Na własne ryzyko

Jakie problemy mogą być związane z używaniem darmowych programów służących bezpieczeństwu informatycznemu?

Nic na stoi na przeszkodzie, aby producent oprogramowania przyjął na siebie wyższy niż standardowy zakres odpowiedzialności odszkodowawczej. Wystarczająca będzie stosowna klauzula umowna. Trudno wyobrazić sobie jednak taką sytuację w odniesieniu do darmowych programów. Opcja ta będzie zarezerwowana w przeważającym stopniu dla w pełni negocjowanych kontraktów o stworzenie lub przekazanie komercyjnych aplikacji. Tutaj klient będzie mógł wymóc na producencie oprogramowania szerszy zakres odpowiedzialności, niejednokrotnie powiązany z "serwisowaniem" aplikacji.

Dodać trzeba, że na własne ryzyko korzysta się też z patchy, uzupełniających luki w programie. Zwłaszcza, że źródła oryginalnego programu i uzupełniającego go "antidotum" są odmienne. Mało kiedy w przypadku wyrządzenia szkody w związku z uruchamianiem patchy, pojawi się bowiem problem umyślnego jej wyrządzenia przez producenta takich "uzupełnień".

Przy audycie bezpieczeństwa

Drugą stroną analizowanej problematyki jest sięganie po wolne oprogramowanie przy testowaniu zabezpieczeń systemu informatycznego. Nic nie stoi na przeszkodzie, aby w umowie dotyczącej audytu bezpieczeństwa wskazać na narzędzia, jakie mają być w tym celu wykorzystywane. Klient ma prawo wiedzieć, czy i w jakim zakresie nastąpi sięgnięcie po instrumentarium open source.
Nie zawsze będzie miejsce na tak szczegółowe zapisy kontraktu. Dostrzegalna jest jednak tendencja do zawierania w umowach konieczności sprostania wymogom zawartym w normach poświęconych zarządzaniu bezpieczeństwem [np. norma PN-ISO/IEC 27001]. W takim wypadku przeprowadzający audyt ma w zasadzie dowolność w doborze środków technicznych. Musi się jednak liczyć z ewentualną odpowiedzialnością kontraktową, przykładowo z karami umownymi, jeśli wykazane zostanie, że nie działał z należytą starannością. Sytuacja taka zajść może, gdy audyt będzie wspomagany przez przestarzałe, darmowe narzędzia z zakresu bezpieczeństwa sieciowego. Zwłaszcza, że w kontrakcie pojawić może się dość pojemne zastrzeżenie kary umownej na wypadek: "niewykonania lub nienależytego wykonania obowiązków wynikających z kontraktu".

Szczególną barierą prawną w użyciu aplikacji dla celów audytu może być zawarcie w licencji zakazu wykorzystywania programu w celach komercyjnych. Przeprowadzający audyt wykraczałby poza zakres dopuszczalnych czynności, wyznaczony w licencji. Z kolei, umowy o wykonanie audytu mogą zawierać dość ogólnikową w swym brzmieniu klauzulę, iż wykonujący testy i badania systemu zobowiązuje się do respektowania praw autorskich osób trzecich. Ponadto, dodatkowym zastrzeżeniem bywa klauzula wyraźnie podkreślająca, iż wykonujący zlecone testy ma prawa do wykorzystywanych aplikacji.

Rozproszona odpowiedzialność

Podkreślić trzeba, że wszelkie kwestie związane z odpowiedzialnością wynikającą z używania darmowych programów cechuje jeszcze jedna prawidłowość. Złożona struktura społeczności współtworzących tego typu aplikacje komplikuje faktyczne dochodzenie roszczeń odszkodowawczych. Na potrzeby sporu sądowego należy każdorazowo zidentyfikować pozwanego, zaś biorąc pod uwagę nakładanie się na proces kreowania programu działań wielu osób, nie zawsze będzie to proste. Dla przykładu, zwracanie się do pierwotnego producenta programu okaże się chybione, jeśli okaże się, że realną szkodę spowodowały komponenty "dołączane" do programu na jego dalszych etapach rozwoju.