое нереально. Но это что-то на уровне "вас сбила машина пока вы несли системный блок через дорогу". Мне конечно сложно привести какую-то статистику, но думаю сотни тысяч, если не миллионы, покупали блоки питания, или готовые системники, службы доставки их трясли как могли, и полагаю единицы столкнулись с такими проблемами.
Привожу пример, медицинский аппарат УЗИ, который как бы допускает штатную транспортировку, он же на колесиках, перевозят в другой кабинет или другой этаж. И он там уже не включается. Или включается, но через пару минут после самодиагностики говорит, у меня ошибка 0х00325, я выключаюсь, обратитесь в сервис.
А дальше как обычно, разборка, вытаскивание всех плат, протирка контактов, сборка. Все работает. Иногда.
А иногда бывают микротрещины в платах, когда аппарат может работать только после прогрева, если его неправильно пошевелить, то работать перестанет.
К слову, во многих УЗИ, стоят обычные такие стандартные компьютерные компоненты, процессоры, память, материнки, видеокарты, блоки питания компьютерной части.
Был случай, когда для рентеновского томографа выкатили стоимость запчасти в несколько миллионов рублей. Сами разобрали сломанный блок, внутре неонка, обычный компьютерный блок питания, который сгорел. И нескольких жестких дисков, обычных SCSI. Причем на тот момент модели этих дисков был уже очень устаревшими. А сам БП был из каких-то самых дешевых, в которых половины элементов нет на плате, уж не знаю кто сэкономил, поставщик или сам производитель.
Или например, классика жанра, тут приходили "ваши мальчики" на прошлой неделе (месяце, году) и после них все сломалось. А потом выясняется, что мальчики были вообще не наши, и никто не знает, кто же это был, и почему сервисный инженер приходил мимо заведующего отделением/старшей медсестры/главного инженера ЛПУ.
Я же не говорил что при транспортировке нереально что-то повредить. Случаев можно много привести, и самых абсурдных в том числе. Но какой вот процент неудачных транспортировок, из общего количества? Мне смутно кажется что он исчезающе мал.
Так то повредить можно хоть чугунную сковородку при переноске. Мой пойнт в том, что в среднем системник переживет хоть кругосветное путешествие, если его нормально зафиксировать. Если внутри по дороге отвалился какой-нибудь резистор, это девиация, а не норма.
Электроника это наука о контактах. Нет контакта, там где он должен быть, и есть контакт там, где его быть не должно. (с)
Разъемы окисляются, безсвинцовый припой отваливается, пыль коротит дорожки. Конденсаторы от старости теряют емкость, и если их пошевелить в неопределенный момент окончательно уходят параметры в эл цепях.
Для некоторых моделей старость наступает раньше 5 лет.
Огромные платы покрытые толстым слоем лака ушли в прошлое очень давно.
Процент не могу сказать, но можно привести (очередную неудачную) аналогию. Количество людей попадающих в ДТП. Некоторые за всю жизнь ни разу. А некоторым не везет и в них въезжают три раза за три года.
>Мой пойнт в том, что в среднем системник переживет хоть кругосветное путешествие, если его нормально зафиксировать.
Вот только почему-то те кто, реально будут использовать этот системник в кругосветном путешествии, возьмут еще как минимум два запасных.
Кстати да. Если что-то бы пошло совсем не так, автор мог бы стать стрелочником.
Вспоминаю свой случай: лет 15 назад наша шарага обслуживала один банк на букву А. Прорубила тоннель к рабочей станции банка, откуда по rdp был доступ к серверам с софтом, заведующим учетками в 15+ системам банка. В пятницу (!) Мой CTO потребовал зарелизить новую версию софта. SLA горел. Фирма теряла бабло.
Ну точнее, попросил PM, но я отказался, и дело эскалировали до CTO.
И я отказался, даже понимая, что пахнет уволнением. Мой коллега согласился.
Софт имел одну прикольную багу, из-за которой все топы банка А были уволены. Их почта не была похожа на другие ( которые генерились на основании ФИО), и софт посчитал ее невалидной, а потому удалил, а далее начался депровиженинг всех учеток, и, вишенкой на торте, увольнения.
Мой несчастный коллега все выходные просидел, ручками все восстанавливая. В банке проблему заметили, но т.к. это были выходные, и к понедельнику все починили, то спустили на тормозах.
Коллега отделался легким испугом. Про меня вообще в этой суматохе забыли.
Мораль: не если тебя хотят подставить - не подставляйся.
Автор вообще лжец, судя по всему.
Странно, что никто из комментирующих не обратил внимания на бредовость байки про исходники и компилятор, лежащие рядом на машине заказчика.
