Несанкционированные программы — программное обеспечение, устанавливаемое сотрудниками какой-либо компании без ведома отдела информационной безопасности. Такие программы могут предоставить киберпреступникам лазейки для проникновения в сеть предприятия. Также они могут стать причиной снижения производительности труда. Действия некоторых работников приводят к злонамеренной эксплуатации вычислительных ресурсов работодателя (рассылка спама, раздача файлов, майнинг криптовалют и прочее).
Классификация несанкционированных программ
Можно выделить несколько групп программного обеспечения, запрещенного в корпоративной среде:
- Социальные сети и мессенджеры. По данным, собранным компанией Cisco, 68% сотрудников различных IT-компаний используют социальные сети на работе. Огромное количество утечек информации произошло именно с их помощью.
- Клиенты P2P-сетей. Такие программы (например, BitTorrent) используют 47% сотрудников. Главная угроза, которую они несут, заключается в том, что сотрудник может скачать вместе с желаемым файлом вредоносный объект либо нарушить интеллектуальные права третьих лиц.
- Программы удаленного управления. Работники могут устанавливать программы для удаленного управления компьютером (такие как разные RDP-клиенты), позволяющие внешнему нарушителю украсть информацию. Возможна умышленная установка различных RAT-троянов сотрудником с целью саботажа.
- Программы с уязвимостями. Сотрудник компании может по незнанию установить на свой рабочий ПК программу, содержащую неисправленные ошибки безопасности; эксплуатация таких изъянов откроет злоумышленнику разнообразные перспективы.
- Пиратские программы. Объекты такого рода нередко содержат вредоносную нагрузку; кроме того, использование нелицензионного ПО нарушает российские законы, что может привести к большим штрафам и изъятию техники.
- Анонимайзеры. Под этим названием можно условно понимать средства сокрытия деятельности при работе в интернете. Применение подобных программ должно сразу привлекать внимание к сотруднику, так как может означать, что осуществляется доступ к запрещенным сайтам, нарушаются политики ИБ компании.
Также угрозу могут представлять личные устройства или носители сотрудника, которые могут быть заражены вирусами или троянами.
Рассмотрение апелляции по делу об использовании нелицензионных компьютерных программ в Асбесте
Угрозы использования несанкционированных программ
Цель злоумышленников — конфиденциальная информация компании, например база данных клиентов или поставщиков. Однако иногда целью может быть полный вывод из строя программного обеспечения или оборудования. Цель защиты — максимально затруднить активность киберпреступника. Список разрешенных программ в компании должен соблюдаться каждым сотрудником наравне с дресс-кодом. Вместе с тем, 71% работников крупных IT-компаний считает, что слишком строгие правила безопасности в компании «отталкивают» молодых (до 30 лет) кандидатов.
Как запретить несанкционированное использование устройств компьютера
Многие компании жестко следят за наличием нежелательных или уязвимых программ на компьютерах сотрудников. Существуют специальные решения, которые могут не позволять устанавливать никакие программы или будут разрешать установку только ПО из «белого списка». Другое отличное решение — создание списка разрешенных веб-узлов на маршрутизаторе компании и полная блокировка остальных ресурсов.
При использовании различных несанкционированных программ в корпоративной среде риск утечки конфиденциальной информации возрастает , и очень важно его снизить. Нужно понимать, что к утечке могут привести не только несанкционированные программы, но и посторонние веб-ресурсы. Руководители должны вести разъяснительные работы с сотрудниками, замеченными за установкой или использованием несанкционированного ПО. Безопасность информации в компании — превыше всего.
Источник: www.anti-malware.ru
Защита программного обеспечения путем внедрения проверки файла лицензии
Бушев, Ю. В. Защита программного обеспечения путем внедрения проверки файла лицензии / Ю. В. Бушев. — Текст : непосредственный // Молодой ученый. — 2017. — № 41 (175). — С. 4-7. — URL: https://moluch.ru/archive/175/45895/ (дата обращения: 10.06.2023).
В статье рассматривается процесс защиты программного обеспечения от несанкционированного использования. В частности, приводятся примеры практического применения и внедрения файла лицензии в программный продукт. Использования файла лицензии как источника информации об условиях приобретения программного продукта конечным потребителем.
В мире коммерческого программного обеспечения существуют несколько популярных видов защиты от несанкционированного использования [1]:
– Локальная программная защита. В том числе защита с последующей активацией продукта через Интернет.
