Softwarové pirátství v době Cloud Computingu

Softwarové pirátství v době Cloud Computingu Martin Žamberský Vysoká škola ekonomická v Praze Fakulta informatiky a statistiky Katedra informačních technologií nám. W. Churchilla 4, 130 67 Praha 3 e-mail: [email protected]

Abstrakt: Posledních několik let se v oboru IT diskutuje změna paradigmatu a přechod průmyslu do období Cloud Computingu. Ačkoliv využití Cloud Computingu v praxi přináší jistá úskalí a odpůrci tohoto trendu poukazují na možné hrozby a slabé stránky, tak se model Cloud Computingu stal rychle rostoucím a ve svém důsledku mění pohled na zažité zvyklosti v oboru, mimo jiné i na softwarové pirátství. Následující článek je zaměřen na provedení analýzy změn, které nastávají v softwarovém pirátství vlivem adopce modelu Cloud Computing. Podrobněji bude rozebrán vliv na zainteresované strany (poskytovatelé Cloud Computing služeb a jejich zákazníci). Klíčová slova: Cloud computing, SaaS, IaaS, Software as a Service, Infrastructure as a Service, softwarové pirátství. Abstract: During last few years there is a discussion in the IT industry about paradigm shift and move into a period of Cloud computing. Although the use of Cloud computing in practice carries its own difficulties and opponents of this trend indicate potential threats and weaknesses, the adoption of Cloud computing have been rapidly growing and results in changes of ingrained habits in the industry, among other things, to software piracy. The following article focuses on the analysis of the changes that occur in the software piracy due to adoption of the Cloud computing and how these changes affect the definition and stakeholders (providers of Cloud computing services and their customers). Key words: Cloud computing, SaaS, IaaS, Software as a Service, Infrastructure as a Service, software piracy.

1. Úvod Odvětví informatiky se aktuálně nachází v období, kdy se již několik let diskutuje o změně paradigmatu a nástupu modelu dodávky informatických služeb s požadavkem na škálovatelnost – tedy modelu, který se aktuálně označuje termínem Cloud Computing. Tento model mění pohled na zažité zvyklosti v oboru, mimo jiné i na softwarové pirátství. Cílem následujícího článku je provést analýzu toho, jaké změny nastávají v softwarovém pirátství vlivem adopce modelu Cloud Computing. Podrobněji jsou pak popsána rizika pro zainteresované strany (poskytovatelé služeb a jejich zákazníci) a jak se jim lze bránit. Dílčím cílem je na úvod článku představit vybrané důležité aspekty softwarového pirátství a cloud computingu na základě rešerše literatury tak, aby mohl být naplněn hlavní cíl článku.

SYSTÉMOVÁ INTEGRACE 1/2013

55

Martin Žamberský

2. Pohled na softwarové pirátství Software (programové vybavení počítače) se např. dle Voříška [28] dělí na ZSW (základní software) a ASW (aplikační software). Aplikační software se pak dále dělí na TASW (typový aplikační software – tzv. krabicový nebo komerční software) a IASW (individuální aplikační software – tzv. zakázkový software na míru pro konkrétního zákazníka). Business Software Alliance (BSA) uvádí následující široce přijímanou definici softwarového pirátství [1]: „Softwarové pirátství je synonymem pro neoprávněné užívání softwaru, které je chráněného autorskými právy. K pirátství může dojít při kopírování, stahování, sdílení či prodeji softwaru. Další častou formou pirátství je instalace více kopií softwaru do osobního nebo pracovního počítače, než umožňuje zakoupená licence. Hodně lidí si neuvědomuje, že při nákupu softwaru si nekupují vlastní software (program), ale jen licenci na jeho užívání. Tato licence určuje, jakým způsobem lze se softwarem nakládat - například kolikrát lze software nainstalovat takže je třeba si ji dobře přečíst. Pokud zhotovíte více kopií, než dovoluje licence, dopouštíte se pirátství.“. Softwarové pirátství přináší pro uživatele celou řadu rizik, mezi které dle společnosti Microsoft patří [2]: riziko trestního postihu za používání nelegálního softwaru, riziko ztráty dat, riziko virové nákazy počítače, riziko finanční ztráty, riziko ztráty soukromí, riziko nemožnosti aplikovat bezpečnostní a funkční aktualizace. Nejčastěji zmiňovanými důvody např. dle IDC [20], proč vzniká softwarové pirátství, jsou: snaha ušetřit, nevědomost uživatelů.

