Как обезопасит системного администратора от ответственности за пиратское ПО?

Question

[hank13]

Я официально не оформлен, но работаю сис. админом в одной маленькой конторе у которой все ПО пиратское, винда, офис и фотошоп. Директор об этом знает, но лицензии покупать отказывается.

1. Что мне будет в случае проверки органами фирмы если я там не работаю? Если директор и другие сотрудники укажут что устанавливал ПО, что мне могу предъявить?

2. Эта организация хочет оформить меня официально, как мне в этом случае прикрыть себя?
Можно ли в должностной инструкции системного администратора указать что я не отвечаю установку ПО и его лицензионность или еще какой пункт добавить снимающий с меня ответственность?

3. Если меня формально оформят в качестве курьера(но выполнять я буду все те же функции сис. админа), то что мне смогут предъявить в случае проверки органами?
Я как сотрудник несу ответственность только за те обязанности которые указаны у меня в должностной инструкции?

Answer 1

[oldbro]

Хорошо, что задумываетесь над этим. По своему опыту 2007 года и опыту друзей, скажу, так: если пришли маскишоу, а это единственный способ зафиксировать нарушение, они пришли не к Вам, а к вашему шефу. Нелицензионное ПО идет просто в нагрузку к черной бухгалтерии и дополнительного инструмента нагибания. Да, руководителю отдела ИТ (или отвественного за ИТ) нервы потрепят не мало и эта психологическая нагрузка не стоит того, чтобы забивать на данный вопрос, при этом, получая зарплату, пусть даже и 100 тыр (абстрактно), не говоря уже о скромном заработке. Какую бы Вы схему сокрытия факта использования пиратского ПО не разработали, всегда будет сценарий раскрыть этот факт, а это в свою очередь зависит от размера бизнеса.
Объясните директору, что именно он в первую очередь несет уголовную отвественность, а уже потом все остальные. Дайте понять, что это действительно серьезно. Скажите, что деньги за легализацию будут несравнимы с теми, которые приедется заплатить за "решение вопроса", когда настойчиво постучат в дверь. И предложите легализоваться: в каких-то моментах уйти на открытое ПО, в каких-то заключить договор с SPLA-провайдером. В вашем случае SPLA, будет реализован за копейки.

Answer 2

[Rsa97]

Для начала, если с проверкой придут на предприятие, то проверять будут факт покупки лицензий по бухгалтерии и соответствие установленного ПО и имеющихся лицензий. До определённой суммы дело идёт как административное и отвечать может организация. Выше этой суммы (250000р., если не ошибаюсь) дело переквалифицируется в уголовное, где подсудимым будет уже конкретный человек или группа лиц. Для того, чтобы подвести под статью достаточно, чтобы нашлись несколько свидетелей, показавших, что именно вы ставили на данный компьютер нелицензионное ПО. Какие либо письменные предупреждения от вас руководителю позволят следствию переквалифицировать дело в "совершённое по предварительному сговору группой лиц", что добавляет тяжести обвинению.
Предприятие в любом случае будет оштрафовано на стоимость лицензий незаконно установленного ПО, кроме того на время следствия могут быть изъяты системные блоки или жёсткие диски.
Что касается TrueCrypt'а и прочих шифровальщиков, то если не хотите начинать рабочий день с ввода паролей на всех компьютерах, значит эти пароли будут знать и сотрудники. А поскольку они пойдут по делу как свидетели, а не обвиняемые, то их отказ предоставить пароли будет трактоваться как "ст. 294 УК РФ. Воспрепятствование осуществлению правосудия и производству предварительного расследования".

Comments

[MoorMan]

Rsa97 А как По Вашему выглядет установка триала WinRaR и лицензионного. И офиса, который может 3 раза через grace работать и ничего не спрашивать. И Я не слышал , чтобы DA сказал , что пользователи сами не могут ничего себе ставить ))) ...Из практики ..Там будет не 294 УК РФ, а 51 Конст. РФ., твк как они как правило приходят как раз в поисках доказательной базы, надеясь что все всё расскажут )) Это проверенный факт. А сотрудник ИТ может и не начинать день с ввода пароля каждый день в TrueCrypt, на то она и автоматизация )) ..Что касается изъятия Системных блоков , при правильном процессе - у нас забирали и системные блоки и серверные выносили, на неск. млн, но от грусти возвращали через 6 месяцев по закону, написав , что все как новое и там ничего не установлено ))) Просто надо иметь достаточную квалификацию ))

[Rsa97]

MoorMan: 51 статья защищает обвиняемого, а не свидетеля (если админ не его близкий родственник).
Если TrueCrypt запускается автоматически без пароля, то он ничего и не скрывает.
Изъятие системников, а тем более серверов, для многих организаций будет означать приостановку работы и крупные затраты на новое оборудование.

