Szerző: Gálffy Csaba

2016. augusztus 09. 11:42:00

Mit ad a jogi osztály egy tech-cégnek?

A FireEye jogi igazgatója, a magyar származású Alexa King járt Budapesten, vele beszélgettünk.

HIRDETÉS

Csak akadályozza a munkavégzést, kizárólag tiltani tud - csak néhány azok közül a mondatok közül, amelyeket a cég alkalmazottai az informatikusok, rendszergazdák fejéhez szoktak vágni. De nem csak az IT osztály számít kerékkötőnek, a jogi osztályt is hasonlóan látja legtöbb cég - és nem csak az alacsonyabb beosztású alkalmazottak, hanem néha még a vezetőség is.

Nem szükségszerű, hogy ez így legyen - mondja Alexa King, a FireEye jogi igazgatója. Kinggel Budapesten tudtunk leülni egy beszélgetésre a cég hazai képviselete, a Biztributor által szervezett találkozón.

Segíteni az üzletnek

Mi a FireEye?

A FireEye egy hálózati biztonsággal foglalkozó informatikai vállalat. A 2004-ben alapított cég specialitása az MVX-motor, amely virtualizált sandboxban vizsgálja a forgalom elemeit, és igyekszik detektálni a támadásra jellemző mintázatokat. Ez a technológia található a cég forgalmat monitorozó appliance-ében, de több más terméket is épített rá a cég.
A FireEye 2014-ben felvásárolta a Mandiantet is, utóbbi az IT-biztonsági szolgáltatásokra, különösen a forensics területre fókuszál. A Mandiantet általában támadások utáni rendrakáshoz és a támadók utólagos beazonosításához hívják.
Viszonylag friss felvásárlás az iSight, amely IT-biztonsági hírszerzéssel (intelligence) foglalkozik, segít a partnereknek feltérképezni a potenciális támadókat, támadási vektorokat. Mivel az IT-biztonság erősen kontextuálisfüggő, ez a képesség komoly versenyelőny a FireEye kezében.

King felfogásában a jogi osztály (pontosan úgy, ahogy egy jól összerakott IT-osztály is) rengeteget tud segíteni egy vállalkozásnak, szinte minden területen, legyen szó növekedésről, nemzetközi terjeszkedésről, szabadalmi trollokról, vagy csak arról, hogy hogyan különböztesse meg magát a piacon a versenytársaktól és tegyen szert kézzelfogható előnyre.

King egyik ilyen példa a SAFETY Acthez kötődik. Ez egy speciális jogi keretrendszer még 2002-ből, amely lehetővé teszi, hogy azok a cégek, amelyek kormányzati minősítéssel rendelkező beszállítóktól vásárolnak, mentesüljenek a kártérítési kötelezettség alól terrortámadás esetén. Emiatt ez ragyogó ajánlólevél a biztonsági megoldások számára, a különböző cégek azonnal bele is vágtak a minősítés megszerzésébe.

A keretrendszert azonban nagyon hosszú ideig csak fizikai biztonsági eszközökre használták, a FireEye jogi osztályának (és Alexa Kingnek) jutott először eszébe, hogy ezt kibervédelmi megoldásokra is lehetne alkalmazni, hiszen semmi nincs a szabályozásban, ami az informatikai rendszereket kizárná. Ez persze hordozott némi kockázatot, hiszen ha a végrehajtásért felelős kormányügynökség úgy dönt, hogy az IT mégsem tartozik a törvény hatálya alá, akkor a költséges és időigényes minősítési eljárás felesleges körnek bizonyul. Szerencsére nem így alakult, tavaly áprilisi dátummal a FireEye hivatalosan is megkapta a minősítést az MVX motorra és a felhős szolgáltatására is.

Ez emellett rengeteg más területen is tud segíteni a belsős jogi tanácsadó - mondja King. Az természetes például, hogy a szerződések szövegezésében fontos szerep hárul a jogászokra, de ezt a feladatot is lehet proaktívan, a cég üzleti érdekeinek alárendelve végezni, a gyorsaságon és a pontosságon túl is. Szintén fontos terület lehet a nemzetközi terjeszkedés segítése - ez sokszor pont az eltérő szabályozási környezet miatt halad lassan, itt kritikus lehet a jogi osztály teljesítménye.

Jogászkodás a biztonsággal

Az IT-biztonsággal foglalkozó kutatók számára mindig komoly fejtörést jelent a disclosure, vagyis a felfedezett biztonsági rések felelős nyilvánosságra hozatala. Egyrészt a hibák felfedezéséhez általában nem vezet egyenes út, például valamilyen formában vissza kell fejteni az adott szoftver működését, amit a licencfeltételek általában tiltanak. De a szellemi tulajdon is érzékeny területnek számít, kérdés, hogy mennyi hozható nyilvánosságra a felfedezett szennyesből.

