Mówiąc o zagrożeniach mogących wynikać z braku profesjonalnego zarządzania oprogramowaniem w organizacji, należy wskazać dwie zasadnicze kategorie: ryzyko prawne oraz zagrożenia w zakresie bezpieczeństwa informatycznego. Oba rodzaje ryzyka mogą wiązać się z konsekwencjami finansowymi.

Odpowiedzialność prawna

W wypadku braku profesjonalnego zarządzania oprogramowaniem, zwiększa się ryzyko, że organizacja korzysta z oprogramowania komputerowego bez uprawnienia. Tak będzie na przykład w wypadku instalacji większej liczby kopii danego programu komputerowego niż zezwala na to licencja na ten program. Zarzut bezprawnego korzystania z programu komputerowego będzie także zasadny w sytuacji kiedy dochodzi do instalacji podróbki programu komputerowego lub instalacji programu wskutek obejścia zabezpieczeń przed zwielokrotnieniem – np. przy użyciu tzw. cracków.

Bezprawne korzystanie z oprogramowania (tzn. bez licencji lub wbrew jej warunkom), a także niedozwolona sprzedaż programów (np. w wersji OEM bez sprzedaży komputera lub urządzenia peryferyjnego) i podróbek oprogramowania oraz nabycie nielicencjonowanego programu, w tym podróbki (jako rzeczy pochodzącej z przestępstwa) wiąże się z odpowiedzialnością prawną.

Posiadanie programu komputerowego bez licencji, czyli – zgodnie z treścią art. 278 §2 Kodeksu karnego – uzyskanie programu bez zgody uprawnionego w celu osiągnięcia korzyści majątkowej jest zagrożone karą pozbawienia wolności do lat 5. Ta sama kara grozi za umyślne paserstwo programu komputerowego (art. 293 Kodeksu karnego). W wypadku paserstwa nieumyślnego – do 2 lat pozbawienia wolności (art. 292 Kodeksu karnego).

Zgodnie z art. 116 Ustawy o prawie autorskim i prawach pokrewnych bezprawne rozpowszechnianie utworu (programu komputerowego) zagrożone jest karą pozbawienia wolności do lat dwóch lub trzech, jeżeli sprawca dopuszcza się czynu w celu osiągnięcia korzyści majątkowej. Jeśli bezprawne rozpowszechnianie stanowi stałe źródło dochodu sprawcy, kara jest podwyższona do 5 lat pozbawienia wolności. W prawie autorskim przewidziana jest także (art. 118) sankcja karna za tzw. paserstwo nośników: w wypadku paserstwa umyślnego do 5 lat pozbawienia wolności, zaś nieumyślnego do 2 lat kary więzienia. W wypadku skazania za czyn określony w art. 116 lub art. 118 prawa autorskiego sąd orzeka przepadek przedmiotów pochodzących z przestępstwa, chociażby nie były własnością sprawcy. Może również orzec przepadek przedmiotów służących do popełnienia przestępstwa również bez względu na to, kto jest ich właścicielem.

Warto pamiętać, że odpowiedzialności karnej podlega nie tylko bezpośrednie popełnienie danego czynu (sprawstwo), ale także np. podżeganie czy pomocnictwo obejmujące, nie tylko pomoc w popełnieniu przestępstwa, ale także zaniechanie określonych działań, wskutek czego doszło do popełnienia przestępstwa.

Kierownictwo organizacji może ponieść odpowiedzialność prawną z tytułu bezprawnego korzystania z oprogramowania, jeśli:
- podejmuje decyzję o kupnie i używaniu nielegalnego oprogramowania;
- zdaje sobie sprawę z tego, że zarządzany przez nie podmiot gospodarczy posiada nielegalnie zainstalowane oprogramowanie, a mimo to nie podejmuje kroków w kierunku jego usunięcia, ewentualnie zastąpienia oprogramowaniem legalnym;
- wie, że do wykonania określonych projektów pracownicy organizacji wykorzystują niezbędne oprogramowanie specjalistyczne, które nie zostało legalnie zakupione;
- wydaje dyspozycję dowolnego kopiowania (zwielokrotniania) oprogramowania bez zapoznania się z umową licencyjną wiążącą licencjobiorcę.

Oprócz odpowiedzialności karnej, sprawca naruszenia praw twórcy (producenta) oprogramowania musi się liczyć z odpowiedzialnością cywilną, w tym majątkową, czyli z konsekwencjami finansowymi.

