'Get the facts', «пиратская» версия

Компании Microsoft и IDC провели исследование «Понимание рисков и затрат компании, связанных с использованием нелицензионного ПО». Сам материал исследования не опубликован (во всяком случае, на сайтах обеих компаний ссылок на него нет), так что проверить его достоверность невозможно. Однако в пресс-релизе и поданном в ComputerWorld материале по мотивам исследования приводятся некоторые выводы, сделанные на основе "результатов исследования". Попробуем рассмотреть эти выводы и оценить их достоверность и ценность.

В пресс-релизе указаны "три ключевых вывода":
===
1. Степень наступления различных рисков, которым подвергают себя компании, пропорциональна уровню использования нелицензионного ПО.

2. Российские компании недооценивают дополнительные расходы при эксплуатации нелицензионного ПО и, соответственно, совокупную стоимость владения им.

3. Компании демонстрируют рост осведомленности о рисках, связанных с использованием нелицензионного ПО.
===

Итак, попробуем разобраться с первым выводом. Из того, что дальше изложено в пресс-релизе, можно сделать вывод, что под "различными рисками", о которых нам толкуют, понимаются риски системных сбоев и риски судебного преследования за использование "пиратского" ПО. При этом по рискам сбоев приводятся следующие "леденящие кровь" данные:

===
- Частота возникновения критических сбоев систем, приводящих к перерывам в работе компании, в 3,3 раза выше в компаниях с высоким уровнем использования пиратского ПО, чем в компаниях с низким уровнем;

- Мелкие сбои, вызывающие снижение производительности труда, происходят в 2,7 раза чаще в организациях с высоким уровнем использования (28,6% опрошенных), чем в организациях с низким (10,6% опрошенных);

- От потерь и повреждения данных страдают в два раза больше компаний с высоким уровнем использования (6,5% опрошенных), чем с низким (3,3% опрошенных);

- Частота непредвиденных расходов на программное обеспечение в 2,8 раза ниже в компаниях с низким уровнем использования пиратского ПО (3,9% опрошенных) по сравнению с компаниями с высоким уровнем использования (10,8% опрошенных).

- Критический сбой ИТ-системы в среднем обходится компаниям с низким уровнем использования нелицензионного ПО немного дороже 6 тыс. долл., тогда как для компаний с высоким уровнем использования она превышает 12 тыс. долл.

- Различие непредвиденных расходов на ПО еще значительнее: 3,6 тыс. долл. против 8,6 тыс. долл.

- По результатам опроса, компания среднего размера из категории низкого уровня использования нелицензионного ПО теряет за год в среднем немногим более 8 тыс. долл., а из категории высокого уровня использования нелицензионного ПО - свыше 37 тыс. долл.
===

В связи с этим неободимо отметить следующее:
1. Не приводится перечень программных продуктов, уровень незаконного использования которых оценивался.
2. Не приводится список сбоев (хотя бы критических), частота которых оценивалась.
3. Не приводятся показатели сбоев в разрезе серверов и персональных ЭВМ.
4. Не приводятся показатели сбоев и расходов на восставновление в разрезе размеров бизнеса опрошенных компаний (годового оборота, например, или, хотя бы, численности парка ЭВМ).
5. Приводятся не медианы, а средние значения, что, с учётом "разномастности" опрошенных компаний, равносильно обнародованию "средней температуры по больнице".
6. Не приводятся методики оценки числа сбоев и оценки непредвиденных затрат компаний, использующих нелицензионное программное обеспечение.

Первый, и самый главный, вывод из вышеописанного - приведённая в таком виде информация не только не несёт никакой практической пользы, но и вызывает серьёзные сомнения в её достоверности (или в корректности проведения исследования). Дабы не быть голословным, приведу весьма правдоподобное объяснение того, почему число сбоев в компаниях, использующих "пиратское" ПО, выше, чем в компаниях, использующих ПО лицензионное (если принять, что это заявление соответствует действительности).

