СТАРОДУБ Ірина — керівник судового відділу Moneyveo, м. Киев

З розвитком інформаційних технологій (ІТ) та інтернету наш світ став зовсім іншим. Він став динамічним, час вимагає прийняття швидких рішень, ти маєш бути послідовним і знати, чого хочеш. Тільки так можна досягти бажаних результатів.

Коли ти створив свій бізнес із нуля, рано чи пізно, якщо він досягає певних масштабів, маєш подумати про його захист і безпеку тих, хто працює з тобою.

Почну з того, що ІТ­технології в Україні є в трійці лідерів експорту на ринку.

Замовлень українським програмістам точно не бракує — Україна щороку піднімається в рейтингах світових агенцій. Так, вона посіла 24­те місце в рейтингу Human Capital Index 2019, 11­те місце серед 50 найкращих розробників світу, 24­те місце в переліку 55 країн, найбільш привабливих для аутсорсингу, 7­ме місце за якістю та ефективністю фрилансерів, 12­те місце в галузі науки й технологій рейтингу The Good Country Index тощо.

За статистикою, доходи від експорту ІТ­технологій вийшли в Україні на 3­тє місце після продукції агропромислового комплексу та металургії.

Поговоримо про те, над захистом чого треба працювати в ІТ­компаніях, щоб вони приносили доходи, а не проблеми.

Фізична безпека

Це не про те, що ви і ваша команда має пересуватись виключно з силовою підтримкою, але нехтувати цими правилами також не слід. Це про безпеку всередині вашого офісу.

На що варто звернути увагу? Насамперед потрібно подбати про доступ до робочого офісного приміщення. Найпростіші елементи фізичного доступу (електронні та цифрові замки, наприклад) дають змогу суттєво мінімізувати потік небажаних гостей, а в разі застосування передових технологій взагалі унеможливлять присутність у вашому робочому просторі персонажів, які зайшли «щось записати чи уточнити».

Також треба проводити попередній контроль та ідентифікувати відвідувачів на рецепції та в подальшому безпосередньо на вході до офісного приміщення. Варто проводити відеофіксацію простору навколо офісу.

Потрібно забезпечити перебування в офісі фахівця з безпеки. Така особа, маючи профільні знання та досвід, зможе врахувати всі відповідні нюанси роботи офісу.

Рекомендую в компанії запровадити елементи певної культури щодо елементарних засобів безпеки та проводити постійний інструктаж співробітників. Актуальною буде і документально оформлена та підписана всіма співробітниками компанії інструкція з доступу до офісного приміщення, а також чіткий алгоритм дій у разі виявлення порушень чи під час обшуку. Тим паче, якщо в компанії штат постійно розширюється. Коли компанія співпрацює з фізичною особою — підприємцем (ФОП), особливо в ІТ­індустрії, безпека та перевірка таких контрагентів мають бути на високому рівні.

Варто сказати, що весь ринок ІТ чекає на прийняття проєкту Закону «Про внесення змін до Кримінального процесуального кодексу України та Кримінального кодексу України (щодо вдосконалення порядку застосування окремих заходів забезпечення кримінального провадження)» від 15 січня 2020 року № 2740, за яким буде деталізовано кримінальну відповідальність слідчого, прокурора за порушення порядку тимчасового доступу до речей і документів, тимчасового вилучення або арешту майна. Звісно, це посилить захист ІТ­бізнесу від незаконних обшуків. А статистика не дуже втішна. 95 % ІТ­компаній, зареєстрованих в Україні, хоча б один раз мали досвід обшуку у своїх офісах або філіях. Багато хто з колег­юристів вважає, що обшук — це так званий фактор успіху компанії. Що вона швидше зростає, то прискіпливіше на неї дивляться слідчі органи.

Люди як фактор ризику

Коли власник бізнесу починає запускати свій ІТ­стартап, найчастіше в свою команду він набирає людей, яких добре знає. Часто це колишні одногрупники, друзі, друзі друзів тощо. Однак із часом виникає необхідність залучати зовнішніх фахівців. І якщо компанія росте, то зростає і відповідальність за подальші дії власників, акціонерів.

У цьому питанні важливо затвердити певну концепцію, відповідно до якої розробити рівні доступу до тієї чи іншої інформації. Це означає, до прикладу, що не обов’язково всім в офісі знати, що у вас вчора була угода про купівлю сервера, інформаційної хмари на суму 1 000 000 дол. США. Принаймні таку інформацію повинні знати тільки ті люди, які відповідно до посадової інструкції та договору NDA (Non­disclosure agreement, договір про конфіденційність) мають на це повне право.

Не завадить подумати і про використання хмарних технологій, таких як laaS, SaaS, PaaS, у своїй роботі.

Не менш важливо зробити й зонування для працівників за їх професіями в офісі.

Рекомендую також подумати про підписання корпоративного договору між власниками часток компанії. Цей елемент безпеки ІТ­компанії дасть змогу узгодити дії учасників щодо управління компанією, особливо якщо ІТ­компанія швидко зростає. Корпоративний договір потрібен тоді, коли вам є що втрачати.

