Aplikacje w porządku
-
- Andrzej Maciejewski,
- 22.05.2012
W Polsce piractwa komputerowego najczęściej dopuszczają się przedsiębiorcy. W ubiegłym roku zapłacili 1,7 mln zł odszkodowań. Najwyższa ugoda opiewała na 300 tys. zł. Audyt legalności oprogramowania chroni firmę przed takimi kłopotami.
Instytucje państwowe, które zdecydowały się dokonać audytu i wdrożyć monitorujące zasoby aplikacje, to m.in. Urząd Rzecznika Praw Obywatelskich, Uniwersytet Wrocławski, Wojewódzki Sąd Administracyjny w Poznaniu, Muzeum Historyczne Miasta Krakowa i Państwowy Instytut Geologiczny.
Pirackie ryzyko
Alarmującym wnioskiem z ogólnoświatowego badania jest fakt, że "osoby zarządzające firmami przyznają się do kradzieży oprogramowania komputerowego częściej niż inni użytkownicy. Ponad dwukrotnie częściej niż inni deklarują, że kupują oprogramowanie przeznaczone do obsługi jednego komputera, a następnie instalują je na wielu stanowiskach w swoich biurach". Może to oznaczać, że zwłaszcza w biznesie pokusa "oszczędności" jest silna.
Jak mówi Piotr Fabiański, prezes Infonet-Projekt, spółki prowadzącej audyty oprogramowania i dostawca aplikacji IT Manager, BSA w oficjalnych komunikatach apeluje do polskich przedsiębiorców o przestawienie się wyłącznie na legalne oprogramowanie, gdyż - jak ostrzega BSA - "tylko profesjonalne zarządzanie polityką licencyjną pozwala na uniknięcie ryzyka prawnego i zagrożeń bezpieczeństwa informatycznego związanych z korzystaniem z nielegalnego oprogramowania". Posiadanie nielegalnych aplikacji narusza umowy licencyjne producentów, co skutkuje odpowiedzialnością karną. Co istotne, do czasu wprowadzenia odpowiednich polityk legalności za wszelkie rozbieżności w posiadanych licencjach odpowiada kierownictwo firmy. "Dla przedsiębiorcy audyty oprogramowania są konieczne do efektywnego zarządzania zasobami informatycznymi" - przekonuje Piotr Fabiański. Potencjalna kontrola policji w przedsiębiorstwie i wykrycie nielegalnego oprogramowania skutkuje zarekwirowaniem na czas prowadzonego dochodzenia sprzętu komputerowego, co w efekcie może skutecznie unieruchomić firmę, doprowadzając do strat. "Jestem przekonany, że to już są wystarczające powody do przeprowadzenia audytu oprogramowania" - twierdzi Piotr Fabiański.
Zaczyna się od użytkownika
Do firmowego środowiska informatycznego nowe oprogramowanie lub pliki multimedialne, np. gry, filmy i muzyka, wnoszą głównie pracownicy. Komputer z dostępem do internetu znacznie to ułatwia. Oczywiście, istnieją wyjątki stacji roboczych czy tzw. cienkich klientów odizolowanych od publicznej sieci, ale są to specyficzne przypadki, charakterystyczne dla wybranych branż. Instalowanie programów z płyt CD czy pamięci USB może ukrócić blokada wprowadzona przez administratora. "Poziom uprawnień użytkownika sieci firmowej zależy od wielu czynników, m.in. od regulacji wewnętrznych oraz systemowych, którymi zarządza dział informatyki. Te z kolei zależą od przyjętej polityki w poszczególnych organizacjach. W korporacjach użytkownik ma ograniczone uprawnienia. Najczęściej sprowadzają się do braku możliwości instalacji i deinstalacji oprogramowania. Podobnie jest w sektorze bankowości i ubezpieczeń" - wyjaśnia Fabiański.
Ograniczenie praw użytkowników komputerów w firmowej sieci wynika ze wzrostu świadomości kadry zarządzającej oraz administratorów. "Sporadycznie spotykamy się z firmami, w których zwykli użytkownicy sieci mają pełne prawa administracyjne. Nie możemy skategoryzować tych firm według branży, ponieważ jedynym kryterium, jakie można tutaj zastosować, jest wielkość infrastruktury informatycznej w danej firmie. Z naszego doświadczenia wynika, że w mniejszych firmach znacznie częściej użytkownicy mają prawa administracyjne. W firmach z rozbudowaną infrastrukturą informatyczną prawa administracyjne posiadają wyłącznie administratorzy sieci bądź osoby, których praca wymaga takich uprawnień" - mówi Rafał Dembicki, kierownik Działu Zarządzania Oprogramowaniem w firmie Onesafe, która przeprowadza audyty oprogramowania i jest dostawcą aplikacji Logsystem.