Сразу оговорюсь, что, как технический специалист с достаточно высокой квалификацией, сразу исключаю вариант, что лицензионная и нелицензионная версии одного и того же продукта как-то отличаются надёжностью работы. Почему? Очень просто. Можно "с лёту" назвать минимум три причины:
1. Функционирование системы программно-технической защиты ПО создаёт намного больший риск сбоев, чем её бездействие/отсутствие. (Подобные системы используют "дыры" в ОС, недокументированные функции, шифрование/дешифрацию исполняемого кода "на лету", исполнение части кода на нулевом кольце защиты процессора и т.п., что, мягко говоря, не способствует повышению надёжности продукта). Подробнее см. "Анализ влияния систем защиты на потребительские свойства программного обеспечения".
2. "Компьютерное пиратство" - бизнес (незаконный, да, но бизнес). "Криво вломанные" программы очень быстро перестанут покупать, а, значит, доходность бизнеса упадёт. Соответственно, продавать "пиратские" программы, которые не работают или работают со сбоями, невыгодно самим "пиратам".
3. Если говорить об ОС Windows (исследование ведь проводилось при участии Microsoft и упоминаются "критические сбой", которые, логично, могут возникнуть на уровне ОС или, допустим, СУБД), то "пиратсткая" версия этой операционной системы отличается от "лицензионной" только серийным номером, который был введён при её установке на конкретной ЭВМ. Соответственно, либо все функциональные характеристики у этих версий идентичны, либо эта ОС содержит вредоносные элементы, которые, в зависимости от введённого пользователем серийного номера, активизируются или нет (а это уже "статья").

Логично предположить, что "пиратскими" программами пользуются фирмы, которые хотят сэкономить. (Хотя, честно говоря, совершенно непонятно, по каким причинам они не хотят сократить облагаемую базу, официально купив "лицензии" на ПО, отразив в бухучёте соответствующие затраты, да ещё и предусмотрев амортизационные отчисления...)
Обычно такая экономия не заканчивается только ПО - часто они экономят и на системных администраторах, нанимая студентов или "приходящих" специалистов. Разумеется, о политике/концепции информатизации (не говоря уже об информационной безопасности) в подобных компаниях не только не задумываются, но и едва ли слышали вообще... В результате ПО рассматривается в них "как пассив, а не как актив" (точь в точь, как в американских статьях о важности ИТ для бизнеса) и отношение к его настройке и сопровождению - соответствующее. Чему же удивляться, если узнаешь, что в подобных компаниях сбои (в т.ч. критические) происходят чаще, а восстановление обходится дороже, чем в компаниях, где ИТ уделяют должное внимание?
Вот, собственно, и объяснение. И, по моему скромному мнению, оно более правдоподобно, чем то, которое предлагается авторами обсуждаемого исследования.

Соответственно, принимать объявленные Microsoft и IDC выводы во внимание нельзя ни в научных исследованиях, ни при принятии бизнес-решений. Повторюсь, однако, что при анализе отталкивался только от тех данных, которые были раскрыты в пресс-релизе.

Что касается второго вывода, в пресс-релизе указано:
===
"Также исследование показало, что руководители и ИТ-директора считают затраты на лицензионные программные продукты более высокими по сравнению с нелицензионными. Тем не менее, начальная стоимость является единственным преимуществом нелицензионного ПО и, зачастую руководители и ИТ-директора не принимают во внимание расходы на обновление и поддержку нелицензионного ПО, которые в несколько раз превышают таковые по сравнению со стоимостью этих сервисов для лицензионного ПО. Из-за отсутствия процедуры оценки финансовых потерь, связанных со сбоем информационных систем, руководители и ИТ-директора систематически недооценивают возникающие убытки и потери."
===

