Mit ad a jogi osztály egy tech-cégnek?
A FireEye jogi igazgatója, a magyar származású Alexa King járt Budapesten, vele beszélgettünk.
Csak akadályozza a munkavégzést, kizárólag tiltani tud - csak néhány azok közül a mondatok közül, amelyeket a cég alkalmazottai az informatikusok, rendszergazdák fejéhez szoktak vágni. De nem csak az IT osztály számít kerékkötőnek, a jogi osztályt is hasonlóan látja legtöbb cég - és nem csak az alacsonyabb beosztású alkalmazottak, hanem néha még a vezetőség is.
Nem szükségszerű, hogy ez így legyen - mondja Alexa King, a FireEye jogi igazgatója. Kinggel Budapesten tudtunk leülni egy beszélgetésre a cég hazai képviselete, a Biztributor által szervezett találkozón.
Segíteni az üzletnek
Mi a FireEye?
King felfogásában a jogi osztály (pontosan úgy, ahogy egy jól összerakott IT-osztály is) rengeteget tud segíteni egy vállalkozásnak, szinte minden területen, legyen szó növekedésről, nemzetközi terjeszkedésről, szabadalmi trollokról, vagy csak arról, hogy hogyan különböztesse meg magát a piacon a versenytársaktól és tegyen szert kézzelfogható előnyre.
King egyik ilyen példa a SAFETY Acthez kötődik. Ez egy speciális jogi keretrendszer még 2002-ből, amely lehetővé teszi, hogy azok a cégek, amelyek kormányzati minősítéssel rendelkező beszállítóktól vásárolnak, mentesüljenek a kártérítési kötelezettség alól terrortámadás esetén. Emiatt ez ragyogó ajánlólevél a biztonsági megoldások számára, a különböző cégek azonnal bele is vágtak a minősítés megszerzésébe.
A keretrendszert azonban nagyon hosszú ideig csak fizikai biztonsági eszközökre használták, a FireEye jogi osztályának (és Alexa Kingnek) jutott először eszébe, hogy ezt kibervédelmi megoldásokra is lehetne alkalmazni, hiszen semmi nincs a szabályozásban, ami az informatikai rendszereket kizárná. Ez persze hordozott némi kockázatot, hiszen ha a végrehajtásért felelős kormányügynökség úgy dönt, hogy az IT mégsem tartozik a törvény hatálya alá, akkor a költséges és időigényes minősítési eljárás felesleges körnek bizonyul. Szerencsére nem így alakult, tavaly áprilisi dátummal a FireEye hivatalosan is megkapta a minősítést az MVX motorra és a felhős szolgáltatására is.
Ez emellett rengeteg más területen is tud segíteni a belsős jogi tanácsadó - mondja King. Az természetes például, hogy a szerződések szövegezésében fontos szerep hárul a jogászokra, de ezt a feladatot is lehet proaktívan, a cég üzleti érdekeinek alárendelve végezni, a gyorsaságon és a pontosságon túl is. Szintén fontos terület lehet a nemzetközi terjeszkedés segítése - ez sokszor pont az eltérő szabályozási környezet miatt halad lassan, itt kritikus lehet a jogi osztály teljesítménye.
Jogászkodás a biztonsággal
Az IT-biztonsággal foglalkozó kutatók számára mindig komoly fejtörést jelent a disclosure, vagyis a felfedezett biztonsági rések felelős nyilvánosságra hozatala. Egyrészt a hibák felfedezéséhez általában nem vezet egyenes út, például valamilyen formában vissza kell fejteni az adott szoftver működését, amit a licencfeltételek általában tiltanak. De a szellemi tulajdon is érzékeny területnek számít, kérdés, hogy mennyi hozható nyilvánosságra a felfedezett szennyesből.
A kérdés a FireEye kapcsán is releváns, a cég ugyanis tavaly perrel fenyegetett egy kis német IT-biztonsági csapatot, arra hivatkozva, hogy az megsértette a szellemi tulajdonát, a FireEye eszközében talált sebezhetőség közzétételével. Eközben a Google Project Zero keretében szintén újabb sebezhetőségekre bukkantak kutatók - ebben az ügyben azonban fel sem merült tudomásunk szerint a szellemi tulajdon védelme, a közzététel zökkenőmentes volt. Hol húzza meg a határt a FireEye ebben a kérdésben - kérdeztem a jogi igazgatót.
"Mi saját magunkat is biztonsági kutatóknak tartjuk, ehhez a közösséghez tartozunk" - mondja King. "Mi is pontosan tudjuk, hogy úgy tudjuk megvédeni a vásárlóinkat, ha minden sebezhetőségről tudunk, akár mi fedezzük azokat fel, akár külső kutatók. Vannak persze helyzetek, amikor valakik nem akarnak az általunk kért disclosure policy-n keresztül dolgozni - de mi mindig törekszünk az együttműködésre." A határt a cég ott húzza meg, ahol a vásárlók kerülnek veszélybe a nyilvánosságra hozatal miatt - "ha úgy érezzük, hogy a felhasználóink nem nagyobb biztonságban, hanem épp ellenkezőleg, sebezhetőbb helyzetbe kerülnek, akkor helyezünk kilátásba jogi lépéseket."
Trolletetés tilos
A szellemi tulajdon kapcsán felmerülő másik kérdés a szabadalomtrolloké, amelyben megint csak a kompetens jogi osztály nyújthat védelmet. Az Egyesült Államokban ugyanis igen aktívak a gazdasági tevékenységgel nem rendelkező cégek, amelyek felvásárolnak bizonyos szabadalmakat, és a "rendes" cégeket e szabadalmak megsértésével gyanúsítva perrel fenyegetik. Mivel az Egyesült Államokban nem általános gyakorlat, hogy a vesztes fizeti a perköltséget, pusztán e fenyegetés elegendő ahhoz, hogy a megvádolt cégek fizessenek - a szabadalmi pernek sok százezer dolláros (vagy akár sokmilliós) költsége van még akkor is, ha a bíróság szinte azonnal lesöpri a vádat, így sokan inkább fizetnek néhány tízezer dollár licencdíjat, mert egyszerűen olcsóbb.
Nagy pénz, nagy szívás: útravaló csúcstámadó IT-soknak Az informatikai vezetősködés sokak álma, de az árnyoldalaival kevesen vannak tisztában.
"Terroristákkal nem tárgyalunk" - mondja erre King. Ez hosszabb távon a kifizetődő stratégia a jogi igazgató szerint, hiszen ha a trollok tudják, hogy a cég sosem köt peren kívüli egyezséget, akkor egy idő után lemondanak a zaklatásról. A perköltség ugyanis kétélű fegyver, ha perre kerül sor, akkor az bizony a trollnak is nagyon drága tud lenni. De a FireEye nem hagyja ennyiben a kérdést, a cég sok más amerikai tech céggel együtt szeretné a Kongresszusnál elérni a szabadalmi törvények módosítását és a nyilvánvalóan visszaélésszerű perek visszaszorítását, mondja a jogi igazgató.
Magyar cégeknek segíteni
King beszélt arról is, hogy min dolgozik Magyarországon: az amerikai jogrendszer ismeretét és a szilícium völgyi kapcsolatait szeretné latba vetni hazai tech cégeknél. "Szeretnék találni egy vállalatot, amelyben van jövő, amelyben jó végrehajtás mellett nagy potenciál rejlik. Ismerem a kockázati befektetői közösséget, tudom, hogy mit néznek, mit keresnek egy-egy vállalatban, és fel tudnám készíteni az amerikai nyitást fontolgató cégeket erre a váltásra" - fogalmazott King.