facebook LinkedIN LinkedIN - follow
IT SYSTEM 11/2003

Softwarový audit v praxi

II. díl: Jak se vyhnout trestní zodpovědnosti při nálezu nelegálního softwaru

Martina Hyndráková


Při prvním auditování sítě není nikdy všechno v pořádku. Administrátor zasáhl včas, všechny nepatřičné aplikace vymazal, v síti je pouze legální software a i o hardwarových komponentech a uživatelích jsou k dispozici výrazně lepší informace. Je ale možné zneužívání sítě zastavit úplně? Lze udělat něco proto, aby softwarový audit neztratil pět minut po svém dokončení smysl, protože uživatelé prostě své oblíbené utility a hry na síť znovu nainstalují? Lze zabránit tomu, aby trestní zodpovědnost při nalezení nelegálního software nesl někdo jiný, než kdo škodu skutečně způsobil? Odpověď zní: ANO.


V minulém díle našeho seriálu jsme popisovali, jak provést hlavní část softwarového auditu. Máme přehled o tom, co je ve firmě skutečně nainstalováno, jakým disponujeme hardwarem, víme, co uživatelé potřebují. Nyní zbývá definovat, jaký software se bude ve firmě používat – tzv. koncepční software. Dále musíme zpracovat evidenci licencí a vytvořit interní směrnici, která bude definovat práva a povinnosti všech uživatelů. Představuje to zpočátku sice dost práce, ale jedná se investici s rychlou návratností a dlouhodobým efektem.

Stanovení koncepce
Vždy existuje zásadní rozdíl mezi tím, co uživatelé chtějí na svých počítačích mít nainstalované, a co skutečně ke své práci potřebují. Sjednocením software, který budou jednotlivá pracoviště používat, lze další nákupy licencí centralizovat a dosáhnout výrazných finančních úspor. Typicky se tento problém řeší definováním tzv. softwarových profilů, typizovaných instalací pro jednotlivá pracoviště. Z těch se pak složí celkový obraz software pro firmu tzv. koncepční software. Nevyhovující produkty nalezené na počítačích, ale v rozporu s koncepcí, je pak třeba urychleně odinstalovat a nahradit vyhovujícími.

Co bude třeba evidovat aneb Slovo mají účetní
Máme přehled o tom, co na síti zůstane. Nyní nás bohužel čeká mnoho administrativní práce, zejména účetní oddělení. Nejdůležitějším dokladem pro evidenci software je totiž doklad o jeho nabytí. Doklady bude třeba dohledat, zkontrolovat a zadat do evidence. Kromě nabývacího dokladu by v případě produktů dodávaných s tištěnou smlouvou měli správci uchovávat licenční smlouvy a certifikát autentičnosti (Certificate of Authenticity). Originál licenční smlouvy totiž může posloužit jako doklad o legálnosti nabytí software. Její hlavní úlohou je ale specifikovat práva užívání produktu, ke kterému se vztahuje. Autor jejím prostřednictvím totiž může uživateli umožnit používat jednu zakoupenou licenci programu třeba na domácím i pracovním počítači. Protože se smlouvy u jednotlivých verzí produktů mění, nestačí archivovat jednu smlouvu k jednomu typu programu, například MS Windows.

Za nabývací doklad je považován doklad splňující následující náležitosti:
· jasná identifikace dodavatele a odběratele, datum nabytí,
· specifikaci produktu – název produktu, verze produktu, jazyková mutace, počet nabytých licencí,
· podpis, nebo podpis a razítko.

Typicky se pak jedná o faktury, převodní či darovací smlouvy, prohlášení prodejce nebo dodací list. U OEM produktů rozhodně nestačí faktura s textem „Počítač se software v celkové ceně XY“. Rovněž nelze za nabývací doklad považovat faktury s textem „Programové vybavení v ceně XY". U upgradů je třeba uschovávat doklady o nabytí až k původnímu tzv. zdrojovému produktu.

Účtárna originály dokladů nechce dát
Smiřte se s tím. Dohodněte s účtárnou postup, který jí umožní identifikovat, že se na faktuře jedná o software. Originál nechte v účetnictví a kopii založte do evidenční knihy software, která bude uložena u správce sítě. Pokud povedete evidenci pouze v elektronické podobě, stačí fakturu naskenovat a založit pouze soubor.
Znamená to dvojí dokumentaci, ale má to své výhody. Může se totiž snadno stát, že přijdete ne vaší vinou o doklady o nabytí.



