Как владельцам сайтов не потерять всё: развитие сервиса безопасности «Киберюрист»
И как проверить свой сайт на безопасность, чтобы этого не произошло. Мнением делится специалист по кибербезопасности компании Creative Motion Владислав Чернов.
Актуальность идеи
Несмотря на масштабное проникновение диджитализации во все сферы жизни, многие по-прежнему игнорируют безопасность в cети. Рассматривают её исключительно как инструмент предотвращения утечек данных и защиту от вирусов. Однако часто возникают неожиданные «сюрпризы», последствия которых приведут к краху компании. И речь далеко не о корпорациях. В один миг можно потерять всё, что заработали за долго и дорого, и это не преувеличение.
Типичная ситуация — вы разработали сайт, прошли все круги ада, и в итоге он генерит доход. Вроде бы все довольны. Но вдруг приходит судебная претензия на несколько миллионов. На вас как на владельца сайта, лично.
Что пошло не так и откуда ждать угрозы. Вариантов несколько:
- Ваш интернет-магазин, собирая личные данные пользователей пренебрёг законном о персональных данных (152-ФЗ). И это независимо от того была ли уже утечка или нет, де-юре, вы злостный нарушитель и если повезёт, то светит штраф в сотни тысяч. В случае тяжёлого исхода — уголовное дело.
- И банальное нарушение авторских прав на контент или части кода. Также все делают, зачем волноваться? Волноваться может и не стоит, если вы начинающий блогер или стартапер и ваш сайт только приготовился к прыжку вверх. Но если с вас уже есть что взять, то берегитесь вы в зоне риска.
- Совсем нехорошо если вы всё, то же самое проделали в Европе или с европейскими гражданами. И тогда, вы нарушитель GDPR (General Data Protection Regulation), чем это плохо? Суть такая же, но вот штрафы побольше - до 20 млн Евро или блокировка ресурса до устранения проблем.
Существуют специальные парсеры, которые обходят программы или контент, а юристы выставляют вам претензии по 10 тысяч рублей. Разумеется, за каждый случай использования, а таких случаев может быть сотни на одном сайте. Итоговый счёт идёт на миллионы.
Команда
Предположение о полезности продукта строили на личном опыте. Комания начинала с разработки сайтов под заказ. Нужды Web студий знали не понаслышке. С одной стороны — экономия бюджета и торговля с заказчика, с другой — ответственность за проблемы всё так же на разработчике.
Затем 4 года проводим разработки плагинов и SaaS сервиса для Word Press, в сфере безопасности сайтов и защиты от проникновений. Опыт выхода на рынок Российских Legal Tech решений был первым. Для программистов разница невелика, но в продвижении - новые горизонты.
Привлекли в работу как двоих штатных юристов, так и отраслевых экспертов со стороны. По GDPR силььных специалистов обнаружили в Белорусии. Близость к Европе дала им фору в несколько лет, большинство наших обучались тонкостям и нюансам регламента именно там.
От идеи разработать весь функционал самостоятельно решили отказаться. Частично подключились через API к уже готовым платным сервисам, в частности к проверке совпадений текста. Получили экономию времени. Весь процесс уложился в пять месяцев, вместо заплнироавнных трёх.
Разработка
При разработке возникли сложности с подготовкой документации. Используя готовые западные шаблоны нарушаем авторские права. Подготовка своих требует специализации юриста со знанием языка на уровне носителя. Таких непросто найти в свободном доступе и уложиться в бюджет.
На повестку дня встали вопросы уведомления Роскомназдора о деятельности в сфере защиты персональных данных. Способы продвижения, объяснение полезности продукта, выбора целевой аудитории.По сравнению с созданием плагинов, техническая сторона вопроса сложностей не составила.
Продукт
Итогом работы стала платформа Киберюрист. На сайте it-consult.pro теперь можно проверить сайт на соответствие законодательству по персональным данным(152-ФЗ), GDPR, авторским правам и уязвимостью, перед различными угрозами. Достаточно вбить название своего сайта в поисковую строку.