– Защита путем переноса части программы в облако. Известный также как подход SaaS (“Software As A Service” — программное обеспечение как услуга).
В свою очередь, локальная программная защита может быть реализована множеством способов, самым популярным из которых является проверка специального серийного ключа продукта. Однако, ключ продукта, зачастую не может нести в себе дополнительную информацию, такую как персональные данные конечного пользователя или какие-либо условия приобретения продукта.
Как быть в случае если программный продукт состоит из несколько частей, которые могут быть или не быть приобретены пользователем? Как разрешить потребителю использовать только часть возможностей программы? Здесь нам на помощь приходит файл лицензии.
Файл лицензии (License file) — текстовый файл, содержащий информацию об условиях использования программного продукта в открытом виде. А также цифровую подпись, гарантирующую целостность и достоверность этой информации.
Рассмотрим пример файла лицензии (Рис. 1). В данном примере мы имеем четыре информационных поля и цифровую подпись (“xxxxxxxxxxxxxxxxxxxxx”) вычисленную по алгоритму RSA-SHA256.
Рис. 1. Файл лицензии
– Version — Версия программного обеспечения для интерпретации файла лицензии.
– App version — Версия программного продукта, подлежащего защите.
– E-mail — Персональная информация пользователя программного обеспечения.
– Valid — Срок действия приобретенной лицензии.
В основе создания и проверки цифровой подписи файла лицензии лежит использование пары криптографических ключей — открытого и закрытого. Закрытый ключ хранится у владельца программного продукта (разработчика ПО) и ни при каких обстоятельствах не должен передаваться третьим лицам. Открытый же ключ, наоборот, распространяется вместе с программным продуктом и доступен всем пользователям программного продукта.
Рассмотрим процесс получения (генерации) файла лицензии на конкретном примере. Будем использовать Open Source библиотеку (с открытым исходным кодом) “nodejs-license-file” для защиты программного обеспечения, разработанного на платформе Electron. Electron — фреймворк позволяющий создавать кроссплатформенные приложения используя веб-технологии, такие как Node.js, HTML, CSS и JavaScript. [2]
Прежде всего установим библиотеку “nodejs-license-file”:
> npm install nodejs-license-file —save —save-exact
Для подключения требуется всего одна строка программного кода:
const licenseFile = require(‘nodejs-license-file’);
Рис. 2. Программный код для генерации файла лицензии
Из Рис. 2 следует, что для генерации файла лицензии необходим только один ключ из пары криптографических ключей, а именно закрытый ключ.
На Рис. 3 показан программный код, необходимый для проверки и извлечения информационных данных из лицензионного файла, при использовании библиотеки “nodejs-license-file”.
Рис. 3. Программный код для проверки и извлечения данных из файла лицензии
Из Рис. 3 следует, что для проверки достоверности и получение информации из файла лицензии необходим только один ключ из пары криптографических ключей, а именно открытый ключ. Результат выполнения кода (изображен на Рис. 4) будет выведен в консоль и будет включать в себя информацию о проверке и все данные из лицензионного файла.
Рис. 4. Результат проверки и разбора лицензионного файла на клиенте
Зачастую при распространении программного продукта, разработчику важно учитывать на каких условиях его продукт был приобретен. В зависимости от этих условий, пользователь получает разный набор возможностей в рамках одного и того же программного продукта. Использование файла лицензии упрощает и защищает процесс получения прав на использование продукта конечным пользователем.
Литература:
- Анализ рынка средств защиты от копирования и взлома программных средств. // Citforum. URL: http://citforum.ru/security/articles/analis/ (дата обращения: 09.10.2017).
- About Electron. // Electron. URL: https://electron.atom.io/docs/tutorial/about/ (дата обращения: 09.10.2017).
Основные термины (генерируются автоматически): программный продукт, файл лицензии, программное обеспечение, программный код, лицензионный файл, цифровая подпись, CSS, конечный пользователь, локальная программная защита, несанкционированное использование.
Похожие статьи
Программно-аппаратные средства защиты автоматизированных.
– Некачественное программное обеспечение.
Применение программных средств. – использование пароля для доступа к компьютеру
Средства защиты информации. Метод защиты СУБД от несанкционированного доступа.
Проблема защиты прав приобретателей при заключении.
. функционировать в принципе на данной ЭВМ из-за отсутствия программного обеспечения на ЭВМ.
Основные термины (генерируются автоматически): ЭВМ, лицензионный договор, программа, защита, лицензионное вознаграждение, потребитель, сфера защиты, сторона.
