Μεγάλους κινδύνους ασφαλείας κρύβουν οι αγορές των λάθος λογισμικών

Με τη λειτουργία των επιχειρήσεων να βασίζεται ολοένα και περισσότερο στις ψηφιακές υποδομές, η απόκτηση ασφαλούς και συμβατού λογισμικού γίνεται πιο κρίσιμη από ποτέ. Επομένως, σε περίπτωση που ένας οργανισμός σχεδιάζει να αναβαθμίσει το λογισμικό του, θα πρέπει να εξετάσει με προσοχή αν θα προχωρήσει σε αγορά νέων αδειών ή αν θα εξετάσει την προοπτική απόκτησης δευτερογενούς λογισμικού.

Η αντίληψη ότι ένα πιο σύγχρονο λογισμικό είναι αυτόματα και πιο ασφαλές μπορεί να είναι παραπλανητική, καθώς έχουν υπάρξει επανειλημμένες περιπτώσεις απάτης ακόμη και στην αγορά νέου λογισμικού. Υπάρχουν επίσης αδίστακτοι απατεώνες που πωλούν απλά κλειδιά πλασάροντάς τα ως «νέες άδειες χρήσης». Εκμεταλλεύονται δηλαδή την πολυπλοκότητα των μοντέλων αδειοδότησης και, ιδίως, την έλλειψη γνώσης εκ μέρους των πελατών, για το κέρδος. Κάποιος μπορεί ακόμα και να προσποιηθεί ότι πουλά μία νέα άδεια, ενώ στην πραγματικότητα προσφέρει ένα δευτερογενές προϊόν, για το οποίο ένας έμπειρος αγοραστής μπορεί να απαιτήσει δεδομένα, όπως η αλυσίδα των προηγούμενων ιδιοκτητών.

Το πρόβλημα της αθέμιτης αδειοδότησης -ακόμη και από τον επίσημο συνεργάτη του κατασκευαστή- προκύπτει συχνά σε ολοκληρωμένα περιβάλλοντα διακομιστών ή συστήματα ERP. Σε αυτές τις περιπτώσεις, οι προμηθευτές/εφαρμογείς συχνά προτιμούν να προσφέρουν ένα «πακέτο» που ταιριάζει στον προϋπολογισμό του πελάτη με οποιοδήποτε κόστος, παρά να παραδεχτούν ανοιχτά ότι το προϊόν που διαθέτουν είναι πολύ ακριβό ή ότι δεν είναι εξουσιοδοτημένοι να παρέχουν τόσο σημαντική έκπτωση, ώστε να το καταστήσουν προσιτό.

Μια συνηθισμένη τακτική που ακολουθούν περιλαμβάνει τη σύνδεση πολλών χρηστών μέσω ενός ενιαίου σημείου πρόσβασης στο πλαίσιο μίας μοναδικής άδειας χρήσης. Ενώ τέτοιες λύσεις μπορεί αρχικά να φαίνονται αποτελεσματικές, πολύ συχνά παραβιάζουν τους όρους του προμηθευτή λογισμικού, ιδιαίτερα όταν εφαρμόζεται μοντέλο αδειοδότησης ανά χρήστη. Αυτό θέτει σε κίνδυνο όχι μόνο τη νομική εγκυρότητα της άδειας, αλλά μπορεί επίσης να υποβαθμίσει την αξιοπιστία των δεδομένων του συστήματος και της διαδρομής ελέγχου.

Η αδειοδότηση λογισμικού είναι ένας κλάδος που εμπίπτει σε συγκεκριμένη νομοθεσία και πρέπει να πληρούνται όλες οι απαιτήσεις. Δεν αρκεί δηλαδή να πληρωθεί κάποιος μεσάζοντας, που ισχυρίζεται ότι είναι συνεργάτης του προμηθευτή, αλλά εκείνος πρέπει να παρέχει το πλήρες εύρος των δικαιωμάτων που απαιτούνται για τη νόμιμη χρήση του λογισμικού.

