Бизнес, связанный с использованием Интернета, отличается повышенным риском — об этом еще раз напомнили участники одной из дискуссий на IV Российском форуме по управлению Интернетом RIGF 2013. Причина риска — не в наличии целенаправленно атакующих злоумышленников, а в отсутствии единого правового пространства, позволяющего объединенными усилиями противостоять их действиям.
Тема эта сегодня далеко не праздная. Ярким примером является правовое обоснование деятельности поставщиков облачных услуг. Привлекательность распределенных вычислений в глобальных масштабах для средних и малых предприятий не вызывает сомненений — разнообразные схемы предоставления подобных услуг (IaaS, PaaS, SaaS) позволяют им существенно сэкономить на лицензиях и ИТ-инфраструктуре. Распространенным примером является облачная услуга бухгалтерии. Крупные компании тоже с интересом посматривают в эту сторону — возможность уменьшить издержки, безусловно, привлекает их. Один из источников экономии при обращении к облачным вычислениям — их трансграничный характер: свободно пересекая границы государств, цифровой контент размещается и обрабатывается там, где это дешевле всего. Но именно это обстоятельство и порождает основные проблемы.
На сегодняшний день, отметил на конференции Бертран де ля Шапель, директор проекта «Интернет и юрисдикция» в Международной дипломатической академии в Париже, член Совета директоров ICANN, пространство Интернета управляется группой национальных законов, которые зачастую противоречат друг другу. Правовые нормы, основанные на понятии «суверенность», введенном в юридический обиход в 1648 году, не работают в трансграничном пространстве.
В Интернете реализация суверенитета каждого неминуемо влияет на суверенитет других. В частности, нет уверенности, что формулировка местного закона о персональных данных (наверное, самого популярного в ИТ-среде законодательного акта) гармонизирована с аналогичными законами других стран. Более того, не исключено, что серверы хозяев облаков могут оказаться на территории государств, где отсутствует само понятие «персональные данные», при этом стоимость хранения и обработки данных очень низка, но и риски велики.
Нельзя сказать, что государственные структуры совсем не интересуются правовым обоснованием распределенных вычислений. Существует, например, распоряжение Правительства РФ от 20 октября 2010 года № 1815-р «О государственной программе РФ «Информационное общество (2011–2020 годы)»».
В подпрограмме «Информационное государство» предусмотрено создание национальной платформы облачных вычислений. Имеется концепция создания единой информационной системы в сфере здравоохранения и программах модернизации здравоохранения на 2011–2012 годы, утвержденная приказом Минздравсоцразвития от 28 апреля 2011 года № 364, где облачная модель принята в качестве базовой. Однако пока нигде не разъясняется, каким образом подобные документы должны быть скоординированы с законодательством других стран, на территории которых могут размещаться физические ресурсы, осуществляющие фактическое хранение и обработку данных.
Общая растерянность, по крайней мере отечественных юристов, проявилась в выступлении Мадины Касеновой, заведующей кафедрой международного частного права Дипломатической академии МИД России. С одной стороны, очевидна необходимость учитывать интересы государств — участников Всемирной сети. С другой стороны, в качестве высшей цели многими постулируется сохранение единства Сети, предотвращение ее распада на суверенные национальные домены. Как добиться одновременного достижения этих противоречивых целей, пока непонятно. Вся надежда, по словам Касеновой, на саморегулирование.
Судя по всему, высокий риск носит системный характер — он присущ Интернету в целом, и в ближайшее время нельзя рассчитывать не только на его устранение, но и на какое-либо снижение. Известно много случаев, когда интернет-магазины предлагали товары, запрещенные к реализации в странах проживания некоторых клиентов. Реакция местных органов власти при этом непредсказуема.
Бизнесу, связанному с использованием Интернета, следует взять на вооружение один из основных принципов работы на рынке капитала: повысить средний доход можно только приняв на себя больший риск. Этот шаг должен быть вполне осознан, и организации необходимо быть готовой к возможным потерям. Ей следует предпринять меры, которые защитят ее и ее клиентов в случае возникновения негативной ситуации. Роль ИТ-руководителя в этих процессах может быть очень велика. Конечно, здесь в первую очередь требуется грамотный юрист, но именно ИТ-руководитель может выступить в роли компетентного эксперта, который знает, где именно сосредоточены важные риски, связанные с той или иной ИТ-поддержкой бизнеса.