Если. чт-то не так то получите ссылку на место, где есть нарушение, ссылку на статью закона и ответственность по ней. В случае с авторскими правами - мето копирования текста, первоначальный источник и процент совпадения.
В зависимости от выявленных проблем можно получить и решение. Расширенный отчёт покажет, как устранить недостатки. Программа совмещает компетенции айтишников и юристов. Постоянные обновления позволят всегда поддерживать свой ресурс в соответствии законодательству.
Удалось ли добиться автоматизации в 100% случаях? Нет. В данной сфере превалирует правовое содержание и гарантии соответствия закону. В стандартных случаях(а их 90%) это возможно. В остальных без привлечения человека не обойтись.
Кому пригодится
Владельцам сайтов. Обычно пользуются функцией ежемесячного мониторинга. В случае изменений или забывчивости сотрудников, программа позволит спать спокойно.
Юристам компании. Лучше нас с вами разбираются в законодательстве, но испытывают трудности с установкой на сайт правильных Cookie, чекбоксов и форм обратной связи, экономят время при срочной работе.
Web-студиям. Не у всех есть штатный юрист для подготовки полного пакета документов компании заказчика. Но соответствовать закону выходной проект всё-таки должен. Программа сама создаёт пакет из двадцати документов. Учитывает отрасль, специфику деятельности и еще десяток факторов.
Монетизация
Проект показывает динамику роста продаж. На окупаемость операционных расходов вышли на четвёртый месяц после выпуска. Отчет об угрозах, клиент получает бесплатно, но пакет документов оплачивается в зависимости от вида нарушения, отрали компании, численностии сотрудников и т.д.
В нестандартных случаях подключаются юристы компании и решают проблемы по Zoom. Возврат вложенных инвестиций планируется в период 10 — 12 месяцев. По предыдущему опыту знаем, что отклонение показателей в 20% можно считать приемлемым.
С какими сложностями столкнулись:
- Непонимание терминологии. Юристы и айтишники не только говорят на разных языках, стиль мышления совершенно иной. В этом увидели плюс для себя. Готовых команд по разработке подобных продуктов не так много.
- Непринятие идеи. Больше всего времени тратилось на то, чтобы продукт соответствовал законодательным нормам. В среде правоведов с пренебрежением относились к стандартизированному пакету документов. Признавать преимущества машины над человеком не хочет никто. Если онлайн бухгалтерию уже воспринимают как само собой разумеющиеся, то онлайн юристов пока воспринимают в штыки.
- В заданные сроки не укладываются всегда. Никакой Scrum, Agile и предыдущий опыт ничего не гарантируют. Всегда в новых проектах приходится вступать в зону неизвестности и решать задачи вне зоны компетенции членов команды. Из-за этого баги, согласования и дополнительное тестирование.
- Необходимость привлечения экспертов. Что-то новое может получиться только там, где раньше не искали или считали невыполнимым. Интересные продукты возможны на стыке технологий или сфер деятельности. Привлекая лучших, экономим и время, и выходим на новые горизонты.
Не для всех очевидно. что сайт - не вещь, который сделали и навсегда забросили в дальний угол. За ним так же приходится следить, дорабатывать, изменять, в соответствии с законом. Если не держать руку на пульсе по всем аспектам, то можно не только не заработать, но и потерять всё нажитое на разбирательствах и штрафах.
Регистрировать сайт на дропа в международной доменной зоне и хостинг не в РФ - вот и все дела.
Можно поподробнее?)
Проверил один из сайтов Яндекса и кажется у них проблема
чтото похожее видел, но по цене кажется поприятнее, поробую. Спасибо
4900 за пакет документов... демпингуете.
Эти ваши 152 фз не всрались никому, по прямым жалобам на сайты, где нет галочки о сборе данных, но при это собирается телефон и фио - ркн шлёт тебя нахер в трёх предложениях с размазанными формулировками.
Ведется работа над повышением точности проверки сайтов на соответсвие 152 ФЗ и GDPR.