Κατά την αγορά λογισμικού -είτε καινούργιου είτε δευτερογενούς- το οικονομικό κόστος μιας λανθασμένης επιλογής μπορεί να είναι υψηλό καθώς αγοραστές που αποτυγχάνουν να διαχειριστούν σωστά τη διαδικασία αγοράς, μπορεί να καταλήξουν να πληρώσουν ένα σημαντικό ποσό εκ των προτέρων για κάτι που αποδεικνύεται άχρηστο. Στη συνέχεια θα πρέπει όχι μόνο να πληρώσουν ξανά για το σωστό λογισμικό, αλλά μπορεί να αντιμετωπίσουν και πρόσθετες κυρώσεις. Οι συνέπειες μπορεί να κυμαίνονται από αποτυχημένους ελέγχους και οικονομικές απώλειες έως την αιφνίδια διακοπή της λειτουργίας της επιχείρησης.

Ένα επαληθευμένο δευτερογενές λογισμικό προσθέτει αξία

Η δευτερογενής αγορά λογισμικού, κρύβει παρόμοιους κινδύνους, αλλά την ίδια στιγμή προσφέρει σημαντικές ευκαιρίες για όσους οργανισμούς επιδιώκουν να μειώσουν τις δαπάνες IT χωρίς να θυσιάσουν την ποιότητα.

Στον ιδιωτικό τομέα οι αγοραστές έχουν μεγαλύτερη ευελιξία στην επιλογή των προμηθευτών και μπορούν να τους επιλέξουν με βάση τη φήμη, την αξιοπιστία ή άλλους πιο αντικειμενικούς παράγοντες, όπως για παράδειγμα, τα πιστοποιητικά ISO. Αντίθετα, οι δημόσιοι οργανισμοί, που δεσμεύονται από τους κανονισμούς που διέπουν τις δημόσιες συμβάσεις, έχουν πιο περιορισμένες επιλογές. Ωστόσο, μπορούν και αυτοί να λάβουν υπόψη τους το κατά πόσον ο προμηθευτής διαθέτει ασφάλιση αστικής ευθύνης ή να επαληθεύσουν τη γνησιότητα των αναφορών του προμηθευτή – ερχόμενοι σε επαφή με επιλεγμένους πελάτες.

Ειδικά για μεγάλες ή στρατηγικές αγορές, συνιστάται να ζητείται πλήρης τεκμηρίωση σχετικά με την προέλευση κάθε άδειας. Οι έμπειροι αγοραστές, συμπεριλαμβανομένων των μεγάλων πελατών της Forscope, συχνά προσλαμβάνουν νομικούς εμπειρογνώμονες για να εξετάσουν αυτά τα έγγραφα και να αξιολογήσουν τη συνέπεια και την πληρότητά τους. Η διαδικασία περιλαμβάνει την εξέταση της αλυσίδας των προηγούμενων κατόχων και την επιβεβαίωση ότι έχουν εκπληρωθεί όλες οι νομικές προϋποθέσεις, όπως η ορθή απεγκατάσταση, τα μόνιμα δικαιώματα αδειοδότησης και η πρώτη διάθεση του λογισμικού στην αγορά της Ευρωπαϊκής Ένωσης ή του Ευρωπαϊκού Οικονομικού Χώρου.

Οι αξιόπιστοι προμηθευτές, όπως η Forscope, η οποία δραστηριοποιείται σε πολλές χώρες της ΕΕ, παρέχουν αυτό το επίπεδο διαφάνειας και νομικής σαφήνειας. Εξάλλου,  οι εσωτερικές διαδικασίες της Forscope έχουν δημιουργηθεί για να παρέχουν λεπτομερή τεκμηρίωση της ιδιοκτησίας, να πραγματοποιούν ελέγχους πριν από την απόκτηση λογισμικού και να διασφαλίζουν ότι οι πελάτες μπορούν να πληρούν με σιγουριά τα εσωτερικά και εξωτερικά πρότυπα συμμόρφωσης.

