Nepagautas – ne vagis, byloja liaudies išmintis, o kaip versle – kas tuos vagis gaudo, ir, svarbiausia, kada? Dažniausiai vagyste versle laikomas nelegalios programinės įrangos (PĮ) naudojimas, kai įmonės siekdamos sutaupyti renkasi drastiškus sprendimus: diegia ir naudoja „nulaužtas“ programas.
Nepagautas – ne vagis, byloja liaudies išmintis, o kaip versle – kas tuos vagis gaudo, ir, svarbiausia, kada? Dažniausiai vagyste versle laikomas nelegalios programinės įrangos (PĮ) naudojimas, kai įmonės siekdamos sutaupyti renkasi drastiškus sprendimus: diegia ir naudoja „nulaužtas“ programas.
Remiantis „BSA l The Software Alliance“ (BSA) duomenimis, 2016 m. Lietuvoje buvo užfiksuota daugiausia neteisėtos programinės įrangos naudojimo atvejų per penkerius metus – 31. Nors, iš pažiūros, šis skaičius nėra didelis, nelegalių programų naudojimas įmonėse pridarė kelis šimtus tūkstančių eurų nuostolių PĮ gamintojams.
Pasak BSA atstovo Lietuvoje, advokatų profesinės bendrijos Balticlaw Pranckevičius, Valiulis ir partneriai vadovaujančio partnerio Andriaus Pranckevičiaus, nelegali PĮ įmonėse gali būti nustatyta ir įprasto mokestinio patikrinimo metu, kai įmonės turto inventorizacijos akte nėra įtraukta duomenų apie PĮ licencijas. Tokiu atveju mokesčių administratoriai gali perduoti informaciją teisėsaugos pareigūnams, kurie inicijuoja tolimesnį tyrimą dėl neteisėtos PĮ naudojimo.
Taip pat BSA atstovai Lietuvoje gali kreiptis į įmones su prašymu bendradarbiauti ir atlikti naudojamos BSA narių PĮ auditą. Vertinimo metu nustačius neatitikimus dėl programų teisėtumo ar jų licencijavimo įmonės privalo juos pašalinti.
„Programinės įrangos naudojimo įmonėse tvarka turi atitikti Lietuvos Respublikos įstatymų keliamus reikalavimus ir reguliuoti visą jos gyvavimo įmonėje ciklą: nuo poreikio įsigyti programas atsiradimo iki jų išdiegimo iš įmonės IT ūkio. Deja, dažnai programinės įrangos naudojimo tvarka apsiriboja tik tam tikrais draudimais – diegti, naudoti nelegalias programas ir pan. Visgi, ne mažiau svarbu tokioje tvarkoje numatyti ir apibrėžti auditų ar inventorizacijų atlikimo, programų teisėtumą patvirtinančių dokumentų saugojimo tvarkas, paskiriant už tai atsakingus asmenis“, – komentuoja advokatas A. Pranckevičius.
Įmonėms prieš ruošiant vidaus teisės aktus rekomenduojama susipažinti su LR Autorių teisių ir gretutinių teisių įstatymo, LR Vyriausybės patvirtintų Inventorizacijos taisyklių, Bendrųjų dokumentų saugojimo terminų rodyklės ir kt. teisės aktų reikalavimais, susijusių su kompiuterių programomis ar jų licencijomis. PĮ inventorizacija arba auditai turėtų būti atliekami bent kartą per metus, priklausomai nuo organizacijos veiklos pobūdžio – ir dažniau.
Vagystės kaina
Jei įmonės patikrinimo metu nustatomas nelicencijuotos PĮ naudojimo faktas, atsakomybė dažniausiai gula ant įmonės vadovo, kaip atsakingo už įmonės veiklos organizavimą, pečių. Tačiau, pasak teisininkų, jei vadovas iš tikrųjų dėjo pastangas užtikrinti teisės aktų reikalavimų įgyvendinimą įmonės veikloje, atsakomybę gali tekti prisiimti nelegalią programą įdiegusiam darbuotojui ar IT vadovui, kurio tiesioginės darbo funkcijos yra įmonės IT ūkio priežiūra.
