Госкомпании и отечественное ПО

20 ноября в СМИ прошла новость о том, что Дмитрий Медведев подписал постановление об установлении запрета на допуск иностранного программного обеспечения при закупках для государственных и муниципальных нужд.

Однако уже 19 ноября в Сети появились новости, что некоторые иностранные компании нашли способ обойти постановление. Все просто: они создают совместный продукт с российскими разработчиками.

К каким позитивным или негативным последствиям может привести нововведение?

Плюсы:

Очевидно, что принятие постановления дает возможность российским компаниям-разработчикам ПО обрести преимущество на российском рынке. Сегодня на отечественном рынке 67%, а в аппаратной части – 90% зарубежных компаний. По мнению экспертов, принятие постановления, позволит сократить долю иностранного программного обеспечения в 1,5 раза. Если ранее государственный бюджет тратился в основном на иностранных разработчиков, а это порядка 50-60 млрд рублей, соответственно теперь часть этих средств будут получать отечественные производители.

Хотя в некоторых сферах российское ПО вполне конкурентоспособно и без господдержки. Например, на рынке DLP-систем российские разработчики традиционно сильны и достойно конкурируют с зарубежными аналогами.

Подчеркнем, что к замещению нужно подходить аккуратно и последовательно. У большинства потенциальных заказчиков нет информации об отечественных альтернативах. При этом по данным Ассоциации разработчиков программных продуктов сегодня в России насчитывается 200 отечественных производителей, разработавших 1000 программ. Все они соответствуют необходимым техническим требованиям и нормам. Чтобы получить полезный для всех эффект, в первую очередь важно провести PR-компанию для российских разработчиков софта.

Во-вторых, ни одна цель не достигается без планирования. Шутка на тему «Наш народ обычно не имеет плана действий, он страшен своей импровизацией» – не пройдет. Поэтому целесообразно ввести публичную статистку о доле закупаемого в государственном секторе иностранного и отечественного ПО. А также провести инвентаризацию уже используемых систем. Это поможет формированию поэтапных планов перехода на российские решения.

Сложности и риски:

Одно из требований для включения ПО в реестр – права на софт должны быть оформлены на гражданина РФ, компанию или госструктуру в объеме более 50%. Лицензионные отчисления за границу не должны превышать 30%. Получается, что под реестр не попадают те российские разработчики, которые получили иностранные инвестиции и оформили компанию в иностранной юрисдикции, а интеллектуальную собственность зарегистрировали как вклад в созданную компанию.

Также с отказом о включении в данный реестр могут столкнуться компании, привлекающие в производство ПО зарубежных разработчиков, в том числе и фрилансеров.

Еще одна проблема: вероятность ответных санкций и судебных исков против российских компаний. Помимо перечисленного, отсутствие иностранных предприятий на рынке может привести к снижению конкуренции. С одной стороны, это ведет к риску увеличения стоимости продуктов, а с другой – к снижению их качества и торможению развития компаний в целом.  

Тонкости NDA и практическая польза от DLP

Сегодня на глаза попался очень хороший материал, посвященный составлению соглашений о неразглашении. Думаю, что большинству читателей нашего блога эта тема близка, поэтому ответственно заявляю, что текст по ссылке выше - отличное пособие, которое подойдет компаниям и в России, и в Украине, и в Белоруссии, и в Казахстане. Потому что законодательство в области коммерческой тайны и реалии её защиты, на самом деле, мало отличаются.
Хотел бы отдельно обратить внимание на ключевой, как мне кажется, момент, лишь вскользь затронутый в упомянутой статье. Вот он:
Реальность взыскания такого штрафа зависит от того, насколько компания сможет доказать, что конкретный работник/контрагент разгласил коммерческую тайну. 
Речь идет о штрафе, но вполне понятно, что речь идет о любом взыскании, которое накладывается на работника, допустившего утечку коммерческой тайны. И здесь, думаю, я не преувеличу, если скажу, что именно DLP-система - это тот единственный способ точно установить виновного, без которого нельзя быть уверенным в успехе дальнейшей борьбы с сотрудником-злоумышленником.
Почему я так уверен в этом? Потому что ни одна штатная система контроля трафика, которая обычно используется в компаниях, к примеру, для выявления неэффективно расходуемого рабочего времени, не дает такой информации. Даже если вы получите сведения о том, с какого компьютера сотрудник отправил конфиденциальные данные, вы никак не сможете доказать, что это не сделал кто-то другой в его отсутствие. DLP-система же сможет сказать, под чьей учетной записью было отправлено сообщение, поможет установить, был ли предварительный сговор с другими сотрудниками при получении доступа к информации и сделать тысячу других подобных вещей, становящихся очень важными, когда речь идет о наказании виновных.
Конечно, есть и более продвинутые системы (IDM, например), которые обеспечивают еще лучшую привязку цифровой истории действий к личности, но в реальности именно хорошей DLP'шки хватает для охвата 95% возможных ситуаций в средней организации.