2.1 Nejčastější podoby softwarového pirátství Jansa a Otevřel [3] uvádějí tyto nejčastější podoby softwarového pirátství: Nelegální zásah do zdrojového kódu a vývoj softwaru. Sem patří např. jakékoliv dodatečné úpravy zdrojového kódu vlastními silami nebo kopírování částí zdrojového kódu při vývoji jiného softwaru. Nabytí nelegálního softwaru. Nabytí nelegálního softwaru nastane v případě, že nabyvatel byl předem seznámen se skutečností, že se jedná o nelegální kopii softwaru nebo že se jedná o nelegální software. Nelegální nabytí softwaru. Jedná o případ, kdy je software nějakým způsobem kopírován (na fyzickém médiu, případně stahování z internetu) v rozporu s licenčními podmínkami. Nelegální užití legálně nabytého softwaru. Jedná se o situace, kdy jsou nějakým způsobem obcházeny licenční podmínky, může jít např. o situaci, 56


Softwarové pirátství v době Cloud Computingu

kdy je software zpřístupněn prostřednictvím internetu k užívání i pro subjekty, které nemají platnou licenci. Dalším typickým příkladem je užívání freewaru pro účely, které jsou v rozporu s licenční smlouvou. Nelegální užití softwaru. Užívání softwaru bez vlastnictví licence. Typicky se jedná o situaci, kdy je software zpřístupněn k užití subjektům nevlastnícím potřebnou licenci. Nelegální šíření softwaru. Typicky jde o případy sdílení, prodávání či pronajímání kopie software jakoukoliv cestou. Užívání protiprávního softwaru. Sem zapadá jakékoliv užívání nelegálního software, např. software určeného k prolamování DRM, užívání spyware, trojských koňů apod. Užíváním nelegálního software se daná osoba dopouští protiprávního jednání. Prolamování bezpečnostní softwarové ochrany. Činnosti směřující k získání, pozměnění či zničení dat. Narušení fungování softwaru. Typickou formou je DoS útok (Denial of Service), kdy záměrné odeslání velkého množství požadavků na softwaru způsobí zhroucení. V literatuře se dá dohledat i jiné členění, např. Abraham [7] rozčlenil softwarové pirátství do těchto skupin: Pirátství koncových uživatelů (End User Piracy), Domácí pirátství (Home Piracy), Pirátství prodejců (Reseller Piracy), Pirátství na BBS a na Internetu, Pirátství podniků (Corporate Piracy), Průmyslové pirátství (Industrial Piracy).

3. Pohled na Cloud Computing Při aktuálně probíhající diskuzi o Cloud Computingu se liší pohledy na problematiku. Na jedné straně stojí zastánci, kteří tvrdí, že je jen otázkou času, kdy se Cloud Computing rozšíří a dojde ve velké míře k revolučním změnám v IT (např. Paul Frederic [9]). Vedle toho existuje skupina skeptiků (např. Larry Ellison [26] nebo Richard Stallman [27]), kteří tvrdí, že Cloud Computing je pouhé marketingové označení pro technologie, které se v praxi již běžně používají, a nejedná se o žádnou revoluční změnu. Ani jedna skupina však nepopírá trend nástupu Cloud Computingu. Definic Cloud Computingu lze v literatuře dohledat celu řadu, což ovšem nepřispívá k ustálenosti pojmu. V praxi je tak třeba si vždy ujasnit, co si pod tímto pojmem představují jednotlivá pracoviště a globální firmy s nezanedbatelným vlivem na celé odvětví IT. V této kapitole bude uvedeno současné vymezení a definice Cloud Computingu včetně důležitých aspektů pro další části práce.


