Аутсорсинг сервисов и роль бизнес анализа в проектах Internet of Things

 

source

Опубликовано на DOU

В апреле 2021 г. маркетинговым агентством IoT Analytics опубликовало статью The 7 Most Demanded IoT System Integration Services.  Я предлагаю разобраться с тем, какие сервисы и почему являются критически важными для успеха IoT проектов в 2021, и в чем состоят особенности бизнес анализа для этого домена.

Семь сервисов, наиболее востребованных в IoT

Обсуждение будет вращаться вокруг базовой диаграммы, которая рассматривает цепочку создания ценности, как совокупность четырех этапов: стратегия, проектирование, реализация и эксплуатация. На каждом из этапов применимы те или иные сервисы, которые предлагается разделить на три категории, в зависимости от их востребованности: наиболее востребованные, часто часто запрашиваемые и редко запрашиваемые.

источник

Статистика говорит о том, что 78% компаний, реализующих IoT проекты, прибегают к помощи сторонних сервисов при интеграции. Почему сторонние сервисы в интеграции IoT проектов являются настолько востребованными? Одной из причин является то, что технологии IoT являются более сложными по сравнению с другими IT-технологиями. Кроме того, IoT требуют владения такими навыками в смежных областях, которые находятся несколько в стороне от традиционного IT (например, встроенные системы и их информационная безопасность), и, как правило, не изучаются инженерами и программистами. К этому следует добавить навыки в управлении подключением устройств, облачных сервисах, больших данных и разработке приложений.

Ключевые ценности создаются на этапах проектирования и реализации. Как видим, наиболее важными для IoT проектов являются семь сервисов:

Этап разработки стратегии

1. Привлечение и удержание талантов.
   Спрос на специалистов в области IoT повышается. По данным некоторых HR-порталов (например, SimplyHired), в апреле 2021 г. количество вакансий для IoT превысило на 15% до-ковидное количество вакансий. Вопросы, относящиеся к удаленной работе, цифровой культуре, привлечению в профессию поколения Z и т.п., в домене IoT не отличаются от традиционного подхода в  IT.

Этап проектирования:

2. Приоритезация и выбор юз-кейсов.
   Именно под этим сервисом подразумевается вся деятельность, связанная с фазой Discovery (сбор требований с целью уточнения объема, сроков и бюджета проекта). Поэтому, этот сервис будет рассмотрен далее более подробно с точки зрения работы бизнес аналитика.

3. Проект решения.
   Далеко не все компании могут самостоятельно проектировать IoT системы и сервисы. Поэтому, проектирование решений является основой аутсорсинговых сервисов в области IoT. Примером такого подхода является, например, разработка компанией HCL Technologies микро-сервисной архитектуры для оптимизации и повышения отказоустойчивости сети датчиков. Это решение было применено  в системе управления орошением, но уже другим разработчиком, специализирующемся в точном земледелии. 

4. Оптимизация процесса.
   Данный сервис подразумевает анализ и улучшение производственных, логистических, операционных и других  процессов с точки зрения их эффективности. В качестве одного из таких кейсов можно назвать участие Infosys в оптимизации производственных процессов для авиационной отрасли. На реорганизуемом предприятии выпускаются композитные материалы, и целью проекта являлось повышение качества и обслуживания деталей самолетов, включая управление запасами. Для этого применялись технологии виртуальной и дополненной реальности, методы мониторинга состояния и предиктивного обслуживания.

5. Коммерциализация продукта.
   Данный сервис подразумевает вывод на рынок новых решений. Важную роль в этом играет так называемая servitization («сервисизация»), то есть, усиление сервисных функций продукта со стороны производителя оборудования. Большинство компаний, предлагающих новые IoT продукты, говорят о допущенных ошибках с точки зрения адаптации бизнес моделей под нужды пользователей. По данным отчета «2020 IoT Commercialization & Business Model Adoption Report» от IoT Analytics, на вопрос: «что является наиболее важным фактором для принятия клиентами новых подключенных решений Интернета вещей?» большинство лидеров рынка ответили: «неустанный упор на ценностное предложение для клиентов» и «дополнительные усилия по согласованию процессов продаж и маркетинга с новым подключенным продуктом».

Этап реализации

6. Интеграция.
   Общими тенденциями интеграции IoT решения являются миграция в облачные сервисы, а также подключение разнородных устройств, приложений и платформ. По мере того, как системы становятся все более взаимосвязанными, возможность сквозной интеграции становится критически важной для системных интеграторов, стремящихся удовлетворить потребности клиентов. Рынок поставщиков системной интеграции IoT в настоящее время является свидетелем беспрецедентной активности слияний и поглощений из-за потребности крупных компаний в масштабировании своего потенциала. Например, Cognizant Technology Solutions Corp. в 2021 г. инвестирует на приобретение других компаний более 1 млрд. долларов.

