Zarządzanie oprogramowaniem w instytucjach administracji państwowej

Transkrypt

1 Zarządzanie oprogramowaniem w instytucjach administracji państwowej Instytucje administracji państwowej są szczególnie wrażliwe pod względem legalności oprogramowania. Pracownicy tych instytucji w większości przypadków posiadają niską świadomość dotyczącą używania oprogramowania, posiadania plików multimedialnych oraz wykorzystania urzędowych sieci do pobierania plików. Taka sytuacja nie wynika tylko i wyłącznie ze świadomych działań będących sprzecznymi z prawem, ale głównie z niewiedzy i braku kontroli przez przełożonych. Pracodawcy często nieświadomi zagrożeń płynących z nieprzestrzegania podstawowych procedur zarządzania oprogramowaniem, skupiają się wyłącznie na przedstawieniu pracownikowi listy oprogramowania na jego komputerze i ostrzeżeniu o nie instalowaniu własnych programów. Takie podejście skutkuje tym iż pracownik, którego komputer nie jest poddawany cyklicznej kontroli, nie ma obaw przed instalacją nielegalnego oprogramowania, a w wielu przypadkach pozwala sobie na kopiowanie aplikacji, które należą do instytucji i wynoszenie ich poza mury placówki. Kolejną istotną kwestią jest posiadanie na dyskach urzędowych komputerów plików multimedialnych. Pracodawcy nie świadomi odpowiedzialności - w dobrej wierze - pozwalają pracownikom na słuchanie muzyki czy oglądanie filmów. Poza oczywistym zagrożeniem jakie niesie ze sobą posiadanie plików multimedialnych chronionych prawami autorskimi jest zmniejszanie zasobów dysków twardych komputerów, co w rezultacie może prowadzić do spadku wydajności całego komputera. Odmienną kwestią pozostają pliki o charakterze pornograficznym, których posiadanie może być zabronione przez prawo. Jednym z groźniejszych działań podejmowanych przez pracowników jest wykorzystywanie łącza internetowego do pobierania plików P2P poprzez szeroką gamę aplikacji do tego przeznaczonych. Zagrożenia jakie niosą ze sobą takie działania są następujące: możliwość pobrania nielegalnego programowania oraz zmniejszenie przepustowości łącza, a co za tym idzie utrudnienie lub uniemożliwienie pracy innym użytkownikom. Warto tutaj zaznaczyć że mówimy o instytucjach użyteczności publicznej, które świadczą usługi dla obywateli. Pracodawcy nie zdają sobie sprawy, że to oni ponoszą odpowiedzialność w przypadku wykrycia używania nielegalnego oprogramowania czy posiadania plików multimedialnych. Wina pracodawcy może być orzeczona w dwóch przypadkach. W pierwszym z nich osoba zarządzająca (kierująca) firmą ma zamiar popełnienia czynu zabronionego (działanie w zamiarze bezpośrednim, np. w celu osiągnięcia korzyści majątkowej). Czynność sprawcza polega zatem na podjęciu decyzji dotyczącej nabycia, zarządzania i korzystania z nielegalnego oprogramowania komputerowego. Wydając swoim

