Zarządzanie oprogramowaniem w instytucjach administracji

Zarządzanie oprogramowaniem w instytucjach administracji

Zarządzanie oprogramowaniem w instytucjach administracji
państwowej
Instytucje administracji państwowej są szczególnie wrażliwe pod względem legalności
oprogramowania. Pracownicy tych instytucji w większości przypadków posiadają niską
świadomość dotyczącą używania oprogramowania, posiadania plików multimedialnych oraz
wykorzystania urzędowych sieci do pobierania plików. Taka sytuacja nie wynika tylko
i wyłącznie ze świadomych działań będących sprzecznymi z prawem, ale głównie z
niewiedzy i braku kontroli przez przełożonych.
Pracodawcy często nieświadomi zagrożeń płynących z nieprzestrzegania
podstawowych procedur zarządzania oprogramowaniem, skupiają się wyłącznie na
przedstawieniu pracownikowi listy oprogramowania na jego komputerze i ostrzeżeniu o nie
instalowaniu własnych programów. Takie podejście skutkuje tym iż pracownik, którego
komputer nie jest poddawany cyklicznej kontroli, nie ma obaw przed instalacją nielegalnego
oprogramowania, a w wielu przypadkach pozwala sobie na kopiowanie aplikacji, które należą
do instytucji i wynoszenie ich poza mury placówki. Kolejną istotną kwestią jest posiadanie na
dyskach urzędowych komputerów plików multimedialnych. Pracodawcy nie świadomi
odpowiedzialności - w dobrej wierze - pozwalają pracownikom na słuchanie muzyki czy
oglądanie filmów. Poza oczywistym zagrożeniem jakie niesie ze sobą posiadanie plików
multimedialnych chronionych prawami autorskimi jest zmniejszanie zasobów dysków
twardych komputerów, co w rezultacie może prowadzić do spadku wydajności całego
komputera. Odmienną kwestią pozostają pliki o charakterze pornograficznym, których
posiadanie może być zabronione przez prawo. Jednym z groźniejszych „działań”
podejmowanych przez pracowników jest wykorzystywanie łącza internetowego do pobierania
plików P2P poprzez szeroką gamę aplikacji do tego przeznaczonych. Zagrożenia jakie niosą
ze sobą takie działania są następujące: możliwość pobrania nielegalnego programowania oraz
zmniejszenie przepustowości łącza, a co za tym idzie utrudnienie lub uniemożliwienie pracy
innym użytkownikom. Warto tutaj zaznaczyć że mówimy o instytucjach użyteczności
publicznej, które świadczą usługi dla obywateli.
Pracodawcy nie zdają sobie sprawy, że to oni ponoszą odpowiedzialność
w przypadku wykrycia używania nielegalnego oprogramowania czy posiadania plików
multimedialnych. Wina pracodawcy może być orzeczona w dwóch przypadkach.
W pierwszym z nich osoba zarządzająca (kierująca) firmą ma zamiar popełnienia czynu
zabronionego (działanie w zamiarze bezpośrednim, np. w celu osiągnięcia korzyści
majątkowej). Czynność sprawcza polega zatem na podjęciu decyzji dotyczącej nabycia,
zarządzania i korzystania z nielegalnego oprogramowania komputerowego. Wydając swoim
pracownikom sprzeczne z przepisami prawa polecenia, władze firmy swoim działaniem
naruszają dyspozycję art. 18 § 1 K.K. (sprawstwo kierownicze), który stanowi, że odpowiada
za sprawstwo nie tylko ten, kto wykonuje czyn zabroniony sam albo wspólnie i w
porozumieniu z inną osobą, ale także ten, kto kieruje wykonaniem czynu zabronionego przez
inną osobę lub wykorzystując uzależnienie innej osoby od siebie, poleca jej wykonanie takiego
czynu. W drugim z nich pracodawca wie lub podejrzewa że pracownicy korzystają z
nielegalnego oprogramowania i nie podejmuje działań zapobiegawczych zmierzających do
uniknięcia czynu zabronionego. Taka sytuacja ma miejsce w przypadku gdy pracodawca
zleca pracownikowi utworzenie dokumentu w aplikacji, na którą instytucja nie posiada
licencji. Pracodawca winien podejrzewać, że aby wykonać zadanie pracownik może posłużyć
się nielegalną kopią oprogramowania. Dlatego właśnie pracodawcy powinni podjąć działania,
aby skutecznie walczyć z nielegalnym oprogramowaniem w zarządzanymi przez siebie
instytucjami.