Если отвлечься от потерь, связанных с юридическим преследованием, то нельзя сказать, что ИТ-директора в своих оценках так уж неправы. Собственно говоря, все "неправовые" факторы формирования затрат, учитываемые при расчёте TCO, одинаковы, что для случая законного использования ПО, что для случая его незаконного использования. Если считать TCO для случая незаконного использования ПО, то из общей суммы затрат необходимо исключить стоимость "лицензий", а также, кстати, стоимость сопровождения, которая нередко добавляется правообладателем "в нагрузку" к стоимости лицензий. Соответственно, получается следующая картина: TCO = x + y + z, где x - стоимость "лицензий", y - стоимость сопровождения, а z - все остальные затраты, входящие в TCO. Даже для школьника, владеющего основами арифметики, ясно, что x + y + z > z.
Однако, для объективности, необходимо, конечно, отметить, что затраты на обновление и сопровождение, которые будет нести недобросовестный пользователь, отличаются от нуля. Модули Service Pack и "заплатки" для устранения "дыр" в безопасности необходимо будет искать у "пиратов" или знакомых, что, разумеется, сопряжено с затратами времени и денег. И, действительно, опоздание при ликвидации критических уязвимостей может обойтись компании весьма недёшево. Однако, не будем забывать, что своевременное обновление и "затыкание дыр" - общая проблема, от которой страдают практически все компании, в том числе западные, бОльшая часть которых пользуется программным обеспечением вполне легально.
Соответственно, оценка того, насколько затраты на поиск "пиратских" обновлений и "заплаток" вкупе с риском использования "незалатанного" системного ПО меньше или больше затрат на приобретение "лицензий" и официального сопровождения, является темой для отдельного, и довольно серьёзного, исследования.

Третий вывод из результатов исследования - "Компании демонстрируют рост осведомленности о рисках, связанных с использованием нелицензионного ПО". Собственно, авторы исследования этим "Америки не открыли". При такой "обработке" через СМИ, "шумом" вокруг "дела Поносова" и т.п. следовало бы, наоборот, очень удивиться, если бы бизнес остался до сих пор неосведомлён о том, что "к ним могут прийти", конфисковать вычислительную технику для экспертизы "на контрафактность" (хотя необходимо проводить её компьютерно-техническую экспертизу, а вопрос о контрафактности оставить суду) и завести уголовные дела в отношении системных администраторов и руководства по статье 146 УК РФ.

Точно так же уже лет 20 как не является новостью то, что при принятии экономическим агентом решения о законном или незаконном приобретении ПО большую роль играет оценка риска быть уличённым в нарушении авторских прав и привлечённым к ответственности.

Вот, наверно, и всё, что можно сказать в отношении пресс-релиза.

В материале ComputerWorld приводятся также данные о том, как опрошенные в рамках исследования "504 лиц, принимающих технологические решения, и 58 лиц, принимающих бизнес-решения" оценивают "критические риски при использовании "пиратского" ПО". Согласно результатам опроса, около 44% опрошенных больше боятся юридических последствий нелегального использования ПО, 35% боятся провала аудитов и 20% боится потери репутации. Очень жаль, что в ходе опроса не было выяснено, как эта оценка влияет на принятие тех самых решений о законном или незаконном приобретении ПО.
Если бы, скажем, было установлено, что все респонденты, которые отнесли юридические риски к критическим, работают в компаниях, использующих только "лицензионное" ПО и однозначно придерживаются позиции "всё ПО - только легальное", то тогда (при условии, что 562 человека составляют репрезантивную выборку) можно было бы делать определённые выводы о том, как компании будут принимать решение о приобретении ПО.
Сейчас же таких выводов сделать нельзя, т.к. неясно, что же на самом деле отражают ответы респондентов: степень их информированности, склонность к риску, отношение к использованию "нелицензионного" ПО, мнение о том, какие меры эффективнее в борьбе с "пиратством" либо что-то ещё.

В целом, можно отметить, что подобные исследования нужны и проводить их необходимо. Однако, они должны носить именно исследовательскую, а не пропагандистскую направленность. Только в этом случае от них будет практическая польза. К сожалению, сегодня те, кто проводит подобные исследования/опросы, просто не знают, какие вопросы следует задавать ...