Как GDPR стал дырой в бюджете российских ИТ-компаний
В погоне за спокойствием европейских пользователей, чьи данные теперь охраняет GDPR, российский ИТ-сектор может пострадать и с финансовой точки зрения, и с репутационной. Все компании, имеющие отношение к данным жителей Евросоюза, обязаны соблюдать новый регламент, даже если речь идет об интернет-магазине, куда случайно зашел пользователь из ЕС. Несоблюдение закона влечет большие штрафы и блокировку. ИТ-менеджер ALP ITSM Роман Безрученок специально для «Хайтека» объяснил, как на российскую ИТ-индустрию повлияет GDPR и что будет, если проигнорировать европейский закон.
Большие последствия большого закона
С 25 мая 2018 года действует новый закон о защите персональных данных в Евросоюзе — General Data Protection Regulation, или GDPR. К России этот закон имеет самое прямое отношение, так как он экстерриториален. Иными словами, его требованиям должны следовать не только предприятия из всех 28 стран ЕС, но и те организации, которые участвуют в обработке персональных данных, полученных из Евросоюза, или имеющие доступ к ним. Под этот критерий попадают многие субъекты российского бизнеса. В первую очередь, это предприятия, у которых есть филиалы в Евросоюзе. Еще это работающие в нашей стране «дочки» международных организаций. И, конечно, сервисные компании, предоставляющие ИТ-услуги европейским потребителям.
Несоблюдение GDPR влечет за собой серьезные последствия. Штраф, наложенный на компанию за нарушение, может доходить до 20 млн евро. Надзорный орган может поступить иначе — отобрать до 4% годового оборота международной корпорации. Казалось бы, такие цифры должны повлечь волну изменений как в глобальных компаниях, так и у их «дочек». И, конечно, у поставщиков ИТ-услуг, работающих с международными заказчиками. Но пока везде — тишина. Почему? И что за ней скрывается?
Молчание ягнят
Во-первых, большинство представительств западных компаний, работающих в России, уже соблюдает российский № 152-ФЗ «О персональных данных». И считает, что этого достаточно. Но это не так. В отличие от российского № 152-ФЗ, GDPR считает персональными любые данные, прямо или косвенно позволяющие установить личность. То есть не только имя, фамилию, телефонный номер или email, но и данные систем интернет-статистики или рекламы. При этом, как уже было сказано, GDPR экстерриториален. Он распространяется на любую компанию, которая предлагает товары или услуги (не обязательно платные) находящимся на территории ЕС пользователям. Или которая осуществляет мониторинг их действий. Результат кажется нелепым: под действие GDPR подпадают, например, любые организации, у которых есть сайт, посещаемый пользователями из ЕС.
Технологии
Другое немаловажное отличие GDPR от нашего № 152-ФЗ — это обязанность извещать регулятора и граждан о любых проблемах с персональными данными. Например, об их утечке. То есть эти законы существенно разные. И именно поэтому международные корпорации с представительствами в России вынуждены соблюдать их оба.
Во-вторых, 80% российских представительств нефтегазовых, фармацевтических, медицинских и ИТ-гигантов оставили соблюдение GDPR на совести своих штаб-квартир. Они считают, что новый закон никак не влияет на ведение реального бизнеса. И на то, что этот бизнес поддерживает — на ИТ. Но это тоже заблуждение. И дорогостоящее.
Последствия, ломающие ИТ
Если юридическим отделам и ИБ-подразделениям международных компаний достаточно переписать организационные процессы и изменить процедуру защиты персональных данных, то в том, что касается ИТ-процессов и особенно ИТ-проектов, которые уже идут или только планируются в российских представительствах, одним изменением организационных процессов не обойтись. Похоже, «бранчам» в России придется менять и внутреннюю логику, и сроки, и общий подход к планированию ИТ-проектов. Это легко понять на примере.
Обязательное внедрение шифрования данных в рамках GDPR уже потребовало массовой замены многих сотен или даже тысяч клиентских устройств (ноутбуков, планшетов, смартфонов) на новые. Также произошли замены CRM-систем (системы управления взаимоотношения с клиентами — «Хайтек») на более защищенные и отвечающие новым требованиям международного законодательства. А такая замена, как минимум, подразумевает внимательный выбор, тестирование, заказ, покупку и крайне быстрое и качественное внедрение нового «железа» и ПО (на ошибки просто нет времени, ведь это чревато риском снижения интенсивности или даже остановки бизнеса). Причем, в данном случае «очень быстрое». Глобальные компании выделяют регионам всего две-четыре недели на внедрение новых систем.
Такая срочность грозит пробить существенную «дыру» в ИТ-бюджете даже крупного предприятия. Что уж говорить о небольших российских представительствах, у которых он основательно режется раз в полгода. При этом сами представительства требуют привычно высокого соотношения скорости и качества внедрения. И, конечно, того, чтобы стоимость срочного ИТ-проекта оставалась обычной, несмотря на двойные ресурсные затраты специалистов.
В жестких «клещах» оказываются все — и ИТ-директора представительств, которым надо вписаться в глобальные требования во что бы то ни стало, и исполнители таких авральных проектов. Хорошо, если у последних есть давно наработанный пул компетенций; отработанные технологии «прокатывания» таких проектов. Но что, если нет? Тогда ИТ-проект, который даже в этом непростом случае можно было бы сделать правильно и спокойно (ниже будет понятно, как), неизбежно переходит в категорию «пожара». И самое слабое место в этом переустройстве — ИТ-кадры и компетенции.