2 pracownikom sprzeczne z przepisami prawa polecenia, władze firmy swoim działaniem naruszają dyspozycję art K.K. (sprawstwo kierownicze), który stanowi, że odpowiada za sprawstwo nie tylko ten, kto wykonuje czyn zabroniony sam albo wspólnie i w porozumieniu z inną osobą, ale także ten, kto kieruje wykonaniem czynu zabronionego przez inną osobę lub wykorzystując uzależnienie innej osoby od siebie, poleca jej wykonanie takiego czynu. W drugim z nich pracodawca wie lub podejrzewa że pracownicy korzystają z nielegalnego oprogramowania i nie podejmuje działań zapobiegawczych zmierzających do uniknięcia czynu zabronionego. Taka sytuacja ma miejsce w przypadku gdy pracodawca zleca pracownikowi utworzenie dokumentu w aplikacji, na którą instytucja nie posiada licencji. Pracodawca winien podejrzewać, że aby wykonać zadanie pracownik może posłużyć się nielegalną kopią oprogramowania. Dlatego właśnie pracodawcy powinni podjąć działania, aby skutecznie walczyć z nielegalnym oprogramowaniem w zarządzanymi przez siebie instytucjami. Istnieje kilka metod walki z nielegalnym oprogramowaniem w firmie. Punktem wyjścia przy wdrażaniu polityk zarządzaniem oprogramowaniem winno być uświadomienie pracownikom jakie zagrożenia niesie ze sobą używanie nielegalnego oprogramowania, kopiowanie aplikacji należących do instytucji, pobieranie i udostępnianie nielegalnego oprogramowanie poprzez sieć. Uświadamianie pracowników winno się odbywać poprzez szkolenia z zakresu użytkowania aplikacji oraz podpisanie z pracownikami porozumień dotyczących używania oprogramowania w danej instytucji. Kolejną metodą walki z nielegalnym oprogramowaniem w instytucjach jest okresowe weryfikowanie znajdujących się na komputerach aplikacji i plików multimedialnych. W obecnej chwili na rynku znajduje się kompletny wachlarz narzędzi służący do przeprowadzenia audytu legalności oprogramowania. Jednym z takich narzędzi jest aplikacja e-audytor, produkt szczecińskiej firmy BTC, który powala nie tylko na weryfikacje znajdującego się na komputerze oprogramowania, ale także na wyszukanie plików multimedialnych, monitorowanie aplikacji użytkowanych przez pracowników i odwiedzanych przez nich stron internetowych. Audyt taki polega na zweryfikowaniu posiadanych licencji z aplikacjami znajdującymi się na komputerach w danej organizacji oraz weryfikacji plików multimedialnych. Istnieje również możliwość zlecenia przeprowadzenia takiego audytu jednej z wielu profesjonalnych firm audytorskich działających się na Polskim rynku. Tylko doświadczeni audytorzy są w stanie wskazać prawidłowe pola eksploatacji oprogramowania i pomóc w interpretacji kontrowersyjnych zapisów. Audytorzy legalności oprogramowania dzięki ścisłej współpracy z producentami na bieżąco uaktualniają swoją wiedzę z zakresu licencjonowania poszczególnych produktów. Mnogość licencji oraz skomplikowany język prawniczy jakim są pisane daje pole do nie zawsze trafnych. Pracownicy IT bardzo często mają problem z ustaleniem ilości licencji, które posiadają. Wynika to z ustaleń jakie różni producenci przyjmują do określenia ilości dowodów legalności wymaganych do zaliczenia licencji.

3 Inną metodą pozwalającą na zmniejszenie ryzyka posiadania nielegalnego oprogramowania w zasobach instytucji publicznych jest ograniczanie użytkownikom praw do instalacji, a nawet dostępu do pamięci wymiennych komputera takich jak: napędy optyczne czy urządzenia USB. Analogicznie pracodawca może ograniczyć pracownikowi dostęp do Internetu, a co za tym idzie zminimalizować ryzyko pobierania niechcianych aplikacji. Program e-audytor posiada opcję blokowania portów USB przez co staje się kompletnym i wszechstronnym narzędziem do zarządzania zasobami IT. Jak wcześniej wspomniałem niska świadomość pracodawców powoduje, iż mimo wielu narzędzi i metod walki z piractwem - jakie przytoczyłem powyżej - nie są oni zdolni do zapewnienia pełnej legalności swojego urzędu czy instytucji. Niewiedza i niskie zainteresowanie zasobami IT w takich instytucjach powodują, że w wielu takich miejscach znajduje się spora ilość nielegalnego oprogramowania. W instytucjach publicznych panuje przekonanie, że nielegalne oprogramowanie nie może dotyczyć takich miejsc, jednak statystyki nie kłamią. W Polsce w 2009 roku skala piractwa wg badań przeprowadzonych na zlecenie BSA (Business Software Alliance) utrzymywała się na poziomie 54%, co oznacza że na więcej niż co drugim komputerze znajdowało się nielegalne oprogramowanie. Mimo że w porównaniu z 2008 rokiem nastąpił spadek skali piractwa o 2%, to nadal straty producentów wynoszą około 506 milionów dolarów. Skala problemu piractwa w krajach Unii Europejskiej (rok 2009) wynosiła 35 %, jednak biorąc pod uwagę nasz region geograficzny i wyniki badań dla Europy Środkowej i Wschodniej, to skala piractwa wyniosła niebagatelne 64 %, co stawia tą część Europy na niechlubnym pierwszym miejscu na świecie. Najmniejszą skale piractwa odnotowano w Ameryce Północnej i wyniosła ona 21 %. Ogólny procent piractwa komputerowego na świecie w 2009 roku oszacowano na 43 %. Takie statystki powinny uzmysłowić osobom kierującym instytucjami użyteczności publicznej że również na ich komputerach może znajdować się nielegalne oprogramowanie i pliki multimedialne. Warto zwrócić uwagę na zasoby IT, które nie tylko stanowią duży odsetek ogólnych zasobów organizacji, ale nie kontrolowane mogą być przyczyną nieprzyjemnych konsekwencji prawnych, jak i utraty wizerunku instytucji publicznych. Rozpoczęcie działań zmierzających do pełnej kontroli nad posiadanym oprogramowaniem powinniśmy rozpocząć od wyznaczenia osoby lub grupy osób odpowiedzialnych za powyższe działania. Osoby odpowiedzialne powinny zlecić wykonanie audytu zewnętrznej firmie. Wyniki audytu stanowią punkt wyjścia do ustalenia aktualnego bilansu licencji oraz poziomu wdrożenia polityk zarządzania oprogramowaniem. To właśnie polityki zarządzania oprogramowaniem są kluczem do utrzymania porządku w zasobach oprogramowania. Wyznaczenie osoby odpowiedzialnej za zarządzanie oprogramowaniem jest jedną z najważniejszych działań jakie należy podjąć. Osoba lub grupa osób będzie sprawowała nadzór nad całokształtem działań w organizacji. Do jej zadań będzie należało m.in. odpowiednie przechowywanie dowodów licencyjnych, które są nie tylko potwierdzeniem posiadania licencji, ale również kluczem do szybkiej instalacji oprogramowania po awarii czy też w przypadku kontroli legalności pozwalają potwierdzić właściwą liczbę licencji. Dowody legalności powinny być przechowywane w jednym