Skartovali doklady o nabytí software
Ano, stává se to velmi často. Upozorněte účetní oddělení na § 32 Zákona o účetnictví. Vyplývá z něj, že doklady k software není možné skartovat spolu s ostatními fakturami, ale je třeba je uchovat po celou dobu užívání licence!
Pokud už byly přesto účetní doklady skartovány, zbývá jen požádat prodejce o jejich opis. Někdy ale prodejci software v mezičase zanikli, a kopie dokladů tak nejsou dostupné ani touto cestou. V těchto případech doporučujeme obrátit se na specializovanou auditorskou firmu a konzultovat postup s odborníky.

Kompletujeme evidenci software
Nalezené účetní doklady a licence je třeba přiřadit k nalezeným instalacím. Jedná se bohužel o jedinou část, kde je třeba data zadávat ručně. Některé auditovací nástroje však umožňují i tuto činnost výrazně usnadnit importem evidence z jiných datových zdrojů a dále s nimi pracovat, například Microsoft Access, Excel, XML či text.
Maximálně automatizovaná evidence nalezeného software by měla být samozřejmou součástí každého auditovacího nástroje. Minimálně by měla umožňovat:
· evidenci všech typů licencí (časově omezené, vázané na uživatele, počítač, firmu),
· přiřazení nabývacího dokladu a poznámky administrátora,
· přidání naskenované faktury či licence,
· evidence umístění tištěných záležitostí (manuálů, médií apod.).

Po zadání licenčních údajů je okamžitě jasné, které aplikace nemají na síti co dělat. Může se naopak zjistit, že licence některých aplikací nejsou skoro vůbec využité. Nyní je na administrátorovi a IT manažerovi, aby rozhodli, který software je nutno odinstalovat či kolik nových licencí je třeba dokoupit. Zároveň mohou doporučit prodej software, který se nepoužívá či jej nabídnout oddělením, které by o něj mohly mít zájem.

Finále – přenášíme zodpovědnost tam, kam skutečně patří
Softwarový audit je u konce. Nyní zbývá poslední krok, kterým je přenesení zodpovědnosti do maximálně možné míry až na koncové uživatele. Porušování autorských práv je postihováno podle přestupkového nebo trestního zákona. Příslušný paragraf trestního zákona (§152) vyžaduje konkrétní zodpovědnost. Každý ve firmě by si tedy měl uvědomit, že pokud se objeví nelegální software, bude jednoduše stíhána firma. Už vůbec se nedá spoléhat na to, že když se konkrétní viník nenajde, na vše se po čase zapomene. Pravděpodobný scénář? První na řadě bude statutární zástupce firmy, typicky jednatel. Ten nese za jednání firmy zodpovědnost. V další fázi se dostaneme ke správci IT, který má instalace a odinstalace obvykle v popisu práce, a teprve na konci řetězce je koncový uživatel počítače.

Případná medializace případů porušování autorských práv a nepříjemnosti spojené s vyšetřováním poškodí dobré jméno celé firmy. Přitom nejčastější příčinou problémů jsou koncoví uživatelé. Ano, v mnohých případech je to opravdu nespravedlivé, ale lze tomu zabránit? Tvrzení, že pouhým vytvořením specifikačního listu počítače na konci auditu přenesete odpovědnost až na koncového uživatele, jsou přinejmenším nepřesná. Aby byla odpovědnost skutečně přenesena, je nutné zvolit kombinovaná technická a administrativní opatření.

· Doporučujeme zpracovat interní směrnici, ve které bude jasně definován způsob nakládání se
software ve firmě, práva, povinnosti a zodpovědnosti jednotlivých účastníků (jakési „mantinely“
chování uživatelů počítačové sítě).
· Zaměstnanci musí být s touto směrnicí seznámeni a musí to potvrdit – nejlépe svým podpisem.
· Do specifikačního listu počítače pak lze některé údaje ze směrnice pro jistotu zopakovat a doplnit
potřebnými kontakty.
· Doporučujeme zavést i technická opatření (omezení aktivit uživatelů na síti).

