Jakub Vlček - Nelegální software funguje jako časovaná bomba

Na redakční otázky odpovídal Jakub Vlček, nezávislý SAM auditor, spolupracuje s BSA (Business Software Alliance).

Jakub Vlček, nezávislý SAM auditor, spolupracuje s BSA (Business Software Alliance)1) Jak tvrdé postihy za porušování bezpečnostních politik lze nastavit do zaměstnaneckých smluv, aniž bychom sami porušovali zákon?

Míru postihu si definuje zaměstnavatel sám, vyjma okamžiku, kdy bude uplatňovat své právo, dle zákona č. 262/2006 Sb., zákoník práce, §52 písmeno g), tedy nejedná-li se o závažné porušení povinnosti vyplývající z právních předpisů vztahujících se k zaměstnancem vykonávané práci. Pak je nutné zaměstnance v průběhu 6 měsíců opakovaně informovat písemnou formou o jeho rozporu s právními předpisy. V případě, že bude rozpor i nadále přetrvávat, pak zaměstnavatel může dát zaměstnanci oprávněnou výpověď. Nižší formy postihu jsou na zaměstnavateli a jeho definice dle interních směrnic organizace. Je samozřejmě nutné mít souhlas zaměstnance, že s mírou postihů souhlasí, prostřednictvím podepsané pracovní smlouvy, či prohlášení o seznámení a porozumění s vnitřními předpisy organizace.


2) Jak velké bezpečnostní riziko představuje nelegální software? Jakými nástroji udržet ve firmě pořádek?

Nelegální software je riziko nejvyšší, jelikož funguje, jako časovaná bomba. Na problém nelegality softwaru se ve většině případů dochází na základě šetření ze strany Policie ČR nebo trestního oznámení ze strany autora softwaru. Pak je již pozdě a z rizika se stává problém, který je třeba řešit. Předejít se a tím pádem snížit míru rizika lze zavedením Správy softwarových aktiv (SAM –Software Asset Management). Což je soubor procesů, které by měli sledovat životní cyklus softwaru v organizaci v závislosti na interní směrnice a legislativní rámec dané země.

Procesu, který se zaměřuje čistě na licence softwaru, se říká softwarový audit a na tento proces lze nasadit tzv. auditní nástroj. Těch je v celosvětovém měřítku nemalé množství od velkých sofistikovaných systémů propojených s velkými informačními systémy typu SAP či Siebel, až po malé lokální softwary. Důležité při výběru auditního nástroje je jeho kvalit rozpoznávání licencí různých výrobců (knihovna softwarový vzorů) a následně manažerské report ovací prostředí. Je dobré, když IT zná stav, ale není dobré, když tyto informace nemůže okamžitě reportovat manažerů a vzniká tlak na další práce při převodu informací do srozumitelné podoby pro manažery.


3) Jaké je rozdělení zodpovědnosti za instalaci nelegálního software (zaměstnanec – správce sítě – zaměstnavatel)?

Tato odpovědnost je definována v podobě interní směrnice. Primárně je zodpovědný statutární zástupce organizace a ten garantuje, že v organizaci nebude vznikat protiprávní jednání. Část odpovědnosti může přenést pomocí pracovní smlouvy a interní směrnice na správce sítě, který opětovně spíše garantuje ochranu před protiprávním jednáním, tedy vytvořil postupy a procesy tak, aby toto jednání minimalizoval. V poslední míře je přenesena odpovědnost na zaměstnance prostřednictvím směrnice a evidenčního listu počítače, kde je specifikován svěřený majetek, za který zaměstnanec odpovídá. Toto je pohled ochrany a odpovědnosti z pohledu zaměstnavatel a zaměstnanec. Jelikož autorské právo je vlastně právem občanským, nelze se vzdát odpovědnosti jedince. Vždy bude postižen ten, kterému bude úmysl porušení autorského práva prokázán. Tato problematika je příliš individuální dle velikosti organizace a zaměření vůči trhu. Nelze paušalizovat nastavení odpovědnosti v podrobnějším rozsahu, než je výše zmíněno.


4) Co byste doporučili organizacím, které chtějí zvýšit bezpečnost pomocí úpravy zaměstnaneckých smluv?

Jediné doporučení je obrátit se na odborníka v oboru SAM. Nelze říci paušálně, co bude vhodné či nevhodné. Tento proces je individuální.


5) Je česká legislativa z hlediska hájení oprávněných zájmů zaměstnance i zaměstnavatele vyvážená?

Dle mého soudu ano, ale je ji třeba na úrovni zaměstnavatele upravit interními směrnicemi. Legislativa definuje právní rámec, nikoliv technické zabezpečení a nechrání proti selhání lidského faktoru. V praxi spíše lze definovat velké množství neznalosti legislativy ze stran IT odborníků v organizacích a nemalé množství propojení legislativního rámce s technologickou realitou. V České republice dochází k určité deziluzi, kdy zaměňujeme možnost technického obejití právního nařízení za něco samozřejmého a správného. V praxi to pak vypadá, že když si nedokázal autor zajistit ochranu proti např. zásahu do programového kódu svého díla a pouze zakázal toto nakládání v licenční smlouvě, je pro většinu zaměstnanců v oboru IT samozřejmé toto pravidlo obejít. Z mého hlediska je v ČR nedostatečná evangelizace ze stránky vazby mezi legislativou a technologickou realitou.


Nejčtenější