Rychlý vývoj komunikačních možností výpočetní techniky přináší ve společnostech mnoho pozitivního, ale také značná bezpečnostní rizika. V současné době je zaznamenáno stále více kybernetických útoků na firemní i soukromé počítače. Zvyšování bezpečnosti IT je dnes prvořadým úkolem, avšak toto si řada společností uvědomuje až problém nastane.
Základním krokem v této situaci je použít některý ze SW nástrojů SAM (vytvořit si základní evidenci počítačů a zjistit jaký SW se na něm nachází. Nejedná se zde jen o SW licenční, ale o veškerý SW, který se na počítačích nachází. Každý neznámý program může být potencionálním rizikem.
V dalším kroku pak zjišťujeme u uživatelů, zda daný program při své práci skutečně užívají. Nepotřebný, neznámý SW se z počítačů odborně odinstaluje. Na základě skutečně užívaného SW provedeme dohledání nabývacích dokladů k nalezenému SW. Ne vždy se podaří nabývací doklady k SW nalézt v plném rozsahu. Pak máme dvě možnosti, buď daný SW nakoupíme jako dodatečné licence (a to bude velmi drahé), nebo část SW ( kde to půjde) nahradíme levnějším SW, nebo SW, který je možno bezplatně užívat ke komerčnímu využití. Musíme však v této chvíli zvážit i další aspekty na to navazující. Zaškolování uživatelů, tvorba nových šablon a postupů, časové nároky na přeinstalaci SW.
Kdo je vlastně ve firmě za SW odpovědný? Ze zákona vždy fyzická osoba – tedy majitel, jednatel, či ředitel organizace. Ten by měl formou organizačního řádu, popisu práce tuto odpovědnost přenést na správce PC, který by ji zase měl nějakou formou (např. předávací protokol) předat na koncového uživatele.
Kdy mohou nastat problémy? Ve většině případů problémy nastávají, když policie ČR provede kontrolu SW ve vaší organizaci na základě příkazu státního zástupce. Důvodem kontroly bývá často „anonymní“ udání bývalého zaměstnance, nebo konkurenční firmy. Pokud nemáte vše v oblasti SW v pořádku starosti nastávají. Další problémy vznikají porušením bezpečnostních pravidel, kdy uživatel spuštěním nelegálního, infikovaného, či jinak závadného SW ohrozí funkčnost počítače, počítačové sítě, či ohrozí bezpečnost dat.
Co nám tedy hrozí? Užíváním nelegálního SW poškozujete dle autorského zákona výrobce SW (nositele a vykonavatele autorských práv), kteří mohou po vás vyžadovat nakoupení nelegálně užívaných programů. Současně mohou také žádat i o náhradu škody po celé období, kdy jste SW nelegálně užívali. Vzniklá škoda je pak řešena orgány činnými v trestním řízení. U škody značné nad 500 tis. Kč trestní zákoník stanovuje trestní sazbu až na 5 měsíců nepodmíněně. Z praktických zkušeností víme, že tato částka se na cca 100 PC překročí snadno. Nejedná se tak o zneužívaný SW, ale zejména o SW zapomenutý a neužívaný.
Další problémy mohou nastat například s finančními úřady. V okamžiku, kdy na svém počítači vytváříte na nelegálním SW nějaké hodnoty – zisk (např. projekty v CAD systémech), pak vytvořené hodnoty jsou neoprávněným majetkovým prospěchem a propadají státu. Navíc dle posouzení finančního úřadu je možno vypsat penále až do výše 100 % neoprávněného prospěchu. A to jsou již částky, které mohou organizaci značně zkomplikovat život. Bohužel, řada vedoucích pracovníků si tuto skutečnost vůbec neuvědomuje.
Je nutno si říci, že zakoupením SW nevlastníte SW jako takový, ale pouze právo k jeho užívání a to dle specifických podmínek, kterým se říká licenční ujednání. Jakékoliv nedodržení těchto podmínek ze strany uživatele, může být důvodem k zrušení práva k užívání tohoto SW. Pokud nějaká organizace nedoloží kolik SW ve skutečnosti používá (např. licence typu Select), pak může výrobce právo užívání SW s okamžitou platností zrušit. Toto může mít velký vliv na samotný provoz organizace.
Zavedení komplexní správy HW a SW musí vždy chtít a odsouhlasit vedení organizace. Evidence výpočetní techniky je jen prvním krokem, na který musí navazovat organizační a metodická opatření. Pokud bude tato problematika vedením podceňována a ignorována, dojde k časovým prodlením, které v budoucnu povedou k značným finančním ztrátám.
