Вы в России... Сколько раз звучит эта фраза с разной степенью экспрессии… не счесть. Вот так и с информационной безопасностью – пока гром не грянет, живем по накатанной. А он грянул. Причем, как признаются эксперты, вполне ожидаемо. Многочисленные проверки, судебные разбирательства, штрафные санкции и… реальные уголовные сроки, причем не где-то в отдельно взятом городе, а по всей стране.
ВРЕЗ (цветом) Использование нелицензионного программного обеспечения влечет за собой административную и уголовную ответственность (п. 1 ст. 7.12 Кодекса об административных правонарушениях (КоАП) РФ и ст. 146 УК РФ).
С 1 января 2008 года вступила в силу ст. 1250 Гражданского Кодекса РФ – «Защита интеллектуальных прав». В ней, в частности, говорится, что отсутствие вины не освобождает нарушителя от необходимости прекратить использование контрафакта, а также не исключает применения к нему санкций.
Какое ПО (лицензионное или нелицензионное) использует ваша компания? А вы сами? Отказ от нелегального программного обеспечения — тема, занимающая в последнее время умы едва ли не большинства руководителей компаний. И это правильно, говорит Владимир Разуваев, Директор по правовому обеспечению Softline. Наличие так называемого «пиратского» софта отслеживается, и будет отслеживаться самыми разнообразными способами.
Как подготовиться к проверкам? Что такое программный аудит? О чем следует знать руководителям компаний? В интервью УП - Владимир Разуваев.
Справка о компании: Компания Softline работает на рынке программного обеспечения с 1993 года. Совокупный оборот компании в 2008 году составил 364 млн. долларов. Сегодня в Softline работает более 1 300 сотрудников. В компании развиваются такие направления бизнеса, как: лицензирование программного обеспечения (работа с СМБ и EPG-сегментами, частным сектором) региональный сегмент, обучение и консалтинг.
Программное обеспечение у вас свое?
Своего программного обеспечения у нас крайне мало, есть разработки. В основном, это перепродажа ПО западных и российских компаний. В нашем поле более 4000 вендоров.
Если сравнить с компанией ORACLE, которая занимается только своими продуктами.
Да, у ORACLE разработки свои, это не перепродажа. А мы как раз являемся реселлером ORACLE - продаем программное обеспечение, которое принадлежит этой компании, на территории России и в странах СНГ.
SAP не отвечает на наш вопрос: «назовите предприятие, где ваш продукт работает без вас, без постоянного присутствия ваших представителей». Можете назвать такую компанию с SAP или ORACLE?
Не знаю, не занимался никогда внедрением, не отвечал за это.
Известно, что одним из ваших клиентов является Банк «Траст». Расскажите о вашей услуге, в чем ее преимущество для компании?
Эта услуга была оказана не только Банку «Траст». Просто он на сегодняшний день является самым крупным клиентом, как с точки зрения заказчика, так и исполнителя этой услуги. У банка 60 филиалов в 140 городах. Это порядка 7000 компьютеров по всей России. Мы внедрили технологию по управлению программным обеспечением.
Любая компания, в особенности крупная, где есть более 500, 700 компьютеров, обладает большим количеством лицензий на программное обеспечение, и использует все его разнообразие. Естественно, во всем этом деле нужно наводить должный порядок, разбираться и понимать, насколько это программное обеспечение является легальным и лицензионным. Замечу, что одна из проблем по использованию ПО – это его легальность. Причем, нарушить авторские права можно даже не осознанно, без злого умысла. И для этого не нужно приходить на Горбушку или Савеловский рынок и покупать там откровенно пиратский диск. Существуют виды корпоративного пиратства. Например, компания купила лицензии Microsoft Office на 1000 рабочих мест. Диск используется один, а устанавливается на 1001, 1002, 1003-ий и т.д – почему и кто виноват - вопрос без ответа.
Насколько я Вас понимаю, это массовое явление?
Да. В очень редких компаниях внедрена система учета программного обеспечения. В банке «Траст» мы ввели программное средство, которое позволяет сканировать все находящиеся программные продукты на каждом компьютере. Это программа просканировала, показала какие программные продукты там стоят, мы собрали всю информацию и проанализировали. Далее запросили документы, которые подтверждают легальность использования всех этих продуктов. Провели юридический анализ документов, посмотрели какие из них соответствуют законодательству, в каких есть проблемы, где банк не защищен с точки зрения авторских прав на использование программного обеспечения. Потом дали соответствующие рекомендации по доработке этих документов в плане заключения дополнительных соглашений с правообладателями. Банк все эти рекомендации выполнил и сейчас с юридической точки зрения в плане документов, полностью закрыт.
Что было выявлено в ходе такого аудита?
Некоторое несоответствие между количеством лицензий и установленного программного обеспечения. В связи с тем, что не было нормального, правильного учета, выяснилось, что некоторое ПО было закуплено сверх той нормы, которая реально необходима. Возьмем любой продукт: для примера – Microsoft Office - было закуплено 500, а используется 400. То есть, 100 лицензий куплено зря, а деньги потрачены впустую. Это все следствие отсутствия эффективного учета программного обеспечения и лицензий на него.
