Зампред правления Сбербанка Станислав Кузнецов – о том, как соблюсти баланс между интересами производителей и потребителей цифровых продуктов.
Чтобы не навредить своему здоровью, при покупке продуктов в магазине мы проверяем срок их годности и состав. А как выбрать безопасный цифровой продукт? Например, мобильное приложение, которое не откроет всему миру ваши конфиденциальные данные. В любом случае полезно будет внимательно прочитать описание, лицензионное соглашение и отзывы в интернете. Однако стопроцентной гарантии безопасности это всё равно не даст: так или иначе придется полагаться на репутацию разработчика и его добрую волю. О принципах, которыми руководствуется добросовестный девелопер, и пойдет речь ниже.
Не так давно на слуху было мобильное приложение, которое позволяет узнать, как ваши друзья и знакомые назвали вас в своей книге контактов, а взамен требует доступ к данным вашей телефонной книги. Приложение скачивает телефонную книгу на свои серверы и делает ее доступной для всех пользователей сервиса. При этом многие пользователи забывают, что записывают в свои телефонные книги номера карт, PIN-коды, пароли и другую критическую информацию, которая также становится доступной всем.
Почему возникают подобные ситуации? У любого продукта или сервиса есть владелец и потребитель. И приоритеты, в том числе требования к безопасности, у них разные. Главное для владельца – привлечь как можно больше клиентов и получить прибыль, при этом оптимизировав затраты. Разумеется, он помнит и о безопасности, но означает она для него прежде всего защиту своей системы от взлома. Поэтому безопасность продукта и, соответственно, пользователя для него нередко остается на втором плане, ведь на нее нужно тратить свои кровные.
Если же спросить у клиента, важна ли для него безопасность продукта, конечно, он ответит утвердительно. Однако на деле он не очень-то склонен размышлять на эту тему и часто идет на поводу у своего любопытства или желания развлечься.
В последнее время всё чаще можно встретить рассуждения на тему безопасного цифрового продукта. Специалисты задают себе и друг другу вопросы, как найти баланс между интересами разработчика и потребителя и может ли цифровой продукт быть одновременно интересным, удобным и безопасным. При этом, как правило, спорят о том, как сделать безопасным уже готовый продукт. Происходит это потому, что зачастую владелец задумывается об этом только тогда, когда продукт уже создан. На мой взгляд, с тем же успехом можно обсуждать, как яйцо сделать круглым. Всё дело в том, что безопасность продукта – это не отдельное его свойство: она должна быть встроена изначально.
Этот подход работает не только в цифровой сфере, но и в любой другой. Например, можно сначала построить важный объект, а потом пытаться его защитить – окружить забором, поставить шлагбаумы. А можно задаться целью создать безопасный объект еще на этапе проектирования.
Широко распространено мнение, что удобство и безопасность исключают друг друга. Однако, если создавать продукты со встроенной безопасностью, легко убедиться, что это не так. Продуктовые менеджеры должны советоваться с экспертами по кибербезопасности на самых ранних стадиях разработки продукта. Необходимо вывести это взаимодействие на уровень культуры ведения бизнеса. Тогда станет ясно, что потребность в живой и гибкой оценке рисков легко встраивается в любой производственный процесс.
Сегодня безопасность цифрового продукта становится конкурентным преимуществом его владельца, поскольку продукты объединяются в рамках агрегаторов – электронных торговых площадок, на которых присутствует множество владельцев. Убежден, что в недалекой перспективе на рынке останутся только те разработчики, которые инвестируют в безопасность цифрового продукта на начальной его стадии и полностью учитывают все риски. И выиграют от этого, конечно, пользователи.
Автор – заместитель председателя правления Сбербанка, куратор направления безопасности.
Мнение автора может не совпадать с позицией редакции.
Станислав Кузнецов
Известия, 08:00, 28.05.2018