57

Martin Žamberský

3.1 Definice Např. NIST (National Institute of Standards and Technology) uvádí tuto pragmatickou definici Cloud Computingu, která obsahuje všechny důležité aspekty [4] (volný překlad): “Cloud computing je model, který umožňuje všudypřítomný, pohodlný a na vyžádání dostupný přístup po síti ke sdíleným konfigurovatelným výpočetním zdrojům (kterými jsou například sítě, servery, datová úložiště, aplikace a služby), které mohou být snadno, rychle a s minimálním úsilím (nutným k řízení těchto operací) poskytovány nebo uvolňovány.” NIST dále uvádí, že Cloud Computing se skládá z pěti základních vlastností, kterými jsou [4]: Služby na vyžádání uživatele (on-demand self-service). Uživatel má možnost si jednostranně podle potřeby a bez lidské interakce nakupovat potřebné zdroje v danou chvíli. Síťový přístup. Všechny funkce jsou dostupné po síti a jsou přístupné odkudkoliv a kdykoliv pomocí tenkých i tlustých klientů na různých platformách, kterými jsou například mobilní telefony, tablety, notebooky a pracovní stanice. Sdílení zdrojů. Výpočetní zdroje poskytovatele služeb jsou sdíleny a dynamicky přidělovány uživatelům podle jejich aktuální potřeby. Škálovatelnosti a elasticita služeb. Výpočetní zdroje mohou být uživatelům přidělovány v reálném čase podle potřeby a tak, že se uživatelům jeví jako nevyčerpatelné. Měřitelné služby. Využívání jednotlivých zdrojů lze automaticky měřit, sledovat a optimalizovat tak, aby byla dodržena transparentnost jak pro poskytovatele, tak i pro spotřebitele dané služby. Ačkoliv lze definici NISTu považovat za ustálenou, protože ji přijímají významné globální společnosti (např. Cisco, Dell, Oracle, Microsoft, IBM, Forrester), tak v literatuře lze dohledat i mnoho dalších definic a názorů. Např. definice firmy Gartner [23] se v podstatě shoduje s definicí NISTu, když definuje pět základních principů Cloud Computingu, kterými jsou: princip služeb, škálovatelnost a elasticita služeb, sdílení služeb mezi více uživateli, měření dle skutečného využití a použití internetových technologií. David Linthicum přejímá definici NISTu, ale uvádí, že v praxi existuje mnoho výjimek, které nejdou do definice zakomponovat [24]. Pojem Cloud Computing chápe[24] velmi volně a představuje si pod ním jakékoliv sdílení IT prostředků, které existují mimo podnik a jsou dostupné pomocí internetových technologií. Obecnou definici uvádí i společnost IDC [25], která chápe cloud computing jako služby dodávané v reálném čase přes internet. CIO společnosti Oracle Larry Ellison říká [26], že zajímavou věcí na cloud computingu je, že definice bývají v čase upravovány tak, aby termín zahrnoval v podstatě jakýkoliv způsob dodávky IT služeb. Zároveň uvádí, že proti cloud computingu nebude nijak bojovat, ale nechápe, co by se bez tohoto pojmu dělalo ve skutečnosti jinak.

58



3.2 SPI model služeb Model Software-Platform-Infrastructure (SPI) obsahuje tři hlavní modely, ze kterých se skládá Cloud Computing. Model je zobrazen na následujícím obrázku, popis jednotlivých modelů je uveden níže.

Obrázek 1: SPI model služeb [5]

3.2.1 Software as a Service Software as a Service (SaaS) je takové nasazení software, kdy je aplikace hostována provozovatelem služby. Zákazník tedy na rozdíl od tradičního modelu dodávky software nekupuje hardware a software, ale aplikaci si pronajímá a platí průběžně poplatky podle zvoleného způsobu účtování. Zákazník se tak mimo jiné vůbec nestará o infrastrukturu, údržbu a aktualizace aplikace, kompatibilitu s hardwarem, o možné licenční problémy apod. Jako příklad se nejčastěji uvádí služby Salesforce.com, Cargopass nebo Google Apps.

3.2.2 Platform as a Service Platform as a Service (PaaS) poskytuje zákazníkům prostředí a komplexní prostředky pro podporu celého životního cyklu aplikace. Vývojové prostředí je kompletně dostupné online a zpravidla poskytuje prostředky minimálně pro návrh, vývoj, údržbu, testování a implementaci aplikace. Jako příklad lze uvést Google App Engine nebo Force.com.

3.2.3 Infrastructure as a Service Infrastructure as a Service (IaaS) poskytuje zákazníkovi možnost zajistit si základní zdroje (infrastrukturu). Mezi základní zdroje patří např. výpočetní výkon nebo datové


59

Martin Žamberský

úložiště. Zdroje jsou využívány pro provoz libovolného software, kterým může být jednak operační systém, tak i jednotlivé aplikace. Zákazník není správcem těchto infrastrukturních služeb, kontrolu má pouze nad operačním systémem, datovým úložištěm a jednotlivými aplikacemi. Zákazník se tak vyhne nákupu vlastních serverů, které by musel provozovat a získá flexibilitu a škálovatelnost ve využívání infrastruktury, protože se obvykle účtuje jen za skutečně spotřebované zdroje. Příkladem poskytovatelů jsou například společnosti Amazon nebo IBM.