[MoorMan]

Rsa97:
Если лица, указавшие на тебя пальцем или вслух что-то произнесли, но публично, в чем то обвинив тебя, но не сумевшие это доказать то это УК РФ Статья 128.1 п.1 и п.3 . А что касается именно админа, то это 51 статья - не думаю что он сам себя будет отдавать под суд )) ... Нормы закона, должны работать в тандеме )) Что касатся TrueCrypt, то он давно умеет искать ключ в сети )) ...если такового нет, то..... ))))))) Делаешь время опроса в минуту )) ..И никаких проблем..Причем TrueCrypt это уже давно устаревшая, но бюджетная тема, при наличие конечно же знаний ))..

[Rsa97]

MoorMan: Статья 128.1 здесь не работает. Допрос у следователя - не распространение сведений, свидетеля можно обвинить только по ст. 307, за заведомо ложные показания.
Проверка может прийти как маски-шоу, в формате "всем отойти от компьютеров". Сами компьютеры при этом остаются включенными, соответственно и все криптоконтейнеры окажутся подключенными. После этого эксперт в присутствии понятых усаживает пользователя за компьютер и даёт команды, что запустить и куда мышкой ткнуть, указывает понятым на все найденные возможно нелицензионные программы. Если компьютер не удаётся загрузить, установлен пароль или не предъявлены лицензии, то скорее всего будет изъятие.

[MoorMan]

Rsa97 Rsa97 Это уже старый век ___уже давно все это автоматизировано )) у меня очень большой опыт в этом сфере ))И даже ,если охрана имея камеры и скд все проспала ,...все это решается на раз - если организованно верно..Мне как то раз следак сказал - Знаю что Вы говорите не правду, только доказать ничего не могу ))) Статья 128.1 работает - проверено на практике, но в рамках, отдельного дело производства. ст. 307 работает только в случае доказательства вины свидетеля, но я не видел ни одного случая , когда следователя в принципе волновало содержание. Если сделать все как в середине 90х ) то наверное страшно даже от инсайда )) ...Надо все контролировать )) А не надеяться на кого-то )) Но для этого нужно быть Спецом, а не называть себя таковым... И что это за админ если у него всего завязано на пользователя ..) Все должно быть завязано на сеть ))) То есть на Технарей ))

[hank13]

MoorMan: Поделитесь пожалуйста своим способом решения данной проблемы?

[MoorMan]

Rsa97 Человеческий фактор - в лице пользователя, должен быть исключен )) В противном случае..последствия могут быть не предсказуемые ))

[MoorMan]

hank13 Я люблю креатив.. и решения никогда не должны повторяться..Укажите Ваши Технические условия(Колво компов и серверов, Класс и Ранг Сети), как выглядит процедура установки софта и то, что хотелось бы ))..И я думаю подберем вариант решения, конкретно для Вас. И еще важен Ваш опыт и знания..Чтобы понимать, какого уровня решение Вы сможете обслуживать и управлять ))

[hank13]

40 ноутов + роутер для выхода в инет, пользователи работают в облачной CRM через нее же и звонят, я админ с 3 летним стажем.

[MoorMan]

hank13: Повторюсь - Как выглядит процедура установки софта и то, что хотелось бы получить на выходе ))

[hank13]

У юзеров нет админских прав, софт устанавливает только админ, на выходе ноут с Win7 office10 и другим но уже бесплатным ПО

[kolossradosskiy]

MoorMan так и не нашел в себе силы написать решение. А так лихо обещал...

[MoorMan]

kolossradosskiy: Просто при ответе меня не упомянули в комментариях. И я не видел ответа от hank13

[MoorMan]

hank13: Вам удобней централизованно или чтобы каждая машина сама ходила и смотрела , что ей нужно в данный момент из сети ?

[hank13]

MoorMan: Что бы сама ходила и смотрела, но если вы опишите оба решения буду очень благодарен!