Этика в инфобезе

Один раз мы уже поднимали тему этики в сфере информационной безопасности, сейчас я хотел бы посмотреть на этот вопрос с другой стороны - глазами тех, чьи данные могут пострадать от недостаточного внимания к вопросам сферы ИБ.
Когда специалисты по информбезопасности говорят об их работе, обычно они акцентируют внимание на ее финансовой стороне, а если точнее – то на выгоде, которую компания получает от защиты информации. Однако есть и другая, этическая сторона, о ней многие часто попросту не задумываются. Тем не менее, данная сторона является столь же важной, как и финансовая. Потому мы сейчас остановимся именно на данной проблеме, дабы подробнее ее рассмотреть.
Можно подумать, что между этикой и обеспечением информбезопасности нет и не может быть никакой связи. И, тем не менее, связь есть, и чтобы лучшее ее понять, необходимо первоначально вспомнить определение этики бизнеса.
Согласно ему, деловая этика является сводом неформальных правил (таких, которые не установлены в законодательном порядке), которых организации придерживаются во время осуществления своей деятельности. В деловую этику включаются честность по отношению к сотрудникам, поставщикам, клиентам и даже конкурентам. Также сюда входят некоторые вопросы, которые касаются влияния работы организации на здоровье «обычных людей», на животный мир и на окружающую среду. Хорошая репутация обычно помогает успешному ведению дел и даже обеспечивает дополнительную выгоду. А вот этичное поведение иногда может приводить к уменьшению прибылей, хотя это так далеко не всегда. Наиболее трудные вопросы в области деловой этики появляются в связи с работой многонациональных компаний, когда такие действия, как подкуп сотрудников, без которого в некоторых государствах вообще невозможно вести дела, в других государствах считаются уголовно наказуемыми преступлениями.
Может казаться, кажется, что для многих организаций нет смысла поддерживать нормы и правила, которые в некоторых ситуациях могут вести к уменьшению прибыли. Но кроме максимума прибыли, который можно получить в данное время, у большинства фирм есть и некоторые стратегические цели, которые связаны с долгосрочным развитием организации. Именно этих целей позволяет добиваться этика ведения бизнеса.
Деловая этика начинается именно от уважения к партнерам, клиентам, а также к сотрудникам фирмы. Причем данное уважение ни в коем случае не должно быть показным, оно обязательно должно быть искренне, ощущаться людьми даже больше подсознательно, нежели вкладываться в их головы при помощи обычных рекламных инструментов. Однако каким образом компания, которая не обеспечивает безопасность данных организаций и клиентов, с которыми она работает, и сотрудников, работающих на нее, может уважать тех, кто обладает этими данными?..
Обеспечение информбезопасности в данном плане похоже на соблюдение разных экологических норм. Может показаться, что от этого компания получает исключительно неудобства. Но несоблюдение данных норм может вызывать в итоге довольно большой общественный резонанс. И этот резонанс может отрицательно влиять на репутацию, а, следовательно, и на доходы организации. Не следует думать, что такое касается исключительно крупных фирм: даже если ваша компания пока не выросла настолько, чтобы неэтичное ведение бизнеса могло привлекать к ней внимание серьезных СМИ, всегда могут найти блоггеры и местные СМИ, которые могут поднимать вопрос, вызывающий большие обсуждения. Некоторые факты из прошлого могут «всплывать» тогда, когда вы уже станете интересны для больших СМИ – ущерб от такого поведения в итоге будет довольно ощутимым.
Наиболее опасными для организации будут утечки персональных данных партнеров и клиентов компании. Большое количество новостей о таких инцидентах и последствиях  подобных инцидентов создают ассоциацию утечек данных с ущербом для людей и компаний, которых эти данные касаются. Потому абсолютно любое сообщение об утечках информации, которые происходят в вашей фирме, будет однозначным сигналом для компаний-конкурентов, которые могут в итоге напирать на то, что эти организации, в отличие от вашей компании, заботятся о сохранности информации тех, с кем они работают.