3.3 Modely nasazení Modely nasazení Cloud Computingu lze např. dle NIST [4] rozdělit na čtyři skupiny. Toto dělení je v literatuře již ustálené a přijímají ho i jiní autoři, např. [6].

3.3.1 Veřejný Cloud V tomto případě je infrastruktura zařízena pro otevřené použití na vyžádání široké veřejnosti. Těchto služeb tak mohou využívat jednotlivci i společnosti. Úspory z rozsahu je v tomto modelu nejvyšší. Veřejný cloud může být vlastněn a provozován jakoukoliv organizací, za všech okolností to však musí být externí subjekt. Příkladem současných známých služeb mohou být Google Apps, Microsoft Windows Azure nebo Salesforce.com.

3.3.2 Soukromý Cloud V případě soukromého cloudu je infrastruktura zřízena speciálně pro využití jedním subjektem [4], typicky pak jednou organizací, která pak může mít více konzumentů. Soukromý cloud může být vlastněn a udržován přímo organizací pro kterou je zřízen, případně může být vlastněn nebo udržován třetí stranou. Fyzicky se může nacházet přímo v organizaci nebo kdekoliv mimo. Soukromý cloud je obvykle volen z důvodu bezpečnosti [6] a oproti veřejnému cloudu jsou zde vyšší počáteční náklady.

3.3.3 Komunitní Cloud Infrastruktura komunitního cloudu je zřízena pro využívání specifickým druhem zákazníků, kteří mají společné zájmy (například legislativní). Řadí se tak na pomezí soukromého a veřejného cloudu. Komunitní cloud může být vlastněn a spravován jedním nebo více členy zákazníků z dané komunity, případně může být vlastněn a provozován subjektem mimo komunitu.

3.3.4 Hybridní Cloud Hybridní cloud se skládá z libovolné kombinace výše uvedených možností. Jednotlivé infrastruktury jsou propojeny standardizovanými nebo proprietárními technologiemi. Příkladem využití tohoto hybridního cloudu může být subjekt, který pro své kritické aplikace využívá privátního cloudu a pro ostatní aplikace využívá veřejného cloudu např. z důvodu úspory nákladů.

3.4 Vývoj v oblasti Cloud Computingu 3.4.1 Adopce Ze závěrů dostupných relevantních globálních průzkumů (např. [12], [13] a [14]) ohledně adopce plyne, že nejvyšší míra adopce je v těchto třech oblastech:

60



CRM, komunikace, email a podpora spolupráce, projektové řízení. Údaje o adopci se v jednotlivých průzkumech (až na první pozici CRM) rozcházejí, je proto třeba je brát s rezervou a spíše než aktuální míru adopce sledovat trendy v adopci, které jsou rostoucí. Rovněž odhady na následující roky zveřejněné v průzkumech [12] a [13] jsou rostoucí. Situaci v ČR zmapoval průzkum [15], který potvrzuje nejvyšší míru adopce u CRM a v oblasti komunikace. Ačkoliv průzkum ukazuje nižší míru adopce v ČR oproti globálním číslům, tak potvrzuje rostoucí výhled. Dostupné průzkumy, např. [16], [17], [18] a [19] přináší pohled na bariéry adopce. Mezi nejčastější důvody, které jsou v průzkumech zmiňovány, patří: obava o bezpečnost dat, legislativní důvody a obavy, obavy o dostupnost dat, služeb a dlouhodobost nabídky, integrace se stávajícím software. Pro bližší pohled na možné bariéry odkazuji přímo na uvedené průzkumy. Situaci v ČR mapuje průzkum [15]. Výhledově se dá předpokládat, že bariéry budou postupně odstraňovány a míra adopce Cloud Computingu tak každým rokem poroste.

