Вы спросите: «Дима, что ты втираешь нам какую-то дичь про Чингисхана и бани? Давай ближе к делу!». «Не все сразу», отвечу я. Вообще, удивительно, как люди относятся к финансовой оценке чего-либо, не говоря уже об оценке информационной безопасности. Будто это что-то сакральное.

Помнится, в 2013 году, на круглом столе у Алексея Лукацкого, когда я представлял метод оценки эффективности проектов по информационной безопасности, все вокруг говорили, что оценивать ИБ в деньгах — это очень сложно. Это просто неподъемная задача, и т.д. и т.п. Вообще, вся та выставка (а был это Infosec) была просто помешана на экономических показателях. К сожалению, дальше ROI (возврат инвестиций, который вообще к безопасности не применим) никто не ушел. На стенде у StoneSoft на слайде увидел NPV (чистая приведенная стоимость). До сих пор популярно мнение, что все пусть оценивают, что хотят, а нашу родную безопасность будем оценивать качественно и только так. Да и закончим с лирическим вступлением.

Как вы поняли по вступлениям (это которые про монголов и бани, а не про Лукацкого), ключевым понятием в оценке является корректность постановки вопроса. Помните, как в институте говорили? Вопрос — это половина ответа. Так и у нас.

Разберем пример. Пример будет на общую тематику. Как и в любом пособии, сначала надо понимать общую концепцию (оценка), а потом уже переходить к специализации (оценка безопасности).

Аккурат 30 ноября обратился ко мне хороший человек. Этот человек был инвестором, и хотел он вложиться в один старт-ап. У него были деньги, но он не мог определить, стоящее ли дело или нет? Обсудив условия работы и цену (как всегда надо быстро и просто), мы договорились об экспресс-анализе, и я стал общаться с разработчиком. Тема не шибко мне близкая – ресторанный бизнес, поэтому я мог сделать лишь негативный расчет.

В оценке чего угодно есть три варианта:

• оптимистичный (или позитивный) – это когда нам прет не по-детски и все складывается самым удачным образом. Это наш потолок. Все, чего хотелось желать. Такого практически никогда не бывает. Если вы развиваетесь по оптимистичному варианту, значит вы упустили перспективные возможности развития.
• пессимистический (или негативный) – это когда мы прикупаем два туза на мизере. Это наше дно. Катастрофа, мы просчитались, где могли, и балансируем на грани пропасти. Такое тоже редко бывает.
• реалистичный — какая-то середина между позитивом и негативом. 95% всех оценок попадают сюда. Для простоты будем считать реалистичный вариант арифметическим средним между крайними вариантами (лишняя математика нам сейчас ни к чему).

Отдельно я выделяю понятие форс-мажора — это когда все не задалось настолько, что уже проще закрыться, чем мучиться. Некоторые смешивают это понятие с пессимистичным сценарием.

Поговорив с разработчиком и посидев 3 часа, выдал результат (обезличил, убрал расчеты и всякое конфиденциальное):

Экспресс_анализ_бизнес-плана

Как видите, все вопросы стандартные – посчитать инвестиции, TOS, точку безубыточности, пара шаманств — и готово. «Что за дичь?», – спросите вы – «Где конкретика?». Дьявол, в деталях. Конкретно здесь было сложно учесть специфику ресторанного бизнеса (а, говоря по-нашему, риски. Забегая вперед, скажу, что вся оценка информационной безопасности — это и есть специфика конкретного бизнеса):

• расположение и проходимость;
• средний чек;
• меню и логистику.

Но все это просто делается даже просто в гугле, а если уж есть доступ к спецданным, то вообще легко. Главное что? Правильно, грамотно ставить вопросы. Расскажу только об одном, иначе это затянется.

Меню. Все накладные расходы (аренда, люди, коммуналка и т.п.) – это простые (линейные) параметры. Бери и умножай. А вот меню зависит от кучи параметров, которые мало того, что надо купить, так еще и привезти. Меню — вещь довольно сложная, там блюдо может состоять на 90% из овощей стоимостью 10 рублей, и 10% мяса стоимостью 900 рублей. Тут уже без разработчика (или говоря обще – владельца ресурса или информации) не обойтись. Получив от него данные, задача из нелинейной превратилась в линейную (бери и умножай).

И в заключении. Вы всегда сможете посчитать негативный вариант, и именно в этом ваша цель. Берите самые высокие расценки, самые плохие условия, годы вместо дней. Если вы будете понимать дно, то легче найдете потолок.