7. Бизнес аналитика.
   Данный сервис подразумевает аналитику больших данных с использованием искусственного интеллекта. В 2020 г. появился новый «хайповый» термин (buzzword), «AIoT», означающий конвергенцию технологий искусственного интеллекта (AI) и интернета вещей. В настоящий момент эту концепцию продвигают многие компании. Американский разработчик программного обеспечения Aspen Technology анонсировал создание нового центра AIoT для Индустрии 4.0. Швейцарская компания Wisekey,  специализирующаяся на кибербезопасности, запустила новую цифровую стратегию, основанную на AIoT. Сингапурская компания ASM Pacific Technology разрабатывает концепцию умного машинного зрения, основанного на  AIoT.

Приоритезация и выбор юз-кейсов

Как было отмечено, именно под этим сервисом подразумевается применение процедур бизнес анализа на фазе для сбора требований к создаваемой IoT системе. С точки зрения бизнес анализа, юз-кейс является один из вариантов представления пользовательских требований.

Особенностью домена IoT является то, что для заказчика возникает проблема выбора из множества уже существующих юз-кейсов, которые в той или иной мере привлекательны для бизнеса. К таким юз-кейсам, например, относятся предиктивное обслуживание, мониторинг функционирования, учет и трекинг материальных средств, цифровые двойники и многое другое. Такое разнообразие возможностей порождает ресурсные ограничения, как с точки зрения затрат на разработку, так и с точки зрения эксплуатации заказчиком.

Качественное проведение Discovery для разрабатываемого IoT приложения должно учитывать следующие моменты:

• должен быть проведен анализ бизнес процессов заказчика;

• выбор юз-кейсов должен быть подтвержден их соответствием заявленным бизнес требованиям;

• юз-кейсы должны быть дополнены требованиями к их кастомизации для заказчика;

• анализ юз-кейсов проводится с использованием, в первую очередь, таких инструментов, как метод персон, CJM (customer journey map) и Value Proposition Canvas;

• должен быть сформирован бэклог с приоритезацией юз-кейсов и выявленных требований к их реализации;

• должны быть выявлены требования к адаптации бизнес модели заказчика с учетом внедрения нового IoT приложения;

• при выявлении требований критичным является уровень понимания бизнес аналитиком особенностей домена IoT с точки зрения технологий, бизнес приложений, особенностей обеспечения информационной и функциональной безопасности.

Цикл разработки требований и проектирования уместно проиллюстрировать диаграммой из BABOK Guide, где учитываются четыре категории требований:

• Business Requirements или бизнес требования (уровень концепции);

• Stakeholders Requirements или пользовательские требования (уровень юз-кейсов);

• Solution Requirements или технические требования, включая функциональные и нефункциональные (уровень спецификации или бэклога);  

• Transition Requirements или переходные (временные) требования, под которыми подразумеваются условия и возможности, которые должны быть реализованы при переходе от текущего состояния к требуемому, но которые не будут нужны после завершения изменений.

источник

Некоторые компании создают специальные фреймворки, чтобы помочь клиентам приоритезировать и выбрать юз-кейсы для IoT. Например, Siemens Advanta Customer Value Co-Creation процесс направлен на анализ идей заказчика относительно дигитализации бизнеса, на выявление персон и ценностного предложения. Затем эти положения валидируются на основе адаптации бизнес модели и CJM, в результате чего заказчик получает готовую к внедрению концепцию будущего решения.

Еще один подход - это использование Индекса зрелости Индустрии 4.0, разработанного немецкой академией acatech. В данном случае возможности внедрения технологий определяются культурой компании и ее готовностью к изменениям.

Выводы

В сложившейся ситуации интернет вещей остается технически сложным доменом, а технологии предлагают существенное разнообразие конкурирующих решений. Востребованность сторонних сервисов для IoT приводит к тому, что многие вендоры наращивают ресурсы именно в области интеграции решений, при этом, бизнес анализ назван одним из важнейших факторов успеха в проектах IoT.  Прогноз от IoT Analytics говорит о том, что рынок сторонних сервисов для IoT будет расти на 19% в год в течение следующих пяти лет. Успехов на этом рынке смогут добиться те компании, которым удастся зарекомендовать себя в качестве знающих и надежных партнеров на протяжении всего жизненного цикла проекта и всей цепочки создания ценности.

Безопасность блокчейн операций: новые возможности = новые риски

 

источник

Опубликовано на хабре

Анализ уязвимостей, зафиксированных NIST (National Institute of Standards and Technology) в 2020 г., показывает устойчивый тренд роста в сравнении с предыдущими годами. В среднем, каждый день  фиксировалось 50 новых уязвимостей, 57% которых относились к критическому либо к высокому уровню серьезности последствий. Развитие технологии блокчейн, речь о безопасности которой пойдет в данной статье, не является исключением с точки зрения подверженности киберугрозам. Подход, который изначально создавался, как альтернатива недостаткам существующей банковской системы и должен быть открыть новые возможности для бизнеса, не избежал рисков, присущих финансовым онлайн операциям. С 2012 по 2020 гг. блокчейн-индустрия лишилась более $13,6 млрд в результате 330 хакерских атак.

В статье мы рассмотрим, в чем заключаются причины уязвимости решений на базе блокчейн.

