Oprogramowanie w dużej firmie - problem prawny

[gad_forumowy]

Witam :)

Mam kilka pytań do osób dobrze znających problematykę prawa komputerowego i legalności oprogramowania.
Pracuję w dużej firmie, która posiada około 500 stacji roboczych Windows pracujących w sieci komputerowej. Do moich obowiązków należy między innymi instalacja oprogramowania na tych stacjach. Oczywiście pojawia się problem legalności oprogramowania i upilnowanie użytkowników żeby nic nie znosili z domu, z płytek dołączanych do gazet, itd. W każdym komputerze jest napęd CD lub DVD, powszechne jest użytkowanie PenDrive'ów, nagrywarek, każdy na teren firmy może wnieść (lub wynieść) jakikolwiek nośnik danych.
Osobie, która użytkuje komputer służbowy podsuwa się do podpisu papier na podstawie którego przejmuje on odpowiezialność za:
- legalność zainstalowanego oprogramowania,
- przestrzeganie postanowień umów licencyjnych na zainstalowane oprogramowanie,
- legalność zawartości dysków komputera i katalogów sieciowych.

Osobie instalującej oprogramowanie (czyli głównie mi) daje się do podpisu papier, który jest spisem zainstalowanego oprogramowania. Oznacza to, że swoim podpisem poświadczam że osobiście zainstalowałem wymienione tam oprogramowanie. Firma posiada mnóstwo różnorodnych licencji oprogramowania - głównie Microsoft - typu OEM, pudełkowe, Open (zwany dawniej MOLP). Procedura jest taka, że otrzymuję kopię nośnika (np. do licencji Open) i klucz produktu zapisany na kartce (trudno się temu dziwić, oryginały leżą w bezpiecznym miejscu przechowywania).

W związku w opisaną sytuacją pojawia się kilka pytań.
1. Czy służby informatyczne firmy mają prawo przenosić odpowiedzialność za legalność oprogramowania na końcowego użytkownika?
2. Jaka odpowiedzialność ciąży na osobie dokonującej instalacji (czyli głównie na mnie)?
3. Co stanie się w przypadku utraty licencji (zgubienie, zniszczenie nośnika i dokumentów potwierdzających jej istnienie)? Karta z moim podpisem pozostanie, więc ja mogę być pociągnięty do odpowiedzialności za dokonanie nielegalnej instalacji - w jaki sposób uchronić się przed taką sytuacją?
4. Administrator sieci komputerowej może dokonać instalacji lub deinstalacji dowolnej aplikacji lub wgrać/skasować dowolny plik na dysk komputera lub do katalogu sieciowego. Później ja mogę być pociągnięty do odpowiedzialności za istnienie takiej aplikacji lub pliku. Jak uchronić się przed taką, bardzo prawdopodobną sytuacją?

Będę wdzięczny za wszystkie odpowiedzi.

[krzysztofsf]

Fragmentarycznie - userzy w domenie - bez praw do instalacji
dalej - takie kwity usera koncowego sa czesto stosowane - musi cos w tym byc.
zlecenie instalacji przyjmuj z podpisem zlecajacego i sobie archiwizuj
Po instalacji - zrob wydruk zainstalowanego oprogramowania i podepnij sobie do zlecenia,ktore sobie archiwizujesz, wzglednie kopia podpieta rowniez do zwracanego zlecenia, ze wykonales prace.

Dodatkowo - masz zakres obowiazkow? na pewno nie ma w nim , ze odpowiadasz za calosc oprogramowania w firmie.

[gray]

gad_forumowy napisał:

> Oczywiście pojawia się problem legalności opr ogramowania i upilnowanie
> użytkowników żeby nic nie znosili z domu, z płytek dołączanych do gazet, itd.

czyżby użytkownicy pracowali z uprawnieniami administratora?

> Osobie, która użytkuje komputer służbowy podsuwa się do podpisu papier na
> podstawie którego przejmuje on odpowiezialność za:
> - legalność zainstalowanego oprogramowania,
> - przestrzeganie postanowień umów licencyjnych na zainstalowane
> oprogramowanie,
> - legalność zawartości dysków komputera i katalogów sieciowych.

nie, nie - papier taki czyni użytkownika współodpowiedzialnym za stan
oprogramowania i to raczej w drodze odpowiedzialności cywilnej pracodawca <->
pracownik. odpowiedzialność karną za używanie nielegalnego oprogramowania ponosi
właściciel/zarząd etc. oraz służby informatyczne.

> Firm a posiada mnóstwo różnorodnych licencji oprogramowania - głównie
> Microsoft - typu OEM, pudełkowe, Open (zwany dawniej MOLP). Procedura jest
> taka, że otrzymuję kopię nośnika (np. do licencji Open) i klucz produktu
> zapisany na kartce (trudno się temu dziwić, oryginały leżą w bezpiecznym
> miejscu przechowywania).

a czy ktoś w ogóle kontroluje ile kopii oprogramowania funkcjonuje w tym samym
czasie na komputerach? dość powszechne jest myślenie, że oprogramowanie na
licencji grupowej (np. Open) można sobie instalować jak popadnie, choćby ze
względu na brak konieczności przeprowadzania aktywacji.

> W związku w opisaną sytuacją pojawia się kilka pytań.
> 1. Czy służby informatyczne firmy mają prawo przenosić odpowiedzialność za
> legalność oprogramowania na końcowego użytkownika?

jak wyżej - takiej odpowiedzialności nie da się przenieść.

