История о том, как CISO уволили за правду о рисках, это не единичный случай, а системная ловушка, в которую попадают многие специалисты по безопасности. Она возникает на стыке профессиональной этики, корпоративных интересов и личной ответственности. Разбираемся, почему это происходит и как в этой ситуации не остаться крайним.
Кто такой CISO и почему его позиция уязвима
CISO, это не просто технический специалист. Это руководитель, который находится на пересечении технологий, бизнеса и регуляторики. Его задача — оценивать риски информационной безопасности и доносить их до высшего руководства и совета директоров. Формально он наделён полномочиями, но на практике его влияние часто ограничено бюджетом и приоритетами бизнеса.
Позиция CISO по своей природе конфликтна. С одной стороны, он должен защищать активы компании. С другой — его рекомендации (увеличить бюджет, заморозить рискованный проект, отложить запуск продукта) почти всегда противоречат краткосрочным бизнес-целям: скорости выхода на рынок, снижению издержек, выполнению квартального плана. Когда риски носят вероятностный характер, а убытки от простоя или срыва сроков — вполне конкретны и измеряемы, аргументы CISO легко обесцениваются.
Типичный сценарий: как правда о рисках становится причиной для увольнения
Сценарий развивается по предсказуемому алгоритму. CISO проводит аудит или оценку нового проекта. Обнаруживает критические уязвимости или несоответствия требованиям 152-ФЗ или ФСТЭК. Составляет отчёт, где чётко указывает на риски: возможные штрафы, утечки данных, простои систем.
Далее происходит одно из двух. Первый вариант: руководство игнорирует предупреждение, даёт добро на запуск. Второй вариант: CISO настаивает на своём, блокируя проект. В обоих случаях он становится «тормозом» для бизнеса. Если инцидента не происходит — его обвиняют в паникёрстве и непонимании бизнес-процессов. Если инцидент случается — ищут виновного, и этим виновным оказывается тот, кто «не смог предотвратить», хотя и предупреждал. В протоколах совещаний часто остаётся лишь итоговое решение, а не детали дискуссии о рисках.
Кульминацией становится формальный повод для увольнения: «невыполнение KPI», «несоответствие корпоративной культуре» или «сокращение штата». Реальная причина — неудобная правда, которую больше не хотят слышать.
Правовые и регуляторные ловушки для CISO в России
В российском правовом поле у CISO появляется дополнительный уровень ответственности, который усугубляет его положение. Речь идёт о персональной ответственности по статьям КоАП и УК РФ.
- 152-ФЗ: Требует от оператора персональных данных обеспечить их безопасность. При утечке Роскомнадзор может оштрафовать юридическое лицо, но в объяснительных запросах всегда фигурирует вопрос: «Какое должностное лицо отвечало за безопасность ПДн?».
- Требования ФСТЭК: Для госкомпаний и КИИ ответственность за выполнение приказов ФСТЭК также ложится на конкретных специалистов. Акт проверки может содержать указание на «ненадлежащее исполнение обязанностей» ответственным сотрудником.
- Статья 13.11 КоАП РФ: Предусматривает штрафы для должностных лиц за нарушения в области обработки ПДн. CISO как ответственный исполнитель может быть привлечён лично.
- Статья 274 УК РФ («Неправомерный доступ к компьютерной информации»): В случае серьёзного инцидента следствие может рассматривать халатность или умысел со стороны технического руководителя.
CISO оказывается в ситуации, где он несёт персональные риски, но при этом часто не имеет реальных полномочий для устранения нарушений, о которых докладывает. Его отчёт о рисках становится юридическим документом, который в случае чего могут использовать против него самого: «Вы же знали о проблеме, но ничего не сделали». При этом факт того, что руководство проигнорировало его рекомендации, доказать сложно.
Как документально защитить свою позицию
Поскольку устные предупреждения ничего не стоят, CISO необходимо выстраивать систему документального сопровождения своей работы. Это не бюрократия, а инструмент профессиональной защиты.
- Письменные отчёты об оценке рисков: Каждое значимое заключение должно быть оформлено в виде документа с регистрационным номером. В отчёте чётко указываются выявленные угрозы, их потенциальный ущерб и рекомендуемые меры по устранению. Избегайте общих фраз вроде «есть риски» — используйте конкретику: «отсутствует шифрование канала передачи ПДн, что противоречит п. 4 Требований ФСТЭК и создаёт риск утечки».