И тогда вы сможете уже переходить к сложным вопросам. Например, есть средство защиты от DDOS, годовая стоимость обслуживания 30 миллионов долларов. Надо ли оно нам? :)

Вот такая работка была у меня в начале месяца. Всего вам доброго.

В прошлый раз я рассказывал о вопросах, волнующих меня по поводу татаро-монгольского Ига. А сегодня поговорим о другом вопросе.

Поехали

Собственно, вопрос я поставил так — Как часто мылись в банях русские крестьяне?

Причиной этому послужил огромный спектр свидетельств и мнений — от того, что крестьяне вообще не мылись, до того, что русские были чистоплотней всех просвещенных европейцев вмести взятых.

Будем считать, что в банях моются лишь в холодный период времени. Летом можно и в речке помыться или под дождичком поскрестись. С поправкой на суровость климата в средней полосе России в то время примем холодный период, равный шести месяцам. Т.е. 6 месяцев мылись в банях, а в остальное время как-то по-другому.

Что такое баня? Традиционные русские бани (деревенские) делятся на:

•  Бани, отапливаемые «по-чёрному», имеют открытый очаг, который прогревает не только камни, но и стены бани. Дым от очага выходит через дверь или отдушину в потолке. Обычно в ней есть каменка из валунов-окатышей и котёл для горячей воды. Протапливается дровами, предпочтительно лиственных пород (например, берёзовыми). При неправильной топке баня «горчит». Древесина внутри бани сильно коптится, в результате стены бани — тёмного цвета, но это также служит целям дезинфекции помещения бани.
• Бани, отапливаемые «по-белому», бывают различных конструкций. В такой бане обязательно имеется каменная, кирпичная или металлическая печь с баком для нагревания воды. Такая баня требует для натапливания больше дров, однако намного проще и приятнее в эксплуатации. Такую конструкцию имеют и современные индивидуальные бани.
• Баня внутри русской печи. Печь протапливается, в чугунах нагревается вода. После топки с пода печи убирается зола и насыпается солома. Жар сгребается в угол печи. После этого можно мыться, забравшись в печь и даже осторожно париться веником, чтобы не натаскать на себя сажи. Вероятно, отсюда происходит украинское название бани — «ла́зня»

Усредним эти данные, и будем представлять баню как помещение с источником тепла (печкой), нагретое до 80-100 градусов для пара (и до 40 градусов для воды), и где, кроме всего прочего, греют воду.

Сколько же потребуется дров, чтобы попариться в бане? Так, как это представляется в обществе — с троекратным заходом в парилку, с купанием в снегу (или обливанием холодной водой)?

На даче у меня есть печка-буржуйка. Чтобы в течение 4 часов там поддерживать приемлемую температуру (от 28 до 18 градусов), ее необходимо растопить приблизительно 10 паленьями (2 кг дров), и затратить на это около двух часов. Т.е. мы получаем 6 часов тепла.

Чтобы на моей буржуйке добиться искомых 80-100 градусов, потребуется в 3 раза больше времени и дров (будем считать зависимость линейной). Итого 6 часов и 6 кг дров, чтобы подготовить баню. Собственно, время не расходится с нашими представлениями. Нам известно, что баню надо предварительно протопить, это занимает определенное время. Скорректируем для простоты счета — уменьшим время до реального (2 часа), а количество дров увеличим до 10 кг. Расход современных печек подтверждает наш расчет (аналитический расчет сошелся с фактическим).

В итоге, чтобы вся деревня в 100 человек могла помыться в бане хотя бы раз в месяц (по 5 человек в бане), в год потребуется:

20партий*6месяцев*10 кг= 1200 кг дров

Могли ли крестьяне позволить себе потратить 1200 кг дров суровой русской зимой на помывку? Это с учетом, что надо еще и свои избы отапливать? Могла ли помывка в банях носить повсеместный характер? На мой взгляд, не могла. Помывка в банях носила скорее характер лоскутный.

P.S.: Есть мнение, что тонна дров — это приемлемая величина для заготовки на зиму на помывку. Если так рассматривать (люди ведь разные, силы у всех разные), то да – могли мыться и раз в неделю (тогда число дров увеличивается всего до нескольких тонн – 4-5).

