Сложно представить, что более-менее технически сложная штука может продаваться без гарантийного срока. Тем более в принципе без каких-то гарантий, что она вообще работает и делает то, что рассказано в презентации. Это даже на кота в мешке не похоже – тут хотя бы мешок есть и кот. Живой или нет – это уже вопрос другой, квантовый. Но это точно не пес и не мышь. А вот с софтом так бывает далеко не всегда. Причиной тому – оговорка «as is», то есть «как есть».
Смысл ее прост – потребитель приобретает некое ПО или сервис в том состоянии, какое оно есть на момент продажи (казалось бы логично, не из машины времени же он его покупает). Но это «состояние» подразумевает и все наличествующие или возможные ошибки, недоработки и прочие баги. С ними вместе и покупает. И заранее соглашается, что они есть. Нет, может, конечно их и нет, но он все равно заранее соглашается, что и с ними ок. И это его решение, что он такое вот купил. А посему все претензии по убыткам, вызванным такими недостатками покупки – это не более, чем информационное сообщение. Вас, уважаемый, заранее предупреждали, что всякое может случиться, и вы сами согласились. Вот примерно так это и работает.
Но возможно скоро ситуация изменится – в России все эти оговорки и ограничения ответственности никого уже убеждать не будут. В отдельно взятой ИТ/ИБ сфере. Написал кривой код – отвечай. Особенно если код твой делает что-то действительно серьезное. О чем это мы? А вот о чем. Минэк предложил распространить оборотные штрафы за утечки персональных данных на поставщиков решений информбезопасности, решения которых применяли пострадавшие компании.
Такое предложение было сделано на основе анализа. Который показал, что если бы оборотные штрафы стали работать год назад – в России только из-за них обанкротились бы 4 из 5 компаний SMB сегмента. Видимо примерно из стольки в этом году текло. Это на фоне того, что «Судя по комментариям представителей разработчиков продуктов информационной безопасности, они уверены в наличии всех необходимых решений для защиты данных. В связи с этим предлагается рассмотреть возможность распространения оборотных штрафов на самих разработчиков в случае, если утечка произошла, и специализированное программное обеспечение не смогло обеспечить должный уровень защиты». Это между прочим сказал директор департамента цифрового развития и экономики данных Минэка Владимир Волошин на круглом столе в Госдуме.
Эту идею услышали и поддержали во ФСТЭК. По словам замдиректора Федеральной службы Виталия Лютикова ответственность за утечки должны нести не только операторы персональных данных. Если причиной утечки стала уязвимость в программном обеспечении, то ответственность за это нужно разделять с разработчиком этого софта. А если интегратор или центр мониторинга информационной не отреагировали на события в части безопасности должным образом, то отвечать должны и они.
Но если так, то становится крайне важно учитывать не только наличие какого-либо ИБ-решения как такового, но и как, и кем оно установлено, настроено и эксплуатируется, обучен ли персонал и так далее. И вот тут поднимается, во-первых, вопрос правильного прописывания всего в договорах с этими подельниками контрагентами. А во-вторых – вопрос независимого анализа ИБ-инцидента на предмет, а кто же конкретно тут виноват.
Тут тоже тонкий момент – у многих ИБ-вендоров-то как раз есть свои бригады IT-криминалистов/расследователей, которых сегодня бизнес часто и нанимает для таких дел. Они весьма профи. Но вот как они будут расследовать, когда есть риск, что крайним станет их работодатель… А с другой стороны, как они будут расследовать «друг против друга»? В общем интересные истории будут, если это предложение Министерства претворят в жизнь, детективные.
Смысл ее прост – потребитель приобретает некое ПО или сервис в том состоянии, какое оно есть на момент продажи (казалось бы логично, не из машины времени же он его покупает). Но это «состояние» подразумевает и все наличествующие или возможные ошибки, недоработки и прочие баги. С ними вместе и покупает. И заранее соглашается, что они есть. Нет, может, конечно их и нет, но он все равно заранее соглашается, что и с ними ок. И это его решение, что он такое вот купил. А посему все претензии по убыткам, вызванным такими недостатками покупки – это не более, чем информационное сообщение. Вас, уважаемый, заранее предупреждали, что всякое может случиться, и вы сами согласились. Вот примерно так это и работает.
Но возможно скоро ситуация изменится – в России все эти оговорки и ограничения ответственности никого уже убеждать не будут. В отдельно взятой ИТ/ИБ сфере. Написал кривой код – отвечай. Особенно если код твой делает что-то действительно серьезное. О чем это мы? А вот о чем. Минэк предложил распространить оборотные штрафы за утечки персональных данных на поставщиков решений информбезопасности, решения которых применяли пострадавшие компании.
Такое предложение было сделано на основе анализа. Который показал, что если бы оборотные штрафы стали работать год назад – в России только из-за них обанкротились бы 4 из 5 компаний SMB сегмента. Видимо примерно из стольки в этом году текло. Это на фоне того, что «Судя по комментариям представителей разработчиков продуктов информационной безопасности, они уверены в наличии всех необходимых решений для защиты данных. В связи с этим предлагается рассмотреть возможность распространения оборотных штрафов на самих разработчиков в случае, если утечка произошла, и специализированное программное обеспечение не смогло обеспечить должный уровень защиты». Это между прочим сказал директор департамента цифрового развития и экономики данных Минэка Владимир Волошин на круглом столе в Госдуме.
Эту идею услышали и поддержали во ФСТЭК. По словам замдиректора Федеральной службы Виталия Лютикова ответственность за утечки должны нести не только операторы персональных данных. Если причиной утечки стала уязвимость в программном обеспечении, то ответственность за это нужно разделять с разработчиком этого софта. А если интегратор или центр мониторинга информационной не отреагировали на события в части безопасности должным образом, то отвечать должны и они.
Но если так, то становится крайне важно учитывать не только наличие какого-либо ИБ-решения как такового, но и как, и кем оно установлено, настроено и эксплуатируется, обучен ли персонал и так далее. И вот тут поднимается, во-первых, вопрос правильного прописывания всего в договорах с этими подельниками контрагентами. А во-вторых – вопрос независимого анализа ИБ-инцидента на предмет, а кто же конкретно тут виноват.
Тут тоже тонкий момент – у многих ИБ-вендоров-то как раз есть свои бригады IT-криминалистов/расследователей, которых сегодня бизнес часто и нанимает для таких дел. Они весьма профи. Но вот как они будут расследовать, когда есть риск, что крайним станет их работодатель… А с другой стороны, как они будут расследовать «друг против друга»? В общем интересные истории будут, если это предложение Министерства претворят в жизнь, детективные.