Виктория Кравченко

Ошибка при использовании ПО может стоить вам дорого. Как себя обезопасить?

По оценкам ассоциации Business Software Alliance, на нелицензионный софт в России приходится около 64% всех установок ПО. Впрочем, даже желание использовать исключительно легальный софт не избавляет руководителя бизнеса от риска оказаться виновным в деле о нарушении авторских прав.

В этом вопросе существует множество нюансов, знать о которых следует любому ответственному лицу в компании.

Лилия Лемзакова, руководитель направления ИТ-консалтинга компании ITERBI, рассказывает об основных рисках для бизнеса при использовании ПО.


Юридические риски

1. Ответственность перед государством

По закону РФ компании несут юридическую ответственность перед государством за использование нелицензионного программного обеспечения.

В соответствии с гражданским кодексом РФ, юридическое лицо может быть привлечено к выплате компенсации за неправомерное использование объектов авторского права в размере до пяти миллионов рублей.

Когда стоимость использованного нелицензионного ПО или прав на него превышает 100 тысяч рублей, наступает уголовная ответственность в виде штрафа, обязательных работ и даже лишения свободы на срок до двух лет.

Если общая стоимость ПО превышает миллион рублей, деяния признаются совершенными в особо крупном размере.

Во время проверки компании обязаны предоставлять всю документацию, лицензии, акты и документы, и даже коробки, оставшиеся от покупки. В соответствии с лицензионным соглашением, компании обязаны хранить все, что прилагалось к приобретенному ПО.

Если нет возможности предоставить что-либо из этого, то условия соглашения могут считаться нарушенными. Проверяющие имеют право изъять, например, сервер, а то и несколько. Это может привести ко временной остановке бизнес-процессов и к существенным финансовым потерям.

2. Ответственность перед вендором

Также существует ответственность перед производителем ПО, который может инициировать проверку, если у него возникают подозрения относительно добросовестности заказчика.

Например, когда в компании работают три тысячи сотрудников, а лицензий закуплено всего 250. Понятно, что какую-то часть сотрудников могут составлять курьеры, грузчики, водители и так далее, но все-таки такое соотношение подозрительно. В любом лицензионном соглашении есть пункт о том, что вендор оставляет за собой право провести проверку на предмет соблюдения условий лицензионного соглашения и не нарушает ли пользователь его авторские права. Это могут быть удаленные проверки с запросом информации по почте или телефону, автоматические — через проверку ключа активация продукта.

Некоторые вендоры могут привлекать сторонние проверяющие компании, что также указано в условиях лицензионного соглашения. Попытка избежать проверки может расцениваться как нарушение лицензионного соглашения. При возникновении разногласий вендор имеет право обратиться в правоохранительные органы.

Вендоры в большинстве случаев рассматривают заказчиков как долгосрочных партнеров, поэтому случаи серьезных конфликтов бывают нечасто.

Они пытаются помочь клиентам разобраться со всеми тонкостями управления программными активами. Например, Microsoft предлагает бесплатную помощь в проведении проекта SAM (Software Asset Management — управления программными активами). Такой подход выгоден обеим сторонам: ведь заказчикам нужно поддерживать инфраструктуру в актуальном состоянии, а вендору — привлекать клиентов к своим новым продуктам.


Финансовые риски

1. Несоблюдение правил лицензирования

Некоторые продукты могут быть бесплатными только для некоммерческого использования, например, Team Viewer, а вот Office Home & Student можно купить только домой. Поэтому предприниматель должен знать, что, устанавливая такие продукты для работы, он нарушает условия лицензионного соглашения, а следовательно, и закон. Кроме того, правила лицензирования многих продуктов разных вендоров не являются линейными, то есть одна установка не равна одной лицензии.

Например, Microsoft Windows Server учитывает количество ядер в сервере, и для одной инсталляции потребуется не менее 8 лицензий на ядро. Также не стоит забывать про лицензии на подключения (CAL – Client Access License), которые подразумевают использование лишь при определенных условиях. Лицензирование продуктов Oracle учитывает количество процессоров, а продукты Autodesk — количество одновременных подключений.

Клиент может приобрести недостаточное количество лицензий, и в случае проверки ему придется покрывать дефицит по штрафным тарифам.

Или он может ошибиться с редакцией продукта, например, Standard вместо Enterprise.

При выявлении такой ситуации придется покупать еще раз лицензии редакции Enterprise, в то время как Standard использоваться не будет. Клиент получит двойные затраты.

Например, по лицензии Office Professional Plus нельзя использовать Office Standard и наоборот. При ошибке потребуется переустановить все инсталляции в организации или приобрести уже корректные лицензии еще раз. Все зависит от условий соглашения и потребностей компании. В любом случае клиент затратит дополнительные ресурсы, финансовые или трудовые.

2. Отсутствие необходимой экспертизы

Покупка одной лицензии не всегда дает права инсталлировать ее на любые устройства, а тем более сразу на несколько устройств. Кроме того, зачастую закупкой лицензий, их инсталляцией и активацией занимаются разные службы, что приводит к недопониманию между ними и, как следствие, к неэффективным затратам.

При использовании сложных программных решений, например, для виртуализации, удаленного доступа и так далее возникает множество сложностей. В этом случае нужна экспертиза опытного специалиста.


