На минувшей неделе одной из главных новостей в IT-индустрии стали увольнения компанией ABBYY буквально за час почти всех граждан России в трех RnD-офисах — на Кипре, в Белграде и Будапеште. По сообщениям источников Forbes и бывших сотрудников компании, ситуация коснулась сотен разработчиков. Forbes узнал у IT-специалистов, какие риски для бизнеса возникают в результате резкого увольнения команд айтишников и расспросил их об известных (и не очень) инцидентах, когда эти риски становились для компаний суровой реальностью
Пересчитать косты
«Все что угодно — от утечек данных и потери репутации и клиентов до обретения новых уязвимостей и утраты мотивации оставшимися сотрудниками», — перечисляют последствия резких увольнений айтишников опрошенные Forbes специалисты российских IT-компаний.
В этом году такие IT-гиганты, как Google и Microsoft, провели массовое сокращение персонала, объяснив процесс срывом инвестиционных планов и соответствующими рекомендациями финансовых департаментов, вспоминает директор портфеля решений экосистемы в области ИБ «Нота Купол» Игорь Душа. В высокотехнологичных компаниях основная статья расходов — это, как правило, именно персонал, поэтому такое решение может показаться очевидным, объясняет СЕО разработчика продуктов для автоматизации бизнес-задач Security Vision Руслан Рахметов.
Чаще всего громкие решения по увольнению команд вызваны желанием оптимизировать косты (себестоимость) или сменить направление развития, подтверждает исполнительный директор HFLabs Константин Степанов. Как правило, речь, по его словам, идет о сокращениях в конкретных командах — это может происходить потому, что продукт или технологический стек стал неактуальным или наметилось пересечение функций: «Например, в последние годы упала важность iOS-приложений для банков, и количество таких разработчиков в финансовых организациях сократилось».
Впрочем, помимо финансовых причин не исключены и личные мотивы некоторых эксцентричных руководителей, которые внезапно осознают бесперспективность дальнейших инвестиций в разработку продукта, считает Рахметов. «Нельзя не учитывать и макроэкономическую ситуацию — например, во время кризиса 2008–2009 годов сотрудников российских IT-компаний также активно увольняли, зачастую вообще одним днем», — говорит он.
Также бывают случаи, когда топ-менеджмент недооценивает сложность и важность IT-функций, полагая, что их можно легко передать на аутсорс или заменить другими специалистами, говорит IT-специалист в сфере тестирования безопасности, основатель платформы QA Playground Алексей Коледачкин: «Это приводит к недооценке рисков, связанных с потерей уникальных знаний и навыков команды».
Telegram-канал Forbes.Russia
Канал о бизнесе, финансах, экономике и стиле жизни
Против течения
Впрочем, какими бы ни были у компаний причины смены курса, на практике это может обернуться настоящими потерями и большим ущербом. Эксперты в области информбезопасности (ИБ) уверены: в первую очередь речь идет об угрозе утечки данных. «Разработчики — это люди, которые работают с крайне чувствительными данными, у них зачастую есть доступы к базам данных, боевым серверам, критически важным системам, — размышляет руководитель группы пресейл в Cloud Networks Евгений Киров. — Сотрудники, которые начинают испытывать страх, могут быть сломлены под влиянием третьей стороны или по собственным мотивам и с большей вероятностью могут стать инсайдерами».
Широко известен случай, когда бывший консультант по кибербезопасности шантажировал своего работодателя украденными чувствительными данными, за что впоследствии был арестован, напоминает Душа. «По результатам множества исследований, практически в половине организаций нет зафиксированных политик ИБ, которые бы запрещали сотрудникам оставлять себе рабочие данные при увольнении, — говорит он. — Это означает, что технически бывшие коллеги могут при необходимости с легкостью ими воспользоваться, уже покинув компанию». По словам Души, почти половина работников так или иначе загружает, сохраняет или фиксирует документы, которые связаны с бывшим местом трудоустройства. Вот почему случаи несанкционированного или злонамеренного использования корпоративной информации уволенными сотрудниками не редкость, указывает он.