Jak być legalnym
Piotr Fabiański, Infonet-Projekt
Zalecamy, aby audyt legalności oprogramowania niezależnie od wielkości danej organizacji był przeprowadzany przez firmę zewnętrzną z uwagi na to, iż audyt wykonany przez administratora pracującego w tej firmie niesie ze sobą ryzyko nieprawidłowego rozliczenia wykrytych systemów aplikacji, np. niezgodnie z zasadami licencjonowania poszczególnych programów.
Takie uprawnienia uzyskują zwykle organizacje, które zdobyły odpowiedni status partnerski producenta danego oprogramowania, a ich pracownicy ukończyli odpowiednie szkolenia i zdali certyfikowane egzaminy. W ramach programu Software Assets Management na rynku polskim najaktywniej działają Microsoft, Adobe oraz AutoDesk. "Audyt legalności oprogramowania przeprowadzany w ramach programu partnerskiego Microsoft Software Assets Management umożliwia użytkownikom produktów Microsoft weryfikację legalności posiadanego oprogramowania, usprawnia procesy zarządzania licencjami oraz dobór najkorzystniejszej formy zakupu. W bardzo podobny sposób działa to w programach firm Adobe oraz Auto Desk" - wyjaśnia Roman Mieszczak, audytor firmy Infonet Projekt.
"Zalecamy, aby audyt legalności oprogramowania, niezależnie od wielkości danej organizacji, był przeprowadzany przez firmę zewnętrzną z uwagi na to, że audyt wykonany przez administratora pracującego w tej firmie niesie ze sobą ryzyko nieprawidłowego rozliczenia wykrytych systemów aplikacji, np. niezgodnie z zasadami licencjonowania poszczególnych programów" - zastrzega Piotr Fabiański.
Zasadność posiadania oprogramowania do zarządzania zasobami i przeprowadzania audytu potwierdza Rafał Dembicki: "W firmach, które nie wdrożyły oprogramowania do zarządzania zasobami, administratorzy mają bardzo ograniczone możliwości kontroli legalności aplikacji". Z obserwacji firmy Onesafe wynika, że najpopularniejszym sposobem wśród administratorów jest kompletowanie licencji dla danego komputera w tzw. teczkach, co niestety pod żadnym względem nie pozwala na stwierdzenie, że na danym komputerze oprogramowanie wykorzystywane jest w sposób legalny. "Nasze doświadczenie pozwala stwierdzić, że w 95% firm, które nie poddały się audytowi oprogramowania bądź nie wdrożyły systemu do zarządzania zasobami IT, oprogramowanie nie jest wykorzystywane zgodnie z postanowieniami licencyjnymi" - stwierdza Rafał Dembicki.
Piotr Fabiański zwraca uwagę na jeszcze jeden poważny problem: darmowe oprogramowanie przeznaczone do użytku prywatnego lub ograniczonego czasowo, instalowane bez żadnej kontroli. "Przeglądarki graficzne InfranView, archiwizatory WinRAR i WinZip czy przeglądarki plików typu Total Commander to powszechny widok na stacjach roboczych w praktycznie każdej firmie. Poza kwestiami natury prawnej pracodawca może zauważyć fakt instalowania na komputerach aplikacji służących do rozrywki oraz przechowywania potężnych zasobów filmowych. W jednej z firm usługowych posiadającej 60 stacji roboczych znaleźliśmy ponad 2 terabajty filmów i seriali. Ciekawym przykładem jest też przedsiębiorstwo produkcyjne, w którym audyt wykazał, że na ponad 20 stacjach zainstalowano grę z serii The Sims" - opowiada Piotr Fabiański. Audyty wykonywane przez Infonet Projekt wykazują, że nawet 82% badanych przedsiębiorstw ma problem z prywatnymi aplikacjami lub multimedialnymi plikami (gry, filmy, muzyka).
