Щас я правду расскажу...
Без ссылок и подтверждений.

Про условную большую компанию в РФ.
Может потом примеры приведу... Посмотрим.

Итак... Если компания большая. Есть акционеры, руководство, несколько отделов.
Почти наверняка есть IT отдел, который состоит из 3 отделов: разработчики, эксплуатация, безопасники.
Предположим, что Я начальник этого отдела, у меня есть бюджет на работу отдела, есть некоторый функционал, который отдел должен делать.
Вы реально думаете, что я буду нанимать людей в штат, выискивать их на HH, вытирать им сопельки, страдать от декретов и больничных, и отвечать за их косяки ? Перед своим руководством и акционерами...

Да нифига: аутсорсинг!
Выкатываю ТЗ, сгружаю его в отдел закупок, объявляется тендер, нанимается компании: разработчики, поддержка, безопасники.
И все! Бюджет осваивается, фирмы работают по контракту, а если они накосячат, это не моя проблема, а юридического отдела.
Профит.
И по другому сделать не получится... Ибо... ну например: в каждой компании должно быть два "спеца" (по факту человека с корочкой) по информационной безопасности. Не в Москве. В РФ. В каждой копании. Два. Вы никогда столько не найдете. Столько людей просто нет.
На одной из работ им назначили повара, он же отвечает за безопасную еду, ну и дали полставки безопасника заодно, корочки сделали.
Единственный выход: безопасность отдать в аутсорс.

Приведу пример... Вот у нас... устаревшая компания, у нас в IT штате есть сотрудники, около 100 человек. И их плавно увольняют, а задачи поручают компаниям на аутсорс.
Я знаком с начальником IT отдела другой компании, у них такой же бизнес как у нас, регион другой, она прогрессивная... У них в IT отделе 1 человек, все выполняют компании на аутсорсе.
Надо проложить кабели: звонишь, приезжают люди, тянут кабели.
Надо установить комп: звонишь, приезжает мальчик, ставит комп.
Заглючил wifi: звонишь, там поддержка, она на любом языке говорит, хочешь китайский, хочешь испанский, английский есессно. Это удобно...

Например №2: Нам ставят новую программу, пока я буду ее поддерживать, мне надо ее принять.
У нас есть менеджер который рулит аутсорсером. У аутсорсера есть менаджер которая курирует наш проект. Есть затык, мелкая техническая накладка, но надо уточнить детали у того кто руками настраивал некоторую фичу у аутсорсера, прошу соединить с программистом, который это писал... В общем... Созваниваюсь. Телефон у него украинский. Да, он сидит в Грузии. Но он хохол. Я не думаю что наши это знают. И врят ли это их интересует... Есть договор. Ответственность сторон, но исполнитель - украинец. У него есть доступ в нашу сеть. Он на ней что-то установил.

Вы таки думаете это редкость? Не знаю. На прошлой работе это было до 20 года, было поспокойнее, у нас на аутсорсе было трое украинцев. Они особо не скрывались и не шифровались.

Помнится в rutube как то раз "взломали".
https://www.forbes.ru/tekhnologii/465207-servis-poprostu-uda...
Хотя, по факту никакого взлома тогда не было, просто у программиста с Украины были все пароли, и он просто все штатно удалил, тогда, кстати, как и с аэрофлотом хакеры громко говорили, "что после их атаки Rutube, вероятно, исчез навсегда"... Через два дня все заработало.
Я почему-то не думаю, что у аэрофлота как то не так было.

Такая же фигня с серверами: зачем держать свои сервера... Когда есть облако! И все проблемы с облаком это проблемы юридического отдела. А не меня, как начальника IT отдела.
И самое прикольное: ну, у нас сотрудников отдел безопасности проверяет... А кто проверяет сотрудников облачного сервера? А кого они нанимают? Наверняка кого подешевле, на удаленку. И многие эти люди работают из Грузии... И из Киева (хотя сейчас наверное переехали).

И я, почему то... думаю... что так повсеместно...
И у меня только один вопрос: а наши сервисы, и наши сервера, это по прежнему наши сервисы, и наши сервера?

Фото из оригинального поста:

Айтишники Аэрофлота

Руководство