Понятно, что все эти анализы, отчеты, аудит – это все хорошо. Но дальше, после того, как Softline уходит от клиента, ему нужно что-то дальше делать, со всем этим беспорядком как-то разбираться. Мы подготовили для «Траста», и со всеми заказчиками это делаем, регламенты, которые описывают жизненный цикл программного обеспечения. Начиная с момента поступления заявки на help desk. Есть некоторое заблуждение в IT-мире, что жизнь программного обеспечения начинается с того момента, как оно установлено на конкретный компьютер. На этот счет есть международный стандарт ISO19770-1, который говорит, что жизнь программного обеспечения начинается с того момента, как поступает заявка на help desk. Она может быть короткая, потому что в удовлетворении заявки может быть отказано. Или эта жизнь окажется длинной, если заявка удовлетворяется и пройдены все остальные процедуры, касательно выбора поставщика, схемы лицензирования, закупки, заключения договора, установки, вплоть до деинсталляции программного обеспечения. Таким образом, все эти процессы по управлению программным обеспечением, весь жизненный цикл был прописан: регламенты, процедуры - и сейчас банк «Траст» взял отдельного сотрудника, который занимается непосредственным учетом лицензий для всех филиалов. Сегодня банк по все показателям демонстрирует устойчивый рост, поэтому для него это на самом деле крайне актуально. В результате проведенного аудита стал понятен процент экономической отдачи от проекта. А ведь это по большому счету инвестиционный проект, который в будущем сэкономит деньги самого заказчика. Вот если коротко, что мы сделали.
Кто еще кроме вас в России занимаемся программным аудитом?
Есть ряд организаций, которые заявляют, что они это делают. Но конкурентов у нас нет. И я говорил почему: при оказании этих услуг обязательным является юридический аудит. Этим никто из коллег не занимается. У нас это направление создано на базе юридического департамента внутри компании Softline. Я являюсь директором по правовому обеспечению. У меня в подчинении два департамента – юридический, который занимается внутренними юридическими процессами, и департамент управления лицензиями - это то бизнес-направление, которое оказывает услугу. Мы делаем ставку именно на юридическую составляющую, на минимизацию существующих рисков.
Ваш совет руководителям компаний: каких нарушений следует бояться в первую очередь?
Совет сводится к тому, что чаще всего, в 95 процентах случаев, проверяют и обращают внимание на самое дорогостоящее ПО. Если посмотреть на любой компьютер, то там есть операционная система, какой-то офисный пакет. Если это рекламное агентство, издательство, то это графическое ПО, которое стоит больших денег по сравнению со стандартным.
Да некоторые английские программы верстки стоят 30, 80 тыс. евро…
В первую очередь это медиакомпании. У них много заказного ПО, которое делается эксклюзивно. Но в крупных проблемы в целом решены. В общем, первое, на что обращают внимание – это дорогостоящее ПО. Это операционные системы, если это не свободное и не бесплатное ПО, офисные пакеты, графическое программное обеспечение, 1С, бухгалтерские программы и справочно-правовые системы. Это самые открытые, самые ярые вендоры, интересы которых защищают правоохранительные органы.
Насколько сейчас проверяющие органы технически «вооружены»?
Они крайне активны. У меня есть небольшая статистика по проверкам. Например, выявленные преступления по 146 статье (ст. 146 УК РФ - нарушение авторских прав). Количество проверок по федеральным округам: 46% в Центральном Федеральном округе, в Приволжском - 20%, 10% - в Южном, 9% в Северо-Западном и 5-8% приходится на остальные округа. Насыщенность бизнеса отражает, да. Если по количеству, то порядка 7000 преступлений было выявлено в 2009 году по 146 статье.
Какой процент компаний использует по-крупному нелицензионку?
Думаю, что тут нужно говорить о том самом неосознанном нарушении: порядка 90%.
- Я читал, что в Америке до 60%, особенно в частом секторе.
- Вопрос в том, что компания везде может провозглашать и искренне верить, что использует легальное программное обеспечение. Но какой-то сотрудник притащил свой нелегальный софт, не отдавая себе отчет, в том риске, которому он подвергает всю компанию. Комплекс мер безопасности, которые компания должна предпринять включает и запрет на использование программного обеспечения для личных нужд.
Это Ваш первый совет. А как бороться с этим? Инструкция и наказание.Ваша программа позволяет это выявить?
Да, безусловно. У нас есть несколько программных средств, которые мы предлагаем для отслеживания установленных программ. Они раскидывают агентов по каждому компьютеру, незаметно для пользователя. Пользователь работает, находится в сети, ему устанавливается агент, он не видит этого. Такой маленький «стукач», который в центральную базу данных будет отправлять всю информацию. И лицо, которое ответственно за учет программного обеспечения, управление им, видит всю ситуацию. Можно указать стандарт, который используется, и обратить внимание, что программное обеспечение, которое было выявлено, не входит в этот стандарт.