Вы не представляете, какую дичь могут творить нанятые по дешевке фрилансеры. Вариант, что там не осилили/не стали заморачиваться с загрузкой конфига — очень даже реалистичен
Нет, это всё ещё бред.
Во-первых - речь идёт о компании, которая "обслуживает серьёзное оборудование", какие там фрилансеры?
Во-вторых - вариант с конфигом это всего лишь один из тысячи вариантов как это можно сделать. Можно было, например, банально смотреть дату на компе и дату установки винды. В любом случае вероятность того что обслуживающий персонал не сможет как следует скомпилировать софтину исключает такой подход.
Софтину компилировать тривиально, там же компилятор лежал и скрипт для сборки. И в отличие от конфига сразу же видно будет если где-то при внесении изменений была допущена ошибка тогда как с конфигом легко получить тихий фейл. Ну а насчет найма высококлассных специалистов компаниями "обслуживающими серьезное оборудование" в РФ - я что-то как-то солидарен с комментатором выше. Я когда-то <b>будучи школьником</b> разрабатывал софт по госконтракту. Естественно никакого качества.
Я лично находил исходники медицинского ПО на одном из компьютеров одного из комплексов. Правда исходники были немножко от устаревшей версии и не совпадали с версией рабочего ПО. И не было компилятора, из-за чего я несколько лет задавался вопросом, а зачем они там лежали. Хотя возможно компилятор там и был, либо я его не нашел тогда, либо просто не помню этого.
Ну и отвечу на ваш соседний комментарий.
>Во-первых - речь идёт о компании, которая "обслуживает серьёзное оборудование", какие там фрилансеры?
О сколько нам открытий чудных..
Странно, что никто из комментирующих не обратил внимания на бредовость байки про исходники и компилятор
Никто из комментирующих в цирке не смеётся.
Деньги или репутация?
Честь!
Скидывал пароль на станции управления сложным фрезером в ювелирке. Просто через консоль(тоже перебором вроде, не помню уже). Там вроде увольняющийся пошутил. Разбирался с ошибкой в литейных машинах(благо схемы с РКС контроллеров были) просто давление в системе в полтора раза ниже нормы было. Предложил знакомому механику обслуживать ювелирки - ответ "мы просто не доедем до клиентов". Тема "полян" не раскрыта, там всё ещё хуже чем можно представить на первый взгляд. Гадить в медицину это конечно верх цинизма. Карма таких быстро догонит.
Уж сколько гадили с закупками оборудования (ПК, накопители, блоки питания, антивирусы). Привозили большую партию компов (30 для больницы это много). Внутри старьё, прямо вот видно, что старьё стоит. Но внешне корпус опечатан, бирки висят. Один вскрыли, второй, ужаснулись, и только на 5 додумались видеозапись включить как открываем и показываем что внутри.
Карма настигла их в суде. А так для них это просто бизнес и ничего личного.
Врачи видя такой подход могут начать зеркалить поведение, а дальше каскадный эффект с выездом специалиста, чтобы раз в год доставать из пациентов разные закладки) Просто бизнес) Шутка конечно, но вполне вероятное развитие сценария.
Ну… Частная медицина во многом заточена на то, чтоб перевести болезнь в хронику, но ни в коем случае не вылечивать.
Получается что программирование просто идёт по проторенной другими профессиями дорогой, синтаксис уже давно мало чем от почерка доктора отличается, удачи обществу вылечится от воронки катастроф)
А это ваша гипотеза, или есть информация из первых рук, статистика по подобному и т.п.? Ведь легко могу выдвинуть прямо противоположную гипотезу: довольный успешным лечением пациент получив новую болячку придёт в ту же клинику, где ему уже помогли. А если ему там с его заболеванием ничем помочь не могут - он может решить, что там врачи некомптетентные, и больше шансов, что он пойдёт на новый приём к конкурентам. И учитывая, что человеческий организм прекрасно обрастает болезнями сам по себе, дополнительно со стороны врачей делать "закладки" - просто бессмысленная трата времени.
Статистику, извините, не приведу. С ней особенно сложно с тех пор, как вскрытие стало необязательным. Но культурный пласт про работу врачей, когда коммерция берет верх, очень большой.
Люди в медицинском отношении не очень грамотны, а в бывшем СССР еще и почему-то привыкли верить врачам. Тут "если вы будете приходить на процедуры каждый месяц, вам не будет больно" часто достаточный уровень сервиса, чтобы порекомендовать знакомым.
Нет, Вы не правы. Обслуживаю достаточно много частных клиник и сам их услугами пользуюсь иногда. Ни где врачи такой практикой не пользуются, у них и так хватает пациентов с разными болячками. А вот с фармкомпаниями работают, это да. Впаривают конкретные лекарства.