3.4.2 Modely nasazení Výše byly popsány čtyři modely nasazení Cloudu. Existují dva krajní modely (veřejný a soukromý) a dva modely (komunitní a hybridní), které se ze své podstaty řadí někam mezi dva krajní modely. I zde probíhá přirozený vývoj a příklon trhu k některému z uvedených modelů. O současném využívání jednotlivých modelů vypovídá např. průzkum společnosti Deloitte z roku 2011 [16], podle kterého bylo 57 procent cloud služeb poskytováno přes veřejný cloud, přes privátní cloud pak 29 procent. Dle průzkumu společnosti KPMG rovněž z roku 2011 [17] byl nejvíce využíván privátní cloud (41 procent), následuje hybridní cloud (33 procent) a veřejný cloud (30 procent). Využívané modely úzce souvisí zejména s otázkou bezpečnosti Cloudu a s tím, jak je v současné době vnímána skutečnost, že citlivá data mohou být fyzicky uložena mimo společnost. Například Gartner ve své zprávě pro rok 2012 [9] předpovídá výrazný růst oblíbenosti veřejného Cloudu. Ve zprávě uvádí, že v roce 2016 bude více než 50 1 procent společností z celosvětového žebříčku tisíce největších využívat i pro citlivá data o zákaznících veřejný cloud. U menších a středních společností bude toto číslo ještě mnohem vyšší, zejména z ekonomických důvodů, kdy si tyto společnosti většinou nemohou dovolit zřizovat soukromý cloud. V případě veřejného cloudu je mimo jiné plně využívána jedna z hlavních výhod Cloud computingu samotného – tedy obrovská škálovatelnost služeb. Další výhody využití cloud computingu při nasazení veřejného cloudu pro malé a střední podniky shrnuje například Frederic Paul [11].

1

Volný překlad slovního spojení „Global 1000 companies“.


61

Martin Žamberský

S jiným než veřejným modelem nasazení cloudu je v budoucnu potřeba počítat zejména tam, kde legislativní důvody neumožní jiné řešení. Například technologický podnikatel Roman Staněk označil [10] privátní cloud za pouhý nový název pro virtualizační technologii.

4. Změny v softwarovém pirátství v důsledku adopce Cloud Computingu Stále více se rozšiřující model Cloud Computingu má v důsledku dopady do současného pojetí softwarového pirátství, kterou prezentuje např. v kapitole 2 uváděná definice od BSA. V definici se výslovně uvádí pojmy jako "kopírování, stahování, sdílení softwaru" nebo "instalace více kopií softwaru", z čehož je zřejmé, že definice zapadá do konceptu tradiční dodávky software, nikoliv však do modelu Cloud Computingu. Při pohledu na nejčastější formy pirátství uváděné rovněž v kapitole 2 je také zřejmé, že autoři při definování jednotlivých skupin vycházejí z tradičního modelu dodávky software. Koncept Cloud Computingu do většiny kategorií opět nezapadá minimálně z těchto důvodů: Uživatelé cloudových služeb přistupují k aplikacím online přes klienta, samotný software tak nelze kopírovat na jednotlivá zařízení (PC, notebooky, tablety apod.), protože je k dispozici pouze u poskytovatele služby, není např. k dispozici na fyzickém médiu určeném k instalaci na jednotlivých zařízeních. Cloudové služby ke svému chodu nutně potřebují rozsáhlou infrastrukturu, bez které se neobejdou (viz SPI model služeb, který je uveden v textu výše). Infrastrukturní služby nemají uživatelé pod svoji přímou kontrolou. Softwarové pirátství vzniká z důvodů, které nesouvisí s modelem distribuce software. Z toho lze odvodit, že při změně modelu dodávky software nepominou důvody pirátství, ale pouze se změní jeho formy a podoby. Zároveň se pravděpodobně změní i míra pirátství, protože různé modely distribuce software jsou různě náchylné k pirátství.

4.1 Možné nové podoby softwarového pirátství Při rešerši literatury a závěrů z dostupných průzkumů a studií o Cloud Computingu lze vypozorovat, že v některých odpovědích se skrývají možnosti, které značí, že se někteří uživatelé snaží chovat tak, aby obešli placení za využívané aplikace pomocí toho, že sdílejí své uživatelské účty. Ze závěrů studie společnosti Symark [21] plyne, že organizace mnohdy s uživatelskými účty nakládají lehkomyslně. Studie mimo jiné odhalila následující skutečnosti, které mohou, ale nemusí představovat pirátství: zhruba 27 procent respondentů uvedlo, že u nich ve firmě určitě existuje alespoň dvacet zapomenutých uživatelských účtů, více jak 30 procent respondentů uvedlo, že deaktivace účtu poté, co zaměstnanec odejde ze společnosti, trvá více jak tři dny, zhruba 12 procent respondentů uvedlo, že deaktivace účtu trvá dokonce více jak měsíc,