По мере развития финансовых инструментов и сервисов, основанных на технологии блокчейн, растет количество атак, направленных на несанкционированное внесение данных в реестр, блокировку работы систем или на получение злоумышленниками контроля над ресурсами. В качестве объектов атак могут быть рассмотрены:

• криптографические алгоритмы;

• ключи (кошельки);

• алгоритмы консенсуса;

• смарт-контракты;

• ноды (узлы) сети;

• компоненты пользовательского интерфейса и приложений.

Подробный анализ уязвимостей технологии блокчейн представлен в таблице ниже, где каждому из компонентов сопоставлены возможные уязвимости и приведены примеры осуществленных атак.

Уязвимые компоненты	Возможные уязвимости	Примеры атак
Криптографические алгоритмы	Bitcoin & Etherium используют криптографический алгоритм Elliptic Curve Digital Signature Algorithm (ECDSA). В случае некорректной реализации генератора случайных чисел, используемого для подписи, при наблюдении за публично доступными транзакциями может быть восстановлен закрытый ключ, используемый для подписания транзакции. Некорректной реализацией может быть, например, использование константы в качестве случайного числа или повторное использование одного и того же случайного числа	В 2018 г. злоумышленники похитили  более $4 млн с кошельков пользователей IOTA. Все пострадавшие пользовались услугами вредоносного сайта для генерации секретных фраз
Ключи (кошельки)	В случае потери ключа пользователю невозможно предоставить доступ к своему аккаунту. При компрометации ключа невозможно перезаписать цепочку блоков. Возможна атака по словарю на закрытый ключ (полный перебор паролей	Распространена практика генерации закрытого ключа из какого либо текста путем получения значения хэш-функции от данного текста. В этом случае, атака может быть совершена путем анализа цепочки транзакции блокчейна и поиска таких адресов,  закрытые ключи которых совпадает с полученными по заранее подготовленному списку фраз
Алгоритмы консенсуса	Proof of work (PoW) подвержен атаке 51%. Если в руках злоумышленника находится больше половины всех вычислительных мощностей в сети, то он получает контроль над ее ресурсами, включая переписывание истории, проведение транзакций с двойным расходованием, блокировку чужих  транзакций, подтверждение своих блоков и т.п. Консенсус Proof of Stake (PoS) атака Long Range злоумышленник с незначительным минорным количеством средств может создать большое альтернативное количество блоков, которые по длине превзойдут основной блокчейн. Основной блокчейн может быть после этого подменен. В случае использования алгоритма консенсуса Byzantine Fault Tolerance (BFT) атака возможно, если скомпрометирована одна треть вычислительных ресурсов сети	Реорганизация блокчейна и двойное расходование токенов  Ethereum Classic на сумму $460 тыс. (2019 г.)
Смарт-контракты	Смарт контракт по сути является компьютерной программой, которая может содержать ошибки и уязвимости. Особенностью является сложность внесения исправлений после распространения смарт-контракта в сети. Источниками уязвимостей являются: несоответствие стандарту ERC20 (токен Ethereum), некорректная генерация случайных чисел, неверное определение области видимости, некорректная верификация отправителя транзакции, целочисленное переполнение (integer overflow), ошибки в бизнес-логике, использования уязвимых внешних библиотек	Инцидент с проектом DAO в 2016 г., в результате которого была похищена криптовалюта на сумму $50 млн
Ноды (узлы) сети	Ошибки, допущенные при настройке инфраструктуры, развертывании блокчейн платформы, удаленном вызове процедур, настройке политики безопасности может привести к эксплуатации известных злоумышленнику уязвимостей с последующим несанкционированным добавлением транзакций в блокчейн	Возможность проведения атаки DNS rebinding
Компоненты пользовательского интерфейса и приложений	Блокчейн реализуется в веб среде и подвержен всем уязвимостям, присущим десктопным, мобильным и веб приложениям. При проведении Initial Coin Offering (ICO) возможны дополнительные уязвимости, позволяющие провести атаку на организаторов ICO и уязвимости, позволяющие провести атаку на инвесторов	Злоумышленниками практикуются выполнение действий от имени пользователя, кража учетных данных, подмена информации о ценах, подбор PIN-кода приложения, проведение фишинговых атак. При выполнении операций на трейдинговых платформах возможно выполнение операций от имени пользователя, кража учетных данных для авторизации в приложении, ввод пользователя в заблуждение путем подмены отображаемых цен

Блокчейн, как и любая веб технология подвержен влиянию человеческого фактора, а также уязвимостям, присущим мобильным и веб приложениям. Проблемой является и нехватка опытных разработчиков, имеющих опыт запуска проектов блокчейн. С одной стороны, блокчейн совершенствуется, и новые проекты, подобные Free TON или Ethereum 2.0, заявляют о новых качествах, таких как снижение энергопотребления, повышение скорости обработки транзакций, повышение эффективности протоколов консенсуса и т.д. Решит ли это все вопросы с безопасностью? Скорее всего, что нет. Поэтому, стоит помнить о базовых организационных приемах обеспечения безопасности, таких, как обучение персонала, аудит и анализ приложений, пентестинг, мониторинг и анализ  защищенности инфраструктуры, применение SIEM-систем для обнаружения и предотвращения атак.