> 2. Jaka odpowiedzialność ciąży na osobie dokonującej instalacji (czyli głównie
> na mnie)?

ustawowa - w drodze postępowania karnego do 2 lat pozbawienia wolności oraz
odszkodowanie w wysokości dwukrotnej wartości uzytkowanego nielegalnie
oprogramowania. oprócz tego producent oprogramowania może się domagać
odszkodowania na drodze cywilnej w wysokości trzykrotnej wartości użytkowanego
nielegalnie oprogramowania. z racji twojego stanowiska nie można raczej mówić o
niezawinionym użytkowaniu nielegalnego oprogramowania.

> 3. Co stanie się w przypadku utraty licencji (zgubienie, zniszczenie nośnika i
> dokumentów potwierdzających jej istnienie)? Karta z moim podpisem pozostanie,
> więc ja mogę być pociągnięty do odpowiedzialności za dokonanie nielegalnej
> instalacji - w jaki sposób uchronić się przed taką sytuacją?

W twojej gestii leży dbanie o stronę informatyczną czyli poprawne umieszczenie
certyfikatów autentyczności, przechowywanie nośników, licencji i wszystkiego, co
może być uznane za atrybut autentyczności oprogramowania. O faktury nie musisz
się martwić przez 5 lat - muszą być przez ten czas archiwizowane dla skarbówki.

> 4. Administrator sieci komputerowej może dokonać instalacji lub deinstalacji
> dowolnej aplikacji lub wgrać/skasować dowolny plik na dysk komputera lub do
> katalogu sieciowego. Później ja mogę być pociągnięty do odpowiedzialności za
> istnienie takiej aplikacji lub pliku. Jak uchronić się przed taką, bardzo
> prawdopodobną sytuacją?

no, jeżeli taka sytuacja jest bardzo prawdopodobna to jest raczej kiepsko -
równie dobrze może ci podrzucić do torby narkotyki a do biurka 'gorący' pistolet ;)

[gad_forumowy]

Tak, użytkownicy pracują z uprawnieniami administratora (na stacjach roboczych).
Ilość kopii zainstalowanego oprogramowania jest kontrolowana i dopilnowana. Kupiono nawet oprogramowanie do audytu a przy okazji do inwigilacji wszystkich i wszystkiego.
Certyfikaty autentyczności są już umieszczone (przez dostawców sprzętu). Ja nie zajmuję się przechowywaniem licencji i nośników do oprogramowania.
Teraz przyjąłem metodę, że wypisuję polecenie służbowe instalacji, które podpisuje mój przełożony.
O podrzucenie nakrotyków czy broni się nie obawiam, ale oprogramowania tak.

[t-800]

gad_forumowy napisał:

> Tak, użytkownicy pracują z uprawnieniami administratora (na stacjach roboczych)
> .

Trudno w takich warunkach wyegzekwować nieinstalowania czegoś (chociażby GG).

[gad_forumowy]

GG jest zablokowane na routerze.
W sieci działa program do audytu (a jednocześnie do wszechstronnej inwigilacji), który wychwytuje wszelkie "nowości". Ale do wychwycenia dochodzi po jakimś czasie, więc coś może jakiś czas się uchować.

[Gość: Greg]

> GG jest zablokowane na routerze.
I co z tego? Użyć się nie użyje, ale zainstalować można, a ważny jest właśnie
fakt instalacji. Czy userzy koniecznie muszą mieć prawa administratora na
stacjach roboczych? Jest im to potrzebne do wykonywania swoich zadań? IMO (o
ile sytuacja ma miejsce w domenie) należało by poustawiać uprawnienia userów i
reguły oprogramowania poprzez GPO, a może i na pewnych stacjach ustawić
profile "obowiązkowe" (mandatory profiles).

[gad_forumowy]

Sieć nie jest zorganizowana w domeny - serwery Windows jej nie kontrolują. Poza tym ja nie jestem w tym przybytku administratorem ani szefem i mi to lata co się dzieje w sieci. Oczywiście ja bym to zorganizował zupełnie inaczej i tak robię w firmach w których ja odpowiadam za całość IT.
Mi chodzi tylko o zakres mojej odpowiedzialności i jak uchronić się przed konsekwencjami czyjegoś niedbalstwa czy złej woli oraz ewentualnie jak wymigać się od podpisywania tych cyrografów na siebie (zmiana zakresu obowiązków/zmiana pracy nie wchodzi w rachubę).

[jap_1]

gad_forumowy napisał:

> Sieć nie jest zorganizowana w domeny - serwery Windows jej nie kontrolują.

Nieźle! 600 stacji roboczych bez kontrolera domeny i każdy użytkownik z prawami
administratora - żadnej możliwości centralnego administrowania uprawnieniami
użytkowników. I to jeszcze nie wybuchło? ;-)) Pomijam fakt, że to kłopotliwe w
obsłudze, ale jeden dobry wirusik albo trojan rozłoży wam tę
sieć "administratorów"

[koham.mihnika]

1. uzytkownik nie powinien miec mozliwosci instalowania programow. Zadnych. Od
tego jest administrator. kwestia konfiguracji pecetow.
2. chron tylek i prowadz dokladna dokumentacje, co, kiedy, komu zainstalowales,
trzytmaj oryginalne dyski i licencje.
3. kopiowania danych nie przeskoczysz. mozna zablokowac napedy i usb, ale to nie
ma sensu.

Nie ma takiej rury co nie nie da okrecic, jak spiewal Zenek.
Jak sie da zamknac, to sie da odemknac, powiedzialem ja.