Fréttabréf nr. 11 frá RUT- nefnd

15.1.2000

Fréttabréf nr. 11.
15. janúar 2000

Að hafa lögmætar heimildir fyrir öllum hugbúnaði - 2. áfangi

Væntanlega hafa nú allir forstöðumenn ríkisstofnana fengið í hendur skýrslu Ríkisendurskoðunar um lögmæti hugbúnaðar hjá ríkisaðilum. Boðskapurinn er skýr. Við höfum haft hann yfir áður hér í fréttabréfinu:

Það er álíka fjarstæða að nota hugbúnað sem ekki hefur verið greitt fyrir tilskilið gjald og það væri að reka ríkisbifreiðir á stolnu eldsneyti.

Staða mála er öllum ljós eftir könnunina. Misskilningi um eðli hugbúnaðarleyfa hefur verið eytt. Menn hafa fengið í hendur tæki og aðferðafræði til að halda sínum málum í lagi framvegis. Í hverri stofnun þarf nú að setja verklagsreglur sem tryggi að ávallt séu fyrir hendi gild leyfi fyrir öllum uppsettum hugbúnaði.

Þetta 11. fréttabréf RUT-nefndar fjallar nánar um niðurstöður könnunar Ríkisendurskoðunar, sem nú liggja fyrir, og leggur áherslu á þær aðgerðir sem óhjákvæmilegar eru fyrir ríkisstofnanir í framhaldi þar af.

Upprifjun

Í samningi menntamálaráðherra við Microsoft um íslenskun á stýrikerfinu Windows '98, sem undirritaður var fyrir um það bil ári, skuldbatt ríkisstjórnin sig til að gera sérstakt átak til að útrýma ólöglegum hugbúnaði úr ríkisstofnunum fyrir árslok 1999. RUT-nefnd var falið að hafa yfirumsjón með átakinu undir forystu verkefnisstjórnar um upplýsingasamfélagið. Fréttabréf RUT-nefndar nr. 10, sem út kom í lok maí 1999 fjallaði ítarlega um þetta efni. Þar var meðal annars greint frá fyrirhugaðri könnun sem menntamálaráðherra fól Ríkisendurskoðun að gera á umfangi ólöglegs hugbúnaðar hjá ríkisaðilum.

Um lögmæti hugbúnaðar hjá ríkisaðilum - Endurskoðun upplýsingakerfa

Ríkisendurskoðun gaf í desember sl. út skýrslu með heitinu "Um lögmæti hugbúnaðar hjá ríkisaðilum - Endurskoðun upplýsingakerfa (PDF)". Skýrslan greinir frá niðurstöðum Ríkisendurskoðunar úr könnun hennar hjá ríkisaðilum í A, B og C hluta fjárlaga á því hverjir hafa lögmætan hugbúnað á tölvum sínum.

Sem fyrr getur samdi ríkisstjórnin um að útrýma ólöglegum hugbúnaði af tölvum ríkisaðila fyrir síðustu áramót. Óhjákvæmilega hafa nú efndir þess samnings dregist nokkuð. Ber því nauðsyn til að hraða aðgerðum til þess að við hann verið staðið að öðru leyti. Það er sjálfsagður hlutur sem ekki ætti að þurfa frekari orðræður um.

Upphaflega skilgreindi Ríkisendurskoðun 322 aðila í A-, B- og C-hluta fjárlaga sem könnunin átti að ná til. Könnunin var gerð í tveimur áföngum og skiluðu alls 242 aðilar fullnægjandi svörum eða 75,2% af upphaflega hópnum. Taflan hér á eftir gerir grein fyrir skilum einstakra ráðuneyta. Áætlað var að heildarfjöldi véla sem áttu að vera til skoðunar næmi 11.300. Þar af voru 7.171 (63,5%) vél skoðuð og spurningalista svarað. Til viðbótar voru 1.186 (10,5%) vélar skoðaðar þótt spurningalista hefði ekki verið svarað. Eftir urðu 2.943 (26,0%) vélar, að því áætlað var, sem ekki voru skoðaðar. Eins og sjá má á töflunni eru þessar vélar aðallega í stofnunum menntamála- og heilbrigðis- og tryggingamálaráðuneyta.