Идея замечательная. А стоимость?
Стоимость разная. Понятно, что у каждой программы разный функционал. От минимального к большему разброс цен от 15 евро до 100-200 евро за рабочее место. Если 30 000 компьютеров, то…
А штрафные санкции?
По российскому законодательству есть три вида ответственности. Это гражданско-правовая, административная и уголовная. Если про гражданско-правовую ответственность говорить, то она изложена вся в четвертой части Гражданского Кодекса РФ. Она сводится к тому, что суд может наложить штраф, обязать нарушителя выплатить компенсацию до 5 миллионов рублей (как компенсация за моральный вред), плюс (как компенсация за нарушение) выплатить в двойном размере стоимость одного экземпляра программного обеспечения, которое нарушается. Нашли, например, 100 контрафактных решений Microsoft, соответственно, умножаем 100 на двойную стоимость и получаем штраф. Либо новый вид ответственности, который введен с первого января 2008 года – это ликвидация юридического лица по требованию прокурора по решению суда, лица, которое реально нарушает неоднократно либо грубо исключительные права на ПО.
А если это государственная компания, работающая на новое вооружение для министерства обороны?
Я думаю, что здесь будут применяться штрафы. Ликвидация вряд ли. Если на административную ответственность посмотреть, то у нее максимальный штраф для юрлица – 40 000 рублей. Ерунда, копейки. И неприятный вид ответственности здесь же: конфискация контрафактных экземпляров и оборудования, на которых они воспроизводятся. То есть, изъятие и конфискация системных блоков.
В случае если это ноутбук, то ноутбук. Именно конфискация – не просто забрали, отформатировали и вернули, а именно конфисковали и уничтожили. И самое неприятное – уголовная ответственность. К ней может быть привлечено только физическое лицо (юридическое лицо не может быть привлечено к уголовной ответственности). Здесь максимальный размер наказания – 6 лет лишения свободы, в случае, если размер нарушения превышает 500 000 рублей.
Он часто превышает. То есть 6 лет можно получить, используя нелицензионное ПО?
Реальных приговоров с максимальным сроком не было до прошлого года. В 2009-м было вынесено шесть приговоров с реальным сроком наказания. Самый строгий из них, если не ошибаюсь, 4 года лишения свободы.
В каких регионах?
Москва, Урал, Новосибирск.
Какие еще есть защитные действия, Вы бы рекомендовали?
Все три способа, о которых я говорил выше. Но первое и основное - провести аудит. Это важно. Для того чтобы управлять чем-то, нужно понимать, чем ты будешь управлять.
Сами компании могут провести аудит?
Принципиально, да.
Сколько стоит у вас эта услуга?
У нас она идет в комплексе технологии управления программным обеспечением. Где-то порядка 100 долларов за рабочее место.
Второй совет.
Это аудит договорной базы. Необходимо собрать все документы. Именно их наличие и соответствие оригиналам проверяют контролирующие органы. Они запрашивают все документы, которые подтверждают легальность ПО. Первое: непосредственно лицензионные договоры на ПО или договоры купли-продажи, если речь идет о покупке экземпляров программ; бухгалтерские документы, которые подтверждают оплату и получение продукта. Все эти документы необходимо иметь под рукой, чтобы потом не бегать, сломя голову, по всему офису и не искать. Это такой банальный совет. И, наверное, заключительный – усилить превентивные меры по борьбе с нелегальным ПО. Я имею в виду меры внутри компании. Допустим, компания решила купить какой-то софт не у крупного поставщика, который точно имеет отношение к вендору, а у более мелкого, который заключает договор, не соответствующий законодательству. Договор, в котором нет существенных условий, а это распространенное явление.
Соответственно, софт, который используется на основании такого договора, может быть признан нелицензионным. Я имею в виду то, что продавая ПО, мелкие софтовые компании не заморачиваются по поводу составления адекватных, соответствующих законодательству договоров. Покупатель этого ПО подвергает себя риску. Поэтому превентивные меры как раз в том и заключаются, чтобы пользоваться нормальными услугами, и заключать те договоры, которые соответствуют законодательству.
А если конкуренты скажут, что вы как крупная компания преувеличиваете эту опасность в своих интересах?
Сказать могут, но…
Задним числом-то можно договор переделать…
Можно, но зачастую эти мелкие компании уже и существовать не будут…
То есть, сбросили деньги, купили на Горбушке, а сбросили деньги на кантору, якобы там купили.
И такая проблема тоже может существовать.
В одной компании я видел, что на стене висят ксерокопии документов на ПО. Это нормально?
Разницы нет, где они висят, главное, чтобы оперативно можно было показать правоохранительным органам. Ведь ни для кого не секрет, что общение с правоохранительными органами хочется всегда свести к минимуму.