Избежать неприятных сюрпризов

В последние годы тема лицензирования ПО в компаниях как-то отошла на второй план. По крайней мере о громких проверках в более-менее крупных структурах с привлечением правоохранительных органов не слышно уже давно. Пошли даже разговоры о том, чтобы и вовсе отменить статью 146 Уголовного кодекса, под которую использование нелицензионного ПО как раз и подпадает.

Но с другой стороны, некоммерческие партнерства поставщиков ПО, в частности BSA (Businness Software Alliance, Альянс поставщиков бизнес-ПО) и НП ППП (Некоммерческое партнерство поставщиков программных продуктов), несколько перестроили свою деятельность, сделав её менее публичной. Теперь споры между компаниями нарушителями и правообладателями урегулируются во внесудебном порядке. Тем не менее с тех организаций, которые использовали нелицензионное ПО, взыскивались весьма внушительные суммы. Если кто и попадал в поле зрения правоохранительных органов, так это «черные внедренцы», многие из которых были привлечены к уголовной ответственности. Довольно успешно шла борьба с интернет-ресурсами, через которые распространялось пиратское ПО. В итоге, несмотря на непростую ситуацию в экономике, доля нелицензионного ПО в России практически не растет.

При этом лицензии на ПО являются тем активом, управление которым в подавляющем большинстве компаний как в мире, так и в России осуществляется из рук вон плохо. Эта ситуация приводит к огромному количеству ошибок, так что затраты по данной статье выше, чем они должны быть. И есть все предпосылки к тому, что положение и дальше будет ухудшаться.

Надо сказать, что деятельность правообладателей и их объединений этому прямо способствует. В свое время массовые проверки и их последствия, например изъятие оборудования и возбуждение уголовных и административных дел, серьезно напугали ИТ-сообщество, и теперь очень многие допускают перелицензирование.

Положение усугубляют и многие нюансы политики вендоров. Скажем, лицензия на более новую версию Windows — восьмую или десятую — давала право на установку более старой Windows 7, что не всегда доводилось до контролирующих и правоохранительных органов. Перелицензирование Windows возникало также из-за того, что потребители плохо знали моменты, связанные с использованием этих ОС в виртуальных средах или на мобильных устройствах малого формата.

Ещё одна серьезная сложность: до сих пор разные вендоры не могут договориться на предмет того, как должны лицензироваться их продукты, работающие на современных системах. Кто-то за точку отсчета берет процессорные ядра, кто-то — сокеты. Именно с этим столкнулись в Объединённой металлургической компаниио чем на II Всероссийской независимой конференции SAMDay ‘2017, прошедшая в марте в Москве рассказал руководитель направления поддержки инфраструктуры «ОМК — Информационные технологии» Евгений Жижин.

По этой причине дистрибьюторам часто приходится сталкиваться с тем, что одна и та же партия бывает продана одному и тому же заказчику по нескольку раз. Как правило, происходит это из-за утери документации, подтверждающей законность приобретения данного ПО. Даже если речь идет о наклейках, которые свидетельствуют, что Microsoft Windows была приобретена на законных основаниях, но информация с которых перестала читаться в силу вполне естественных причин. Заново приходится покупать ПО и в тех случаях, если оно было приобретено у поставщика, который на данный момент на рынке уже не работает. Часто перелицензирование возникает в территориально распределенных компаниях из-за того, что документация «не доехала» до всех филиалов, которые, в свою очередь, перестраховываются и закупают все лицензии в полном объеме.

С другой стороны, как показало исследование, проведенное консорциумом BSA в 2016 году, по оценкам ИТ-директоров примерно 15% сотрудников в их компаниях загружают программное обеспечение из сети без уведомления руководства. При этом 26% признались, что пользователи устанавливают на корпоративные ПК и ноутбуки ПО из сети, часто забывая о том, что это может оказаться незаконным. Не секрет, что ПО, бесплатное для личных нужд, зачастую может требовать оплаты лицензий, если оно применяется для оплачиваемой работы.

Вот, к примеру, цитата из одного технического блога: «У нас был заказчик, который утверждал, что у него 98% ПО легально, он понимает, где и что у него находится, кто и как часто этим пользуется. На выходе клиент хотел финансовой экономии на закупках ПО, а также необходимы были процессы, по которым будет жить компания в области управления ПО. Когда мы начали проект, наши специалисты просканировали первую тысячу компьютеров, и процент лицензионно чистого ПО составил 45%. При этом на рабочих ПК было установлено около 200 игр и более 500 приложений, не нужных для работы!».

И ситуация продолжает ухудшаться. Как показывает опрос, который среди 2000 лиц, принимающих решения в области ИТ, провела компания VMware, 71% респондентов полагает, что если раньше управление технологиями осуществлялось ИТ-отделом, то теперь оно переходит к другим подразделениям. Это дает основание делать вывод, что теневые ИТ становятся мейнстримом. Предполагается, что подобная мера даст больше свободы действий для развития инноваций (62%), что она позволит быстрее выводить на рынок новые продукты и услуги (56%), а также быстрее реагировать на изменение рыночных условий (54%). Помимо этого переход управления технологиями от ИТ-службы к бизнес-руководителям повышает удовлетворенность сотрудников (60%) и позволяет привлекать перспективные кадры (52%). Обратной стороной тут становится дублирование расходов на ИТ-услуги (57%), отсутствие четких границ ответственности за работу ИТ (48%), приобретение потенциально небезопасных решений (47%).

