Softwarový audit

Softwarový audit pomocí nástroje TrueScan se provádí za účelem legalizace a vyrovnání veškerého software ve společnosti. Jeho hlavním krokem je úplná inventarizace firemního software a hardware. Tu je pak možno využít i pro následnou správu licencí.

Při provádění softwarového auditu jsou zjištěny všechny počítače ve firmě, jejich software a hardwarová konfigurace. Výsledky nálezu se porovnají s účetními doklady a dalšími doklady, které prokazují legální nabytí software. V případě, že se tyto údaje neshodují, navrhne licenční specialista nejvhodnější způsob, jak zajistit legalizaci software. Po licenčním narovnání veškerého software bude společnosti vystaven znalecký posudek o provedeném softwarovém auditu soudním znalcem v kybernetice, odvětví výpočetní technika.

Provedením softwarového auditu získáte

  • kompletní a podrobnou evidenci veškerého software a hardware
  • jednorázové dorovnání licencí
  • jistotu dodržení příslušných zákonů a nařízení
  • osvědčení o používání legálního SW
  • SW karty a směrnice
  • znalecký posudek
  • pozitivní informaci pro obchodní partnery a veřejnost

Pokud máte zájem o neustálou kontrolu koncových uživatelů softwaru a chcete na ně přenést odpovědnost za užívaný software, je nejvhodnějším řešením zavedení služby ochrany informací a investic.

Problematika autorského práva se v současnosti dotýká organizací i jednotlivců v míře větší, než jsou ochotni připustit. Zejména v organizacích často panuje mylný názor, že „naše společnost používá výhradně legální software“, a proto se nás tento problém netýká. Skutečnost však může být diametrálně odlišná od předpokládaného stavu. Často jsou vedeny přehledy pouze „velkého“ software typu operačních systémů, kancelářských balíků, grafických programů apod.; evidence ostatního software je pak řešena okrajově nebo vůbec. Z hlediska možného postihu nebo dopadů na společnost je však do značné míry lhostejné, zda je neoprávněně používána např. licence grafického konstrukčního programu za desítky tisíc korun nebo licence souborového manažeru za několik desítek korun.

Každá společnost používající výpočetní techniku - v současnosti je již možné paušálně prohlásit že každá společnost – může být podrobena kontrole z hlediska legálnosti používaného programového vybavení ze strany orgánů činných v trestním řízení. Podnět k provedení tohoto úkonu může vzejít např. ze strany bývalého zaměstnance. Je potřeba si uvědomit, že Policie České republiky je ze zákona povinna zabývat se jakýmkoli oznámením o podezření ze spáchání trestného činu. Ze zkušeností víme o několika případech, kdy byl realizovaný zásah na základě anonymního oznámení. Nelze vyloučit ani skutečnost, kdy je trestní oznámení přímo prostředkem konkurenčního boje.

Vlastní kontrola je pak prováděna formou domovní prohlídky, resp. prohlídky jiných prostor – jiný způsob provedení kontroly již z principu není možný. Při ní jsou získávány informace o software na jednotlivých počítačích. Obvyklým postupem je pouze zadokumentování informací bez zajištění vlastní techniky; je-li však na některých počítačích nainstalováno velké množství programového vybavení, není výjimkou zapečetění počítačů a jejich odvoz pro znalecké zkoumání, které může trvat několik týdnů až měsíců. To může velmi vážně narušit chod společnosti.
Po provedení kontroly a předložení soupisu nalezeného komerčního programového vybavení je nutné doložit legálnost nabytí jednotlivých licencí komerčních programů. Dojdeli ke stavu, že je prokázáno nelegální využívání byť i části nalezených programů, je případ dále řešen soudně. Z hlediska českého práva nelze obvinit ze spáchání trestného činu právnickou osobu – společnost, ale vždy pouze konkrétní osobu.
Nemá-li společnost ošetřenu tuto oblast legislativně formou interních směrnic, příslušných pasáží v pracovních smlouvách, existujícími softwarovými kartami k jednotlivým počítačům apod., je osobou trestně odpovědnou ze spáchání trestného činu vrcholný představitel společnosti; jednatel v případě společnosti s ručením omezeným, předseda představenstva v případě akciové společnosti.

