Tehnoloogiariskid võivad saada saatuslikuks

?Tahad rahu, valmistu kohtuvaidluseks,? võiks järgneva lühidalt kokku võtta. IT kui abstraktne mõiste kuulub vaieldamatult enamiku ettevõtete tegevusvaldkonda. Keegi pole kaitstud selle eest, et ühel päeval laiutab sissetulnud kirjade hulgas hagi, milles endise töötaja ekssõbratar taotleb ettevõtte arvutisse jäänud lembepiltide avalikkuse ette sattumise eest üüratut valuraha. Esmapilgul naeruväärne juhtum kogub aga pöördeid, kui selgub, et ?taskuraha? eest maha müüdud arvutite kõvakettad jäid, jah, kellegi süül tühjendamata...

Eelneva näol oli kahtlemata tegemist pigem vähetõenäolise stsenaariumiga. Samas on igal ettevõttel hulk suurema tõenäosusega realiseeruvaid IT-riske, mida ebameeldivuste vältimiseks või ka lihtsalt töö parema korraldamise huvides võiks analüüsida.

Kui olete pangatöötaja, on teie mureks eeskätt raha, täpsemalt selle liikumine õigeid kanaleid mööda ja õigete subjektide vahel. Kui olete infokataloogi müügiesindaja, on teie strateegiliseks eeliseks peensusteni väljaarendatud ja üha täienevad andmebaasid. Kui aga haigla peaarst, hoiate eeldatavasti hoolikalt silma peal haiguslugudel ja nendes sisalduvatel delikaatsetel isikuandmetel.

Tahtmata öelda, et pankuri ainus mure on raha sattumine sinna, kus see olema ei peaks, julgen väita, et ettenägelik ja hoolikas juht näeb ettevõtte pihta suunduda võivad riskid läbi ning suudab neid seeläbi ennetada: mitte igal isehakanud häkkeril ei õnnestuks Hansapanga kontolt rahasid Bahamale kantida. Päris lollikindel pole seejuures ükski kaitsevõte ? võimalust, et kümned inimesed oma kasutajanimed-paroolid ja pangakoodid esimesele soovijale saadavad, ei saa lõpuni välistada.

Et risk üles leida ja rünnakut ennetada, võiks alustada ettevõtte igapäevaste toimingute kohta ülevaate koostamisest ? mida suuremaks kliendibaas kasvab, seda suuremaks paisub ka üksikute pedantselt rahulolematute klientide hulk ja andmebaasi kaudu teostatavate toimingute arv. Enamikus ettevõtetes on viiteid võimalike probleemide kohta ? üksikud kaebused klientidelt, väiksemad apsakad andmebaasi töös ja turvalisuses vms. Vähemalt teine sarnane juhtum peaks igale endast lugupidavale ettevõttele selgelt märku andma, et ühel päeval ei pruugi vahejuhtum enam firma seinte vahel sumbuda ning lisaks oskuslikule tulekustutamisele on vaja ka preventsiooni- ehk ennetusmeeskonda.

Preventsioon algab juba toimunu analüüsimisest ja sellest järelduste tegemisest: hiljuti Sharpi vastu algatatud kohtuasi tõestab, et kuigi vajadusest töötajate ja tööandja vahelised intellektuaalomandi suhted selgeks teha on aastaid räägitud, on teema endiselt aktuaalne. Osaka kohtus väidab üks kontserni endistest töötajatest endale kuuluvat lameekraani patendiõigused.

IT arengu- või turvaauditi juriidilises sektsioonis tasuks võimalikku musta stsenaariumi arvestades nõuda ülevaadet ka sellest, millised IT-riskid on tõenäolised, milliseid juriidilisi tagajärgi need omavad ja milliste võtetega neid saaks maandada.

Võimalikke hagejaid ja nõudjaid saab grupeerida: need on lisaks endistele töötajatele näiteks kas kadedad konkurendid, pettunud kliendid, solvunud koostööpartnerid või agarad võimukandjad. Loetelu pole ammendav. Tundes oma potentsiaalset vastast, on võimalik juba ette läbi mõelda, milline võiks olla ettevõtte vastu esitatav nõue ja kuidas seda pareerida või sellele väärikalt vastata. Olenevalt sellest, milline teave on ettevõtte kohta avalikult kättesaadav või millised lepingulised kohustused ettevõte on võtnud, saab prognoosida ka nõuete põhjendusi ja argumentatsiooni.

