Благодаря усилиям компаний — разработчиков программных продуктов (ПП) правовой режим использования компьютерных программ в нашей стране заметно окреп. Разработчики и поставщики ПП явно побеждают в борьбе с программным пиратством: только за два последних года число судебных приговоров, связанных с использованием нелегального ПО в России, выросло в 17 раз.
Законопослушными российских пользователей ПО делают не только судебные преследования. Причина еще и в том, что сегодня с работой компьютеров и управляющих ими программ тесно связаны многие виды деятельности каждого из нас — от деловой до развлекательной. И крупные корпорации, и индивидуальные граждане, и бизнесмены, и компьютерные геймеры согласны выкладывать свои “кровные” за лицензионные программы, ожидая при этом от них надежной и безопасной работы. Минула пора отношения к компьютеру, как к занятной головоломке, над которой можно было долгими часам корпеть, пытаясь разобраться, что и как там внутри устроено. Сегодня пользователям нужно, чтобы программы работали надежно.
Однако в лицензионных условиях поставки ПП мало что изменилось с начала бума популярности персональных компьютеров, т. е. с середины 80-х годов прошлого века. ПО по-прежнему поставляется на условиях “как есть”, и, как считает генеральный директор компании “ДиалогНаука” Виктор Сердюк, “маловероятно, чтобы что-то могло изменить этот устоявшийся основополагающий пункт лицензионных соглашений по использованию программных продуктов”. Согласие с этим заключением единодушно выражают все опрошенные нами эксперты, представляющие как компании — разработчики ПО, так и компании-пользователи. При этом важно отметить, что все наши эксперты являются специалистами в области защиты информации, а это значит, что к вопросам наличия уязвимостей в ПП они относятся с особенным пристрастием.
Хотелось бы разобраться, что стоит за столь единодушной оценкой сложившейся ситуации и насколько она устраивает обе стороны — разработчиков и пользователей. Если пользователи активно переходят на лицензионное ПО при уже имеющихся условиях, то что же заставляет крупнейших поставщиков программ вкладываться в долговременные и дорогостоящие проекты, направленные на то, чтобы минимизировать количество ошибок в ПО, — такие, например, как Security Development Lifecycle у Microsoft или Cleanroom Software Engineering у IBM?
Прежде всего, этому способствует существующее законодательство. Как напоминает ведущий советник аппарата Комитета по безопасности Госдумы РФ Елена Волчинская, “отношения по поводу качества поставляемого продукта регулируются федеральным законом “О защите прав потребителей” и уже сейчас предусматривают ответственность поставщика товаров и услуг за нарушение прав потребителей”. Другое дело, активно ли мы пользуемся своими законными правами. Похоже, что не очень. Следует признать, что поводов проявлять активность в этом направлении нам не дает качество продукции индустрии ПО — оно в основном достаточно высокое, что практически исключает претензии со стороны потребителей. Это подтверждает в том числе и опыт Microsoft, в международной юридической практике которой, как утверждают представители этой корпорации, еще не было прецедентов с исками по поводу качества ПО компании.
Тем не менее, несмотря на то что доказательство ущерба из-за неправильной работы ПО является, по выражению заместителя начальника Главного управления безопасности и защиты информации Банка России Андрея Курило, фантастически сложной задачей, у других разработчиков прецеденты все же имеются. Так, в 2008 г. американская компания Waste Management предъявила судебный иск на 100 млн. долл. одному из лидеров индустрии ПО немецкой компании SAP по поводу ненадлежащего качества одного из ее продуктов. Как видим, стремясь действовать с упреждением и развивая системы создания надежного ПО, разработчики всё же иногда попадают под судебные удары.
У крупных заказчиков ПО помимо закона “О защите прав потребителей” есть и другие правовые механизмы влияния на разработчиков. Прежде всего это государственные и отраслевые системы сертификации. Требования государственной сертификации преследуют цели обеспечения национальной безопасности, а отраслевые сертификаты связаны со специфическими особенностями области применения, с такими, например, как в атомной энергетике.
Отталкиваясь от практики своей компании, генеральный директор “ЭЛВИС-ПЛЮС” Александр Соколов напоминает, что в тех нечастых случаях, когда ПО ориентировано на конкретного заказчика и на конкретные задачи, разработчик и заказчик в рамках заключаемых договоров или контрактов могут также усиливать гарантийные обязательства на поставляемое ПО, подписывая соответствующие соглашения об уровне услуг. Но и в этом случае гарантия не в состоянии покрыть убытки от всех возможных негативных последствий применения ПО, ведь ущерб может значительно превосходить стоимость самих ПП. В любом случае заказчик всегда выбирает компромисс между стоимостью ПО и требованиями к его качеству.
Александр Соколов полагает, что разделить с разработчиком гарантийную ответственность за качество ПО могли бы страховщики. “Такие тенденции прослеживаются, однако говорить о массовом характере участия страховщиков в этом процессе нельзя. Нет достаточных условий для того, чтобы страховой бизнес смог взять на себя ответственность за вероятные последствия и ущерб, потому что так или иначе это приведет к существенному удорожанию продукта вне зависимости от того, кто будет платить страхователю — разработчик, включая страховой сбор в стоимость продукта, или заказчик, подписывая отдельный договор на страхование” — сказал он.
Можно сказать, что положение с ответственностью разработчиков перед заказчиками за качество ПП характеризуется сегодня как стабильное.
Повышать устойчивость своей продукции ко всякого рода внешним воздействиям (в том числе и умышленно злонамеренным) разработчиков заставляет также развитие технологий. “Появляются новые методы атак, и то, что вчера было стойким, сегодня взламывается без проблем. Идет извечная борьба атаки и обороны. И проявляется она не только в сфере ПО”, — отметил директор по информационной безопасности “Microsoft Россия” Владимир Мамыкин.
Продолжая эту мысль, хочется обратить внимание читателей вот на что. Разве нет у нас претензий, например, к работе метеорологов или строителей, все ли благополучно, на наш взгляд, с их ответственностью перед нами, потребителями? “Давайте представим, что думает о производителе лифтов программист, вернувшийся домой и уткнувшийся в дверь неработающего лифта, — говорит Михаил Савельев, генеральный директор компании Safeline. — Ошибки в программах есть и будут, и никакое тестирование не способно выявить их все. Кто не верит — пусть изучит посвященный ошибкам раздел математической статистики. Или перечтет законы Мерфи”.