Vzhledem k tomu, že trestný čin byl spáchán – bylo prokázáno používání komerčního software – dochází k odsouzení této osoby. Trest závisí na řadě faktorů, mezi něž patří i výše způsobené škody: např. peněžitý trest, trest propadnutí věci (výpočetní techniky), podmíněný trest odnětí svobody apod.
Je-li statutární zástupce společnosti odsouzen byť i k „symbolickému“ peněžitému trestu, má tato skutečnost další dopady vzhledem k tomu, že k výkonu jeho funkce je vyžadována beztrestnost. Dojde k vymazání této osoby z obchodního rejstříku, je jí pozastavena platnost živnostenských listů a nadále nesmí vykonávat některé veřejné funkce.

V současné době jediným možným způsobem, jak skutečně zmapovat stav využívání software v organizaci, je provedení forenzního softwarového auditu. Jedná se o zcela identickou činnost, která se provádí při domovních prohlídkách a prohlídkách jiných prostor. Při realizaci auditů spolupracujeme se znaleckou kanceláří zpracovávající znalecké posudky v oboru Kybernetika, odvětví Výpočetní technika a Bezpečnost informačních systémů pro orgány Policie ČR. Její pracovníci výše zmíněné prohlídky pro Policii ČR realizují a provádějí identifikaci software na zkoumaných počítačích.

Pro provedení forenzního auditu se využívá specializovaného nástroje trueScan, vyvíjeného výhradně ke zkoumání výpočetní techniky v rámci trestního řízení v případech podezření ze spáchání trestného činu porušování autorského práva, práv souvisejících s právem autorským a práv k databázi podle § 152 trestního zákona. TrueScan není určen ke komerčnímu použití a je využíván výhradně ke znaleckému zkoumání výpočetní techniky. Jím používaná technika je založená na hashovacím algoritmu. Ten zajišťuje jednoznačnou identifikaci software na analyzovaných počítačích, včetně existence instalačních souborů doplněných „cracky“ a „keygeny“; software, který je uložen např. v komprimovaných souborech, image souborech (iso, bin apod.), jejichž uložení na počítačích je rovněž problematické. Analýza software na počítačích v organizaci pomocí nástroje trueScan je doplněna o fyzickou kontrolu každého zkoumaného počítače pracovníkem znalecké kanceláře – specialistou na vyšetřování počítačové kriminality.

Výstupem této fáze softwarového auditu je seznam volně šiřitelného a komerčního software a detailní přehled o všech hardwarových komponentech zkoumaných počítačů. Tabulka nalezeného software je následně porovnána se seznamem zakoupeného software. Jsou-li zjištěny rozdíly, je našimi licenčními specialisty navrženo řešení, které může zahrnovat smazání nepotřebného software, zakoupení dalších licencí, popřípadě nahrazení dílčích licencí software multilicencí.

Forenzní audit nabízený naší společností neslouží jen k jednorázovému zmapování software na počítačích. Jeho součástí je i zajištění legislativní shody s platnými právními normami a vypracování návrhu firemních směrnic, které budou problematiku využívání programového vybavení upravovat. Existující dokumentace dává při eventuální kontrole ze strany státních orgánů jistotu, že případně zjištěné porušení autorského zákona bude zcela marginální a odpovědnost za tento čin by dopadla na konkrétního pracovníka, který by se ho dopustil. Trestně-právní odpovědnost managementu je vypracováním těchto dokumentů minimalizována. Po ukončení forenzního softwarového auditu je vypracován znalecký posudek soudním znalcem z oboru Kybernetika – Výpočetní technika, ve kterém budou shrnuty výsledky auditu.

Pokud se Vaše společnost rozhodne podstoupit forenzní softwarový audit, získá po jeho absolvování řadu konkurenčních výhod. Mezi nejvýznamnější z nich patří:

  • Detailní přehled o využívaném programovém vybavení napříč celou společností
  • Jistotu, že případná kontrola ze strany orgánů činných v trestním řízení nebude mít dopad na nezainteresované osoby
  • Soulad s platnou legislativou
  • Marketingový argument, že Vaše společnost využívá výhradně legální software
  • Licence k nástrojům pro evidenci zakoupeného software
IT - Security s.r.o., Klatovská třída 7, 301 00 Plzeň - tel.: +420 377 320 571 / fax: +420 377 310 920