Zagrożenia bezpieczeństwa informatycznego

Korzystanie z podróbek oprogramowania lub użycie cracków i innych narzędzi do obchodzenia zabezpieczeń technicznych oprogramowania niesie za sobą ryzyko nieświadomej instalacji tzw. złośliwych dodatków (ang. malicious code). W konsekwencji, organizacja jest narażona na przejęcie kontroli nad komputerem (siecią) przez osobę trzecią w postaci uzyskania dostępu do poufnych informacji, w tym numerów kont bankowych, a także – na przykład poprzez rejestrowanie uderzeń w klawiaturę – takich ściśle poufnych danych jak PIN kody czy hasła do kont bankowości internetowej, włącznie z możliwością tzw. kradzieży tożsamości.

Jak wynika z badania przeprowadzonego przez IDC (międzynarodowa firma badawcza monitorująca rynek komputerowy i nowych technologii) na temat zagrożeń związanych z nabyciem nielegalnego oprogramowania aż 25% płyt z pirackim oprogramowaniem udostępnianym w Internecie i aż 59% narzędzi przesyłanych przez sieci P2P zawiera złośliwe dodatki. Ponadto aż 51% płyt z oprogramowaniem oferowanych na aukcjach internetowych to podróbki lub zawiera złośliwe dodatki.

Przykładów szkodliwego oprogramowania jest wiele. Do najbardziej znanych należą: trojany, oprogramowanie szpiegujące (spyware), robaki, wirusy.

Analitycy IDC dzielą zaobserwowane ryzyko w zakresie bezpieczeństwa na trzy kategorie zagrożeń:

zainfekowanie niepożądanym kodem

Przybiera postać łagodną, średnio-niebezpieczną lub poważną. Łagodna postać to np. denerwujący kod, taki jak programy adware, z całym bagażem wyskakujących okien z reklamami i zastępowaniem strony domowej. Bardziej destrukcyjny kod, taki jak konie trojańskie, może potencjalnie zapychać zasoby systemowe aż do ostatecznego unieruchomienia urządzenia. Wreszcie istnieją też potencjalnie niszczące kody, takie jak boty i rejestratory klawiszy, które mogą doprowadzić do przejęcia kontroli nad komputerem na potrzeby wysyłania spamu, składowania nielegalnych plików oraz udostępniania osobom trzecim newralgicznych danych, włącznie z dostępem do internetowego konta bankowego;

naruszenie systemu zabezpieczeń

Złośliwe i niepożądane oprogramowanie znane jest z możliwości blokowania pracy lub pobierania aktualizacji przez programy antywirusowe oraz zapory firewall. Niektóre programy typu adware generują nawet uporczywe reklamy fałszywych narzędzi do usuwania oprogramowania typu spyware – czasami żądając od użytkownika zapłaty za oprogramowanie niezbędne do usunięcia właśnie wygenerowanych reklam.

zmniejszenie wydajności aplikacji

Problemy bezpieczeństwa nie zawsze ujawniają się w sposób bezpośredni. W wielu przypadkach użytkownik po prostu zauważa problemy z systemem i wzywa informatyka. Programy typu spyware (szpiegowskie) są szczególnie znane ze spowalniania pracy sieci bądź dostępu do Internetu lub powodowania problemów z logowaniem i trudności ze zdalnym dostępem.

Zobacz także:

glosariusz terminów dotyczących zagrożeń bezpieczeństwa informatycznego:
http://www.bsacybersafety.com/threat/

Internet Piracy Report:
http://www.bsa.org/files/Internet_Piracy_Report.pdf

przewodnik po zarządzaniu ryzykiem:
http://www.bsa.org/~/media/F0AB296916554D23B639B97FEDEF8F7B.ashx

portal cyber bezpieczeństwa pod adresem:
http://www.bsacybersafety.com

Internet Security Threat Report:
http://eval.symantec.com/mktginfo/enterprise/white_papers/bwhitepaper_web_based_attacks_03-2009.en-us.pdf

Ryzyko finansowe

Analizując ryzyko finansowe, należy wziąć pod uwagę:

- ryzyko strat finansowych w wyniku utraty danych lub dostępu do nich osób nieupoważnionych, w tym informacji stanowiących tajemnicę przedsiębiorstwa;
- ryzyko kosztów technicznych odzyskania danych i odbudowy zasobów IT czy też zakupu uszkodzonego sprzętu komputerowego i urządzeń peryferyjnych;
- ryzyko ekonomiczne w postaci zbędnych wydatków na oprogramowanie;
- konsekwencje finansowe naruszenia praw autorskich do oprogramowania