Směrnice – na co nezapomenout
Nelze vyrobit jednoduchý návod na výrobu ideální směrnice. Neexistují dvě stejné firmy a navíc vývoj v oblasti IT jde kupředu rychleji než kdekoliv jinde. Můžeme vám ale poskytnout několik tipů pro její strukturu:
· Preambule – účel směrnice, rozsah závaznosti, použité definice a zkratky atp.
· Pojmy a jejich definice – vymezení zákonných úprav, vymezení zákonných možností kopírování
software, licenční smlouva, nosiče dat, verze programů (jazykové mutace), aktualizace programů
(upgrade, update, buildy), časově omezené licence, integrované systémy, programovací jazyky,
runtimové moduly programů, zápůjčky software, vytváření počítačových programů v
zaměstnaneckém poměru, výroba a používání dekódovacích zařízení, používání CD-RW
mechaniky.
· Popis Informačního systému a jeho struktura (řízení) – technické prostředky, programové
vybavení, uložení, oběh a
zálohování dat, komunikace, provoz, provozní doby, help-desk, krizová řešení
· Práva a povinnosti uživatelů informačních systémů – uživatel (kategorie dle přístupových práv),
externí uživatel, správce
lokality, uživatelské účty a jejich typy, podmínky zřízení a zrušení, žádost o nový software,
dokumentace instalace či
deinstalace, vyřazení software, pravidelné kontroly.
· Práva a povinnosti správců informačních systémů – oddělení informatiky (práva a povinnosti,
úloha ve schvalovacím a přidělovacím procesu, způsob komunikace, dokumentování rozhodnutí,
instalací, archivace dokladů, evidence hardwaru a softwaru, opakování softwarových auditů,
reakce na nepovolené chování uživatelů, instalační protokoly, komunikace s
ekonomickým a účetním oddělením). Vedoucí, správce aplikací, databází, hardware, financování.
· Zabezpečení a ochrana informačních systémů – organizační opatření, správa uživatelských
účtů, ochrana před viry a
nežádoucími instalacemi, technická opatření.
· Sankce – vyplývající z nakládání se software v rozporu se směrnicí.
· Přílohy a vzory – definice způsobu evidence hardware, definice způsobu evidence software,
jmenný seznam pověřených osob uvedených v této směrnici (aktualizovatelný, ve směrnici samé
mohou být jen odkazy na „funkce“), specifikační list (evidenční list PC či passport – používá se
několik pojmů), formulář požadavku na přidělení software a hardware, seznam koncepčního
softwaru (aktualizovatelný), likvidační protokol.

Kontrolovat, kontrolovat, kontrolovat
Už pět minut po ukončení softwarového auditu se stav sítě začne dynamicky měnit. Pokud nechcete ztratit přehled a kontrolu, vyplatí se softwarový audit provádět nepravidelně alespoň v části firmy. Nejlépe tak, aby o tom uživatelé nevěděli předem. Dobrý auditovací program dovolí zpracovat jen rozdíly od posledně nalezených výsledků a je možné na ně rychle zareagovat. Jednoduchá a účinná metoda vedoucí k výraznému ukáznění většiny uživatelů.

Zákony, které se dotýkají softwarového managementu
Vraťme se ještě na okamžik k zákonům souvisejícím se softwarovým managementem. Paragraf 152 trestního zákona se týká porušování autorského práva, práv souvisejících s právem autorským a práv k databázi.
· § 152 (1) Kdo neoprávněně zasáhne do zákonem chráněných práv k autorskému dílu,
uměleckému výkonu, zvukovému či zvukově obrazovému záznamu, rozhlasovému nebo televiznímu
vysílání nebo databázi, bude potrestán odnětím svobody až na dvě léta nebo peněžitým trestem
nebo propadnutím věci.
· § 152 (2) Odnětím svobody na šest měsíců až pět let nebo peněžitým trestem nebo propadnutím
věci bude pachatel potrestán, a) získá-li činem uvedeným v odstavci 1 značný prospěch, nebo b)
dopustí-li se takového činu ve značném rozsahu.