Þegar svör ráðuneyta og stofnana eru skoðuð telur Ríkisendurskoðun það áberandi hve ástand í hugbúnaðarleyfismálum einstakra ríkisaðila er mismunandi. Sumir hafa markað þá stefnu að koma í veg fyrir notkun ólöglegs hugbúnaðar og er ástand mála gott hjá þessum aðilum. Hjá öðrum virðist mismikil áhersla á að sinna þessum málum og stafar lítil áhersla í mörgum tilvikum frekar af vanþekkingu en viljaskorti.

Fjöldi véla eftir ráðuneytum

Algengustu ástæður fyrir ólögmætum hugbúnaði eru:

Þegar listi yfir fjölda ólöglegra eintaka hinna ýmsu tegunda hugbúnaðar er skoðaður fer mest fyrir hugbúnaðarvöndlum (software suites) og hjálparforritum.

Af heildarsvörum má ráða að leyfi er til staðar fyrir 40% af þeim hugbúnaði sem könnunin náði til. Lögmæti er óljóst fyrir 19% og óþekkt fyrir 32% en ólögmætur hugbúnaður nemur 8,8% og er þar með talinn sá hugbúnaður sem svarendur segjast ætla að kaupa leyfi fyrir sem og hugbúnaður án skýringa.

Lagalegar afleiðingar af ólögmæti hugbúnaðar

Nær allir framleiðendur hugbúnaðar setja fram einhverja leyfisskilmála fyrir notkun hans, einnig þeir sem láta hann ókeypis í té. Allir framleiðendur algengra notendaforrita selja aðgang að forritunum og ætlast til þess í leyfisskilmálum sínum að notkun hvers forrits sé bundin við ákveðna vél. Þótt forrit séu vistuð inni á miðlægu drifi á neti einhverrar stofnunar, þarf engu að síður að fá leyfi fyrir notkun forritsins á hverri útstöð fyrir sig. Sömuleiðis er það ekki leyfilegt að vista forrit af segulmiðlum eða geisladiskum frá framleiðanda inn á fleiri vélar en eina, þótt tæknilega sé hægt að gera svo oftar en einu sinni. Afritun er að jafnaði ekki heimil nema að því marki sem nauðsynlegt er til að eiga öryggisafrit. Áður þekktist það nokkuð að notendaleyfi væru seld með þeim skilmála að aðeins tiltekinn fjöldi notenda hefði leyfi til að nota forritið í einu. Þetta hugtak um "samtíma notendur" er nú á undanhaldi. Vera má að ýmsar stofnanir hafi ekki áttað sig á þeirri breytingu.
Vakin hefur verið athygli á þessu atriði í fyrri fréttabréfum RUT- nefndar, fyrst í 1. tölublaði í júní 1993 og aftur í 6. tölublaði 14. júlí 1997. Þær aðvaranir voru nokkuð mildilega orðaðar, en nú er hlaupin alvara í málið.

Ábyrgð
Brýnt er að forsvarsmenn ríkisstofnana séu meðvitaðir um það að það getur varðað þá og eftir atvikum einstaka starfsmenn þeirra refsiábyrgð ef hugbúnaður sem fjölfaldaður hefur verið með ólögmætum hætti finnst í tölvum á stofnunum þeirra. Samkvæmt VII. kafla höfundalaga nr. 73/1972, með síðari breytingum, getur ólögmæt fjölföldum hugbúnaðar varðað sektum eða fangelsi allt að tveimur árum. Enn fremur geta forstöðumenn og/eða starfsmenn stofnana bakað sér fébótaábyrgð vegna notkunar á hugbúnaði sem hefur verið fjölfaldaður án heimildar. Vakin er athygli á því að erlend samtök hugbúnaðarframleiðinda, Business Software Alliance, standa nú fyrir átaki til að stöðva notkun hugbúnaðar sem hefur verið fjölfaldaður með ólögmætum hætti. Í ljósi niðurstöðu framangreindrar skýrslu Ríkisendurskoðunar er brýnt að forstöðumenn ríkisstofnanna bregðist við án tafar og tryggi að sá hugbúnaður sem notaður er á þeirra stofnunum sé í lögmætu formi.

