Владимир Разуваев – о необходимости ведения программного аудита на российских предприятиях

«Секретарское дело» от 11 февраля

Использование нелицензионного программного обеспечения влечет за собой административную и уголовную ответственность (п. 1 ст. 7.12 Кодекса об административных правонарушениях (КоАП) РФ и ст. 146 УК РФ). Наличие или отсутствие нелегального ПО на предприятии выявляется посредством программного аудита. Владимир Разуваев, директор по правовому обеспечению Softline рассказал о том, что собой представляет программный аудит и как к нему подготовиться.

– Программное обеспечение у вас свое?

– Своего программного обеспечения у Softline крайне мало, есть разработки. В основном, это перепродажа ПО западных и российских компаний. В нашем поле более 4000 вендоров.

– Известно, что одним из ваших клиентов является банк «Траст». Расскажите о вашей услуге, в чем ее преимущество для компании?

– Эта услуга была оказана не только банку «Траст». Просто он на сегодняшний день является самым крупным клиентом, как с точки зрения заказчика, так и исполнителя данной услуги. У банка 60 филиалов в 140 городах – порядка 7000 компьютеров по всей России. Мы внедрили технологию по управлению программным обеспечением.

Любая компания, в особенности крупная, где есть более 500 – 700 компьютеров, обладает большим количеством лицензий на программное обеспечение и использует все его разнообразие. Естественно, здесь нужно наводить должный порядок, разбираться и понимать, насколько это программное обеспечение является легальным и лицензионным. Замечу, что одна из проблем по использованию ПО – его легальность. Нарушить авторские права можно даже неосознанно. Существуют виды корпоративного пиратства. Например, компания купила лицензии Microsoft Office на 1000 рабочих мест. Диск используется один, а устанавливается на 1001-ый, 1002-ой, 1003-ий компьютер и т. д.

– Является ли такая практика массовым явлением?

– Да. В очень редких компаниях внедрена система учета программного обеспечения. В банке «Траст» мы ввели средство, которое позволяет сканировать все находящиеся программные продукты на каждом компьютере. Это программа просканировала, показала какое ПО там стоит, мы собрали всю информацию и проанализировали. Далее запросили документы, которые подтверждают легальность использования всех этих продуктов. Провели юридический анализ документов, посмотрели, какие из них соответствуют законодательству, в каких есть проблемы, где банк не защищен с точки зрения авторских прав на использование программного обеспечения. Потом дали соответствующие рекомендации по доработке этих документов в плане заключения дополнительных соглашений с правообладателями. Банк все рекомендации выполнил и сейчас с юридической точки зрения, в плане документов, полностью закрыт.

– Что было выявлено в ходе такого аудита?

– Некоторое несоответствие между количеством лицензий и установленного программного обеспечения. В связи с тем, что не было нормального, правильного учета, выяснилось, что некоторое ПО было закуплено сверх той нормы, которая реально необходима. Возьмем любой продукт: было закуплено 500 лицензий Microsoft Office, а используется 400. Это все следствие отсутствия эффективного учета программного обеспечения и лицензий на него.

Далее мы подготовили для банка «Траст» регламенты, которые описывают жизненный цикл программного обеспечения, начиная с момента поступления заявки на HelpDesk. Есть некоторое заблуждение, что жизнь программного обеспечения начинается с того момента, как оно установлено на конкретный компьютер. На этот счет есть международный стандарт ISO19770-1, который говорит, что жизнь программного обеспечения начинается с того момента, как поступает заявка на HelpDesk. Она может быть короткая, потому что в удовлетворении заявки может быть отказано. Или эта жизнь окажется длинной, если заявка удовлетворяется, и пройдены все остальные процедуры касательно выбора поставщика, схемы лицензирования, закупки, заключения договора, установки, вплоть до деинсталляции программного обеспечения. Таким образом, все эти процессы по управлению программным обеспечением, весь жизненный цикл был прописан: регламенты, процедуры. Сейчас в банке «Траст» есть отдельный сотрудник, который занимается непосредственным учетом лицензий для всех филиалов. В результате проведенного аудита стал понятен процент экономической отдачи от проекта. А ведь это по большому счету инвестиционный проект, который в будущем сэкономит деньги самого заказчика.