Możliwości narzędzi
Aplikacje badające legalność oprogramowania automatycznie skanują zainstalowane oraz przechowywane na stacjach roboczych oprogramowanie i porównują je z zakupionymi przez firmę licencjami. "Mechanizmem przydatnym w zarządzaniu oprogramowaniem jest funkcja zdalnej deinstalacji oprogramowania ze stacji roboczej oraz zdalne usuwanie treści zabronionych, takich jak nielegalne pliki multimedialne" - przekonuje Piotr Fabiański.
Według Rafała Dembickiego oferta, która obecnie cieszy się największym zainteresowaniem na rynku, to połączenie usługi audytu oprogramowania wykonywanego przez wykwalifikowaną firmę i narzędzia do audytu. "Najczęściej wykorzystywana w takich programach funkcja to baza danych o stanie urządzeń IT, w tym komputerów, licencji oraz pracowników" - mówi Rafał Dembicki. Funkcja rozliczania licencji jest natomiast kluczowym czynnikiem dla firm dbających o stan legalności, zwłaszcza po audytach. "Monitoring użytkowania aplikacji przez pracowników i przeglądanych stron internetowych znajduje swoje zastosowanie głównie w mniejszych firmach. Dla osób piastujących stanowiska menedżerów IT najważniejszy jest moduł raportowania, który szybko generuje czytelne informacje" - podsumowuje Rafał Dembicki.
Audyt wykorzystywanego oprogramowania przeprowadziła w ubiegłym roku spółka Bond, producent wyrobów odzieżowych. "Decyzję podjął prezes, który uznał, że wpłynie to pozytywnie na wizerunek i reputację firmy" - opowiada Tomasz Fiałkowski, szef IT. Od poprzedniego audytu minęło kilka lat. W tym czasie znacząco zmieniły się informatyczne zasoby spółki - zakupiono nowe komputery i oprogramowanie. Oba audyty przeprowadziła firma zewnętrzna. "Firmowy dział IT nie zawsze ma odpowiednie zasoby lub kompetencje do profesjonalnego wykonania takiej kontroli" - przyznaje Fiałkowski. W przypadku firmy Bond audyt dotyczył aplikacji Microsoft - systemów operacyjnych na komputerach i serwerach oraz pakietów biurowych. "Coraz powszechniejsza staje się wirtualizacja, więc warto sprawdzić, czy licencje stosowane są zgodnie z umową" - uzasadnia audyt Fiałkowski. Komputery osobiste na ogół kupowane są od razu z systemem, zatem ryzyko naruszeń bywa niższe. Historia firmowego oprogramowania mogła obejmować upgrade’y, downgrade’y, przenoszenie licencji. Kontroli poddano także wykorzystywane w firmie oprogramowanie magazynowe, CAD/CAM, pakiety antywirusowe, a także pliki multimedialne.
Audyt został podzielony na dwie części. Pierwsza, bardzo czasochłonna, polegała na zebraniu dla audytora wszelkiej dokumentacji poświadczającej legalność wykorzystywanego oprogramowania. Mogły to być faktury, umowy, opakowania. Dokumenty mogły znajdować się nie tylko w dyspozycji działu IT, ale także działu księgowości. W drugim etapie audytor przeskanował każdy firmowy komputer za pomocą odpowiedniej aplikacji. Uzyskane dane z badania porównano z zebraną wcześniej dokumentacją. Elementem audytu było także wprowadzenie do firmowego regulaminu zapisów o przeniesieniu odpowiedzialności za pliki multimedialne na użytkowników.
"Po zakończonym audycie zdecydowaliśmy się na wdrożenie aplikacji IT Manager, która wspomaga nadzór nad wykorzystywanym w firmie oprogramowaniem" - mówi Tomasz Fiałkowski. Audyt ostatecznie doprowadził do usunięcia nieprawidłowości przez dokupienie brakujących licencji. "Bez odpowiednich licencji nie da się utrzymać takiego porządku na dłużej" - przekonuje szef IT w firmie Bond. Zaimplementowana aplikacja pozwala ustawiać reguły, które automatycznie kasują np. pliki .avi większe niż 500 MB. Pomaga optymalizować zakupy kolejnych licencji. "Z moich obserwacji wynika, że dużo wiele przestało traktować audyt jako zło konieczne. Warto zadbać o wytłumaczenie pracownikom, czemu ma służyć taki audyt" - przekonuje Fiałkowski.