К вопросу об использовании программных продуктов.
Основной лицензией, по которой распространяется открытое программное обеспечение, является GNU GPL. Данная лицензия дает пользователю следующее право получить и использовать как саму программу, так и ее исходный код.
Снижение затрат на программное обеспечение.
Обеспечение компаний программным обеспечением, техническими средствами и локально вычислительной сетью — прямой долг специалистов информационных технологий. Подбор комплектующих к серверам, рабочим станциям, закуп программного обеспечения.
Правовой режим программы для ЭВМ как объекта.
ЭВМ, программа, правовая охрана, исходный текст, объектный код, программное обеспечение, Российская Федерация, США, авторско-правовая охрана, компьютерная программа.
Обеспечение информационной безопасности предприятия от.
– программные средства представляют собой программное обеспечение, предназначенное для выполнения функций защиты информации. Программные средства позволяют осуществлять: регистрацию и анализ событий, происходящих в системе.
Информационная безопасность вчера и сегодня
‒ Несанкционированное использование компьютерных программ — незаконное использование компьютерных программ без наличия соответствующих лицензий, взлом, модификация, воспроизведение и распространение программных продуктов.
Внедрение средств защиты информации при проектировании.
Если пользователь использует программное обеспечение различных производителей, работающее с общими данными, то модернизация одного пакета потребует модернизации и других пакетов программного обеспечения, чтобы не возникло проблем с несовместимостью.
ИТ-инфраструктура предприятия на основе свободно.
Свободное программное обеспечение — программное обеспечение, которое пользователь имеет право неограниченно раз устанавливать, запускать, а также это свободное использование, изучение, распространение и изменение (совершенствование).
- Как издать спецвыпуск?
- Правила оформления статей
- Оплата и скидки
Источник: moluch.ru
Нелицензионные программы: Ответственность за использование
Используя бухгалтерские (и любые другие) программы и справочные правовые системы, организации и граждане обязаны соблюдать нормы авторского права. Использование нелицензионного программного обеспечения и баз данных влечет как административную, так и уголовную ответственность.
Полиция занимается расследованием нарушений и преступлений, связанных с авторским правом на компьютерные программы и базы данных.
Для возбуждения административных или уголовных дел по использованию пиратского ПО могут послужить следующие действия (ст.28.1 КоАП РФ и ст.140 УПК РФ):
— обнаружение нарушения непосредственно сотрудником правоохранительных органов;
— сообщение о нарушении/преступлении, полученное из СМИ и иных источников.
То есть достаточно любого обращения из любого источника, чтобы правоохранительные органы начали расследование.
Источником информации может стать сотрудник организации/ИП, конкурент, недовольный клиент или любой законопослушный гражданин.
Полиции помогают различные общественные некоммерческие организации. Например, соблюдение авторских прав компании «1С» сейчас контролирует Некоммерческое партнерство поставщиков программных продуктов (НП ППП)
На сайте НП ППП www.appp.ru любой гражданин может сообщить о нарушении авторских прав и использовании третьими лицами нелицензионных копий программных продуктов 1С.
Сообщения могут быть оставлены анонимно. Абсолютно все сообщения рассматриваются и принимаются к проверке.
АДМИНИСТРАТИВНАЯ ОТВЕТСТВЕННОСТЬ
Незаконное использование компьютерных программ и баз данных является основанием для привлечения граждан к административной ответственности по статье 7.12 КоАП РФ.
Предусмотрены следующие штрафы:
· От 1500 до 2000 руб.- для физлиц;
· От 10 000 до 20 000 руб.- для должностных лиц и индивидуальных предпринимателей;
· От 30 000 до 40 000 руб.- для организаций.
Оштрафовать по данной статье могут одновременно и саму организацию, и ее должностных лиц, допустивших использование нелицензионных программ. Например, генерального директора, системного администратора или главбуха, работавшего на пиратских версиях программ.
При этом штраф налагается не только за использование, но и за незаконное обновление программ (см., например, Постановление Мирового суда судебного участка № 99 г. Санкт-Петербурга от 26.04.2018).
Помимо штрафов, по статье 7.12 КоАП РФ предусматривается обязательная конфискация контрафактных экземпляров компьютерных программ, а также оборудования, на котором они работали.
Возмещение стоимости компьютеров не предусмотрено.
Штрафы и конфискация предусмотрены только в том случае, если совокупная стоимость нелицензионного софта составит 100 000 руб. или меньше (см. примечание к ст. 146 УК РФ)
В случае превышения данной суммы, действия нарушителя будут квалифицироваться уже ни как административное правонарушение, а как преступление по УК РФ.