Источником проблем становится и использование облачных сервисов. Начиная, например, с того, что облачный провайдер может не иметь всех разрешений от правообладателя на предоставление его ПО в виде сервиса. По результатам исследования все той же BSA, такое имеет место довольно часто. Возможны и иные сценарии: применение одной учетной записи облачного сервиса несколькими пользователями, предоставление программного обеспечения из частного облака для личных нужд сотрудников, предоставление ПО из частного облака для использования в большем объеме, чем приобретено лицензий. Переход к облачным сервисам приводит также к тому, что ранее приобретенное ПО оказывается невостребованным.

Естественно, подобное положение не нравится никому. Заказчики несут лишние затраты и, в наиболее запущенных случаях, теряют контроль над ПО, которое эксплуатируется в организации. Вендоры и дистрибьюторы тоже не заинтересованы в том, чтобы у их покупателей возникали проблемы. Ведь каждый такой случай ведет как минимум к имиджевым потерям, причем весьма серьезным. Да и помимо кнута (репрессивных мер) всегда надо иметь пряник, которым можно заинтересовать покупателя. Иначе эффективность взаимодействия будет ниже, чем могла бы быть.

Упорядочить управление ИТ-активами позволяет ITAM (IT asset management, управление ИТ-активами) — набор взаимосвязанных процессов, нацеленных на решение вопросов физического учёта, финансового контроля и контрактных обязательств, связанных с ИТ-активами, в качестве которых выступают оборудование, ПО и услуги. Всё, что относится к управлению программными активами, выделяют в отдельную предметную область, известную под англоязычной аббревиатурой SAM (software asset management, управление активами ПО). Это область деятельности в рамках управления ИТ-активами, объединяющая людей, процессы и технологии и заключающаяся в управлении используемого ПО, его систематическом контроле и оценке.

В общем случае внедрение ITAM требует, чтобы в компании было зрелое процессное управление. Одним только внедрением соответствующих программных инструментов и их интеграцией с другим ПО тут не обойдешься. Как показывает практика, типовыми причинами провала таких проектов являются следующие:

• равнодушие со стороны руководства;
• децентрализованная структура организации и системы управления, что приводит к нехватке ресурсов в удаленных подразделениях и филиалах;
• отсутствие четко распределенной ответственности в компании;
• неразвитые внутренние коммуникации;
• плохая поддержка пользователей;
• конфликты между процессами ITAM и локальным законодательством.

Тем более, что даже самое лучшее ПО имеет недостатки. Так, в своем выступлении на II Всероссийской независимой конференции SAMDay ‘2017 руководитель группы централизованного контроля систем и сервисов Райффайзенбанка Максим Качелкин отметил, что ему лично неоднократно приходилось сталкиваться с весьма неприятными ошибками в известных программных инструментах для инвентаризации ПО. А какое-то ПО или его версии может там просто отсутствовать. В итоге возникает риск, что некоторые программные средства, в том числе и дорогостоящие, вполне могут оказаться вне поля зрения ИТ-департамента. Поэтому, считает он, лучше выбирать тот продукт, где существует возможность пополнения баз своими силами.

С другой стороны, внедрение ITAM дает наибольший эффект, так как позволяет получить полную картину обо всех имеющихся ИТ-активах и эффективности их использования. Можно, например, оценить стоимость любого актива или выявлять те активы, эксплуатация которых обходится слишком дорого. Повышается производительность труда операторов Service Desk. Не секрет, что до половины времени операторов уходит на определение конфигурации ПК, на котором произошел инцидент, а при внедрении ITAM данные о ней поступают сразу вместе с заявкой. При этом все эти задачи решаются в полностью автоматическом режиме. В целом же компании, внедрившие ITAM, снижают затраты на эксплуатацию своих ИТ на 15%.

По большей части SAM-проекты относительно просты, недороги, хорошо отработаны, не требуют внедрения процессной модели управления ИТ. В итоге их проведение поставлено, без преувеличения, на поток. Так что на один проект ITAM приходится несколько десятков SAM. При этом они вполне успешно проходят как и в компаниях со сложной организационной структурой, и в тех, где всё очень сильно запущено. Последнее имело место, например, в фирме «Ровезе Рус», которая, как пояснил ее ИТ-директор Алексей Камко, «…пришла к той ситуации, когда ИТ-департамент реально потерял контроль над эксплуатируемым ПО, причем руководство не представляло себе серьезности проблемы». И тем не менее с помощью компании АЛАН-ИТ был проведен проект, завершившийся успехом.

На практике всё сводится к инвентаризации ПО, по итогам которой даются рекомендации, направленные на усовершенствование управления лицензиями. Но есть здесь и обратная сторона: из-за довольно длительных сроков проекта (до полугода, а чем больше компания, тем проект длится дольше), с одной стороны, и естественной замены ПК и ноутбуков, с другой, контроль над ситуацией теряется буквально на глазах.

Как правило, итоги инвентаризации оказываются для заказчика сюрпризом, причем далеко не всегда приятным. Выше уже приводилась цитата из блога технического специалиста, который участвует в таких проектах, и ситуация, в ней описанная, когда доля ПО сомнительной чистоты оказалась на порядок больше ожидаемой, а количество явно не предназначенных для работы приложений, установленных пользователями, шло на сотни, является вполне типичной. Хотя бывает и так, что специалисты в ходе SAM-проекта обнаруживают факты значительного перелицензирования. Формы этого явления могут быть разными: встречается как приобретение избыточного количества лицензий по сравнению с тем, что нужно, так и использование более дорогой версии продукта, расширенные возможности которой фактически остаются невостребованными. Как правило, речь идет о наиболее широко используемых продуктах — клиентских ОС и офисных пакетах.