Сисадмин в качестве козла
Наша Кафедра экспериментального права продолжает собирать актуальные компьютерно-юридические вопросы. Ниже - очередное обновление для FAQ-а. Принимаются поправки и выслушиваются новые типичные и интересные для многих вопросы.
Q3: Я пришёл в организацию на должность сисадмина и обнаружил кучу нелицензионного софта. Чем я рискую? Что мне делать, чтоб не попасть под кампанию по борьбе с пиратством?
A3: По закону, за использование ПО без разрешения правообладателя (без лицензионного договора) уголовную или административную ответственность должен нести тот человек, который это ПО использовал. В данном случае под "использованием" закон подразумевает воспроизведение программы, то есть её установку на компьютер. Иными словами, отвечает тот, кто инсталлировал. Но это по закону. На практике работники предприятия часто дают показания, что, дескать, всё ПО устанавливал сисадмин. Это выгодно как им самим (чтоб не нести ответственность), так и работникам милиции (чтоб легче было доказать). Таким образом, системный администратор легко становится козлом отпущения. Возможностей оправдаться у него немного.
Чтобы избежать описанного развития событий, вновь пришедший сисадмин может предпринять следующие действия:
Если сисадмин видит, что контрафактное ПО по-прежнему используется на предприятии, а его усилия не дают результата (саботируются), он должен оценить для себя риск стать козлом отпущения. И либо сознательно идти на этот риск, либо уволиться. При увольнении следует запастись документами, которые бы подтверждали, что контрафактное ПО было установлено ранее, что сисадмин сообщал о нарушении руководителю и пытался принимать меры для наведения порядка, что руководитель не выделял деньги на ПО, но требовал его установки (запрещал удалять незаконно установленное). Какие именно доказательства можно получить, вытекает из конкретных условий работы, взаимоотношений с коллегами, позиции начальства, используемой техники и ПО. В затруднительных случаях следует прибегнуть к консультации адвоката.
Q4: Я работаю штатным сисадмином в организации, где используется нелицензионный софт (не будем уточнять, кто его ставил). Чем я рискую? Как снизить риски?
A4: По закону, за установку контрафактного ПО административную или уголовную ответственность должен нести тот человек, который его ставил (воспроизводил). А гражданско-правовую ответственность может понести как виновный человек, так и организация. На практике иногда трудно установить, кто именно из работников инсталлировал программы. И трудно это доказать. Поэтому бывают случаи, когда к ответственности привлекают "по должности" - сисадмина или директора. Противоположных случаев, когда контрафакт поставил сисадмин, а наказали рядового пользователя, не известно.
Поэтому самый надёжный способ избежать ответственности - избавиться от контрафактного софта (см. предыдущий вопрос) или свести его стоимость к минимуму (меньше чем на 50 000 рублей). При этом помогает критический анализ потребностей. Как показывает практика, во многих случаях дорогие программы не нужны вообще, или достаточно более дешёвых версий. Кроме того, для большинства проприетарных программ существуют свободные аналоги. Есть и иные методы, позволяющие экономить на ПО: покупка в рассрочку, использование отраслевых скидок, приобретение подержанного ПО, аренда ПО и т.д.
Также полезно провести сканирование всех компьютеров на предмет установленных программ. В ходе такой инвентаризации может найтись немало программ (или их остатков), которые совсем не нужны, но в случае проверки будут приплюсованы к неправомерно используемым и усугубят ответственность. Рекомендуется применять для контроля ту же самую программу (DeFacto), которую правоохранительные органы применяют для оперативного исследования компьютеров на предмет контрафакта.
На некоторых предприятиях практикуют иные, не вполне законные способы снижения рисков. Например, подложные документы на приобретение лицензий, сокрытие (маскировка) факта использования определённого ПО, оформление служебных компьютеров как личных и другие уловки. Снижая один риск, подобные методы вносят новые риски.