Одновременно за нелицензионный софт к административной и уголовной ответственности не привлекают.
УГОЛОВНАЯ ОТВЕТСТВЕННОСТЬ
Если стоимость нелицензионных ПО превышает 100 000 руб., на нарушителя накладывается уголовная ответственность по части
2 статьи 146 УК РФ. При расчете стоимости пиратского софта обычно используются самые высокие рыночные цены на аналогичный лицензионный софт.
Полиция обращается к правообладателю или его официальным дилерам/представителям для установление реальной стоимости пиратских программ и подтверждения этой стоимости.
За использование пиратских компьютерных программ и баз данных предусматривается одно из следующих наказаний:
· Штраф в размере до 200 000 руб.;
· Обязательные работы на срок до 480 часов;
· Исправительные либо принудительные работы на срок до 2 лет;
· Лишение свободы до 2 лет;
· Если стоимость пиратских программ превысит 1 млн руб., нарушитель понесет наказание в виде (ч. 3 ст. 146 УК РФ)
· Принудительных работ на срок до 5 лет;
· Лишение свободы на срок до 6 лет со штрафом в размере до 500 000 руб. или без такового.
Такое же наказание последует за преступление, совершенное должностным лицом организации (например, для гендиректора компании, принявшего решение использовать нелицензионный софт), а также группой лиц по предварительному сговору (например, когда пиратские программы устанавливаются сисадмином по распоряжению гендиректора организации).
В таких случаях применяется ответственность по части 3 статьи 146
УК РФ, даже если совокупная стоимость нелицензионных программ и баз данных меньше 1 млн. руб.
Обвиняемыми в таких делах становятся руководители организаций/ИП и то, что они могли не знать, что установленные версии программ являлись нелицензионными, не освобождает их от ответственности.
Полиция выдает руководству компаний обязательное предписание на проверку программного обеспечения (статья 146 УК РФ). В ответ руководство либо предоставляет полиции лицензии на используемое ПО, либо заявляет об отсутствии программ, требующих обязательных лицензий.
Обычно у руководства фирм всегда есть несколько дней, чтобы проверить, нет ли на компьютерах нелицензионных программ. Поэтому сослаться на неосведомленность и неведенье руководителям организаций не удастся (см., например, апелляционное Определение Свердловского областного суда от 17.05.2018 № 22-3666/2018)
Как пострадавшая сторона, правообладатели могут заявить к нарушителю гражданский иск, по которому будет выплачена денежная компенсация.
Сысертский районный суд Свердловской области вынес приговор
№ 1-127/2016 1-3/2017 от 25.11.2017 по делу №1-127/2016 о незаконном использовании компьютерных программ на общую сумму в 600 000 руб. По этому приговору бывший директор организации получил наказание в виде лишения свободы сроком на 2 года. Кроме того, его обязали выплатить правообладателю компенсацию в размере 1 253 086 руб.
Доводы обвиняемого о том, что он не догадывался об использовании в его фирме нелицензионного программного обеспечения, которые устанавливали сторонние организации, найденные по объявлению, не были учтены судом. Обвиняемый занимал должность руководителя организации и за все организационные вопросы, в том числе и за законность устанавливаемого на компьютеры фирмы ПО, ответственность нес именно он. Неосведомленность о незаконном характере используемых программ не освобождает от ответственности.
ГРАЖДАНСКО-ПРАВОВАЯ ОТВЕТСТВЕННОСТЬ
Для желающих сэкономить на лицензионных программах так же предусмотрена статья 1301 ГК РФ. Она защищает интересы правообладателей и устанавливает материальную ответственность за нарушение исключительных прав, в том числе на компьютерные программы и базы данных.
Сам правообладатель может и не быть участником возбуждения уголовного дела/дела об административном правонарушении по факту использования нелицензионного ПО. Обычно он даже не знает о нарушении своих прав и об этом факте узнает от полиции. В рамках уголовных дел правообладатели становятся гражданскими истцами, в пользу которых взыскивается денежная компенсация.
В соответствии со статьей 1301 ГК РФ правообладатель в праве требовать от нарушителя выплаты компенсации в следующих размерах:
· В двукратном размере стоимости программы;
· В размере от 10 000 до 5 млн. руб.
Конкретный размер компенсации устанавливается по усмотрению суда, исходя из характера нарушения.