Istnieje kilka metod walki z nielegalnym oprogramowaniem w firmie. Punktem
wyjścia przy wdrażaniu polityk zarządzaniem oprogramowaniem winno być uświadomienie
pracownikom jakie zagrożenia niesie ze sobą używanie nielegalnego oprogramowania,
kopiowanie aplikacji należących do instytucji, pobieranie i udostępnianie nielegalnego
oprogramowanie poprzez sieć. Uświadamianie pracowników winno się odbywać poprzez
szkolenia z zakresu użytkowania aplikacji oraz podpisanie z pracownikami porozumień
dotyczących używania oprogramowania w danej instytucji. Kolejną metodą walki z
nielegalnym oprogramowaniem w instytucjach jest okresowe weryfikowanie znajdujących się
na komputerach aplikacji i plików multimedialnych.
W obecnej chwili na rynku znajduje się kompletny wachlarz narzędzi służący do
przeprowadzenia audytu legalności oprogramowania. Jednym z takich narzędzi jest aplikacja
e-Audytor, produkt szczecińskiej firmy BTC, który powala nie tylko na weryfikacje
znajdującego się na komputerze oprogramowania, ale także na wyszukanie plików
multimedialnych, monitorowanie aplikacji użytkowanych przez pracowników i odwiedzanych
przez nich stron internetowych. Audyt taki polega na zweryfikowaniu posiadanych licencji z
aplikacjami znajdującymi się na komputerach w danej organizacji oraz weryfikacji plików
multimedialnych. Istnieje również możliwość zlecenia przeprowadzenia takiego audytu jednej
z wielu profesjonalnych firm audytorskich działających się na Polskim rynku. Tylko
doświadczeni audytorzy są w stanie wskazać prawidłowe pola eksploatacji oprogramowania i
pomóc w interpretacji kontrowersyjnych zapisów. Audytorzy legalności oprogramowania
dzięki ścisłej współpracy z producentami na bieżąco uaktualniają swoją wiedzę z zakresu
licencjonowania poszczególnych produktów. Mnogość licencji oraz skomplikowany język
prawniczy jakim są pisane daje pole do nie zawsze trafnych. Pracownicy IT bardzo często
mają problem z ustaleniem ilości licencji, które posiadają. Wynika to z ustaleń jakie różni
producenci przyjmują do określenia ilości dowodów legalności wymaganych do „zaliczenia”
licencji.
Inną metodą pozwalającą na zmniejszenie ryzyka posiadania nielegalnego
oprogramowania w zasobach instytucji publicznych jest ograniczanie użytkownikom praw do
instalacji, a nawet dostępu do pamięci wymiennych komputera takich jak: napędy optyczne
czy urządzenia USB. Analogicznie pracodawca może ograniczyć pracownikowi dostęp do
Internetu, a co za tym idzie zminimalizować ryzyko pobierania niechcianych aplikacji.
Program e-Audytor posiada opcję blokowania portów USB przez co staje się kompletnym
i wszechstronnym narzędziem do zarządzania zasobami IT.
Jak wcześniej wspomniałem niska świadomość pracodawców powoduje, iż mimo
wielu narzędzi i metod walki z piractwem - jakie przytoczyłem powyżej - nie są oni zdolni do
zapewnienia pełnej legalności swojego urzędu czy instytucji. Niewiedza i niskie
zainteresowanie zasobami IT w takich instytucjach powodują, że w wielu takich miejscach
znajduje się spora ilość nielegalnego oprogramowania. W instytucjach publicznych panuje
przekonanie, że nielegalne oprogramowanie nie może dotyczyć takich miejsc, jednak
statystyki nie kłamią. W Polsce w 2009 roku skala piractwa wg badań przeprowadzonych na
zlecenie BSA (Business Software Alliance) utrzymywała się na poziomie 54%, co oznacza
że na więcej niż co drugim komputerze znajdowało się nielegalne oprogramowanie. Mimo że
w porównaniu z 2008 rokiem nastąpił spadek skali piractwa o 2%, to nadal straty
producentów wynoszą około 506 milionów dolarów. Skala problemu piractwa w krajach Unii
Europejskiej (rok 2009) wynosiła 35 %, jednak biorąc pod uwagę nasz region geograficzny
i wyniki badań dla Europy Środkowej i Wschodniej, to skala piractwa wyniosła niebagatelne
64 %, co stawia tą część Europy na niechlubnym pierwszym miejscu na świecie. Najmniejszą
skale piractwa odnotowano w Ameryce Północnej i wyniosła ona 21 %. Ogólny procent
piractwa komputerowego na świecie w 2009 roku oszacowano na 43 %. Takie statystki
powinny uzmysłowić osobom kierującym instytucjami użyteczności publicznej że również na
ich komputerach może znajdować się nielegalne oprogramowanie i pliki multimedialne.