Репутационные риски

Репутационные риски наиболее очевидны. Если компания на рынке позиционирует себя как надежного партнера, который никогда не оставляет обязательства незакрытыми, использование пиратского софта может нанести ее репутации непоправимый ущерб.

Особенно это актуально во взаимоотношениях с иностранными партнерами, поскольку за рубежом отслеживание использования нелицензионного ПО происходит значительно строже, чем в нашей стране. Отношение к уличенным в таком преступлении компаниям также намного хуже.


Риски, связанные с безопасностью

1. Зловреды в пиратском ПО

В некоторых случаях высшее руководство компании пытается полностью передать управление всеми ИТ-процессами системному администратору. К сожалению, до сих пор встречаются случаи, когда сотрудник скачивает дистрибутивы не из авторизированных производителями источников и активирует с помощью пиратского ключа активации.

Внедрение зловредов в подобные утилиты — один из самых распространенных векторов кибератак. Пытаясь обойти закон и сэкономить, пользователь от лица своей компании может стать не только преступником, но и жертвой.

Само по себе использование пиратского софта ставит под угрозу сохранность критически важных для бизнеса данных. Однако скачивание и установка ПО из неизвестных источников может повлечь взлом или утечку критически важных бизнес-данных.

2. Сотрудники как слабое звено

Также бывают случаи, когда в компании внедрены все самые последние продукты, обеспечивающие информационную безопасность, но не проведено обучение персонала. Сотрудникам просто неудобно работать с новыми системами, и они всеми силами пытаются найти пути их обхода, не исполняя процедуры по регламентированным процессам.

Крайне важно проводить регулярные проверки исполнения процессов ИБ не только в рамках контроля информационной безопасности, но и в смежных проверках, например, SAM.

Стоит следить, чтобы ПО было актуальным. Не только производители развивают свои программные продукты, но и злоумышленники делают вредоносные программы все более изощренными. Поэтому нужно следить за новыми версиями ПО, вовремя устанавливать Service Pack и не использовать ПО, которое уже снято с поддержки правообладателя. Без обновлений оно становится наиболее уязвимым для современных кибератак.


Как решить все проблемы

В России до сих пор отсутствует ясность в понятиях активации, инсталляции и лицензирования. Лицензия — это юридическое право, которое всегда подтверждается лицензионным соглашением в бумажной или электронной форме и набором других документов.

Например, именно условия лицензионного соглашения мы принимаем, когда устанавливаем любой программный продукт на компьютер или телефон. Соглашаясь мы даже не читаем его, хотя именно в этом тексте содержатся наши права и обязанности по использованию ПО.

У многих вендоров есть правило: если в лицензионном соглашении не оговорено, что компания может делать что-либо с ПО, значит, она этого делать не может.

Стоит ли говорить о том, что скрупулёзное изучение соглашения — необходимое условие для организаций, которые хотят минимизировать риски его нарушения. Главное — верно трактовать правила лицензионных соглашений.

  • Инсталляция — очень важный момент, лицензия или несколько лицензий должны покрывать все производимые инсталляции, чтобы софт считался лицензионным.
  • Активация тоже до сих пор вызывает вопросы. Некоторые считают, что если есть лицензионный ключ, то с помощью него можно активировать все инсталляции, и они будут лицензионными. На самом деле это не так: иногда ключ действительно может быть один, но лицензия приобретается на каждую инсталляцию, согласно правилам лицензирования.

Кто может помочь?

Даже если компания стремится сделать все правильно и по закону, существует множество сложностей, которые могут затруднить процесс. Управление программными активами — это целая наука, для которой нужен хороший специалист.

Если предприниматель хочет избежать проблем с налогами, ему нужен талантливый финансист, с законом — юрист. Специалист по управлению программными активами должен обладать обширными знаниями в области лицензирования ПО, знать юридическую, техническую и финансовую стороны вопроса.

Например, есть интересный момент с облачными технологиями: многие полагают, что из-за 42 Федерального закона «О внесении изменений в статью 55 Федерального закона «О связи» и статью 37 Федерального закона «О почтовой связи»» путь в облако для них закрыт. Однако это не совсем так. Существуют гибридные решения и разные способы сбора и обработки данных.

Грамотный SAM-специалист всегда найдет оптимальное решение, опираясь и на законодательство, и на современные технологии.

Методология SAM помогает компаниям оптимизировать закупки и затраты на ПО, а также снизить риски использования нелицензионного софта. В крупных компаниях, как правило, она включает ежегодное составление планов по улучшению практики управления программными активами, которые интегрируются с глобальной стратегией развития.


Материалы по теме:

В этой компании нет привычного отдела продаж, но через 10 лет она будет стоить $50 млрд

Советы по локализации: «Английского недостаточно, чтобы стать глобальной компанией»

Инструкция по ремонту машин с помощью карманного планшета и очков дополненной реальности

Приложение Trigger будет оповещать инвесторов о новых твитах Дональда Трампа

21 технологический прорыв, который мы совершим до 2030 года

Почему UX-специалисты – новые рок-звезды


comments powered by Disqus

Подпишитесь на рассылку RUSBASE

Мы будем вам писать только тогда, когда это действительно очень важно

Нажмите "Нравится",
чтобы читать Rusbase в Facebook