Никто не знает лучше об уязвимостях компании, чем работающие в ней айтишники, говорят специалисты. «Да, работодатель сразу отрубает доступы, но это далеко не всегда означает, что они действительно исчезают», — рассуждает Степанов. К тому же, добавляет он, никто не может дать гарантии, что сотрудник еще раньше не сохранил какую-либо информацию на флешке или в распечатанном виде. IT-специалисты, например системные администраторы, при увольнении могут умышленно оставить «бэкдоры» — доступы в контур организации, которые они смогут сохранить через удаленное подключение, допускает Игорь Душа: «Такие уязвимости впоследствии могут быть злонамеренно использованы бывшими коллегами или перепроданы киберпреступникам».
Риски утечек — далеко не единственные, с которыми может столкнуться бизнес, решивший внезапно закончить трудовые отношения со своими айтишниками. Прежде всего происходит потеря накопленных знаний и опыта, которые являются критически важными для поддержания и развития продуктов и сервисов, обращает внимание Алексей Коледачкин. Это может привести, по его словам, к следующим проблемам:
- сбои в работе критических систем: например, CRM-системы могут работать некорректно, что затрудняет управление взаимоотношениями с клиентами, приводит к пропущенным сделкам и ухудшению сервиса;
- замедление разработки новых функций: без детального понимания существующего кода и архитектуры новые разработчики могут тратить больше времени на изучение системы, что замедляет выпуск обновлений и новых продуктов;
- рост числа ошибок (багов): недостаточное понимание системы повышает риск внедрения ошибок, которые могут привести к падению производительности или даже сбоям в работе приложения;
- финансовые потери: все вышеперечисленное может привести к потере выручки из-за оттока клиентов, снижению продаж и росту затрат на исправление ошибок;
- ухудшение клиентского опыта: сбои и ошибки в работе продуктов негативно влияют на удовлетворенность пользователей, что может привести к негативным отзывам и потере репутации.
Кроме того, менеджер по развитию продуктового портфеля управления доступом ГК «Солар» Людмила Севастьянова вспоминает о риске, который нередко возникает при M&A-сделках. По ее словам, слияние компаний — время неопределенности для сотрудников. «Часть из них может оказаться на пороге увольнения, кто-то может быть недоволен новой структурой и своей ролью в новой компании. Недовольный работник может навредить компании намеренно или даже случайно, так как более не заинтересован в качественном исполнении своих обязанностей и делает это халатно», — говорит Севастьянова.
Репутационно-мотивационная брешь
Для многих экспертов репутационные риски при увольнении команд айтишников возникают даже в первую очередь, опережая по важности утечки данных и дырки в IT-инфраструктуре. Достаточно вспомнить компанию Xsolla, которая в 2021 году уволила 150 сотрудников, признав их «невовлеченными и малопродуктивными», говорит Константин Степанов. «Эта история вызвала большой резонанс. Но дело не только в шумихе — начинают нервничать и обновлять резюме даже те сотрудники, которые остались в штате. Появляются вопросы: «А не стану ли я следующим?» В условиях сложного и дорогого найма IT-специалистов подобным громким увольнением компания может выстрелить себе в ногу», — считает он.
Резкие увольнения влекут за собой проблемы с мотивацией и моральным состоянием оставшихся сотрудников. «Что, если завтра у компании будут новые цели и стратегия, где я буду не нужен?» — продолжает Евгений Киров. «Это не прямой риск, но его величина настолько же неизмерима, насколько невозможно прогнозировать, на кого окажут влияние эти события, — считает он. — Под угрозой находятся все, включая топ-менеджмент компании».
Потеря репутации и, как следствие, потеря клиентов может повлечь за собой ухудшение финансовых показателей и возможностей для их реинвестирования в бизнес, разработку новых продуктов и доработку существующих, продолжают эксперты. Часто компании-разработчики IT-решений становятся технологическими партнерами других крупных компаний, в этом случае можно нанести ущерб всей цепочке поставок, указывает Киров: «Что будет, если через брешь в коде взломают сотни крупных компаний?».
К слову, «атаки на цепочку поставок» становятся все более распространенными и популярными среди злоумышленников: рост количества атак на цепочки поставок, по разным источникам, составляет от 300% и более, говорится в исследовании «Инфосистем Джет» 2023 года. «Проверка подрядчика службой безопасности обычно означает проверку юридической чистоты и отсутствия конфликта интересов. Очень небольшое количество компаний оценивает уровень защищенности и зрелости ИБ в компании-подрядчике. Зрелость процессов проверяют единицы, и это происходит в основном тогда, когда инцидент уже случился», — рассказывал ранее Forbes технический руководитель направления анализа защищенности центра инноваций Future Crew компании МТС RED Алексей Кузнецов.