– Кто еще кроме вас в России занимаемся программным аудитом?

Есть ряд организаций, которые заявляют, что они это делают. Но конкурентов у нас нет. При оказании данных услуг обязательным является юридический аудит. Этим никто из коллег не занимается. У нас это направление создано на базе юридического департамента внутри компании Softline. Я являюсь директором по правовому обеспечению. У меня в подчинении два департамента – юридический, который занимается внутренними юридическими процессами, и департамент управления лицензиями – это то бизнес-направление, которое оказывает услугу. Мы делаем ставку именно на юридическую составляющую, на минимизацию существующих рисков.

– Ваш совет руководителям компаний: каких нарушений следует бояться в первую очередь?

Совет сводится к тому, что чаще всего, в 95% случаев, проверяют и обращают внимание на самое дорогостоящее ПО. Если посмотреть на любой компьютер, то там есть операционная система, офисный пакет. Если это рекламное агентство, издательство, то используется графическое ПО, которое стоит больших денег по сравнению со стандартным.

– Насколько сейчас проверяющие органы технически «вооружены»?

У меня есть небольшая статистика по проверкам. Например, выявленные преступления по 146 статье (ст. 146 УК РФ – нарушение авторских прав). Количество проверок по федеральным округам: 46% в Центральном федеральном округе, в Приволжском – 20%, 10% в Южном, 9% в Северо-Западном, 5 – 8% приходится на остальные округа. Если по количеству, то в 2009 году было выявлено порядка 7000 преступлений.

– Какой процент компаний использует большую долю нелицензионного ПО?

Думаю, что тут нужно говорить о том самом неосознанном нарушении: порядка 90%.

– Какие ваши программы позволяют выявить нелегальное ПО?

У нас есть несколько программных средств, которые мы предлагаем для отслеживания установленных программ. Они инсталлируют агентов на каждый компьютер незаметно для пользователя. Агенты локально собирают всю необходимую информацию и отправляют ее в центральную базу. Можно указать стандарт, который используется, и обратить внимание, что программное обеспечение, которое было выявлено, не входит в этот стандарт.

– Какие предусмотрены штрафные санкции за нелегальное ПО?

По российскому законодательству, есть три вида ответственности. Это гражданско-правовая, административная и уголовная. Гражданско-правовая ответственность сводится к тому, что суд может наложить штраф, обязать нарушителя выплатить компенсацию до 5 миллионов рублей (как компенсация за моральный вред), плюс (как компенсация за нарушение) выплатить в двойном размере стоимость одного экземпляра программного обеспечения, которое нарушается. Если говорить об административной ответственности, то у нее максимальный штраф для юридического лица – 40 000 рублей. И конфискация контрафактных экземпляров и оборудования, на которых они воспроизводятся. То есть, изъятие и конфискация системных блоков. К уголовной ответственности может быть привлечено только физическое лицо. Максимальный размер наказания – 6 лет лишения свободы в случае, если размер нарушения превышает 500 000 рублей.

– Какие еще защитные действия Вы бы рекомендовали?

Аудит договорной базы. Необходимо собрать все документы. Именно их наличие и соответствие оригиналам проверяют контролирующие органы. Они запрашивают все документы, которые подтверждают легальность ПО. Непосредственно лицензионные договоры на ПО или договоры купли-продажи, если речь идет о покупке экземпляров программ. Бухгалтерские документы, которые подтверждают оплату и получение продукта. Все эти документы необходимо иметь под рукой. Заключительный совет – усилить превентивные меры по борьбе с нелегальным ПО. Я имею в виду меры внутри компании. Допустим, компания решила купить какой-то продукт не у крупного поставщика, который точно имеет отношение к вендору, а у более мелкого, который заключает договор, не соответствующий законодательству. Соответственно, ПО, которое используется на основании такого договора, может быть признано нелицензионным. Поэтому превентивные меры как раз в том и заключаются, чтобы пользоваться нормальными услугами и заключать те договоры, которые соответствуют законодательству.