Mimo trestního a přestupkového zákona se ještě musíme zmínit o evidenci softwarových licencích v účetnictví firmy, takže se samozřejmě dostaneme i k zákonu o účetnictví, zákonu o DPH a skončíme u ochranných známek, patentů, vynálezů a průmyslových vzorů. Určitě nezapomeňme na § 32 zákona o účetnictví o kterém jsme se již zmínili. Z něj vyplývá, že by nabývací doklady k software (typicky faktury) neměly být skartovány s ostatními fakturami, ale musí se naopak archivovat.
· § 32 (1) Použijí-li účetní jednotky účetní záznamy i pro účely ochrany autorských práv, postupují
po uplynutí uschovacích dob uvedených v § 31 odst. 2 dále tak, aby byly zajištěny požadavky
vyplývající z jejich použití pro uvedené účely.

Jak se vyzbrojit – vybíráme auditovací nástroj
Klasická, papírová evidence a správa licencí je v současnosti myslitelná pouze u malých organizací, kde počet počítačů nepřesahuje číslo deset. V okamžiku, kdy počet stanic jde do desítek, stovek či tisíců, jiné než automatizované softwarové řešení není možné. Kromě automatizace celého procesu kvalitní auditovací software skýtá řadu dalších výhod. Nezapomeňte, že aby byl proces softwarového managementu opravdu účinný, je třeba opakovat audity hardwaru i softwaru – kontrolní prohlídka sítě by ale neměla přidělat mnoho práce. Dobrý auditovaní nástroj umožňuje rychle vyhodnocovat změny na sledovaných počítačích a informovat administrátora o případném porušování interních pravidel. Možnost sledovat a evidovat instalaci nových počítačů včetně softwaru, ale také zpětně sledovat změny, by měly být samozřejmostí.

Na prvním místě při vybírání optimálního systému stojí splnění základních požadavků. Mnohé firmy již mají své interní směrnice, podle kterých provádějí softwarový audit. Státní správa musí například splňovat požadavky vládního nařízení č. 624 z roku 2001, které obsahuje kritéria jako přesnost a spolehlivost, použitelnost, opakovatelnost, identifikovatelnost počítače a uživatele, ochrana dat a podobně. Pokud takové směrnice neexistují, právě toto vládní nařízení může posloužit jako velmi podrobný a spolehlivý zdroj inspirace. Vedle těchto základních požadavků jsou další kritéria, která by měla být v kupovaném řešení obsažena.
· Míra automatizace procesů softwarového auditu – jde především o plně automatizovaný sběr dat, takže není nutné obcházet počítače s tužkou a papírem a nahlížet do složky Program Files. Dále pak detekce hardwaru, generování tiskových sestav či import co největšího množství informací, které lze získat automaticky. Taktéž bezproblémová možnost importu sběru dat z detašovaných pracovišť je důležitá. Pokud bude IT manažer provádět pravidelné audity stovek počítačů na několik pobočkách, takovéto funkce více než ocení. Jak systém vyhodnocuje data z opakovaných kontrol? Vše třídíte znovu nebo se můžete zabývat jen změnami?
· Systémové požadavky – základní instalace se nejčastěji provádí na platformu Windows NT a
není o nic složitější než například instalace antivirového systému. Data pak lze sbírat z počítačů s
operačními systémy DOS, všech verzí Windows, UNIX či dalšími platformami.
· Snadnost ovládání, údržby – uživatelské rozhraní, přehlednost, intuitivnost, snadnost a rychlost
ovládání. Samozřejmostí by měly být funkce vyhledávání v položkách, ukládání obsahu oken do
souboru a podpora drag & drop. Co firma, to originál, tiskových sestav není nikdy dost. Spíše než
deset předdefinovaných sestav se vyplatí snadná možnost exportu toho, co potřebujete, do
známého prostředí.
· Architektura – je výhodné si zvolit model třívrstvé architektury, která zjednodušeně spočívá v
rozdělení systému do tří částí (vrstev). Ty lze samostatně rozmístit na více počítačů, které spolu
navzájem komunikují principem klient-server. Je tak zajištěno efektivnější využití jednotlivých části,
vyšší bezpečnost, nižší míra duplikace binárního kódu, a především rozprostření (škálovatelnost)
výkonu.

