Сколько стоит нематериальный актив, и кто за него отвечает

Третий день деловой программы конгресса «Подмосковные вечера» открылся секцией «Ответственность в ИТ, или завхоз против ИТ-директора». Отправной точкой стала простая арифметика. На создание ключевой корпоративной системы уходит около 1 млн USD, она обслуживает примерно 100 пользователей и работает около пяти лет. При таких масштабах информационная система перестает быть «эфемерной» и становится главным активом компании, особенно для небольших фирм.

Дальше дискуссия, естественно, вышла к теме ответственности и ее корням. В римской традиции под ответственностью понимают обязанность возместить убытки, возникшие из неисполнения либо ненадлежащего исполнения обязательства — будь то договорная или деликтная плоскость; в основании всегда лежит вина, сознательный умысел (dolus) или неосторожность (culpa). Эта логика пережила века и сегодня проявляется в разделении на договорную и деликтную ответственность, а учебные формулы — от dolus malus до damnum iniuria datum — становятся не цитатами на латыни, а рабочими правилами там, где в регламентах четко прописано, кто, за что и в каком объеме отвечает.

Статистика подкрепляется практикой. По данным презентации Михаила Сусорова «Сколько стоит НМА и сколько стоит его потеря», в кейсе одного интегратора его собственная служба технической поддержки восстановила девять из пятнадцати пострадавших баз; иногда на это уходила почти неделя, и все это время предприятие работало на бумаге. Две базы удалось поднять лишь частично, еще четыре утратили безвозвратно. Причины прозаичны: выход из строя дисков и SSD, скачки напряжения, вирусы, злонамеренные действия бывших сотрудников. Попадались и совсем бытовые эпизоды вроде пролитого кофе, пожара или потопа. Свою лепту вносили и «ложные настройки», когда резервное копирование писало копию на тот же носитель или незаметно прекращало работу. В результате техническая мелочь каждый раз оборачивалась управленческой проблемой, а иногда — остановкой операционной деятельности.

Если смотреть на эти истории через правовую оптику, они расходятся по двум траекториям. В первой речь идет о внешнем воздействии и составах вроде неправомерного доступа, распространения вредоносных программ, мошенничества в сфере компьютерной информации и вымогательства. Во второй — о внутренних ошибках эксплуатации, где фигурируют нарушение правил, халатность, неосторожное уничтожение имущества, а также коллизии из области авторского и патентного права. Обе линии описаны в уголовном и смежном законодательстве, однако путь к ответственности и доказательная база в них различаются, и именно это различие определяет, как компаниям выстраивать превентивные процедуры.

От персон к процедурам

В устных репликах Михаил Сусоров (Центр правовой поддержки потребителей ИТ) объяснил, почему эта тема бьет по бизнесу сильнее привычной «наружной» кибербезопасности: «В стране потери данных начинают нарастать. По сути, у нас огромное количество народу просто работает вхолостую». И ключевое — «далеко не все, кто должны отвечать за эти самые данные, понимают меру своей ответственности за нематериальные активы, критические, потери которых приводят к ликвидации бизнеса». Переводя это в понятные масштабы: «на 100 человек пользователей есть полтора специалиста, который держит в руках нематериальный актив стоимостью полтора-два-три миллиарда рублей».

Дальше прозвучал вопрос не про наказание, а про управляемость. По словам модератора, существует дисбаланс правоприменения: «В 80% случаев в потере данных повинен уровень сотрудников, а вот уголовных дел по этой части у нас далеко не много, на порядок меньше, чем по внешним воздействиям». Отсюда вытекает «управленческий» запрос: «как эту самую ответственность зафиксировать, донести до исполнителей, и самому не попасть под эту ответственность».

Павел Пестряков (клуб 4CIO) считает, что многое зависит от конкретных персон, и ошибка одной сильной роли будет стоить очень дорого: «У админа одно движение неправильное — и могут быть серьезные последствия для всей компании». Решение он видит не в формальном подчинении ИТ-службы безопасности, а в осознанной зоне ответственности и прямых разговорах: «Очень полезны беседы с руководителем службы безопасности, который объясняет, что последствия за нанесение ущерба могут быть катастрофическими для конкретной личности. Это сильно оздоравливает ситуацию».

Олег Скачков (ПермЭнергоСбыт) вернул разговор к персональной ответственности не только ИТ-директора, но и его заместителей, руководителей и специалистов уровнем ниже. По его словам, компании нужны «четкие должностные инструкции», где «понятны зоны ответственности по каждой должности», и неукоснительное соблюдение принятых мер безопасности, которые уже считаются нормой и описаны в учебнике 4CIO. Он напомнил, что ИТ — новая отрасль по сравнению со стройкой, исторически такой документации не было, поэтому сейчас документы нужно приводить к стандартам.

Когда подпись становится риском

Отдельный блок — электронная подпись. По сводке обсуждения многие генеральные директора передают ЭЦП не только своим сотрудникам, но и внешним бухгалтерам, что сразу создает зону повышенного риска. В качестве примера вспоминали случай, когда уволившийся сотрудник оставил свою электронную подпись, документы продолжали подписываться, а суд признал это легитимным. На этом фоне прозвучал и технологический вызов: как быть, если «появляется робот, который может за вас расписаться, а графическая экспертиза не отличит вашу подпись от подписи робота — что вы понесете в суд?», — сформулировал Михаил Сусоров. Суть вопроса очевидна: при слабом контроле ключей и процедур сам институт ЭЦП начинает шататься.

Логичным продолжением разговора стала институциональная рамка. По итогам дискуссии прозвучало, что отрасль, вероятно, придет к саморегулируемой организации со страхованием ответственности ИТ-директоров и других ключевых ролей. Аргумент прост: собственнику бизнеса не помогает сам факт увольнения ИТ-директора, а возместить серьезные убытки физическое лицо обычно не в состоянии. Значит, внутреннюю дисциплину документов и ролей нужно дополнять страховым механизмом.

В финале прозвучал простой ориентир: речь не о том, как уйти от ответственности, а о том, как ее зафиксировать и донести до всех, кто работает с данными, что в их руках ключевой актив бизнеса с последствиями и финансовыми, и юридическими. В практическом плане это значит оценивать стоимость нематериальных активов и общий TCO, четко прописывать полномочия и зоны ответственности, регулярно проверять резервные копии и отрабатывать восстановление, говорить с командами на языке личных рисков и, где это оправдано, подключать страхование. Делать все это нужно заранее, а не после инцидента.