A kérdés a FireEye kapcsán is releváns, a cég ugyanis tavaly perrel fenyegetett egy kis német IT-biztonsági csapatot, arra hivatkozva, hogy az megsértette a szellemi tulajdonát, a FireEye eszközében talált sebezhetőség közzétételével. Eközben a Google Project Zero keretében szintén újabb sebezhetőségekre bukkantak kutatók - ebben az ügyben azonban fel sem merült tudomásunk szerint a szellemi tulajdon védelme, a közzététel zökkenőmentes volt. Hol húzza meg a határt a FireEye ebben a kérdésben - kérdeztem a jogi igazgatót.

"Mi saját magunkat is biztonsági kutatóknak tartjuk, ehhez a közösséghez tartozunk" - mondja King. "Mi is pontosan tudjuk, hogy úgy tudjuk megvédeni a vásárlóinkat, ha minden sebezhetőségről tudunk, akár mi fedezzük azokat fel, akár külső kutatók. Vannak persze helyzetek, amikor valakik nem akarnak az általunk kért disclosure policy-n keresztül dolgozni - de mi mindig törekszünk az együttműködésre." A határt a cég ott húzza meg, ahol a vásárlók kerülnek veszélybe a nyilvánosságra hozatal miatt - "ha úgy érezzük, hogy a felhasználóink nem nagyobb biztonságban, hanem épp ellenkezőleg, sebezhetőbb helyzetbe kerülnek, akkor helyezünk kilátásba jogi lépéseket."

Trolletetés tilos

A szellemi tulajdon kapcsán felmerülő másik kérdés a szabadalomtrolloké, amelyben megint csak a kompetens jogi osztály nyújthat védelmet. Az Egyesült Államokban ugyanis igen aktívak a gazdasági tevékenységgel nem rendelkező cégek, amelyek felvásárolnak bizonyos szabadalmakat, és a "rendes" cégeket e szabadalmak megsértésével gyanúsítva perrel fenyegetik. Mivel az Egyesült Államokban nem általános gyakorlat, hogy a vesztes fizeti a perköltséget, pusztán e fenyegetés elegendő ahhoz, hogy a megvádolt cégek fizessenek - a szabadalmi pernek sok százezer dolláros (vagy akár sokmilliós) költsége van még akkor is, ha a bíróság szinte azonnal lesöpri a vádat, így sokan inkább fizetnek néhány tízezer dollár licencdíjat, mert egyszerűen olcsóbb.

Hét kedvenc előadónk az idei HWSW mobile!-ról (x) 90 fős előadó lesz a konferencián, segítve az eligazodást, kiemeltük neked a hét kedvencünket.

"Terroristákkal nem tárgyalunk" - mondja erre King. Ez hosszabb távon a kifizetődő stratégia a jogi igazgató szerint, hiszen ha a trollok tudják, hogy a cég sosem köt peren kívüli egyezséget, akkor egy idő után lemondanak a zaklatásról. A perköltség ugyanis kétélű fegyver, ha perre kerül sor, akkor az bizony a trollnak is nagyon drága tud lenni. De a FireEye nem hagyja ennyiben a kérdést, a cég sok más amerikai tech céggel együtt szeretné a Kongresszusnál elérni a szabadalmi törvények módosítását és a nyilvánvalóan visszaélésszerű perek visszaszorítását, mondja a jogi igazgató.

Magyar cégeknek segíteni

King beszélt arról is, hogy min dolgozik Magyarországon: az amerikai jogrendszer ismeretét és a szilícium völgyi kapcsolatait szeretné latba vetni hazai tech cégeknél. "Szeretnék találni egy vállalatot, amelyben van jövő, amelyben jó végrehajtás mellett nagy potenciál rejlik. Ismerem a kockázati befektetői közösséget, tudom, hogy mit néznek, mit keresnek egy-egy vállalatban, és fel tudnám készíteni az amerikai nyitást fontolgató cégeket erre a váltásra" - fogalmazott King.

a címlapról

Hirdetés

Hét kedvenc előadónk az idei HWSW mobile!-ról

2019. november 22. 04:13

Idén 90 fős előadói gárdával készülünk a HWSW mobile! digitális termékfejlesztési konferenciára, de hogy segítsünk az eligazodásban, kiemeltük neked a hét kedvencünket.