Įdomu tai, kad įmonės patikrinimo metu teisėsaugos pareigūnai gali tikrinti ir tuos kompiuterius, kurie yra jos patalpose, nors ir nepriklauso tikrinamai įmonei. Tokiu atveju radus nelegalią PĮ įmonei nepriklausančiame kompiuteryje, pareigūnai gali paimti įrenginį tolimesniam tyrimui. Bet kokiu atveju teisinė atsakomybė už nelicencijuotos PĮ naudojimą gali būti taikoma ir fiziniam asmeniui.
Sukelti nuostoliai PĮ gamintojams naudojant nelicencijuotas programas apskaičiuojami remiantis legalių programų kainomis. Tuo atveju, jei nelegaliai naudojamos senos versijos, kurių įsigyti jau negalima, pavyzdžiui, „Microsoft Office Professional 2003“, teismų praktika leidžia remtis analogiškų pagal funkcionalumą programų teisėto pardavimo kainomis – šiuo metu tai būtų „Microsoft Professional 2016“ kaina.
Sukelta žala PĮ gamintojui gali būti atlyginta ir taikos būdu – nelicencijuotas programas naudojusi įmonė turėtų kreiptis į atitinkamos programos autorių teisių turėtoją su pasiūlymu. Pasak advokato A. Pranckevičiaus, taikūs ginčo sprendimo būdai tarp autorių teisių turėtojų ir pažeidėjų yra pakankamai dažna praktika Lietuvoje, o tokių taikių sutarimų sąlygos priklauso nuo konkrečios bylos ir jos šalių abipusio susitarimo.
Atsakomybė tik didėja
Gegužės 25 d. įsigaliojus Bendrajam duomenų apsaugos reglamentui (BDAR, angl. GDPR), didėja organizacijų atsakomybė dėl valdomų ir tvarkomų asmens duomenų apsaugos. Įvykus saugumo incidentui įmonėms grės ženklios finansinės sankcijos, jei paaiškės, kad asmens duomenys yra saugomi netinkamai.
Kaip rodo incidentų statistika, Lietuvoje didžiausias kibernetinio saugumo problemas kelia būtent kenkimo programinė įranga ir nesaugios informacinės sistemos, įskaitant interneto svetaines. CERT-LT duomenimis, 2017 metais Lietuvoje kiekvieną mėnesį buvo užfiksuojama apie 3 000 kompiuterių, kurie, savininkams nežinant, buvo valdomi nuotoliniu būdu.
„Įmonės, naudodamos neteisėtą programinę įrangą, ne tik pažeidžia autorines teises ir rizikuoja susidurti su teisinėmis pasekmėmis, bet ir kelia grėsmę savo duomenų bei sistemų saugumui. Dažniausiai „nulaužtos“ programos turi saugumo spragų, kuriomis pasinaudojant galima užkrėsti darbuotojų kompiuterius ir patekti į įmonės tinklą. Tokių įsilaužimo kenkėjų padariniai gali būti neprognozuojami: nuo išpirkos reikalavimo užšifruojant svarbius duomenis iki šių duomenų pasisavinimo, sistemų sugadinimo“, – teigia ESET saugumo programinės įrangos platintojos „Baltimax“ pardavimų vadovas Deividas Pelenis.
Nacionalinis kibernetinio saugumo centras (NKSC) praėjusiais metais stebėjo žalingos programinės įrangos plitimo augimą – kenkėjai buvo aptikti ir neutralizuoti daugiau nei 450 kartų.
Svarbu atminti, kad įsigaliojus BDAR apie duomenų pažeidimus Lietuvoje turės pranešti visi duomenų valdytojai – iki šiol ši prievolė buvo taikoma tik valstybės informacinius išteklius ir viešųjų ryšių tinklus tvarkančioms organizacijoms bei bendrovėms, teikiančioms viešųjų elektroninių ryšių paslaugas. Visus šiuos asmens duomenų saugumo pažeidimus fiksuos Valstybinė duomenų apsaugos inspekcija.