62



zhruba 38 procent respondentů uvedlo, že nemají způsob, jak zjistit, jestli někdo ze stávajících zaměstnanců využívá k získání informací účet, který již měl být deaktivován. Fakta zjištěná z této studie mohou být příčinou poškození uživatelů cloud computingu. Na zvyšující se adopci modelu Cloud Computing zareagovala i BSA, která ve zprávě z roku 2012 [22] uvádí čtyři různé podoby pirátství v Cloud Computingu: uživatelé zneužívají licence tak, že sdílí své přístupové údaje k účtu, zřízení "černého" cloudu pro sdílení nelegálního software veřejnosti, zřízení privátního "černého" cloudu pro poskytnutí nelegálního software v rámci jednoho podniku, zřízení privátního "šedého" cloudu a poskytnutí softwaru více uživatelům než umožňuje licence. Z textu výše je zřejmé, že nový model distribuce software nevymýtí softwarové pirátství, nicméně pirátství výrazně změní svoji podobu. Důsledky této změny můžeme rozdělit do dvou skupin – z pohledu poskytovatele služeb a z pohledu zákazníka.

4.2 Pohled poskytovatele služeb Podrobnější rozebrání jednotlivých hrozeb z pohledu poskytovatele služeb. 1. Hrozba sdílení přístupových údajů k účtu Pokud uživatelé porušují licenční podmínky tak, že sdílí své přístupové údaje k účtu např. mezi více zaměstnanců, tak u poskytovatele služeb může docházet (v závislosti na konkrétním business modelu) k ušlému zisku a zároveň k nutnosti vynaložit náklady na infrastrukturní služby. V případě veřejného cloudu se této situaci může poskytovatel efektivně bránit tak, že za své služby bude účtovat pomocí „pay as you go“ modelu. V takovém případě uživatelé platí přesně podle své spotřeby a sdílením přístupových údajů k účtu tak poskytovateli nevznikne při tomto chování uživatelů ztráta. V případě privátního cloudu hradí náklady na infrastrukturní služby organizace, pro kterou je tento cloud zřízen. Sdílením uživatelských účtů poskytovateli ještě vzniká újma v podobě chybných statistik – nemůže se spolehnout na to, že jeden uživatelský účet patří právě jedné osobě, která službu určitým (a statisticky měřitelným) způsobem využívá. Zároveň je třeba dodat, že odhalování této praktiky může být pro poskytovatele v některých případech značně problematické, neboť uživatelé mohou ke službě přistupovat z více zařízení (PC, notebook, tablet apod.) v souladu s licenčními podmínkami. 2. Zřízení "černého" cloudu pro sdílení nelegálního software veřejnosti V tomto případě se jedná o zneužití cloud computingu k šíření nelegálního software pro veřejnost. Poškozeni jsou tvůrci software, který se tímto způsobem může šířit bez potřeby fyzického kopírování na přenosná média. Tvůrci software se mohou této hrozbě částečně bránit tak, že alespoň určitou funkcionalitu převedou do modelu cloud computingu a svážou ji tak s konkrétním uživatelem a konkrétní licencí. Příkladem může být firma Microsoft, která zavedla např. cloudové úložiště pro produkty Microsoft Office. 3. Zřízení privátního "černého" cloudu pro poskytnutí nelegálního software v rámci jednoho podniku


63

Martin Žamberský

V podstatě se jedná o podobnou situaci s tím rozdílem, že software není poskytován veřejnosti, ale je šířen pouze v rámci jednoho podniku. Obrana proti této podobě pirátství je tak stejná, jako je popsáno výše. 4. Zřízení privátního "šedého" cloudu a poskytnutí softwaru více uživatelům než umožňuje licence. Poskytovatel software ztrácí jakoukoliv možnost kontroly, zda uživatelé užívají produkty v souladu nebo v rozporu s licenčními podmínkami. Sice nedochází ke zneužití infrastruktury jako v bodě 1, nicméně stále dochází k ušlému zisku za software. Poskytovatelé se této hrozbě mohou bránit opět tak, že své služby převedou do veřejného cloudu a získají dohled nad využíváním. Na závěr je třeba zdůraznit, že pokud je software dodáván čistě v modelu cloud computing, tak poskytovatelům reálně hrozí pouze první případ - tedy sdílení přístupových údajů k účtu. Pokud je za software účtováno modelem "pay as you go", tak ani tato situace pro poskytovatele neznamená přímou finanční ztrátu.