P.S.S.: Если исходить из моих расчетов, то в деревнях могли мыться и каждую неделю. Заковырка оказалась в интерпретации результатов. Благодарность всем, кто топит бани, заготавливает дрова и поделился со мной знаниями по этому поводу.

От природы я человек любопытный. Любопытство мое неактивное, носит созерцательный характер. Не, я тоже любил разбирать все и смотреть, как оно устроено. Но не более, пальцы в розетку не совал. Один раз только попробовал запитать тетрис, намотав проволоку на контакты и сунув в розетку :)

Мой метод исследования — это «оказаться в нужном месте в нужное время». Посмотреть, как оно работает, увидеть какое-то редкое явление, завалить вопросами по предмету. Т.е. для меня первичен объект. Как разберемся с внешним объектом, так можно уже лезть внутрь — разбираться. А кто-то действует по-другому, например, разнообразные вивисекторы (это которые режут по живому, а потом исследуют как оно там).

Основой в моем любопытстве является простое соображение — вокруг полно информации. Если ее уметь обрабатывать, можно приблизиться к пониманию и уже делать какие-то выводы. На этом, кстати, и строится измерение безопасности.

Если учесть, что каждый объект обладает всей информацией о самом себе, информационный поток походит на шквал — утонешь и не всплывешь. С какого краю браться? Чего искать? Потому и ценится так искусство исследователя.

В чем залог успеха хорошего исследования? В умении правильно задавать вопросы. В основном себе, и уже на это рыть информацию.

Когда-то давно я ознакомился со знатной книжкой «Фрикономика. Мнение экономиста-диссидента о неожиданных связях между событиями и явлениями» (вторая часть не очень), за авторством Стивена Д. Левитта и Стивена Дж. Дабнера. Авторы доступным языком показывают необходимость вопроса при исследовании и обработке больших объемов данных на простейших бытовых примерах. Учат смотреть на вопросы с экономической точки зрения. Например, почему торговцы наркотиками продолжают жить со своими родителями? Всем рекомендую.

И вот я задался двумя новыми вопросами. Оба связаны с историей нашего народа.

Первый вопрос

Первый вопрос у меня связан с татаро-монгольским игом. Как много татаро-монгол могло прийти на Русь?

Обычный воин Орды — это всадник, с пикой и луком. Одна лошадь должна съедать в день до 14 кг корма (для легкой нагрузки зимой), уменьшим это количество до 10 кг для простоты счета (и скинем на мелкокостность монгольских лошадей).

Поэтому я не думаю, что монголы смогли бы собрать миллион воинов (или сколько там в учебниках пишут?). Что более вероятно? Чингизхан мог собрать под свои знамена примерно до 95 тыс. воинов. С поправками будем считать, что для похода на Русь и Европу (которую мы героически защитили от этой угрозы) монголы собрали 200 тыс. человек (150 тыс. всадников + 50 тыс. пеших с обозом и обслуживающим персоналом).

150 тыс. всадников — это минимум 150 тыс. лошадей, не считая запасных, которых надо минимум еще по одной. Таким образом, имеем 300 тысяч лошадей (это по минимуму), которые должны съедать до 3 миллионов кг корма в день или 300 тонн в день.

Здесь бы хорошо прикинуть, сколько корма произрастает на одном гектаре. Но тут у нас хуже всего, поэтому будем оценивать по траве Кинельская 100: урожай зеленой массы 30 т/га, семян 1,5 т/га. Уменьшим до 10 т/га исходя из следующих соображений: 1) это культивируемая трава, и в реальности растет не так бурно; 2) трава в степях немного не такая, как в полях, а в лесах ее совсем нет. Так что примем это как нашу экспертную оценку.

Т.е. весь этот огромный табун должен был пастись на 30 гектарах каждый день – не так плохо. Если монгол было миллион — то это 150 га в день. Много это или мало? Сложно сказать, для одного дня не особо много (100 га равно 1 квадратному километру). А если считать все стоянки? Обоз опять же не самый мобильный юнит – не однозначно все как-то. А еще зима в Сибири бывает, тогда уж травы не особо много.

Кто подскажет, сколько официально в летописях пишут численность Орды? Могли ли монголы дойти до Европы? А доходили ли они до Руси? Ведь война – это прежде всего обеспечение, фураж и походы, в иных войнах до прямых боев может и не доходить.

Во такой вопрос у меня возник :)  А про второй вопрос расскажу как-нибудь в другой раз.