Η παρουσία πιστοποιήσεων ISO και η ασφάλιση επαγγελματικής ευθύνης μπορούν να ενισχύσουν την αξιοπιστία ενός παρόχου λογισμικού και να «καθησυχάσουν» εταιρείες που ασχολούνται με προμήθειες μεγάλης κλίμακας ή υψηλού κινδύνου, όπου οποιοδήποτε νομικό ή οικονομικό σφάλμα μπορεί να έχει εκτεταμένες συνέπειες.

Συχνά λάθη στους δημόσιους φορείς

Η διαδικασία προμηθειών για δημόσιους φορείς είναι σαφώς πιο σύνθετη, ωστόσο και εκείνοι έχουν τη δυνατότητα να θέτουν νόμιμες απαιτήσεις για την αξιολόγηση των προμηθευτών, καθώς και να ζητούν τεκμηρίωση για την προέλευση του δευτερογενούς λογισμικού. Με δεδομένο το σημαντικό οικονομικό όφελος που μπορεί να προκύψει, πρόκειται για μια προσπάθεια που αξίζει να γίνει. Είναι κρίσιμο να τονιστεί όμως, ότι ο στόχος αυτών των απαιτήσεων δεν είναι να τεθούν τόσο αυστηρές και παράλογες προϋποθέσεις ώστε πρακτικά να αποκλείονται όλοι οι προμηθευτές δευτερογενούς λογισμικού. Αντίθετα, οι όροι πρέπει να διαμορφώνονται με τρόπο που να διασφαλίζει τη νομιμότητα και την εγκυρότητα των προϊόντων.

Ένα συχνό λάθος που παρατηρείται στο Δημόσιο είναι η εσφαλμένη εκτίμηση ότι τα «ηλεκτρονικά πρωτότυπα» εγγράφων είναι πιο αξιόπιστα από έντυπα έγγραφα ή απλά αντίγραφα/σκαναρισμένες εκδοχές τους. Ωστόσο, σύμφωνα με τον ευρωπαϊκό κανονισμό eIDAS, η έννοια της «ηλεκτρονικής υπογραφής» είναι ευρεία και περιλαμβάνει ακόμη και την πληκτρολόγηση του ονόματος και επωνύμου στο τέλος ενός email. Συνεπώς, η απλή ύπαρξη «ηλεκτρονικής μορφής» δεν συνεπάγεται αυξημένη αυθεντικότητα.

Το γεγονός αυτό, σε συνδυασμό με το ότι μία λύση μπορεί να αξιολογείται αποκλειστικά με βάση την χαμηλότερη τιμή, καθώς και με το ότι οι δημόσιοι φορείς δεν είναι ιδιαίτερα εξοικειωμένοι με ζητήματα δευτερογενούς λογισμικού, οδηγεί σε προβλήματα. Κάποιοι υποψήφιοι προμηθευτές ενδέχεται να υποβάλλουν ελλιπή ή κακής ποιότητας τεκμηρίωση, ενώ άλλοι μπορεί να μην κατέχουν επαρκή αριθμό νόμιμων αντιγράφων του λογισμικού, ή τα αντίγραφα να μην πληρούν τις προϋποθέσεις εξάντλησης πνευματικών δικαιωμάτων εντός της ΕΕ/ΕΟΧ.  Αυτές οι κρίσιμες πληροφορίες δεν μπορούν να επαληθευτούν χωρίς την υποβολή και ενδελεχή έλεγχο της σχετικής τεκμηρίωσης αδειών χρήσης, η οποία θα πρέπει να αξιολογείται με βάση τις αποδείξεις – και όχι με βάση το format των αρχείων.

Η παράδοξη πολυπλοκότητα των νέων αδειών και η αυξημένη ανάγκη για προσοχή

Παρότι στην περίπτωση του δευτερογενούς λογισμικού ο αγοραστής έχει τη δυνατότητα να ελέγξει ενδελεχώς την τεκμηρίωση που του προσκομίζεται, η νομική βεβαιότητα μπορεί να είναι -παραδόξως- ακόμα πιο δύσκολη στην περίπτωση νέων αδειών χρήσης. Το γεγονός ότι οι κατασκευαστές αδειοδοτούν το λογισμικό τους με διαφορετικά μοντέλα, μέσω ποικίλων συνεργατών και μεταπωλητών, ενώ συχνά οι όροι δεν παρουσιάζονται με επαρκή σαφήνεια, δημιουργεί ένα ιδιαίτερα δυσνόητο τοπίο για τον αγοραστή.

