IT SECURITY NETWORK NEWS je B2B komunitní web zaměřený na IT bezpečnost a související témata. #security #bezpečnost #ITSECNN

Co je software escrow?

software escrow UPINSAFE

Stále častějším pojmem, který se objevuje ve vývoji a IT zakázkách v komerční i veřejné sféře a v oblasti startupů, je kouzelné slovo, které zní jako zaklínadlo z Harryho Pottera, a tím je slovo ESCROW. Lépe řečeno v našem případě SOFTWARE ESCROW. O čem se tady hovoří a proč je to již nějaký pátek běžná věc jak v Evropské Unii, tak směrem na západ od nás, se zeptáme specialisty na slovo vzatého, pana Jana Bednáře z UPINSAFE, který se touto problematikou zabývá již několik let.

Petr Smolník: Pane Bednáři, pouze stručně – co je úschova zdrojových kódů (z angl. software escrow / source code escrow)?

UPINSAFE Jan BednářJan Bednář: Účelem software escrow, je minimalizovat rizika spojená s vývojem a údržbou informačních systémů. Podstata služby spočívá v bezpečné úschově zdrojových kódů aplikace u nezávislé strany – escrow agenta – na základě podmíněné trojstranné dohody mezi uživatelem, vývojářem softwaru a escrow agentem. Při naplnění dohodnutých podmínek, kdy nastane jedna z nepříjemných situací, popsaných ve smlouvě o úschově, jako je třeba zánik nebo konkurz vývojáře, nebo i hrubé porušení jeho povinností sjednaných v rámci SLA, pak smlouva opravňuje escrow agenta k vydání zdrojových kódů uživateli, za účelem pokračování v údržbě a vývoji software s jiným partnerem.

Pro uživatele softwaru znamená služba úschovy zvýšení ochrany jím provedené investice a vynaloženého úsilí na implementaci nového informačního systému (částečně řeší i oblíbený tzv. vendor lock-in), pro vývojáře znamená ochranu jeho know-how a zjednodušení smluvních vyjednávání v případě zvýšené ostražitosti uživatele. Nezanedbatelnou roli hraje úschova pro důvěryhodnost začínajících vývojářů (typicky startupů) bez delší historie.

Pane Bednáři, jak vnímáte v dnešních dnech službu úschovy zdrojových kódů a jak toto řešení zapadá do oblasti bezpečnosti IT?

Úschova zdrojových kódů zatím není v České republice úplně zažitým institutem, přestože v zahraničí je téměř tradiční službou s tisícovkami klientů. Pro mě samotného je stále překvapivé, že tak jednoduchý a vlastně levný institut s vysokou přidanou hodnotou není využíván běžně v protiváze s počtem stále rostoucích miliónových investic v IT (a i rostoucímu počtu problémů). Z hlediska bezpečnosti IT se nejedná pouze o možné zmaření vynaložených prostředků, ale i o požadavek na kontinuitu firemního provozu, který je na informačních systémech závislý.

V zahraničí je požadavek na podmíněnou dostupnost zdrojových kódů téměř vždy zahrnován do investic v IT na úrovni risk managementu v komerční sféře nebo z hlediska udržitelnosti investic institucí poskytujících jakoukoliv podporu ve formě dotací nebo grantů v oblasti IT. Podmínka úschovy se stále více objevuje i v oblasti crowdfundingových financování nebo startupových investic.

Jaká je u nás současná situace kvality úschovy zdrojových kódů?

Předně si pojďme říct, že úschova je „záchranná brzda“ v případě úplného rozvratu smluvního vztahu – stejně jako pojištění proti požáru ji nikdy nechcete využít. Proces převzetí informačního systému nebo alespoň vytěžení dat z informačního systému po vydání zdrojových kódů rozhodně není jednoduchý – ale se zdrojovými kódy a vhodnou dokumentací je aspoň možný.

Na českém trhu je pouze minimum subjektů, které by se specializovaly na oblast úschov digitálních dat a zdrojových kódů a přistupovaly k této problematice alespoň na úrovni dnešních procesních a technologických standardů v oblasti archivace dat a revize digitálního obsahu.

UPINSAFE logoJakýmsi reliktem zde zůstává řešení formou advokátní nebo notářské úschovy. Zatím se na nás pouze zřídka obracejí advokáti, kteří si přejí uschovat a uchovat data pro své klienty, takže běžně jsou „nějaká“ a nešifrovaná data předávána na „nějakém“ fyzickém nosiči, který je uložen v „nějaké“ bezpečnostní schránce. Takto popsaným způsobem si dnes nikdo neukládá ani fotografie z dovolené, natož potom kriticky důležitá data. Dodejme, že předmětem výkonu advokacie není podle zákona o advokacii, ani stavovských předpisů ČAK archivace digitálních dat nebo provoz datových úložišť.

Zajímavostí je, že pro certifikaci našich úschov ze strany jedné z největších mezinárodních vývojářských společností, jsme museli prokazovat právě skutečnost, že předmětem naší činnosti nejsou právní ani obchodní konzultace a jsme tak v procesu úschov opravdu nezávislou stranou.

Proces úschovy dnes již probíhá podle připravených scénářů online za použití archivačních technologií, šifrování vysokého stupně, napojení na vývojářská prostředí, kontroly dokumentace kódu, popisu datového modelu a dalších a dalších činností.

Děkujeme za rozhovor a těšíme se na další témata a zajímavosti z oblasti bezpečné úschovy dat.

Také děkuji.

Průvodce hackera k prolomení hesel
security

Průvodce hackera k prolomení hesel

Obrana bezpečnosti vaší organizace je jako opevnění hradu – musíte pochopit, kde útočníci zaútočí a jak se pokusí prolomit vaše zdi. Hackeři neustále hledají slabiny,

ČÍST DÁLE »