Отдельный вопрос - как сисадмину избежать ответственности за тот контрафактный софт, который ставят пользователи без его участия, вопреки закону и должностной инструкции. Далеко не всегда есть возможность применить радикальный метод - технически ограничить права пользователей по инсталляции новых программ. Рекомендуется запастись доказательствами того, что компьютер передавался пользователю в эксплуатацию с определённым набором софта (акт передачи, свидетели).
Следующие методы будут малоэффективны или вовсе бесполезны:
Q5: Я работаю "приходящим" сисадмином в организации, где пользователи имеют привычку ставить нелицензионный софт. Чем я рискую? Как мне не стать козлом отпущения?
A5: В этом отношении "приходящий" админ мало отличается от штатного. У него есть те же самые возможности и те же риски.
Вдобавок к предыдущему ответу можно посоветовать "приходящему" админу после каждого визита подписывать у руководителя акт выполненных работ. В нём надо указывать не просто "настройка", "ремонт", "диагностика", а писать сугубо конкретно: что, где, почём. Например, так: «На компьютер №* установлена программа "Клиент-банк" версии **, полученная от гл.бухгалтера на диске №*****, активирована ключом с того же диска. На компьютере №* переустановлена имевшаяся ранее программа "***" с дистрибутива, предоставленного зав.складом, использован прежний код активации *****. Компьютер №* очищен от пыли и протестирован средствами ОС, изменений в составе ПО не производилось.» Разумеется, второй экземпляр акта админ должен оставлять себе.
Q3: Я пришёл в организацию на должность сисадмина и обнаружил кучу нелицензионного софта. Чем я рискую? Что мне делать, чтоб не попасть под кампанию по борьбе с пиратством?
A3: По закону, за использование ПО без разрешения правообладателя (без лицензионного договора) уголовную или административную ответственность должен нести тот человек, который это ПО использовал. В данном случае под "использованием" закон подразумевает воспроизведение программы, то есть её установку на компьютер. Иными словами, отвечает тот, кто инсталлировал. Но это по закону. На практике работники предприятия часто дают показания, что, дескать, всё ПО устанавливал сисадмин. Это выгодно как им самим (чтоб не нести ответственность), так и работникам милиции (чтоб легче было доказать). Таким образом, системный администратор легко становится козлом отпущения. Возможностей оправдаться у него немного.
Чтобы избежать описанного развития событий, вновь пришедший сисадмин может предпринять следующие действия:
- написать докладную на имя главы предприятия, указав на проблему и предложив приобрести недостающее число лицензий (обязательно оставить себе копию документа с отметкой канцелярии/секретаря о получении);
- инициировать и пролоббировать издание приказа и соответствующих изменений в должностные инструкции, предоставляющих сисадмину полномочия по контролю за устанавливаемым и эксплуатируемым ПО;
- совместно с бухгалтерией провести инвентаризацию имеющегося ПО и купленных лицензий, составить акт инвентаризации (желательно оставить себе копию), направить его руководству;
- удалить нелицензионные копии с компьютеров;
- ввести технический запрет для пользователей инсталлировать новое ПО;
- периодически проверять соблюдение запрета и составлять соответствующие акты (себе копию);
- информировать пользователей об основных нормах авторского права, о порядке лицензирования ПО, о запрете использования контрафактных программ, получить подтверждения (подпись об ознакомлении).
Если сисадмин видит, что контрафактное ПО по-прежнему используется на предприятии, а его усилия не дают результата (саботируются), он должен оценить для себя риск стать козлом отпущения. И либо сознательно идти на этот риск, либо уволиться. При увольнении следует запастись документами, которые бы подтверждали, что контрафактное ПО было установлено ранее, что сисадмин сообщал о нарушении руководителю и пытался принимать меры для наведения порядка, что руководитель не выделял деньги на ПО, но требовал его установки (запрещал удалять незаконно установленное). Какие именно доказательства можно получить, вытекает из конкретных условий работы, взаимоотношений с коллегами, позиции начальства, используемой техники и ПО. В затруднительных случаях следует прибегнуть к консультации адвоката.