Aðgerðir
Ríkisendurskoðun hefur fest kaup á sérstökum hugbúnaði sem leitar uppi tölvuforrit á einstökum vélum. Hugbúnaðurinn nefnist GASP og fæst endurgjaldslaust hjá Ríkisendurskoðun sem keypt hefur fjölda leyfa sem duga ætti íslenskum ríkisstofnunum. Þessi hugbúnaður þekkir svokallaðar EXE-, COM- og SYS-skrár og finnur þær, séu þær uppsettar á einmenningstölvum er nota stýrikerfin DOS. Windows, Mac/OS og OS/2. Hugbúnaður á þeim einmenningstölvum sem keyra önnur stýrikerfi svo og hugbúnaður á stærri tölvum ríkisaðila verður ekki rakinn með þessu. Algengustu stýrikerfin eru þau ofangreindu, þannig að ætla má að ekki þurfi að gera mikla viðbótarleit sé þetta forrit notað.

Þegar forritið hefur lokið vinnu sinni kemur fram hvaða skrár eru fyrir hendi í stofnuninni og þá þarf að fara yfir það handvirkt og skrá í GASP-kerfið hvaða leyfi eru fyrir hverri skrá. Seljendur hafa ákveðnar skoðanir á því hvað skuli teljast lögmæt heimild um notkunarleyfi (software licence). Ef ekki fengust bein leyfisbréf með hugbúnaðinum frá seljanda þegar hann var keyptur ber kaupanda að ganga eftir þeim því án þeirra kann að leika vafi á að seljandi hafi selt vöru sína á lögmætan hátt.
Við uppfærslu hugbúnaðarleyfa er oft kveðið svo á að leyfið fyrir eldri útgáfunni falli úr gildi. Samt er tilhneiging til að láta eldri útgáfuna vera áfram inni á tölvunni þótt hún sé ekki lengur notuð. Reyndar þekkist það að við uppfærslu sé eldri útgáfa sjálfkrafa og án vitundar notandans vistuð á öðrum stað á diski hans þannig að reglur um þetta eru ekki einhlítar. Óvissu um réttarstöðu kaupanda hvað þetta varðar þarf að eyða, og mun nefndin vinna að því að fá við þessu skýr svör.
Þeim skrám sem ekki er hægt að gera grein fyrir skal eytt. Sé það ekki gert eftir slíka gagngera skoðun getur eigandi höfundarréttar hugsanlega litið svo á að viðkomandi stofnun hafi geymt hugbúnaðinn af ásetningi sem er mun alvarlegra brot en hreint gáleysi.

Athugið vel

Ekki verður nógsamlega brýnt fyrir forstöðumönnum að:

1. þeir eru ábyrgir fyrir tölvumálum sinnar stofnunar,
2. þeim ber að ganga nú þegar úr skugga um að öll forrit sem viðkomandi stofnun notar séu með fullnægjandi notkunarheimild og
3. þeim ber, til dæmis með hjálp GASP-forritisins, að gera ráðstafanir til að halda hlutunum í lagi framvegis.

Ráðgjafanefnd um upplýsinga- og tölvumál, RUT-nefnd

skal vera fjármála- og forsætisráðuneytum til aðstoðar og vinna í nánu samstarfi við verkefnisstjórn um upplýsingasamfélagið. Meginsjónarmið í starfi nefndarinnar skal vera að stuðla að framkvæmd stefnu ríkisstjórnarinnar í málefnum upplýsingasamfélagsins og ennfremur að eyða eftir föngum tæknilegum hindrunum í vegi þess að upplýsingatækni verði beitt af hagkvæmni og arðsemi í rekstri hins opinbera og samskiptum þess við landsmenn.

Nefndin er nú svo skipuð:
Gunnar Linnet, tölvunarfræðingur, forstöðumaður tölvudeildar Vegagerðarinnar, formaður,
Halla Björg Baldursdóttir, tölvunarfræðingur, deildarstjóri upplýsingatæknideildar Veðurstofunnar,
Helga Waage, tölvunarfræðingur hjá Oz hf
Ómar Jósepsson, deildarstjóri, Flugleiðum hf.
Ritari nefndarinnar er Jóhann Gunnarsson sérfræðingur í fjármálaráðuneytinu.

Nánari upplýsingar um nefndina, útgáfur hennar og verkefni er að finna á vefstaðnum www.fjarmalaraduneyti.is/rut

Ráðgjafanefnd um upplýsinga- og tölvumál.
Fréttabréf nr. 8
8. árgangur, 11. tölublað.
Ritstjóri og ábyrgðarmaður Jóhann Gunnarsson
Slóð á veraldarvef:
www.fjarmalaraduneyti.is/rut-fbr11.html