Компенсация взыскивается за каждую нелицензионную программу, установленную на компьютере организации/ИП. При этом конкретная программа может даже не использоваться в предпринимательской деятельности, это не имеет значения. Штраф налагается даже если программа просто хранится на носителе (апелляционное Определение Свердловского областного суда от 29.05.2018 № 22-3969/2018)
Если правообладателю будет недостаточно привлечения нарушителя к ответственности и взыскания с него компенсации, он может обратиться в прокуратуру с требованием о ликвидации организации-нарушителя или о прекращении деятельности ИП (ст. 1253 ГК РФ).
При подтверждении факта неоднократного нарушения организацией исключительных прав на результаты интеллектуальной деятельности, суд может принять решение о ее ликвидации по требованию прокурора. То же самое касается и ИП.
ОБНОВЛЕНИЕ ПРОГРАММ
Важно помнить, что обновления программ – такие же объекты интеллектуальной собственности, как и программное обеспечение.
Незаконное обновление программ грозит судимостью, и такие прецеденты уже есть.
В зависимости от способа обхода защиты и распространителю, и исполнителю могут вменить как ст. 272 УК РФ (максимальное наказание по ним – лишение свободы до 5 лет)
На сайте Некоммерческого партнерства Поставщиков Программных Продуктов можно ознакомиться с выборкой приговоров за нарушение авторских прав на ПО, т.к. аналогичных приговоров выносится несколько тысяч каждый год:
5 причин для отказа от использования
контрафактных программ для бизнеса
ВНЕЭКОНОМИЧЕСКИЕ РИСКИ
За использование контрафактного ПО могут привлечь к ответственности. В 2017 году 17% уголовных дел по ст.146 УК были возбуждены за неправомерное использование ПО, в 2018 – значительно больше.
РЕПУТАЦИЯ И МОРАЛЬ
Нарушение закона может стать причиной потери интереса к сотрудничеству со стороны партнеров, а также влияет на моральный климат в коллективе.
ЗАВИСИМОСТЬ ОТ «МАСТЕРОВ»
При использовании контрафактного ПО неизбежна зависимость от «ноу-хау» конкретных, заведомо нечестных специалистов.
КАЧЕСТВО И БЕЗОПАСНОСТЬ
В случае сбоя пиратской программы, или изъятия компьютеров милицией, Вы теряете информацию, которая часто стоит дороже легального ПО.
ПОДДЕРЖКА ПРОДУКТОВ
Современные информационные системы без поддержки быстро теряют актуальность. У контрафактной продукции качественная техническая поддержка отсутствует. Профессионалы не будут помогать разбираться с незаконными копиями.
РЕКОМЕНДАЦИИ
использовать на предприятиях лицензионное программное обеспечение.
• Провести на предприятии аудит используемого программного обеспечения. Необходимо привлечь для этого сотрудников сторонних организаций, которые специализируются на этом. Цель аудита – понимание того, какое программное обеспечение используется, есть ли среди него нелицензионное.
• В случае большого количества используемых компьютеров внедрить систему управления лицензиями на предприятии.
• При приобретении программного обеспечения сохранять все документы и даже переписку с продавцом программного обеспечения.
• Решить вопрос с постановкой приобретенного программного обеспечения на бухгалтерский учет.
• В обособленных подразделениях (филиалах, представительствах) или аффилированных лицах иметь нотариально заверенные доку-менты, подтверждающие законность приобретения и использования программного обеспечения.
• Иметь на предприятии уже подготовленный комплект документов, подтверждающий законность использования программного обеспечения, чтобы в случае проведения проверки немедленно предоставить документы проверяющим с целью избегания изъятия компьютеров.
• В случае, если какие-либо документы, подтверждающие законность использования программного обеспечения, составлены на иностранном языке, необходимо заранее сделать перевод таких документов, причем его нотариальное заверение будет не лишним.
БЕСПЛАТНЫЕ АНАЛОГИ
Принято считать, что к использованию контрафактного программного обеспечения толкает исключительно высокая стоимость легальных программных продуктов.
Действительно, многие профессиональные программные продукты стоят недешево. Но на рынке для многих типов программных продуктов существуют аналоги, которые, при тех или иных условиях, могут использоваться бесплатно.
Разумеется, на адаптацию и освоение таких аналогов приходиться тратить время, силы, и, в ряде случаев – финансы. Но все же следует признать, что такой путь куда честнее и безопаснее, чем использование контрафактных программ под надуманным оправданием «очень дорого».
Источник: www.iterra24.ru