[MoorMan]

hank13 напиши в личку. Мыло в профиле.

Answer 3

[АртемЪ]

1)Если вы не оформлены официально, и с вами нет договора на обслуживание, то ничего.
Не подписывайте никаких бумаг где говорится об установке ПО.
Указать на вас могут, но доказать вашу вину будет крайне сложно. Проблемы и нервотрепку вам обеспечат, но вину доказать практически нереально.
В случае проблем вам понадобиться адвокат.

2)Если вы устроитесь официально, то единственный способ обезопасить себя - установить легальное ПО.
Других вариантов нет.

3)См. п 1)

Comments

[АртемЪ]

Скажем так - я работаю со многими организациями. Выполняю какие-то работы.
В организациях стоит софт, у некоторых лицензионный, у некоторых нет - мне нет времени с этим разбираться и выяснять.
По бумагам - я выполняю работы не связанные с установкой софта, поэтому никаких проблем.
Если мне надо переставить софт, и у меня есть сомнения в том что он используется законно то я не включаю такой пункт в договор, по бумагам это проходит как консультации.

[Д Б]

АртемЪ: я вас расстрою, но бумаги не значат ничего если вся компания, где вы работаете, дружно покажет на вас при вопросе: а кто устанавливал этот софт?

[АртемЪ]

Д Б: Это так кажется, свидетельские показания они конечно основное, только вот свидетели достаточно некомпетентны чтобы доказать что именно устанавливал софт, и именно тот софт о котором идет речь.
Поэтому доказать практически нереально, при наличии хоть какого то адвоката у обвиняемого.
Следователи прекрасно понимают что в данном случае овчинка выделки не стоит, и не будут связываться, а свяжутся им же дороже. Правонарушение мелкое, а возни много.
В данном конкретном случае есть обвиняемый на которого есть куча доказательств - директор.
Вот он и будет отвечать.

Другое дело, когда есть бумаги, с указанием вида работ, либо официальное трудоустройство на должность которая подразумевает установку софта.

Answer 4

[Андрей]

Директора сажают, сисадмина штрафуют.
Директор отмазывается, сисадмин садится (другое уголовное наказание).
Просто подумайте за чужие деньги посидеть, условно или быть оштрафованным.
Приходили по месту работы, итоги: пиратского было больше чем на 20000 долларов, контора заплатила штрафа 35 000. Купила софта на 35 000 и не работала неделю без компов.
По вашим вопросам на все пункты:
- при приходе ОБЭП директор вас сдаст с потрохами и получите судимость + наказание в зависимости от ущерба.

Answer 5

[Сергей]

слабонервных в нашей работе не держат. боишься? найди тогда что-то другое.

Answer 6

[MoorMan]

1. Если лица, указавшие на тебя пальцем или вслух что-то произнесли, но публично, в чем то обвинив тебя, но не сумевшие это доказать то это УК РФ Статья 128.1 п.1 и п.3, главное тебе зафиксировать сам факт )). И тут не важно работаешь ты или нет.
2.Ты должен иметь квалификацию и опыт, чтобы быть админом КИС или ЛВС, как один из самых простых вариантов это TrueCrypt. Что касается КДИ - Ты и так не отвечаешь, за то, что было до тебя. А в случае просьб по установке - можешь, если все так страшно поставить - Trial, Try and Buy или Демо. )) Наказывают за ввод ключей и активацию, а не использование , и то если это смогут доказать т.к. твоих знаний и квалификации не хватит, чтобы полноценно определить подлинность продукта. С учетом тобой изложенного, можешь написать руководителю инфо письмо, с просьбой о необходимости внести в бюджет траты на покупку лицензий, необходимых на твой взгляд.
3. Если ты подписал КДИ - как курьер и работаешь как курьер, то формально к тебе же потом и будут вопросы - на основании чего курьер, занимается обслуживанием ЛВС. Не вижу смысла поскольку , когда ты сменишь работу, тебя будут либо воспринимать как курьера или .........

P.S. А так решай сам для себя и если так страшно , то может и правда заняться чем-то другим ))...

