BezpieczeństwoJak ograniczyć ryzyko dzięki skutecznemu zarządzaniu zasobami informatycznymi > redakcja Opublikowane 10 lutego 20160 0 340 Podziel się Facebook Podziel się Twitter Podziel się Google+ Podziel się Reddit Podziel się Pinterest Podziel się Linkedin Podziel się Tumblr Policja coraz skuteczniej walczy z tym zjawiskiem, a sądy coraz częściej zasądzają obowiązek naprawienia szkody w wysokości żądanej przez pokrzywdzonych producentów. Ponadto, rośnie świadomość polskich przedsiębiorców w zakresie zagrożeń, jakie niesie ze sobą korzystanie z nielegalnego oprogramowania – nie tylko tych finansowych, ale też związanych z bezpieczeństwem informatycznym. Skuteczne zarządzanie zasobami informatycznymi, w tym oprogramowaniem, to dzisiaj już nie kaprys menedżerów działów IT, ale czysto biznesowa kalkulacja.W 2015 roku, na mocy ugód i wyroków sądowych, łączna wartość odszkodowań w Polsce za korzystanie z nielegalnego oprogramowania na rzecz producentów zrzeszonych w BSA – czołowej światowej organizacji non-profit reprezentującej branżę oprogramowania komputerowego – wyniosła 4,4 mln zł. To znacznie więcej niż suma, którą firmy i osoby prywatne musiały zapłacić za naruszenia praw autorskich do oprogramowania w ostatnich latach. W 2012 i 2013 roku wartość odszkodowań przekraczała półtora miliona złotych. Rok później wyniosła niewiele ponad 1,3 mln zł, a w 2015 roku wspomniane już 4,4 mln zł.Tak duży wzrost wynika m.in. z coraz skuteczniejszej współpracy pokrzywdzonych producentów oprogramowania z organami ścigania, w tym z działającymi od niedawna wydziałami do walki z cyberprzestępczością w każdej komendzie wojewódzkiej Policji. Nie bez znaczenia jest także zauważalny wzrost liczby zgłoszeń dotyczących pirackiego oprogramowania kierowanych do BSA. W porównaniu z 2014, ich liczba w 2015 roku wzrosła o blisko 170 proc. Dzięki temu możliwość identyfikacji firmy, która korzysta z nielicencjonowanego oprogramowania jest większa niż w przeszłości. Konsekwencją praktyki korzystania z nielegalnego oprogramowania nie jest jednak tylko i wyłącznie ryzyko finansowe czy odpowiedzialność karna, ale i zagrożenie dla bezpieczeństwa IT, ryzyko paraliżu organizacyjnego, czy utraty zaufania w otoczeniu biznesowym. Usystematyzujmy i wyjaśnijmy zatem wymienione zagrożenia.Ryzyko prawneRyzyko to może oznaczać odpowiedzialność zarówno karną, jak i cywilną. W przypadku odpowiedzialności cywilnej chodzi głównie o odpowiedzialność majątkową, natomiast w wypadku odpowiedzialności karnej, sankcją jest nie tylko wyrok skazujący osobę winną popełnienia czynu zabronionego, ale także ewentualny obowiązek naprawienia szkody.Jedną z głośniejszych spraw w zeszłym roku było przeszukanie w jednej z firm architektoniczno-budowlanych w Katowicach. W wyniku prowadzonych czynności Policji ujawniono korzystanie z nielegalnego oprogramowania projektowego, którego wartość oszacowano na 2 mln zł. Warto przy tym pamiętać, że za uzyskanie programu komputerowego bez zgody osoby uprawnionej w celu osiągnięcia korzyści majątkowej grozi kara nawet do 5 lat pozbawienia wolności.Ryzyko zagrożenia bezpieczeństwa ITKorzystanie z nielegalnego oprogramowania wiąże się także z zagrożeniem bezpieczeństwa informatycznego wskutek infekcji złośliwym oprogramowaniem. Takie niebezpieczeństwo potwierdzają wyniki badania IDC1, które objęło 533 testów laboratoryjnych stron internetowych i sieci P2P oferujących nielegalne oprogramowanie. Okazało się, że 78% pobranych plików zawierało oprogramowanie szpiegujące, a 36% – złośliwe oprogramowanie i trojany. Szacuje się, że tylko w 2014 roku tego rodzaju infekcje naraziły firmy z całego świata na straty w wysokości 491 mld dol.2 Ten problem w dużym stopniu dotyczy także Polski. Według badań BSA3 co drugi program komputerowy zainstalowany w komputerach w naszym kraju jest nielegalny. Tymczasem, jak dowodzą wspomniane badania, istnieje silna korelacjamiędzy nielicencjonowanym a złośliwym oprogramowaniem (tzw. malware) – im wyższy wskaźnik nielicencjonowanego oprogramowania, tym więcej komputerów jest zainfekowanych m.in. programami szpiegującymi i trojanami.Ponadto, według danych zawartych w „Raporcie o zagrożeniach bezpieczeństwa w Internecie”4 firmy Symantec, jednego z członków BSA, Polska jest siódmym krajem na świecie pod