- Официальные докладные записки и служебные письма: Направляйте их на имя непосредственного руководителя и, в критических случаях, в совет директоров или правление. Используйте встроенные в корпоративную почту уведомления о прочтении. Формулировки должны быть однозначными: «Довожу до вашего сведения, что запуск проекта X без реализации мер Y и Z приведёт к несоответствию требованиям 152-ФЗ и создаст риск штрафных санкций».
- Протоколы совещаний с фиксацией вашей позиции. Если секретарь не фиксирует дискуссию о рисках, направляйте после совещания краткий итог своего выступления тем же участникам по электронной почте «для уточнения и дополнения протокола».
- Матрица принятия рисков: Разработайте документ, где бизнес-руководитель (владелец продукта, CEO) официально принимает на себя остаточный риск, ознакомившись с вашим заключением. Это переводит ответственность с исполнителя на лицо, принимающее решение.
Эта документация не гарантирует, что вас не уволят. Но она создаёт «бумажный след», который может стать решающим аргументом при разбирательстве в суде или с регулятором, доказывая вашу профессиональную добросовестность.
Этическая дилемма и поиск баланса
Перед CISO встаёт сложный выбор. Можно следовать пути наименьшего сопротивления: смягчать формулировки в отчётах, закрывать глаза на незначительные (пока) нарушения, быть «командным игроком». Это снижает трение с руководством и продлевает карьеру в конкретной компании в краткосрочной перспективе.
Обратная стратегия — жёсткое следование букве закона и стандартов. Это быстро приводит к конфликту и, как правило, к уходу. Истина, как часто бывает, где-то посередине. Эффективный CISO, это не сторож, который кричит «стоп», а переводчик и переговорщик. Его задача — перевести технические риски на язык бизнес-последствий: не «нет межсетевого экрана», а «это может привести к простою торговой платформы на 8 часов и потере выручки в N миллионов рублей, а также штрафу от РКН».
Важно отличать принципиальные риски, связанные с соблюдением закона и сохранностью критичных данных, от рисков, с которыми бизнес может осознанно согласиться. Ваша работа — обеспечить, чтобы это согласие было именно осознанным и документально зафиксированным, а не результатом непонимания.
Что делать, если ситуация зашла в тупик
Если ваши неоднократные и документально оформленные предупреждения систематически игнорируются, а компания движется к явному нарушению регуляторных требований, пора готовить почву для выхода.
- Соберите архив всех ключевых отчётов, писем и заключений. Убедитесь, что у вас есть их копии (соблюдая при этом политику конфиденциальности компании и не нарушая законодательство о коммерческой тайне).
- Не вступайте в открытую конфронтацию. Продолжайте работать в рамках должностных инструкций, фиксируя всё документально. Ваша цель на этом этапе — не переубедить, а зафиксировать свою позицию.
- Начните поиск новой работы. На рынке труда репутация профессионала, который не боится говорить о рисках, может быть ценнее, чем репутация «удобного» сотрудника. При общении с будущим работодателем вы можете (без разглашения деталей) описать свой опыт как работу в условиях, где было сложно внедрить культуру безопасности, что и стало причиной для поиска новых вызовов.
- Рассмотрите возможность консультации с юристом, специализирующимся на трудовом праве в ИТ-сфере, особенно если чувствуете, что увольнение связано с вашими профессиональными заявлениями и может быть оформлено с нарушением процедуры.
Как не повторить эту историю
История увольнения за правду о рисках, это симптом более глубокой проблемы: разрыва между формальным и реальным отношением к безопасности в компании. Чтобы не стать её героем, нужно с первого дня выстраивать работу не как технического эксперта, а как управленца.
Внедряйте процессы управления рисками в цикл разработки и утверждения проектов. Добейтесь, чтобы ваше согласование было не последней формальной палочкой, а обязательным этапом на ранних стадиях планирования. Работайте на опережение: предлагайте решения, которые снижают риски, но не блокируют бизнес-процессы. И главное — учитесь говорить на языке бизнеса, переводя технические уязвимости в финансовые и репутационные потери. Безопасность должна быть не препятствием, а частью бизнес-логики. Только тогда правда о рисках перестанет быть карьерной ловушкой и станет ценным управленческим инсайтом.