С Уважением,
Мм

Comments

[Д Б]

1. По факту приходит маски шоу, все показывают на тебя пальцем, и ты и в любом случае попадаешь - это реальность, а то что вы говорите - это ваши измышления.
2. Есть факт использования, спрашивают кто обслуживает и кто ставил. Все показывают на тебя пальцем. Не важно кем ты устроен и какой договори что ты написал(на самом деле важно, но любая переписка с директором только отяготит твою вину, не облегчит).
Детский пример: ты работаешь в автосервисе, устроен дворником, но по факту меняешь резину летнюю на зимнюю и наоборот, украл одно из колес и тебя взяли. Так ли важно как ты был устроен и имеешь квалификацию ?

[MoorMan]

Все что я сказал основано - увы не на измышлениях, а на фактах )) Кого мне по роду деятельности видеть не приходилось - были представления от следующих цирковых труп: Прокуратура, Ген.Прокуратура, След.Ком,ФСБ, ДЭБ, ОБЭП...- Если есть знания..и навыки, а так же все грамотно выстроенно и отлажено, включая входную внешнюю группу , то пох..й мороз...т.к. уверен в себе и в том, что делаешь))) Если нет, то и хлопушки цирковой испугаешься..На работе руки трястись от страха не должны..Работу надо любить как женщину..))

Answer 7

[Alexandr M.]

Ставь триал версии. Закончилось время, развернул образ заного. и так каждые 30-14 дней в зависимости от ПО. Винда то хоть лицензионная? Правда с офисом вроде проблемы в этом плане

Comments

[MoorMan]

Мысль верная..Но интересней было бы Хранить голые станции на рабочих местах - например с nix, а рабочую систему подтягивать по DHCP, не связанных с офисом ))

[Alexandr M.]

MoorMan: они софт купить не могут даже, что с них взять?) а так с хардом прошелся - развернул образ и все довольны

[MoorMan]

Alexandr M.: Через DHCP будет быстрее и можно лить все сразу )) Причем каждой рабочей станции свое ))

Answer 8

[Д Б]

Я могу дать тебе однозначный ответ.
Если ты всё ставишь сам и на глазах у всех.
Если у тебя не семейный бизнес где в случае чего тебя прикроют.
Если у компании более 5 компов нафаршированных пиратским софтом(винда, софт, фотошоп).
То ты попадешь на разной тяжести проблемы с вероятностью 99.99%

Вся фигня типа "важно кто нажал кнопку установки", "у меня в договоре написано ...." и я там устроен или не устроен, у меня есть квалификация или нет - это всё профанация.
Есть факт преступления. Есть свидетельские показания (будь уверен народ покажет на тебя пальцем).
Договора и отписки с директором только усугубят твою вину. об этом уже писали тебе.
выход: или директор уверен(не без основательно) что внезапно не придут.
или готов откупиться, в любом другом случае - используй лицензионный софт.

Comments

[MoorMan]

Зачем , Я так понял начинающего DA кошмарить. Там должны быть по идее Безопасники )) Я последние лет 15 профессионально занимаюсь Информационной и Финансовой безопасностью - никогда не было проблем ни с одними маскарадами..- Порой даже выглядело как Юмористическое Шоу )) Админы всегда выходили по нулям )) Как и сама контора...)) Если все правильно и грамотно реализовано )) А так сахарный диабет можно и на газировке или конфетах заработать ))

[Д Б]

MoorMan: Конторы бывают разные, и, о боже, без безопасников в принципе.
Второе нужно точно знать что если эта безопасность в компании есть, то она реально будет выгораживать сотрудников.
Всё не так очевидно как вы говорите.

[MoorMan]

Слабые есть )) Везде..Особенно Духом..)) Если Нет Безопасности...То должен быть сильный Администратор )) Хотя бы являющийся, Администратором КИС или ЛВС )) ...Есть хорошая поговорка : Амбиции без Знаний - Это Лодка посреди пустыни )))

[Андрей]

MoorMan: Напиши где работайте сколько софта и давайте Вас вместе с конторой сольем в ОБЭП. Потом расскажете как отмазались. Дело учителя Поносова к примеру https://ru.wikipedia.org/wiki/%D0%94%D0%B5%D0%BB%D...

Я ни вижу смысла подставлять себя за чужие деньги.
Наверное есть любители отсидеть за родственников в тюрьме за несовершенное преступление.

[MoorMan]

Xanter Напиши где работайте - Так на Вы или На Вы )) Меня по телеку уже показывали, в том числе недовольный ДЭБ )) А если есть знания , то с ними прибудет и уверенность )) ..