ІТ­безпека ІТ­компанії

Звучить банально, але правдиво.

Дуже часто буває, що в ІТ­компаніях усі технічні спеціалісти залучені до різних проєктів. Це нормальна та стандартна ситуація для ринку. Однак саме в таких спеціалістів немає часу на аналіз власних внутрішніх мереж чи програмного забезпечення. А це може призвести до витоку критичних і конфіденційних внутрішніх даних.

Отже, висновок такий: у штаті великої ІТ­компанії має бути СІО (Chief Information Officer), тобто директор з інформатизації, або ж Head of IT. Вони захищають базу даних компанії, працюють над кібербезпекою та швидко зможуть вирішити різного роду проблеми.

Такі спеціалісти виявляють будь­які потенційні вразливості, що можуть виникати внаслідок неправильної конфігурації системи, відомих і невідомих дефектів апаратних засобів та програмного забезпечення, оперативне відставання в процедурних чи технічних контрзаходах.

Юристи й ІТ­компанія

Певна річ, я як юрист in­house наголошую на тому, що «юридичну частину» компанії має бути детально розроблено і захищено. Як свідчить практика, вирішувати проблеми в компанії важче, ніж їм запобігти.

Це дуже велика помилка. Юрист завжди зможе передбачити ті чи інші ризики, і без кваліфікованої людини в штаті до вас «у гості» можуть прийти дуже і дуже швидко. Юрист в ІТ­компанії повинен чітко розуміти всі її «сірі зони», з ним треба консультуватися щодо різних питань. Цій людині треба довіряти, оскільки недовіра та приховування інформації можуть призвести до неочікуваних процесуальних дій. Обирайте юристом того, кому передусім можете довіряти.

Якщо ІТ­компанія продає софт на міжнародний ринок, важливим є і узгодження її стандартів із нормами GDPR (General Data Protection Regulation, Загальний регламент ЕС про захист даних) або HIPAA (Health Insurance Portability and Accountability Act, Закон про мобільність та підзвітність медичного страхування), порушення яких може спричинити накладення величезних штрафів. Планування, страхування ризиків та підготовка визначають реальну можливість захисту ІТ­бізнесу від юридичних ризиків.

Економічна безпека компанії

Економічна безпека ІТ­компанії містить багато чинників, таких як:

— забезпечення високої фінансової ефективності роботи;

— підтримка фінансової стійкості та незалежності підприємства;

— досягнення високої конкуренто­здатності;

— забезпечення високої ліквідності активів компанії;

— забезпечення захисту інформаційного поля і комерційної таємниці;

— ефективна організація безпеки капіталу та майна підприємства, а також його комерційних інтересів.

Змістовний та ефективний аналіз фінансових потоків компанії є важливим завданням, оскільки, не контролюючи це питання, згодом можна отримати проблеми у вигляді податкових повідомлень­рішень, низки кримінальних справ і головного болю. Окремо варто звернути увагу на взаємодію з ФОПами та підрядниками, а також на міжнародні угоди, оподаткування, роялті.

Висновок

ІТ­бізнес є дуже об’ємним і містить величезну кількість процесів та правил. Якщо ці правила не виконувати, можуть настати вкрай неприємні наслідки. Тож не варто шкодувати коштів на захист компанії та її основних компонентів.

Стратегічний підхід до керування компанією — це інвестиція в спокій та мінімізацію проблем у майбутньому.

КОМЕНТАР

Борис КАРАСЬ, адвокат АФ «Грамацький і Партнери», к.ю.н.

Публічність ІТ-компанії

Однією з найбільших загроз ІТ-бізнесу є неправомірна діяльність органів державної влади. Правильне структурування і грамотні договірні конструкції можуть мінімізувати ризики, але не дадуть змоги оперативно подолати їх наслідки.

Що прозоріша, відкритіша і впізнаваніша ІТ-компанія, то ефективніше її можна захистити. Адвокатурі відомі приклади використання Facebook для надання розголосу фактам порушення норм законодавства, що, своєю чергою, створювало додатковий тиск на суб’єкта владних повноважень та ускладнювало можливість подальшого вчинення ним неправомірних дій.

Дієвим є інститут бізнес-омбудсмена. У нашій практиці був випадок, коли представник державних органів, який вперто ігнорував ухвалу суду про повернення тимчасово вилученого майна, після подання нами скарги до Офісу бізнес-омбудсмена оперативно віддав комп’ютерну техніку.

ІТ-компаніям, які займаються розробкою програмного забезпечення у сфері азартних ігор, варто звернути увагу на громадські та консультаційно-експертні ради, які, хоч і не мають повноважень впливати на органи державної влади, але можуть ініціювати громадські обговорення щодо неефективності їхньої діяльності.

В умовах диджиталізації потрібен симбіоз публічності ІТ-компанії та роботи адвоката.