Приветствую!
В нашем городе в последнее время часто ходят слухи о том, что все бОльшее количество компаний проверяется на предмет наличия установленного контрафактного ПО. Многие мои приятели/коллеги тоже сильно обеспокоены на этот счет, поэтому у нас созрел коллективный вопрос, примерно такого содержания: если в компании есть определенное кол-во компьютеров с контрафактным (нелицензионным ПО), то как стоит себя вести при проведении такой проверки? (естественно, никто не знает когда она начнется и начнется ли вообще).
...
Во-первых, хочу сказать, что у украинских колег опыт в этой области сформировался еще несколько лет назад (когда американцы Украину назвали первой в мире по "пиратству" и наложили санкции на государство) - мне даже как-то спам приходил с приглашением принять участие в научно практической конференции "Как избежать ответственности за использование нелицензионного ПО?". Поэтому, возможно, стОит спросить у них. Я, во всяком случае, попробую.
Второе. Есть вообще два способа решения проблемы: процессуальный и технический. В обсуждении их четко не разделили и получилась определенная "каша". Что касается процессуальных вопросов, то с ними, конечно, лучше знакомы юристы и участники, имеющие опыт работы в соответствующих структурах. На мой взгляд, изложенное в упомянутом выше материале "Как подготовиться к проверке программного обеспечения на лицензионность и как вести себя во время проведения такой проверки?" довольно полезно даже просто с точки зрения организации рабочего места сотрудников. То, что Игорю Михайлову было смешно читать этот материал, довольно понятно, т.к. на практике, очевидно, все происходит несколько иначе... Однако, считаю, что вести себя в соответствии с текущими нормами законодательства при осмотре никому не повредит.
Хочу, однако, добавить, что нарушение авторских прав могут "припаять" и за компьютерную игрушку под ДОС (да и за саму ОС ДОС), производитель которой давно про нее уже и думать забыл. Поэтому, "чистый с юридической точки зрения" компьютер может использоваться, разве что той самой секретаршей, использующей набор из Word + Lines. Если же компьютер используется более-менее полноценно, то он "обрастает" различными утилитами, легальность использования которых доказать не всегда возможно (даже, если они относятся к freeware), т.к. они распространяются авторами через Интернет и бумажных договоров на их использование не существует в природе. И это, если компьютер не используется "матерыми айтишниками". В этом случае там такая "кунсткамера", что, с точки зрения закона, владельцу/пользователю сразу "расстрел через повешенье"...
Что касается технического способа. Два совета здесь уже были озвучены:
- использовать свободное ПО
- использовать шифрование
Прокомментирую их и дам еще два (чисто гипотетически, разумеется, т.к. нарушать закон нельзя ни при каких обстоятельствах).
Использование свободного ПО - оптимальный вариант. Но... Что делать, если требуется выполнять такие операции, как "оптическое распознавание текстов", "ведение бухучета", "автоматизированное проектирование", "разработка ПО"? Приехали-с...
Есть три выхода (третий будет описан ниже в рамках отдельного совета):
- использовать WINE (независимая открытая реализация Win32 API для POSIX-систем). При настройке секса и мата очень много, но в итоге, иногда работает и вполне себе запускает программы Windows под Линуксом.
- использовать эмулятор типа VMWare или его свободные аналоги типа Bochs, Qemu и т.п.
Думаю, далеко не все сотрудники "органов" смогут сориентироваться в файловой системе Линукс, примонтировать нужный диск и запустить оттуда программу для Windows (особенно, если прав на монтирование соответствующего раздела у рядового пользователя нет, а сам раздел зашифрован) или саму Windows под эмулятором.
Но тут будут неслабые затраты на настройку всего этого добра, обучение пользователей и приобретение более мощной техники (которая требуется для нормальной работы эмулятора). Так что их стОит сравнить со стоимостью соответствующих лицензий на ПО.
Шифрование. Его использование вообще необходимо, если Вы хоть как-то цените безопасность хранимых в Вашей информационной системе данных. Здесь же хочу добавить, что шифрование данных - лишь часть (и не самая главная) мероприятий по обеспечению безопасности данных. А начинаются они с исключения физического доступа неавторизованных лиц к вычислителной технике и исключения возможности визуального контакта с ней (в частности с экраном монитора). Тогда никто из посетителей не ткнет пальцем в экран и не задаст вопрос типа: "А эта программка у Вас лицензионная? Я как раз представляю фирму-разработчика"...
Сюда же. Все "инсталлы" необходимо шифровать и хранить на отдельных дисках (в сейфе), как конфиденциальную информацию фирмы. Можно действительно записывать на такие же диски реальную информацию, составляющую коммерческую тайну и хранить их вместе. Например, пронумеровать их все, чтобы первые 10 и последние 10 содержали именно конфиденциальные данные.
Третий совет. Не мой, знакомый поделился.
Делается файловый сервер, на котором лежат все данные, и прячется в традициях времен печати газеты "Искра", так, чтобы найти было непросто (например, в скрытой нише в стене замуровывается), а в серверной комнате напоказ выставляется комп с большим системным блоком и маршрутизатором с множеством лампочек - "кукла" с лицензионным серверным ПО и всякими файлами в формате DOC и XLS. "Глупые оперативники" приходят и изымают "липовый" сервер, а персонал фирмы, соответственно, празднует победу...
Можно усилить это решение следующим образом:
- с проводов перейти на WiFi (и на реальном и на "липовом" серверах);
- сделать сохранение всех данных не в "Мои документы", а прямо на сервер в область, определяемую учетной записью каждого пользователя;
- хранить на сервере "образы заливки" для рабочих ПК пользователей и использовать системы типа Acronis для "заливки" всего ПО в начале рабочего дня, а вечером (или во "время Ч") прогонять DiskWipe на всех ПК.
Это, кстати, и информационную безопасность должно бы повысить.
Четвертый
третий совет. Есть такая штука, как Windows Terminal Server. Позволяет запускать с сервера любое ПО и использовать его на любом ПК с любой ОС, поддерживающей соответствующий терминальный протокол. Соответственно, все лежит на сервере, на рабочих ПК - Линукс. Все нужное ПО запускается с сервера и не оставляет никаких следов на ПК...
Вот. Но это, по большей части, теоретическе экзерсисы. А на практике лучше иметь хороших знакомых в органах
P.S. Разговоры об обязательных "дырках" в сертифицированных средствах шифрования данных меня удивили. У нас, конечно, все возможно, но указанные средства используются и в госучреждениях. Как это возможно, если "люки" и "мастер-пароли" однозначно дискредитируют криптоалгоритм, а AES, Blowfish, IDEA, ГОСТ публично доступны и постоянно анализируются криптоаналитиками (плюс, организуются публичные проекты по распределенному перебору ключей к этим шифрам)? Да и как можно себе представить в наших условиях сохранение в тайне подобного "мастер-ключа"?
