Ошибка при использовании ПО может стоить вам дорого. Как себя обезопасить?

Юридические риски

1. Ответственность перед государством

По закону РФ компании несут юридическую ответственность перед государством за использование нелицензионного программного обеспечения.

В соответствии с гражданским кодексом РФ, юридическое лицо может быть привлечено к выплате компенсации за неправомерное использование объектов авторского права в размере до пяти миллионов рублей.

Во время проверки компании обязаны предоставлять всю документацию, лицензии, акты и документы, и даже коробки, оставшиеся от покупки. В соответствии с лицензионным соглашением, компании обязаны хранить все, что прилагалось к приобретенному ПО.

Если нет возможности предоставить что-либо из этого, то условия соглашения могут считаться нарушенными. Проверяющие имеют право изъять, например, сервер, а то и несколько. Это может привести ко временной остановке бизнес-процессов и к существенным финансовым потерям.

2. Ответственность перед вендором

Также существует ответственность перед производителем ПО, который может инициировать проверку, если у него возникают подозрения относительно добросовестности заказчика.

Например, когда в компании работают три тысячи сотрудников, а лицензий закуплено всего 250. Понятно, что какую-то часть сотрудников могут составлять курьеры, грузчики, водители и так далее, но все-таки такое соотношение подозрительно. В любом лицензионном соглашении есть пункт о том, что вендор оставляет за собой право провести проверку на предмет соблюдения условий лицензионного соглашения и не нарушает ли пользователь его авторские права. Это могут быть удаленные проверки с запросом информации по почте или телефону, автоматические — через проверку ключа активация продукта.

Некоторые вендоры могут привлекать сторонние проверяющие компании, что также указано в условиях лицензионного соглашения. Попытка избежать проверки может расцениваться как нарушение лицензионного соглашения. При возникновении разногласий вендор имеет право обратиться в правоохранительные органы.

Они пытаются помочь клиентам разобраться со всеми тонкостями управления программными активами. Например, Microsoft предлагает бесплатную помощь в проведении проекта SAM (Software Asset Management — управления программными активами). Такой подход выгоден обеим сторонам: ведь заказчикам нужно поддерживать инфраструктуру в актуальном состоянии, а вендору — привлекать клиентов к своим новым продуктам.

Финансовые риски

1. Несоблюдение правил лицензирования

Некоторые продукты могут быть бесплатными только для некоммерческого использования, например, Team Viewer, а вот Office Home & Student можно купить только домой. Поэтому предприниматель должен знать, что, устанавливая такие продукты для работы, он нарушает условия лицензионного соглашения, а следовательно, и закон. Кроме того, правила лицензирования многих продуктов разных вендоров не являются линейными, то есть одна установка не равна одной лицензии.

Например, Microsoft Windows Server учитывает количество ядер в сервере, и для одной инсталляции потребуется не менее 8 лицензий на ядро. Также не стоит забывать про лицензии на подключения (CAL – Client Access License), которые подразумевают использование лишь при определенных условиях. Лицензирование продуктов Oracle учитывает количество процессоров, а продукты Autodesk — количество одновременных подключений.

Например, по лицензии Office Professional Plus нельзя использовать Office Standard и наоборот. При ошибке потребуется переустановить все инсталляции в организации или приобрести уже корректные лицензии еще раз. Все зависит от условий соглашения и потребностей компании. В любом случае клиент затратит дополнительные ресурсы, финансовые или трудовые.

2. Отсутствие необходимой экспертизы

Покупка одной лицензии не всегда дает права инсталлировать ее на любые устройства, а тем более сразу на несколько устройств. Кроме того, зачастую закупкой лицензий, их инсталляцией и активацией занимаются разные службы, что приводит к недопониманию между ними и, как следствие, к неэффективным затратам.

При использовании сложных программных решений, например, для виртуализации, удаленного доступа и так далее возникает множество сложностей. В этом случае нужна экспертиза опытного специалиста.

Репутационные риски

Репутационные риски наиболее очевидны. Если компания на рынке позиционирует себя как надежного партнера, который никогда не оставляет обязательства незакрытыми, использование пиратского софта может нанести ее репутации непоправимый ущерб.

Особенно это актуально во взаимоотношениях с иностранными партнерами, поскольку за рубежом отслеживание использования нелицензионного ПО происходит значительно строже, чем в нашей стране. Отношение к уличенным в таком преступлении компаниям также намного хуже.

Риски, связанные с безопасностью

1. Зловреды в пиратском ПО

В некоторых случаях высшее руководство компании пытается полностью передать управление всеми ИТ-процессами системному администратору. К сожалению, до сих пор встречаются случаи, когда сотрудник скачивает дистрибутивы не из авторизированных производителями источников и активирует с помощью пиратского ключа активации.

Само по себе использование пиратского софта ставит под угрозу сохранность критически важных для бизнеса данных. Однако скачивание и установка ПО из неизвестных источников может повлечь взлом или утечку критически важных бизнес-данных.

2. Сотрудники как слабое звено

Также бывают случаи, когда в компании внедрены все самые последние продукты, обеспечивающие информационную безопасность, но не проведено обучение персонала. Сотрудникам просто неудобно работать с новыми системами, и они всеми силами пытаются найти пути их обхода, не исполняя процедуры по регламентированным процессам.

Стоит следить, чтобы ПО было актуальным. Не только производители развивают свои программные продукты, но и злоумышленники делают вредоносные программы все более изощренными. Поэтому нужно следить за новыми версиями ПО, вовремя устанавливать Service Pack и не использовать ПО, которое уже снято с поддержки правообладателя. Без обновлений оно становится наиболее уязвимым для современных кибератак.

Как решить все проблемы

В России до сих пор отсутствует ясность в понятиях активации, инсталляции и лицензирования. Лицензия — это юридическое право, которое всегда подтверждается лицензионным соглашением в бумажной или электронной форме и набором других документов.

Например, именно условия лицензионного соглашения мы принимаем, когда устанавливаем любой программный продукт на компьютер или телефон. Соглашаясь мы даже не читаем его, хотя именно в этом тексте содержатся наши права и обязанности по использованию ПО.

Стоит ли говорить о том, что скрупулёзное изучение соглашения — необходимое условие для организаций, которые хотят минимизировать риски его нарушения. Главное — верно трактовать правила лицензионных соглашений.

• Инсталляция — очень важный момент, лицензия или несколько лицензий должны покрывать все производимые инсталляции, чтобы софт считался лицензионным.
• Активация тоже до сих пор вызывает вопросы. Некоторые считают, что если есть лицензионный ключ, то с помощью него можно активировать все инсталляции, и они будут лицензионными. На самом деле это не так: иногда ключ действительно может быть один, но лицензия приобретается на каждую инсталляцию, согласно правилам лицензирования.

Кто может помочь?

Даже если компания стремится сделать все правильно и по закону, существует множество сложностей, которые могут затруднить процесс. Управление программными активами — это целая наука, для которой нужен хороший специалист.

Например, есть интересный момент с облачными технологиями: многие полагают, что из-за 42 Федерального закона «О внесении изменений в статью 55 Федерального закона «О связи» и статью 37 Федерального закона «О почтовой связи»» путь в облако для них закрыт. Однако это не совсем так. Существуют гибридные решения и разные способы сбора и обработки данных.

Методология SAM помогает компаниям оптимизировать закупки и затраты на ПО, а также снизить риски использования нелицензионного софта. В крупных компаниях, как правило, она включает ежегодное составление планов по улучшению практики управления программными активами, которые интегрируются с глобальной стратегией развития.