4.3 Pohled zákazníka využívajícího služby V kapitole 2 jsou ukázána rizika plynoucí ze softwarového pirátství v tradičním modelu dodávky software, která podstupuje zákazník. Tato rizika platí i v modelu cloud computingu až na riziko nemožnosti aplikace bezpečnostních a funkčních upgradů. Toto riziko zde ze své podstaty odpadá, protože o tyto činnosti se stará poskytovatel služby. 1. Hrozba sdílení přístupových údajů k účtu Sdílením přístupových údajů mezi více lidí zákazník riskuje ztrátu svých uživatelských dat a ztrátu soukromí. Při sdíleném účtu je také nemožné dohledat odpovědnou osobu při nesrovnalostech nebo zamezit přístup do účtu zaměstnanci po rozvázání pracovního poměru. Z pohledu firmy se tak jedná o značné bezpečnostní riziko a je třeba mít definovanou politiku, jak nakládat s uživatelskými účty a vyžadovat její dodržování. 2. Zřízení "černého" cloudu pro sdílení nelegálního software veřejnosti Pokud se uživatel chce vyhnout jakékoliv hrozbě, tak tyto „černé“ cloudy musí ignorovat. 3. Zřízení privátního "černého" cloudu pro poskytnutí nelegálního software v rámci jednoho podniku Aby tato situace nemohla vzniknout, tak by měl každý podnik mít závazně definovanou svoji softwarovou politiku, kterou dodržuje. Pro zmenšení rizika je také vhodné v pravidelných intervalech provádět softwarový audit, tedy ověření legálnosti užití veškerých softwarových prostředků. 4. Zřízení privátního "šedého" cloudu a poskytnutí softwaru více uživatelům než umožňuje licence. Pro minimalizaci rizika postihu je třeba opět mít definovanou softwarovou politiku s tím, že je třeba kontrolovat její dodržování. V případě, že se firma rozhodne využívat software dodávaný v modelu cloud computing, tak podnikový IT útvar musí přijmout opatření, která zamezí vzniku „šedých“ a „černých“ cloudů. Pro zamezení této hrozby je třeba mít komplexní přehled o využívaném legálním software, dbát na dodržování licenčních politik a dovolit 64



instalaci pouze legálního software na privátní cloudy. V případě, že licenční podmínky stanovují maximální počet uživatelů, tak je třeba pravidelně (ideálně vždy při zřizování přístupu pro nového uživatele) zjišťovat, zda je možné ještě nový přístupový účet legálně zřídit. Do bezpečnostních politik je třeba definovat taková opatření, která zakáží jakékoliv sdílení přihlašovacích údajů mezi více uživatelů, zajistí případnou změnu přístupových práv při změně pracovního zařazení a v neposlední řadě zajistí rychlé zneplatnění účtu při odchodu zaměstnance ze zaměstnání.

5. Závěr V oboru informačních technologií aktuálně dochází ke změně paradigmatu a stále je patrnější přechod od instalovaných aplikací ke cloud computingu. Každoročně se zvyšující míru adopce potvrzují relevantní zveřejněné průzkumy, výhledy do budoucna tento trend pouze potvrzují. Cloud computing nelze považovat za definitivní řešení softwarového pirátství, neboť adopce nikdy nebude stoprocentní a změnou modelu poskytování služeb neodpadnou důvody, proč pirátství vzniká. Změní se však některá rizika a jednotlivé podoby, ve kterých se pirátství vyskytuje. Z pohledu poskytovatelů služeb bude třeba více dbát na business model, aby se u pirátství předešlo hrazení nákladů na infrastrukturu. S příchodem služeb od začátku navrhovaných do prostředí Cloud computingu lze předpokládat zvyšující se podíl „pay as you go“ business modelu. Předcházet riziku pirátství bude také možné, pokud se funkcionalita aplikace alespoň částečně přesune do veřejného cloudu. Z hlediska uživatelů a správců IT je třeba mít definovanou strategii, jak nakládat s uživatelskými účty tak, aby šlo eliminovat bezpečnostní rizika. S rostoucí mírou adopce cloud computingu bude také nutné přeformulovat stávající definice softwarového pirátství, jeho častých podob a rizik s ním souvisejících tak, aby text odrážel současnou podobu poskytování IT služeb. Článek je součástí řešení grantu GAČR – Podniková architektura v prostředí cloud computingu– GA406011.