4 centralnym miejscu. Należy przechowywać zarówno nośniki, licencje w formie papierowej, jak i kopię dowodów zakupu danego oprogramowania. Należy pamiętać o tym, aby dowody zakupu oprogramowania przechowywać tak długo jak długo użytkujemy dane oprogramowanie, a nie zgodnie z naszym prawem fiskalnym przez okres 5 lat. Kolejnym aspektem leżącym w gestii osób odpowiadających za zarządzanie oprogramowaniem będzie wprowadzenie odpowiednich procedur zakupowych. Polityka zakupu oprogramowania powinna się opierać o zakupy centralne, odbywające się tylko i wyłącznie u autoryzowanych dostawców i dotyczące wyłącznie programów znajdujących się na liście oprogramowanie zaaprobowanego przez przełożonych. Do zadań osób odpowiedzialnych będą również należały okresowe kontrole użytkowanego oprogramowania. Przy użyciu odpowiednich narzędzi osoby odpowiedzialne powinny raz na kwartał (w przypadku dużej liczby wykrytych niezgodności nawet częściej) dokonywać weryfikacji użytkowanego oprogramowania z posiadanymi licencjami. Takie działania pozwolą wskazać użytkowników, którzy wprowadzają nielegalne oprogramowanie i pliki multimedialne do organizacji oraz spowodują, że będziemy mieli pewności że wszystkie nasze produkty są właściwie licencjonowane. Zwieńczeniem wdrożenia powyższych polityk będzie podpisanie porozumień z pracownikami dotyczących zasad użytkowania oprogramowania. Porozumienia takie winny zawierać wykaz aktów prawnych odnoszących się do użytkowania oprogramowania przez pracownika oraz ewentualne sankcje w przypadku ich naruszeń. Podpisanie porozumień z każdym z pracowników ma nie tylko wymiar prawny, ale w większym stopniu wymiar psychologiczny, dzięki którym pracownik zastanowi się zanim zainstaluje zabronione oprogramowanie. Wprowadzenie porozumień powinno być poprzedzone szkoleniami dla pracowników, dzięki którym zrozumieją jakie czynności są zabronione i jakie konsekwencje grożą im za działanie niezgodne z polityką organizacji. Zasady użytkowania oprogramowania powinny zostać spisane w odpowiedniej formie i przedstawione do zapoznania wszystkim pracownikom. Wdrożenie odpowiednich polityk zarządzania oprogramowaniem nie jest rzeczą szybką i prostą, jednak pozostawanie obecnej sytuacji może się wiązać z przykrymi konsekwencjami. Pracownicy działów IT powinni zdawać sobie sprawę z tego, że oni również ponoszą odpowiedzialność za to co znajduję się na komputerach pracowników. Przydatne informacje dotyczące porozumienia z pracownikami i zasad użytkowania oprogramowania znajdziesz na podanych poniżej stronach internetowych: - Porozumienie z pracownikami: ok_april2011.ashx

5 - Wzór zasad użytkowania oprogramowania: Łukasz Gabryś Audytor Wiodący BTC Sp. z o.o.