V současné době často kladená otázka ve vedení firem. Z dlouholetých praktických zkušeností vyplývá, že informatik starající se o chod výpočetní techniky již při počtu nad 40 počítačů začne ztrácet přehled o konkrétním stavu počítače, příslušenství, nebo nainstalovaném SW. Chybí mu zpětná vazba, jak vlastně vypadá skutečná realita.
Kolik mám vlastně počítačů, jaké tiskárny používáme, máme všechny používané programy skutečně pokryty licencemi? To jsou nejčastější dotazy, na které řada informatiků ještě dnes nedokáže přesně odpovědět. V současné době, kdy dochází k neustálému snižování nákladů na IT, by měli mít odpovědní pracovníci IT přehled o skutečném, aktuálním stavu IT. Jen na základě detailních informací je možno naplánovat technickou obnovu a údržbu HW, naplánovat nákup spotřebního materiálu, nebo mít přehled o používaném SW a volných licencích. Využívání specializovaných programů sloužících k evidenci IT přináší firmám přínosy, nejen v oblasti ekonomické, ale při využívání dalších modulů zvyšuje i celkovou bezpečnost IT.
Programy sloužící k evidenci IT se musí v první řadě splňovat následující požadavky:
Při nasazení těchto systémů je nutno vždy zvážit, zda se nám vyplatí program k evidenci IT nakoupit a pravidelně jej používat, nebo řešit tuto oblast formou služby. Řada firem zabývajících se údržbou počítačů u menších a středních firem v současné době rozšiřuje služby o vedení tzv. SAM (Software Asset Management). Data o HW a SW se ve firmě v dohodnutých intervalech sbírají a výsledky se dodavatelsky vyhodnocují. Informace se pak v dohodnuté formě a rozsahu předávají vedení firmy k dalšímu použití. Výhodou tohoto řešení je úspora finančních prostředků (nákup programu, roční údržba a školení) a zejména času informatiků, kteří z důvodu zabezpečování provozu IT na tuto oblast nemají tolik času.
Další z možností je využít nabídky SW Auditorů k prvotnímu vyhodnocení SW na PC a vyčištění počítačů od nelegálního a neužívaného SW. Evidence je rychle a efektivně založena a pak předána firmě k dalšímu provozu. Odpovědný pracovník IT pak pokračuje v operativní evidenci, která je automaticky aktualizována scanery HW a SW.
V současné době již řada firem má spíše více licencí, než ve skutečnosti potřebuje. Problém je v tom, že na počítačích je nainstalován SW, který uživatel již dávno nepoužívá, nebo počítač byl účetně zrušen. Klasická ukázka z praxe. Na oddělení IT přijde požadavek na nákup MS Office, pracovník sice „tuší“, že má patrně licencí dostatek, ale pro jistotu koupí. Přitom by stačilo nahlédnou do evidence, zda k dané verzi SW nemáme nějaké volné licence. Takže dnes spíše hovoříme o hospodaření s nevyužívanými licencemi SW, což má značný dopad do úspory finančních prostředků, zejména u středních a velkých firem.
Dalším podceňovaným problémem je výskyt neznámého SW ve firmě, což je vždy velkým bezpečnostním rizikem. Může se jednat o programy stažené z internetu, infiltrované pomocí připojení USB Store, které mohou mít destruktivní, špionážní, nebo jiný negativní vliv na provoz a data firmy. Instalace jakéhokoliv SW uživatelem, je vždy závažné porušení pracovní kázně a musí být v metodice přísně zakázáno.
Pro sledování skutečného využívání SW uživatelem, nebo monitorování činnosti uživatele je možno použít moduly tzv. Personálního Auditu. Nejedná se o zjišťování obsahu vytvořených dat, ale o rozsah skutečné činnosti uživatele. Například je vidět jaké stránky v internetovém prohlížeči navštívil a jak dlouhý čas na nich strávil. Pro měření času je vždy rozhodujícím kritériem užívání aktivní okna programu a další parametry, které zajišťují spravedlivé vyhodnocení činnosti. To že uživatel na začátku dne spustil MS Word a po osmi hodinách vypnul počítač neznamená, že měl v tomto dnu 100 % využití tohoto programu. Na druhou stranu si je nutno uvědomit, že normování práce uživatele se nemůže odvíjet jen ze sledování jeho práce na počítači.
Je nutno si dále uvědomit, že zavedení fyzické evidence VT je jen prvním krokem. Bez patřičné podpory vedoucích pracovníků firmy a vytvoření závazných organizačních pokynů a metodiky, však tato evidence ztrácí smysl a nekázeň uživatelů se vrátí po krátkém čase do starých kolejí.
Ing. Rudolf Weissbrod, SW Auditor, Free RW-Soft, v.o.s.
(Partnerský příspěvek)
Obsah pojmu "správa informačních technologií" se stále vyvíjí, ostatně stejně, jako informační technologie samotné. Různou náplň má také v očích...