За примерами недалеко
В 2000-е и 2010-е российский IT-рынок еще формировался, и зачастую работы по написанию софта в компании выполнял единственный программист, рассказывает Руслан Рахметов. «Встречались ситуации, когда такой разработчик добавлял в исходный код программную закладку (логическую бомбу), которая могла удалить все данные и была страховкой от невыплаты денег создателю. Сейчас до сих пор в малом и среднем бизнесе могут работать айтишники-универсалы, которые и администрируют парк ПК, и настраивают сеть, и программируют, — говорит он. — Зачастую руководители таких компаний не осознают ценность подобного специалиста-самоучки и решают, что раз все настроено и работает, то можно сократить расходы и попрощаться с ним». В результате инфраструктура, оставшаяся без поддержки, через некоторое время выходит из строя, а затраты на ее восстановление в разы превышают стоимость того самого айтишника, заключает он.
Ситуации ухода или сокращения специалистов в профильной IT-компании (например, в разработчике ПО), и в компании «широкого рынка» отличаются, полагает директор Arenadata по R&D Антон Чевычалов: «В большинстве случаев IT-подразделения и работающие в них люди — непрофильный актив, а топ-менеджмент не специализируется на IT, что может приводить к недофинансированию, падению культуры работы, снижению качества документации и процессов. Для бизнеса в подобной ситуации тяжелым может быть даже уход одного специалиста, занимающего должность, значение которой недооценивалось».
«Знаю историю, когда в крупной телеком-компании уволились сотрудники, которые поддерживали и развивали основную бухгалтерскую систему — к слову, очень редкую для нашей страны, — вспоминает Константин Степанов. — Когда вслед за руководителем ушла вся команда, остальные IT-отделы буквально не спали ночами, потому что работу бухгалтерии в крупной компании остановить невозможно. Людей перебрасывали с других проектов, чтобы спасти ситуацию».
Рассуждая о рисках при смене команды в большом продукте, директор по продуктам Servicepipe Михаил Хлебунов перечисляет их и тоже приводит ряд примеров. Первый из рисков, по его словам, относится к утрате знаний о ключевой архитектуре и системах: core team (ключевая команда разработки) обычно владеет уникальными знаниями о внутренней архитектуре продукта. При смене этой команды теряется критическая информация о том, как работает система, что может замедлить внедрение новых функций и улучшений. «Пример: в случае с Nokia утрата ключевых специалистов, работавших над Symbian OS, привела к замедлению разработки и потере конкурентоспособности, особенно в условиях агрессивного роста конкурентов — Android и iOS», — вспоминает Хлебунов.
Второй риск — нарушение координации между командами разработки. «В больших продуктах она жизненно важна. Смена ключевой команды может нарушить процессы обмена информацией, что повлияет на скорость и качество разработки, — продолжает эксперт. — Пример: Uber в 2017 году столкнулся с массовым уходом специалистов на фоне внутренних конфликтов, что привело к замедлению инноваций и срыву сроков разработки новых функций».
Третий — задержки в разработке новых функций, так как новая команда будет тратить время на адаптацию и изучение существующей кодовой базы. Так случилось с Yahoo!, потеря разработчиков и инженеров из-за смены стратегии привела к замедлению инновационного процесса, что снизило конкурентоспособность компании и в конечном итоге привело к ее продаже, приводит пример Хлебунов.
Наконец, четвертый — угроза стабильности системы. Новая команда может быть не готова к работе с устаревшими архитектурными решениями и сложным кодом. К примеру, в 2018 году Tesla столкнулась с серьезными проблемами при масштабировании производства Model 3 после того, как из компании ушли ключевые специалисты. Это вызвало производственные задержки и ухудшение качества продукции, заключает Михаил Хлебунов.
Резкая смена или увольнение IT-команд, игнорирование предупреждений специалистов могут привести к серьезным последствиям для бизнеса, констатируют аналитики. Финансовые потери, когда речь может идти о сотнях тысяч долларов, снижение доверия клиентов и ущерб репутации — все это реальные риски, которые следует учитывать, убежден Алексей Коледачкин.
При участии Инны Титовой