Úloha odborného auditora při softwarových auditech
Může se zdát, že existence programů pro provádění softwarových auditů supluje práci odborníků – softwarových auditorů. Není to pravda. Skutečně dobrý auditovací nástroj vykoná za vás či za softwarového auditora 90 % stereotypní práce a ušetří značné finanční prostředky. Jednou zavedená evidence zůstává ve firmě a lze ji snadno udržovat aktuální. Také monitorování chování uživatelů je jednoduché a lze na něj rychle reagovat. Zkušenosti auditora jsou ale zejména ve větších firmách v celém procesu auditu nezastupitelné. Projít od začátku softwarového auditu až na jeho konec, kdy jen zbývá periodicky hlídat dění na počítačové síti, stojí jisté úsilí. Zpracování koncepce softwarového rámce, vyhodnocování údajů, statistik, přípravě směrnice, přenesení odpovědnosti na koncové uživatele – zde může konzultace s odborníky přinést další viditelné úspory času, energie i peněz. Mnoho firem přenechává rukám odborníků celý vstupní proces softwarového managementu. Po jejich odchodu zůstane firmě auditovací software pro další kontroly, funkční evidence softwaru, poučení uživatelé, hotová směrnice a proškolený administrátor.

Není nad čím váhat
Zavedení softwarového managementu ochrání jednotlivce i celé organizace proti případnému postihu z nelegálního užívání software. Zároveň zprůhlední, zjednoduší a zlevní celý systém hospodaření se softwarovými licencemi.
Na českém trhu existuje několik řešení, které si kladou tyto potřeby pokrýt, a je na zvážení každého uživatele, ke kterému se přikloní. Ať už si vyberete jakékoli řešení, vždy dbejte na to, aby maximum všech úkonů bylo automatizováno. Pokud si nejste jistí, jak při zavádění softwarového managementu postupovat, obraťte se nezávislou auditorskou firmu, která s výběrem vhodného softwaru a celkové strategie poradí.

Klíčové pojmy softwarového managementu:
· Koncepční software
software, který bude nadále společnost používat. Může zahrnovat i šablony instalací – přehled typických instalací pro jednotlivá pracoviště.
· Doklad o nabytí software – musí obsahovat jasnou identifikaci dodavatele a odběratele, datum nabytí, specifikaci produktu včetně čísla verze a jazykové mutace, počet licencí a autentifikaci.
· Licenční smlouva
důležitá součást dokladu o nabytí software.
· OEM softwaresoftware, který je licenčně spojen s hardware.
· Účetní doklady a § 32 zákona o účetnictvídoklady vztahující se k software není možné skartovat spolu s ostatními fakturami.
· Evidence nalezeného softwareúčetní doklady a licence jsou přiřazeny k aplikacím nalezeným na počítačové síti.
· Zodpovědnost za instalovaný software nese konkrétní osoba. Vyžaduje to trestní zákon (§ 152). Obvykle jde o statutárního zástupce firmy, typicky jednatele.
· Interní směrnice tvrzení, že pouhým vytvořením evidenčního listu počítače je možné přenést odpovědnost až na koncového uživatele, jsou nepřesná. Odpovědnost je skutečně přenesena až zavedením technických a administrativních opatření. Jejich součástí je právě interní směrnice, která přesně definuje pravidla nakládání se softwarem.
· Auditovací nástrojpapírová evidence a správa licencí je v současnosti myslitelná pouze u malých firem, kde počet počítačů nepřesahuje číslo deset. Jde-li počet stanic do desítek, stovek či tisíců, jiné než automatizované softwarové řešení není možné.
· Softwaroví auditořizkušenosti auditorů jsou podstatné a mohou přinést viditelné úspory času, energie a peněz. Pomohou nastartovat a vytvořit celý systém softwarového managementu. Od zpracování koncepce softwarového rámce, vyhodnocování údajů, statistik, přípravě směrnice až po přenesení odpovědnosti na koncové uživatele.

Autorka článku, Martina Hyndráková, je specialistkou na softwarové audity firmy truconneXion a manažerkou auditovacího softwaru AuditPro.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.


Inzerce

Konec papírování, digitalizujte a usnadněte si práci!

IT Systems 3/2024V aktuálním vydání IT Systems jsme se zaměřili na vývoj digitalizace ve světě peněz, tedy v oblasti finančnictví a pojišťovnictví. Dozvíte se například, proč je aktuální směrnice PSD2 v inovaci online bankovnictví krokem vedle a jak by její nedostatky měla napravit připravovaná PSD3. Hodně prostoru věnujeme také digitalizaci státní správy a veřejného sektoru, která nabírá obrátky.