Новый закон как поле для ИТ-проблем и убытков
Возьмем ИТ-проект в представительстве европейской фармацевтической компании. За две-четыре недели 250 представителей «полевых сил» из разных городов России должны не только благополучно перейти на более безопасную CRM или CLM (системы маркетинга с замкнутым циклом — «Хайтек»), но и «обжиться» в новой системе. Все чувствительные данные тоже необходимо перенести без потерь. То есть вместо двух специалистов, достаточных при нормальных сроках проекта, к клиенту едут уже четыре, потому что это практически форс-мажор. Ведь какими бы сжатыми ни были сроки, переносить чувствительные данные надо крайне тщательно и несколько раз проверять результат.
Мнения
Допустим, сервисная компания может предоставить кадры почти мгновенно, они обладают нужным уровнем квалификации. Но для представительств, полагающихся на свой собственный штат ИТ-специалистов или работающих с менее подготовленными аутсорсинговыми компаниями, срочное вливание человеческих ресурсов не будет таким безболезненным — в 70% случаев нанятые кадры придется менять два-три раза из-за их недостаточной квалификации. А это лишние нервы и лишние расходы. И, конечно, переплата за ИТ-персонал — минимум в два раза.
Неприятно еще и то, что внешние «пожарные» специалисты не умеют работать с уже накопленным представительством архивом объективных данных о «здоровье» ИС и ключевых ИТ-сервисов, в число которых входят и CRM, и CLM. То есть они вряд ли смогут оценить «здоровье» этих или других систем и без проблем «пересадить» офисных сотрудников на новые. В такой ситуации проблемы обязательно будут и немалые сбои, простои, откаты к прежним состояниям систем после неудачных обновлений ПО, потери информации. Что не может не повлиять на бизнес. Если представительство работает с сервисной компанией постоянно, а инженеры, в свою очередь, работают с накопленным архивом объективных данных об ИС и ИТ-сервисах, этих проблем и, главное, убытков удается избежать.
Возникает еще один вопрос: насколько большими могут быть убытки, связанные с принятием нового закона? Давайте посчитаем. Представительство европейской энергетической компании начало внедрять технологию шифрования данных — это потребовало от него закупки и замены несколько сотен ноутбуков сразу. И списывания предыдущих, которые шифрование не поддерживают. Незапланированные траты в $7–10 млн при тех же урезанных ИТ-бюджетах. При этом поставка ноутбуков (или других клиентских устройств) тоже должна пройти как можно скорее. Ведь корпорациям не нужен штраф в те самые 4% годового оборота. И они торопят представительства.
Кейсы
В такой ситуации из сферы внимания глобальных компаний ускользает множество важных для представительства вопросов. Например, связанных с обучением пользователей работе в новых системах и на новых устройствах. А их тоже надо решать в процессе перехода на новое оборудование и ПО.
Три шага по спасению ИТ
Во-первых, российское представительство должно своевременно задать штаб-квартире в Европе ряд определенных вопросов, чтобы узнать, какие именно изменения планируются в связи с принятием нового закона. В идеале — получить список этих изменений и понять, какие из них затронут российскую «дочку», а какие — нет.
Во-вторых, представительство должно понять, успевает ли оно вписаться в существующий, но пока еще не согласованный окончательно календарный план переходов на рекомендованное глобальной компанией ПО (и «железо»). И согласовать удобные для себя сроки внедрения новой CRM-системы или, допустим, смены MDM-решений (системы управления основными данными — «Хайтек»). Это сложно, но тоже вполне реально.
В-третьих, после обсуждения со штаб-квартирой влияния нового европейского закона на бизнес представительству станет понятно, как правильно спланировать свой бюджет на этот переход (и даже включить туда обучение пользователей), как развести эти работы с важными отраслевыми активностями (в фармацевтике это, например, крупные цикловые конференции, которые невозможно сдвинуть и которые влияют на все бизнес-процессы компании).
И последнее: поскольку ответы штаб-квартир будут касаться непосредственно ИТ, в них будет очень много технической информации. Поэтому представительствам лучше подключать к решению вопросов, связанных с соблюдением GDPR, компетентных ИТ-менеджеров. Штатных или внешних, работающих в сервисных компаниях. И при этом хорошо понимающих как нужды конкретной «дочки» (вместе с их бюджетами), так и требования глобальных ИТ-служб.
Если не предпринять этих шагов, тогда штаб-квартира «спустит» «дочке» план миграции на новое ПО, удобный только для самой штаб-квартиры. И хоть как-то поменять его будет невозможно. У российской «дочки» тогда уже никто не спросит и о том, имеются ли альтернативные и лучше продуманные планы миграции. Поэтому здесь важно, чтобы инициатива исходила от самого представительства, если оно считает, что его план более комфортен для пользователей и выгоден для компании (не просто не влечет штрафов, а делает сам переход почти незаметным для сотрудников — благодаря современным ИТ-инструментам и методикам). Как правило, с такой инициативой может выйти квалифицированный и компетентный ИТ-менеджер, имеющий немалый опыт работы с международными клиентами разного масштаба. Понимающий, как превратить «пожар» в план. И при этом — точно соблюсти все сроки и требования.
Самым внимательным образом к новому закону стоит отнестись широкому кругу российских организаций. Если у компании есть интернет-магазин, оператор услуг или она использует собственную систему веб-аналитики (email-маркетинга), ей придется либо закрыть доступ для пользователей из ЕС, либо привести процесс работы с персональными данными в соответствие с новой нормой. Иначе регулирующий орган может применить «ИТ-санкции» вплоть до блокировки интернет-магазина, сайта или услуг для пользователей ЕС.
Источник: Хайтек.FMДата выхода в СМИ: 27 сентября 2017