Ну как минимум стоматологический бизнес примерно так и работает: разок попадёте к зубному — и начнёте ходить к нему на ежегодной основе, потому что всё время будет что-то ломаться или требовать дорогостоящей замены.
Смените врача на того, у которого бизнес модель другая: "Сделать у этого всё и сразу, чтобы больше не приходил, но привёл троих по рекомендациям"
Для этого сначала придётся такому врачу заручиться иммунитетом от отзыва лицензии и уголовного преследования за оказание медицинских услуг, не соответствующих установленным государством ритуалам. Скажи, как найдешь такого.
Во-во есть еще бизнес модель, я тут быстро сколхозил тебе пол зуба из пломбы на пару месяцев должно хватить... потом через 7 лет идешь именно туда - потому что делать "зуб" на 1 стенке и остатках корней все равно никто больше не будет)
была такая же история, прислали сервер подрядчики, благо без пломб, мне сразу он показался подозрительно не новым.
я открыл крышку-кошмар, они даже пыль не стёрли с древних комплектующих, естественно, всё дело я завернул и представитель подрядчика на месте при мне заменил сервер на новый.
Как выяснилось, это было только начало фокусов фирмы, выигравшей тендер....
Существует путь борьбы с такими сервисниками, не всегда работающий и довольно "серый", но его можно продвинуть через руководство, которое в доле. Иногда можно эскалировать проблему: обычно у вас есть сервисник, который сидит под монополистом в стране, который сидит под региональным офисом, который сидит под головным офисом. Примерно так работает Никон: если местный не справляется, приезжает человек из регионального европейского офиса в Германии, а если и тот фейлит, приезжает японец. Но у более мелких фирм, в первую очередь европейцев, есть вариант обратиться напрямую в голову. Они или посоветуют решение и дадут по мозгам сервиснику, или скажут "за половину цены нового плюс транспортные расходы присылай, починим".
иные проблемы выполняли спонтанно
Выполняли проблемы?
Там ещё дальше что-то было, но это уже неважно. Потому что...
Статья огонь - на одном дыхании!
Как это всё знакомо! Почти 20 лет назад установили нам на производство оборудование, включавшее железку для сбора данных и ПК с базой под эти данные. Админить это дело поручили мне как самому продвинутому пользователю. Месяца четыре всё работало, потом в какой-то момент данные просто перестали писаться, прямо с начала новой смены. Подёргался, перезапуская всё подряд - не работает. В результате достал пустую базу из установочного архива, подключил, восстановил настройки и оборудование снова в работе. Связались с разработчиками, отправили им косячную базу - в ней ничего подозрительного не обнаружилось, всё сложно, надо ехать разбираться на месте. Но у нас-то всё уже работает! Так несколько лет и жили - каждые три месяца база отправляется на "архивный" комп со своим интерфейсом просмотра данных, а на рабочем восстанавливается пустая. Потом оборудования прибавилось, я разобрался как с этими базами работать и выяснилось прекрасное: индекс новой смены генерируется процедурой, в которой под него используется тип данных размером 1 байт. Как разработчиков могло не насторожить то обстоятельство, что в момент прекращения записи данных индекс последней смены был 255?
Позднее произошли ещё две практически идентичные ситуации с немцами, из разных контор. В программе для ПЛК на какую-нибудь редко возникающую нештатную ситуацию есть переменная, для которой тупо нет условий для обнуления. В первом случае операторам пришлось пару месяцев в ручном режиме управлять загрузкой сырья (не очень обременительно, но неприятно), а вот во втором оборудование встало на несколько дней (в Германии был какой-то религиозный праздник плюс выходные, а московское представительство начало тянуть время). В общем, пришлось своими силами разбираться что к чему.
Более лайтовая версия на одном участке - раз в полтора года скада перестаёт рисовать графики из-за отсутствия места на жёстком диске, так как старые данные не удаляются. Чтобы вычистить, нужно зайти под учёткой админа, пароль от которой производитель не дал. Ну да ладно, он там несложный :)
Это не медицина, угроза жизни не возникает, но всё равно неприятно когда тебе пытаются делать мозги на ровном месте. И ситуации неоднозначные: разработчики настолько умные, что маскируют запланированную поломку под ошибку, или реально рукожопы?
При обслуживании машины в комнате должно находиться три человека до полного завершения работ: тот, кто должен обслуживать машину по договору, IT-специалист клиники и случайный работник клиники. Все.
Интересно, меня одного удивляет следующий момент?
Рядом незамысловатые исходные коды на C на пару функций и компилятор.