Nõuete sisu osas valitseb suuresti loominguvabadus, mida õnneks piirab hulk seadusesätteid ja nõuete koostajate kujutlusvõime. Seega saab ringi eelteadmiste ja hoogsa ajurünnaku kombineerimise tulemusena piisavalt koomale tõmmata ja vaid olulisele keskenduda. Ka on potentsiaalsete nõuete analüüsimisel abi varasematest kohtulahenditest nii meil kui mujal: näiteks hiljuti kohustati oksjonikeskkonda eBay eemaldama keskkonnast ühe kasutaja pihta suunatud negatiivne kommentaar, USAs Minnesotas aga lükati tagasi lennukompanii klientide nõue isikuandmete edastamisega tekitatud kahju hüvitamiseks, kuna kahju ei suudetud tõendada. Saksa kohtud on muuhulgas leidnud, et kogenud ja pikaajalist pangakülastajat ei tule pangateenustega kaasnevate riskide suhtes täiendavalt nõustada, ning Soomes on paika pandud, et töötajate isiklikud failid ettevõtte arvutites on nende endi riisiko. Seesugust teavet ettevõtte igapäevase tegevuse ja varem esinenud probleemide konteksti pannes ja vajalikke seoseid luues saab prognoosida, milliseid nõudeid ja kes ettevõtte vastu võiksid esitada.

Kui tõenäolisemad nõudjad ja nende nõuete sisu on üldjoontes välja selgitatud, saab strateegia kujundamisest pigem juriidilis-tehniline küsimus. Juristidele võib igati loogiliste argumentide õiguskeelde panemine, neile seadustest toe leidmine ja vajalike tõendite koondamine kujuneda üpris aeganõudvaks ja keerukaks tegevuseks, mistõttu sedagi tasuks harjutada enne tegelikku kohtuvaidlust.

Oletame, et nõue keskendub rahale. Kui raha nõutakse mingi kahju katteks, peab nõude esitaja esmalt suutma näidata, kes, millega ja mis ulatuses talle kahju tekitas. Sellist stsenaariumi ette nähes on võimalik mitte üksnes vastuväiteid kujundada, vaid analüüsi tulemusena ka võimalikku tekkivat kahju minimeerida.

Eduka kohtuvaidluse aluseks on lisaks faktidele tõendid: mida kumbki pool ka ei väidaks, tuleb seda võimalikult selgelt ja pigem põhjalikult tõendada. Tõendid ? täpsemalt nende olemasolu, tuvastamine ja esitamine ? ongi IT-valdkonna kohtuvaidluste puhul suurimaks probleemiks: kohtunikule, kes valdkonna terminoloogias ja ettevõtte tegevusvaldkonnas hästi ei orienteeru, tuleb vaidlusese hoolikalt lahti seletada ning tõendid ja nende seos vaidlusega arusaadavalt esitada. Teisisõnu ei tohi eeldada, et kohtunik on kasutanud internetipanka, et tal on kodus püsiühendus või et ta teab, milline on teenusepakkuja roll ühendusteenuse osutamisel.

Ekspert, kel loodetavasti õnnestub segane numbrijada või arusaamatu seos inimkeelde tõlkida, on IT-vaidlustes nii kohtu kui ka vähemalt ühe poole jaoks omal kohal. Praktikas on suur abi ka poolte kirjavahetusest ? seega tasuks probleemi ilmnemisel alustada teemakohast kirjavahetust, protokollida poolte kohtumised ja hoida alles asjas olulised e-kirjad. Tõendite ennetav valik ja analüüs võib aga viia tõdemuseni, et ettevõtte tarkvara pisut täiendades paraneb oluliselt ka tõendamissuutlikkus.

Omaette küsimus on ka nõuete ärahoidmise strateegia ? iga avalikkuse ette kerkinud asi võib mõjuda kahjulikult ettevõtte mainele ja kohtuvaidlus, kui te sellest ka igati auga välja tulete, võib kesta aastaid. Konflikti vältimiseks tasub mõelda tagasisidekanalite töö tõhustamisele, kliendiküsitlustele, testida infosüsteeme ja arutada uued ideed läbi ka koostööpartnerite ning hankijatega.

Kui kaitsestrateegia on valmis ja kohtuvaidlust ei tule ega tule, pole te asjatult aega raisanud: saadud teabe abil võite optimeerida ettevõtte infotöötlusahelat, arendada riist- ja tarkvarabaasi või uusi tooteid ja teenuseid. Ka võite oma sel teel saadud kogemuse käsiraamatuks kujundada ja konkurentidele-koostööpartneritele maha müüa. Kindlasti olete aga uue kogemuse võrra rikkam ja oma edasises töös ettenägelikum. q

Autor: Eneken Tikk