Риски сбоев vs. риски утечек

В наше время информационные системы обладают очень большой важностью практически для любого бизнеса. Соответственно, риски этих систем также имеют большое значение почти для каждой компании.
Риски, которые сопряжены со сбоями
С такими рисками каждый день сталкиваются как организации, так и рядовые пользователи. Каждому хотя бы раз в жизни попадается «сбойный» носитель данных, каждый хотя бы раз страдает от потери важного документа, который просто можно не успеть сохранить до программного сбоя. И даже очень надежное оборудование и ПО не гарантируют защиты от разных ошибок. Однако когда подобные ошибки бывают систематическими, ваш бизнес может страдать особенно сильно.
И как раз систематическими такие ошибки могут стать в двух случаях: если информационная система не отвечает требованиям к уровню надежности, которые предъявлены к таким системам в этой организации, или если некоторые компоненты данной системы изначально были реализованы не так, как нужно. Иногда эти неприятности даже объединяются.
Понятно, что в первом случае проблему можно легко решить внедрением другой системы информации, что сопряжено с какими-то издержками. Но в долгосрочной перспективе те убытки, которые возникнут благодаря несоответствующей требованиям компании системе, будут гораздо выше затрат на внедрение полностью новой системы. Во втором случае потребуется искать возможности для замены или модификации составляющих компонентов при помощи разных сервис-паков, патчей и т.п.
Риски, которые сопряжены с утечками данных
Эта группа рисков будет хорошо известна исключительно корпоративным пользователям, ведь даже если домашний пользователь по какой-то случайности и обнародует какой-то из своих конфиденциальных документов, как правило, это не будет нести для него какого-либо существенного вреда. В корпоративном же мире всё будет совсем иначе: как гласят оценки экспертов, из десяти случаев в шести будет вполне достаточно утечки 20% конфиденциальных документов для банкротства организации.
Все утечки данных можно разделять на две основные группы: случайные и преднамеренные. Преднамеренные обычно организуются недобросовестными работниками самой компании, которые продают корпоративные секреты или просто распространяют их, руководствуясь, к примеру, мстительными побуждениями. Случайные утечки конфиденциальных данных являются итогом невнимательности, небрежности, неаккуратности сотрудников компании. Как правило, какого-либо большого ущерба случайные утечки не приносят.
Стратегия борьбы с утечками данных, с одной стороны, заключена в увеличении лояльности работников, с другой стороны, необходимо организовать контроль за их действиями над информацией, которые проводятся на работе. Сегодня золотым стандартом в борьбе с утечками информации являются DLP-системы, позволяющие хорошо контролировать как входящий, так и исходящий трафик компании и обнаруживать в данном трафике конфиденциальные данные. Качественная, а также грамотно внедренная DLP-система полностью закрывает потребности компании в технических средствах для борьбы с утечками данных».
Главной задачей риск-менеджмента является создание такой системы, которая сможет позволить создать комплексный контроль за состоянием информационных систем компании, производить аудит их функционирования, а также обеспечивать постоянную готовность информсистем исполнять задачи заказчика организации. Само собой, при этом требуется придерживаться разумных границ, а также помнить, основной принцип информационной безопасности: «не бизнес существует для безопасности, а безопасность создается для бизнеса». На практике это значит, что, к примеру, система, обладающая избыточной отказоустойчивостью, в итоге стать столь  дорогой, что компании будет выгоднее пойти на некоторые риски, нежели заниматься внедрением такой системы.
Даже если не внедрять абсолютно никаких спецсистем, ваша компания все равно может своими силами разработать политику информбезопасности, которая будет содержать требования для обеспечения резервного копирования важной информации и разграничения доступности этих данных. Разграничения доступа вы можете реализовать при помощи средств, которые встроены в сами IT-ресурсы (файл-серверы, базы данных и т.п.) компании. Само собой, для контроля доступа понадобится внедрить DLP-систему, однако это уже будет следующим шагом.
Все же самое основное – понимать, что управление рисками является непрерывным процессом, и потому нельзя ждать, что вы сможете только один раз минимизировать IT-риски, после чего забыть о них.

"Черные ящики" и крушение бизнеса

К сожалению, данные "черных ящиков" обычно нужны именно тогда, когда возникшие неполадки не позволяют использовать штатные системы телеметрии для того, чтобы понять, что именно пошло не так. И они, кстати, совсем не черные, а оранжевые, но это уже, в общем-то, не так уж и важно.
Так вот, говоря о черных ящиках, стоит помнить, что крушения бывают не только лишь в небе, но и в бизнесе. Правда, конечно, даже в самых стремительно развивающихся его видах, например, в интернет-рекламе, крушение, на самом-то деле, может растянуться на целые годы. Причины таких крушений бывают самыми разными, об этом написана не одна книга. Я хочу сейчас остановиться не на причинах, а на средствах их выявления.
Обычно в качестве таковых используют бухгалтерскую документацию компании. Но она, в отличие от настоящих "черных ящиков", содержит только цифры, а не слова и действия конкретных людей, приведших к тем или иным последствиям. Восстановить эту информацию можно только с помощью анализа переписки и внутренних распоряжений в компании. Только тогда, к примеру, собственник сможет сказать наверняка, виноват ли в крахе Генеральный директор, или просто неудачно выбрано время для старта, или, скажем, всё дело в кознях кого-либо из его недоброжелателей.
Наверное, вы уже догадались, к чему я клоню. Да, DLP-система - это именно тот самый "черный ящик" бизнеса, который даст возможность его собственнику полностью проконтролировать менеджмент компании, что бы тот ни делал за его спиной. И узнать, кто виноват, если всё рухнуло. Я бы даже порекомендовал тем, кто нанимает директоров, а не сам руководит компанией, отдельным пунктом в контракте с топ-менеджментом указывал применение DLP-систем собственниками бизнеса. Уверен, это избавило бы последних от многих дорогостоящих иллюзий...