Какой поинт запускать компилятор на каждой машине отдельно перед отправкой заказчику? Это же просто бред. Можно было ini-файл сделать, можно было смотреть когда пройдёт год с момента первого запуска в реестре, чтобы вообще обойтись без настроек. Да можно было и вовсе без экзешника обойтись, написав всё в батнике, это же ХР! Вариантов миллион. В любом случае эта сказка про исходники и компилятор звучит, мягко говоря, туповато.
Какая логика была у тех кто это сделал (если это не враньё)? У них якобы достаточно ума чтобы использовать СИ и компилятор и они подразумевают, что пользователь этой системы не имеет доступа к исходникам. Зачем тогда такой сложный "путь", компилить что-то на месте? Если же подразумевалось, что пользователь может как-то эту прогу обнаружить, зачем тогда оставлять исходники?
Также несколько смущает отсутствие конкретных имён производителей. Если всё это происходило пять лет назад, непонятно что мешает сейчас назвать конкретных фигурантов.
Короче, скажу прямо, статья похожа на беспруфные байки пьяного админа, если бы не четыре упоминания в тексте, что это, якобы "злые москвичи" наживаются на бедных казахах. Если уж москвичи такие злые, так назовите поставщика, к чему эти стыдливые ужимки?
Автор, скажите, вы с какой целью этот мусор сюда выложили?
Вас задела географическая принадлежность поставщиков?
Я не знаю причин по которым компилятор и исходные коды находились на этой машине. У меня не осталось исходного кода этих файлов, скриншотов и прочего. Нет пруфов чтобы вам это доказать и "прижать" поставщиков и конкретного исполнителя от поставщиков. Есть история, которая со мной приключилась. Вопрос веры каждый оставляет за собой.
Расставшись с центром несколько лет назад, я не могу называть эту компанию, не зная на каком уровне у них работа с ними сейчас. Работают они вместе, зависимы ли они от них. Может быть они смотрят друг на друга как ни в чём не бывало. Мне проще согласиться с вашими неподкреплёнными обвинениями, чем подставить сейчас медиков, которые продолжают эксплуатировать эту систему.
>Какая логика была у тех кто это сделал
Возможно, привязка софта к ID проца или материнской платы, чтобы тупо не копировали софт на аналогичную станцию.
>Интересно, меня одного удивляет следующий момент?
>Какой поинт запускать компилятор на каждой машине отдельно перед отправкой заказчику?
Кстати, ответы очень простые.
По надуманным и не очень причинам нужно обязать пользователей проводить регулярное обслуживание. Для этого придумывается простая схема запуска на целевых системах под видом служебного ПО некоей утилиты. Чтобы в явном виде не было видно предназначение этой утилиты, рядом с ней не должно быть никаких дат в конфигах и реестре.
В итоге предполагалось, что сервисные инженеры будут получать эту сервисную утилиту для каждого обслуживания, и после обслуживания копировать ее в целевую систему. В данной схеме выездным инженерам даже можно не говорить, зачем нужна эта утилита.
Сама эта уникальная утилита вообще может компилиться неким специальным ПО, которое запускается только в головном офисе, и высылается по почте/факсе конечному инженеру, да как угодно.
В какой-то момент эта схема сломалась, кому-то было лень этим всем заниматься, и кусок генерации утилиты переполз из компьютера сервисного инженера в целевую систему.
Вы можете мне не верить, но вот читайте дальше.
Есть куча приборов, в которые чтобы зайти в сервис нужен пароль. Далее пароль к прибору генерируется по определенному алгоритму из комбинации серийный номер прибора+текущая дата+ уровень доступа. Сервисный инженер звонит на базу и говорит, прибор модель такая-то, серийный номер-такой-то, дайте пароль. Ему присылают пароль. Пароль действует только сегодня. Если на приборе сбросилась дата, то инженер начинает страдать и идет проверять дату в биосе. А на биосе другой пароль, который он не знает. Пароль записан в сервисной документации на неизвестной странице.
Далее, на базе есть комплект сервисного ПО от вендора, в котором есть вкладочки модели прибора, каталоги запчастей, сервисные доки, генерация паролей.
Рано или поздно этот сервисный комплект ПО начинает утекать в поля через этих самых service field engineer-ов, которым осточертело звонить по каждому чиху на базу, которая всем составом ушла на обед.
Вендоры борятся с тем, чтобы этот уникальный софт не утекал в поля, и ставит защиту на комплект софта, всякие там аппаратные ключи и прочие зонды. Но тогда начинают утекать отдельные компоненты, которые смогли отодрать от вендорского софта.
Вот как-то так.
В автомобильной отрасли, кстати, похожая схема. Там тоже после некоторого пробега в машине может загораться лампочка check engine, сбросить которую можно либо через вендорский софт, либо сторонние утилиты, привет elm 327.
Деньги или репутация