Literatura [1] [2]

[3] [4]

[5]

Bsa.org, 2012: [cit. 2012-04-20], [online]. Dostupné z WWW: . Microsoft.com, 2012: Rizika používání nelegálního softwaru [online], [cit. 201204-20]. Dostupný z WWW: . JANSA, L., OTEVŘEL, P., 2011: Softwarové právo – Praktický průvodce právní problematikou v IT. 1. vyd. Computer Press, ISBN 978-80-251-3458-0. NIST [online]. 2011 [cit. 2012-04-25]. The NIST Definition of Cloud Computing. Dostupné z WWW: . SCHULLER, S., 2008: Demystifying The Cloud: Where Do SaaS, PaaS and Other Acronyms Fit In? [online], [cit. 2012-04-20]. Dostupný z WWW:


65

Martin Žamberský

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

66

. KRUTZ, R.L., VINES, R.D., 2010: Cloud Security : A Comprehensive Guide to Secure Cloud Computing. 1. vyd. Indianopolis: Wiley Publishing, ISBN 978-0-470-58987-8. ABRAHAM, V., 2007: Kriminalita v oblasti porušování práv plynoucích z duševního vlastnictví [online], [cit. 2012-08-10]. Dostupné z WWW: . NILL, A., SCHIBROWSKY, J., PELTIER, J.W., 2010: Factors That Influence Software Piracy: A View from Germany. Communications of the ACM, vol. 53, No. 6. Vmblog.com, 2011: Gartner Reveals Top Predictions for IT Organizations and Users for 2012 and Beyond [online], [cit. 2012-05-25]. Dostupné z WWW: . STANĚK, R., 2011: Cloud Computing: Is the term "private Cloud" just "Cloud washing" for most vendors? [online], [cit. 2012-05-25]. Dostupné z WWW: < http://www.quora.com/Cloud-Computing/Is-the-term-private-cloud-just-cloudwashing-for-most-vendors/answer/Roman-Stanek>. PAUL, F., 2012: 8 Reasons Why Cloud Computing is Even Better for Small Businesses [online], [cit. 2012-08-10]. Dostupné z WWW: < http://www.readwriteweb.com/start/2012/04/8-reasons-why-Cloudcomputing.php>. Techaisle com, 2012: Cloud adoption lessons for success, [cit. 2012-08-11]. Dostupné z WWW: . Microsoft.com, 2012: Drivers & Inhibitors to Cloud Adoption for Small and Midsize Businesses [online], [cit. 2012-08-11]. Dostupný z WWW: . VMware Inc. 2011: CIO Global Cloud Computing Adoption Survey Results. [cit. 2012-08-11]. Dostupný z WWW: . FEUERLICHT, G., BURKOŇ, L., ŠEBESTA, M., 2011: Cloud Computing Adoption: What are the Issues? [cit. 2012-08-11]. Dostupný z WWW: . Deloitte, 2011: Cloud Adoption Study: Cloud computing is gaining momentum [online], [cit. 2012-08-11]. Dostupný z WWW: . KPMG, 2011: Clarity in the Cloud [online], [cit. 2012-08-11]. Dostupný z WWW: . Cio.com, 2011: Cloud Computing Survey [online], [cit. 2012-08-15]. Dostupný z WWW: .



[19] Bsa.org, 2009: Cloud Computing and the Software Industry [online], [cit. 201208-11]. Dostupný z WWW: . [20] IDC, 2008: White paper: The impact of software piracy and license misuse on the channel [online], [cit. 2012-08-12]. Dostupný z WWW: . [21] Symark International, 2008: Survey of More Than 800 IT Personnel and Executives Exposes Ubiquity of Orphaned Accounts as a Critical IT Security Vulnerability [online], [cit. 2012-08-11]. Dostupný z WWW: . [22] Bsa.org. 2012: Piracy in the Cloud: A Picture Is Starting to Emerge [online]. [cit. 2012-08-15]. Dostupný z Www: . [23] Gartner.com. 2009: Gartner Highlights Five Attributes of Cloud Computing [online]. [cit. 2012-09-14]. Dostupný z WWW: . [24] LINTHICUM, D., 2012: Redefining cloud computing – again [online]. [cit. 201209-14]. Dostupný z WWW: . [25] GENS, F., 2009: Defining “Cloud Services” – an IDC update [online]. [cit. 201209-14]. Dostupný z WWW: . [26] Cnet.com. 2008: Oracle's Ellison nails cloud computing [online]. [cit. 2012-09-14]. Dostupný z WWW: . [27] Guardian.co.uk.2008: Cloud computing is a trap, warns GNU founder Richard Stallman [online]. [cit. 2012-09-15]. Dostupný z WWW: . [28] VOŘÍŠEK, J. a kolektiv, 2008. Principy a metody řízení podnikové informatiky. Praha, Oeconomia, str. 28. ISBN 978-80-245-1440-6.

JEL: M15, O34


67

Softwarové pirátství v době Cloud Computingu

Recommend Documents