Q4: Я работаю штатным сисадмином в организации, где используется нелицензионный софт (не будем уточнять, кто его ставил). Чем я рискую? Как снизить риски?
A4: По закону, за установку контрафактного ПО административную или уголовную ответственность должен нести тот человек, который его ставил (воспроизводил). А гражданско-правовую ответственность может понести как виновный человек, так и организация. На практике иногда трудно установить, кто именно из работников инсталлировал программы. И трудно это доказать. Поэтому бывают случаи, когда к ответственности привлекают "по должности" - сисадмина или директора. Противоположных случаев, когда контрафакт поставил сисадмин, а наказали рядового пользователя, не известно.
Поэтому самый надёжный способ избежать ответственности - избавиться от контрафактного софта (см. предыдущий вопрос) или свести его стоимость к минимуму (меньше чем на 50 000 рублей). При этом помогает критический анализ потребностей. Как показывает практика, во многих случаях дорогие программы не нужны вообще, или достаточно более дешёвых версий. Кроме того, для большинства проприетарных программ существуют свободные аналоги. Есть и иные методы, позволяющие экономить на ПО: покупка в рассрочку, использование отраслевых скидок, приобретение подержанного ПО, аренда ПО и т.д.
Также полезно провести сканирование всех компьютеров на предмет установленных программ. В ходе такой инвентаризации может найтись немало программ (или их остатков), которые совсем не нужны, но в случае проверки будут приплюсованы к неправомерно используемым и усугубят ответственность. Рекомендуется применять для контроля ту же самую программу (DeFacto), которую правоохранительные органы применяют для оперативного исследования компьютеров на предмет контрафакта.
На некоторых предприятиях практикуют иные, не вполне законные способы снижения рисков. Например, подложные документы на приобретение лицензий, сокрытие (маскировка) факта использования определённого ПО, оформление служебных компьютеров как личных и другие уловки. Снижая один риск, подобные методы вносят новые риски.
Отдельный вопрос - как сисадмину избежать ответственности за тот контрафактный софт, который ставят пользователи без его участия, вопреки закону и должностной инструкции. Далеко не всегда есть возможность применить радикальный метод - технически ограничить права пользователей по инсталляции новых программ. Рекомендуется запастись доказательствами того, что компьютер передавался пользователю в эксплуатацию с определённым набором софта (акт передачи, свидетели).
Следующие методы будут малоэффективны или вовсе бесполезны:
- составление договоров, приказов, расписок и иных документов о "переложении ответственности": ответственность за нарушение закона определяется только законом и не может быть передана по соглашению сторон или как-то иначе;
- вынос сервера за пределы офиса, даже за границу: факт использования определённого ПО достаточно легко доказать и не имея физического доступа к серверу;
- шифрование дисков: доказательство использования определённого ПО не сводится к исследованию содержимого компьютера и может быть проведено без такого исследования.
Q5: Я работаю "приходящим" сисадмином в организации, где пользователи имеют привычку ставить нелицензионный софт. Чем я рискую? Как мне не стать козлом отпущения?
A5: В этом отношении "приходящий" админ мало отличается от штатного. У него есть те же самые возможности и те же риски.
Вдобавок к предыдущему ответу можно посоветовать "приходящему" админу после каждого визита подписывать у руководителя акт выполненных работ. В нём надо указывать не просто "настройка", "ремонт", "диагностика", а писать сугубо конкретно: что, где, почём. Например, так: «На компьютер №* установлена программа "Клиент-банк" версии **, полученная от гл.бухгалтера на диске №*****, активирована ключом с того же диска. На компьютере №* переустановлена имевшаяся ранее программа "***" с дистрибутива, предоставленного зав.складом, использован прежний код активации *****. Компьютер №* очищен от пыли и протестирован средствами ОС, изменений в составе ПО не производилось.» Разумеется, второй экземпляр акта админ должен оставлять себе.