Warto zwrócić uwagę na zasoby IT, które nie tylko stanowią duży odsetek ogólnych zasobów
organizacji, ale nie kontrolowane mogą być przyczyną nieprzyjemnych konsekwencji
prawnych, jak i utraty wizerunku instytucji publicznych.
Rozpoczęcie działań zmierzających do pełnej kontroli nad posiadanym
oprogramowaniem powinniśmy rozpocząć od wyznaczenia osoby lub grupy osób
odpowiedzialnych za powyższe działania. Osoby odpowiedzialne powinny zlecić wykonanie
audytu zewnętrznej firmie. Wyniki audytu stanowią punkt wyjścia do ustalenia aktualnego
bilansu licencji oraz poziomu wdrożenia polityk zarządzania oprogramowaniem. To właśnie
polityki zarządzania oprogramowaniem są kluczem do utrzymania porządku w zasobach
oprogramowania. Wyznaczenie osoby odpowiedzialnej za zarządzanie oprogramowaniem jest
jedną z najważniejszych działań jakie należy podjąć. Osoba lub grupa osób będzie
sprawowała nadzór nad całokształtem działań w organizacji. Do jej zadań będzie należało
m.in. odpowiednie przechowywanie dowodów licencyjnych, które są nie tylko
potwierdzeniem posiadania licencji, ale również kluczem do szybkiej instalacji
oprogramowania po awarii czy też w przypadku kontroli legalności pozwalają potwierdzić
właściwą liczbę licencji. Dowody legalności powinny być przechowywane w jednym
centralnym miejscu. Należy przechowywać zarówno nośniki, licencje w formie papierowej,
jak i kopię dowodów zakupu danego oprogramowania. Należy pamiętać o tym, aby dowody
zakupu oprogramowania przechowywać tak długo jak długo użytkujemy dane
oprogramowanie, a nie zgodnie z naszym prawem fiskalnym przez okres 5 lat. Kolejnym
aspektem leżącym w gestii osób odpowiadających za zarządzanie oprogramowaniem będzie
wprowadzenie odpowiednich procedur zakupowych. Polityka zakupu oprogramowania
powinna się opierać o zakupy centralne, odbywające się tylko i wyłącznie u autoryzowanych
dostawców i dotyczące wyłącznie programów znajdujących się na liście oprogramowanie
zaaprobowanego przez przełożonych. Do zadań osób odpowiedzialnych będą również
należały okresowe kontrole użytkowanego oprogramowania. Przy użyciu odpowiednich
narzędzi osoby odpowiedzialne powinny raz na kwartał (w przypadku dużej liczby wykrytych
niezgodności nawet częściej) dokonywać weryfikacji użytkowanego oprogramowania z
posiadanymi licencjami. Takie działania pozwolą wskazać użytkowników, którzy
wprowadzają nielegalne oprogramowanie i pliki multimedialne do organizacji oraz
spowodują, że będziemy mieli pewności że wszystkie nasze produkty są właściwie
licencjonowane.
Zwieńczeniem wdrożenia powyższych polityk będzie podpisanie porozumień z
pracownikami dotyczących zasad użytkowania oprogramowania. Porozumienia takie winny
zawierać wykaz aktów prawnych odnoszących się do użytkowania oprogramowania przez
pracownika oraz ewentualne sankcje w przypadku ich naruszeń. Podpisanie porozumień z
każdym z pracowników ma nie tylko wymiar prawny, ale w większym stopniu wymiar
psychologiczny, dzięki którym pracownik zastanowi się zanim zainstaluje zabronione
oprogramowanie. Wprowadzenie porozumień powinno być poprzedzone szkoleniami dla
pracowników, dzięki którym zrozumieją jakie czynności są zabronione i jakie konsekwencje
grożą im za działanie niezgodne z polityką organizacji. Zasady użytkowania oprogramowania
powinny zostać spisane w odpowiedniej formie i przedstawione do zapoznania wszystkim
pracownikom.
Wdrożenie odpowiednich polityk zarządzania oprogramowaniem nie jest rzeczą
szybką i prostą, jednak pozostawanie obecnej sytuacji może się wiązać z przykrymi
konsekwencjami. Pracownicy działów IT powinni zdawać sobie sprawę z tego, że oni
również ponoszą odpowiedzialność za to co znajduję się na komputerach pracowników.
Przydatne informacje dotyczące porozumienia z pracownikami i zasad użytkowania
oprogramowania znajdziesz na podanych poniżej stronach internetowych:
- Porozumienie z pracownikami:
http://www.bsa.org/country/~/media/Files/Tools_And_Resources/pl/poland_employeehandbo
ok_april2011.ashx
- Wzór zasad użytkowania oprogramowania:
http://www.microsoft.com/poland/sam/download.mspx
Łukasz Gabryś
Audytor Wiodący
BTC Sp. z o.o.