względem zagrożeń komputerowych i na drugim miejscu w regionie EMEA (Europa, Bliski Wschód i Afryka) pod względem liczby tzw. komputerów zombie (botów). Ryzyko organizacyjne i wizerunkowe Firmy, które korzystają z nielegalnego oprogramowania, ryzykują ponadto paraliżem pracy. Policja ma bowiem prawo zatrzymać komputery lub twarde dyski. Taka sytuacja naraża na szwank także wizerunek firmy. Trudno spodziewać się, że treść publikacji w mediach na temat dokonanego przeszukania nie zostanie skojarzona przez kontrahentów i klientów. Co więcej, wszczęte postępowanie karne przeciw przedstawicielom firm, dla wielu jej klientów czy kontrahentów może skutkować utratą zaufania.Zmierzamy w dobrym kierunkuOptymistycznie natomiast należy ocenić to, że na przestrzeni ostatnich lat w Polsce konsekwentnie spada współczynnik nielicencjonowanego oprogramowania, nazywanego także „skalą piractwa komputerowego”. Jak wynika z cyklicznych badań BSA Global Software Survey przeprowadzanych przez IDC w 2007 roku, w Polsce 57 proc. oprogramowania wykorzystywano bez licencji, zaś w ostatnim badaniu opublikowanym w 2014 roku współczynnik ten oszacowano na poziomie 51 proc. Nadal jednak Polskę dzieli przepaść w porównaniu z państwami na zbliżonym poziomie rozwoju gospodarczego: w Słowacji i na Węgrzech bez licencji wykorzystuje się mniej niż 40 proc. oprogramowania, zaś w Czechach tylko 34 proc. Natomiast według ostatniego ww. badania IDC średnia w UE wyniosła 31 proc. Co zrobić, by zbliżyć się do tego poziomu? Oczywiście konieczne są dalsze skuteczne działania prawne związane z ochroną praw uprawnionych (czyli w wypadku programów komputerowych – producentów). Skuteczność ta w dużej mierze jest uzależniona od współpracy uprawnionych z organami ścigania. Należy mieć nadzieję, że wspomniane wydziały do walki z cyberprzestępczością będą się rozwijać i że dobrze będzie się układać ich współpraca z wydziałami do zwalczania przestępczości gospodarczej.Egzekwowanie prawa to jednak tylko jedna strona medalu. Wiele bowiem mogą zrobić same firmy i inni użytkownicy oprogramowania. Należy podkreślić, że to w ich interesie leży to, żeby zarządzać zasobami informatycznymi efektywnie. I nie chodzi tu tylko o uniknięcie czy minimalizowanie ryzyka prawnego. Chodzi przede wszystkim o bezpieczeństwo informatyczne, dobrą organizację i wydajność operacyjną, a także optymalizację licencji, przez co należy rozumieć nic innego, jak optymalizację kosztów. Trudno przecenić ten aspekt we wciąż niepewnych ekonomicznie czasach.Profesjonalne zarządzanie oprogramowaniemAby uczynić pierwszy krok w kierunku profesjonalnego zarządzania oprogramowaniem, należy wyznaczyć w firmie osobę odpowiedzialną za zasoby informatyczne, która rozpocznie swą pracę od inwentaryzacji stanu posiadania a następnie dokona wyboru odpowiednich dla firmy rozwiązań w zakresie SAM (ang. Software Asset Management). Są to procesy zarządzania, których wdrożenie docelowo pozwala mieć stałą kontrolę nad stanem posiadania, w tym eliminowanie programów nielicencjonowanych lub zbędnych oraz efektywne zarządzanie cyklem życia poszczególnych elementów infrastruktury IT (sprzętu, oprogramowania). Nie jest to łatwe zadanie, warto jednak je zrealizować z uwagi na liczne korzyści. Najważniejszą z nich – obok bezpieczeństwa prawnego i informatycznego – jest właśnie optymalizacja licencji, a co za tym idzie także kosztów utrzymania infrastruktury IT.Po wdrożeniu procesów zarządzania oprogramowaniem (SAM) należy pamiętać, że zarządzanie zasobami informatycznymi to proces ciągły. A jeśli w końcu wdrożony w firmie system zarządzania zasobami informatycznymi spełnia wymagania normy ISO/IEC 19770-1, to wówczas można śmiało powiedzieć, że firma stosuje najlepsze światowe praktyki w tym zakresie. Innymi słowy, wszystkim polskim firmom i instytucjom należy życzyć, aby w 2016 roku poszły śladem Totalizatora Sportowego, który – dla przypomnienia – jest pierwszą firmą w Europie, która uzyskała certyfikat Verafirm, potwierdzający zgodność zarządzania zasobami informatycznymi z normą ISO/IEC 19770-1. 1The Dangerous World of Counterfeit & Pirated Software, IDC 20132 The Link between Pirated Software and Cybersecurity Breaches, IDC 20143 Global Software Survey, BSA 20144 Internet Security Threat Report, Symantec 2015
