Diefstal van software komt vaak voor, vooral bij PC’s, omdat je daar zo makkelijk kunt kopiëren. Het verschijnsel is echter niet beperkt tot PC’s. Organisaties betalen bijvoorbeeld voor een licentie voor vijftig gebruikers; daarna stijgt het aantal gebruikers, zonder dat de licentie wordt aangepast.
Software-leveranciers passen talloze trucs toe om hun omzet te beschermen; een probleem daarbij is het onderscheid tussen geregistreerde gebruikers en simultane gebruikers. Het wordt nog lastiger nu de ‘freeware’ die wordt verspreid via Internet ook in de zakelijke wereld gemeengoed wordt. Wie Oracle heeft draaien op een gratis kopie van Linux is Oracle natuurlijk nog steeds een vergoeding verschuldigd!
Gezien deze complexe en diverse situatie is het welhaast onvermijdelijk dat er licentieproblemen optreden. Organisaties veranderen voortdurend; de situatie moet daarom voortdurend gemonitord worden. Sommige organisaties hebben een streng centraal beleid voor het distribueren van software, maar veel organisaties besteden nauwelijks aandacht aan het in het wilde weg kopiëren van software. Geef toe: wie heeft er geen applicaties waar niet voor betaald is, applicaties die zijn geleend van een vriend, die je nooit meer gebruikt, maar die toch illegaal geïnstalleerd zijn? Het probleem is niet beperkt tot Microsoft- en Novell-gebruikers, omdat Unix en mainframes tegenwoordig via PC’s worden benaderd in plaats van de klassieke, gemakkelijk te beheren terminal. Verder is het probleem niet beperkt tot grote organisaties, al wordt de situatie daar weer gecompliceerd door de opkomst van meerdere afdelingsservers en -netwerken.
Merk op dat diefstal van software opzettelijk kan plaatsvinden (kopiëren zonder te willen betalen), maar ook een gevolg kan zijn van onbeheerste vrijheid. Veel organisaties kondigen een centraal beleid af, dat door individuen en afdelingen echter met voeten wordt getreden. Wat de redenen ook mogen zijn, software waar niet voor betaald is, staat gelijk aan diefstal.
Er zijn altijd wel pogingen geweest om software-licenties te monitoren, maar de PC en de floppy disk verergerden het probleem. De hoge prijzen van PC-software maakten het er niet beter op. En zo ontstonden organisaties als de Federation Against Software Theft (Fast). Die hadden maar weinig invloed, en dus steunden Microsoft, Lotus en Novell een organisatie, de BSA, die namens hen als een soort politie kon optreden. Veel organisaties zijn al ‘overvallen’ door de BSA en kregen zware boetes opgelegd. De BSA wordt vaak afgeschilderd als een club boemannen, maar ze doen niets meer dan erop toe te zien dat iedereen betaalt wat hij moet betalen. In het slechtste geval is de BSA een noodzakelijk kwaad.
En zo moeten organisaties vaak hulp van buiten inroepen om ervoor te zorgen dat ze binnen het kader van de wet handelen. Hiervoor zijn audits nodig. Dat vereist weer een aanzienlijke inspanning van een gespecialiseerde audit-organisatie, die meestal hoge kosten met zich meebrengt. Dit is onvermijdelijk, en het mislukken van de meeste anti-diefstalcampagnes kan worden toegerekend aan een te krap budget. Er is geen snelle goedkope oplossing voor dit probleem.
Adviesbureaus en sommige advocatenkantoren bieden diensten op dit vlak aan, maar er is een zeker spanningsveld tussen de rol van auditor en die van probleemoplosser. Een boekhouder kan natuurlijk niet zijn eigen boeken controleren; hetzelfde zou moeten gelden voor audits die betrekking hebben op de rechtmatigheid van software.
In Engeland is een non-profit organisatie in het leven geroepen, het zogenaamde initiative for Software Compliance (iSC). Ik ben daaraan verbonden als niet-uitvoerend directeur. iSC heeft een methodiek voor een Continuous Compliance Programme (CCP) ontworpen, waarbij de Zwitserse auditspecialisten SGS worden ingeschakeld om het CCP te implementeren. Het resultaat is een soort gezondheidsverklaring, maar geen medicijn. Bij het verbeteringstraject kan een adviesbureau of softwarehuis worden ingeschakeld, net als bij elke andere aangenomen opdracht. De kosten van de CCP zijn afhankelijk van de omvang van de organisatie, maar de kosten van correctief werk kunnen alleen maar worden ingeschat als het achterstallig onderhoud in kaart gebracht is. iSC gebruikt verschillende verkoopkanalen die speciaal gericht zijn op grote ondernemingen, instellingen en het MKB.
Software-diefstal is de katalysator, maar de opgedane ervaring is al door iSC gebruikt om audit-programma’s voor millenniumbestendigheid, beveiliging, wettelijke problemen en gegevensregistratie te ontwikkelen.
iSC heeft in Engeland een werkrelatie met het Department of Trade and Industry (het Engelse Ministerie van Economische Zaken), de Data Register (de Engelse Registratiekamer) en de BSA. Bedrijven betalen iSC zodat ze niet bang hoeven te zijn voor de BSA. De BSA vindt dat prima, omdat ze het liefst zouden zien dat iedereen gewoon netjes betaalt voor de software die hij gebruikt.
Controle op de naleving van wet- en regelgeving is tegenwoordig heel gewoon voor financiële administraties, gezondheidszorg en veiligheid. Het is een logische stap om software aan de lijst toe te voegen. Zijn er in Nederland ook iSC-achtige organisaties?