Στην πράξη, είναι ιδιαίτερα σημαντικό οι όροι αγοράς νέων αδειών να προβλέπουν την καταχώρισή τους στο portal αδειών του εκάστοτε κατασκευαστή. Αντίθετα, δεν μπορεί να εφαρμοστεί η ίδια απαίτηση και στις δευτερογενείς άδειες, καθώς δεν αντιστοιχίζονται στον λογαριασμό του portal του κατασκευαστή του επόμενου ιδιοκτήτη. Στην περίπτωση αυτή, ο αγοραστής αποκτά πρόσβαση στο λογισμικό μέσω του αντίστοιχου μεσάζοντα, ο οποίος οφείλει να του παρέχει όλα τα έγγραφα που αποδεικνύουν ότι πληρούνται οι νομικές προϋποθέσεις σύμφωνα με τη νομοθεσία της ΕΕ.

Ταυτόχρονα, στην αγορά παρατηρείται αύξηση τιμών σε παράνομες προσφορές λογισμικού, επειδή μία ακριβότερη τιμή συχνά δημιουργεί λανθασμένα την εντύπωση αξιοπιστίας. Για την κυκλοφορία τέτοιων προϊόντων αρκεί η τιμή να είναι ελάχιστα χαμηλότερη από τη μέση τιμή του δευτερογενούς λογισμικού ή, εάν δεν υπάρχει διαθέσιμο αντίστοιχο προϊόν στη δευτερογενή αγορά, απλώς κάτω από την τιμή νέας άδειας. Αυτή η πρακτική πλήττει τους κατασκευαστές, αλλά και τους νόμιμους εμπόρους που δραστηριοποιούνται στην αγορά.

Η ενισχυμένη επιμέλεια είναι αναγκαία στις Δημόσιες Αρχές

Υπό τις παραπάνω συνθήκες, οι Αρχές καλούνται να επιδεικνύουν ιδιαίτερη προσοχή κατά την αξιολόγηση επιλογών για αναβάθμιση λογισμικού. Παρότι τα κριτήρια επιλογής στους διαγωνισμούς μπορεί να είναι νομικά περιορισμένα, οι όροι που τίθενται πριν την υπογραφή κάθε σύμβασης είναι καθοριστικοί. Πολλοί φορείς πλέον προχωρούν σε συστηματικό έλεγχο της προέλευσης των αδειών, πρακτική που υποστηρίζεται από έμπειρους προμηθευτές, όπως η Forscope, η οποία παρέχει τεχνική και νομική υποστήριξη σε δημόσιους οργανισμούς καθ’ όλη τη διάρκεια της διαδικασίας.

«Τελικά, η αγορά λογισμικού – είτε πρόκειται για νέα είτε για δευτερογενή λύση – είναι γεμάτη τόσο με ευκαιρίες όσο και με κινδύνους. Αυτό που διακρίνει μια έξυπνη αγορά από μια ριψοκίνδυνη δεν είναι η τιμή, αλλά η επιμέλεια πίσω από την απόφαση. Καθώς το τοπίο του λογισμικού συνεχίζει να μεταλλάσσεται, το ίδιο συμβαίνει και με τους τρόπους με τους οποίους λειτουργούν οι απατεώνες και οι απρόσεκτοι μεταπωλητές. Έτσι η επιλογή των κατάλληλων συνεργατών που προσφέρουν όχι μόνο ελκυστικές τιμές αλλά και επαληθεύσιμες διαδικασίες και τεχνογνωσία, είναι πιο κρίσιμη από ποτέ», τονίζει ο Michal Baudys, Public Sector Strategy Leader για τις αγορές της ΕΕ.