Szerző: Gálffy Csaba

2016. augusztus 9. 11:42

Mit ad a jogi osztály egy tech-cégnek?

A FireEye jogi igazgatója, a magyar származású Alexa King járt Budapesten, vele beszélgettünk.

Csak akadályozza a munkavégzést, kizárólag tiltani tud - csak néhány azok közül a mondatok közül, amelyeket a cég alkalmazottai az informatikusok, rendszergazdák fejéhez szoktak vágni. De nem csak az IT osztály számít kerékkötőnek, a jogi osztályt is hasonlóan látja legtöbb cég - és nem csak az alacsonyabb beosztású alkalmazottak, hanem néha még a vezetőség is.

Nem szükségszerű, hogy ez így legyen - mondja Alexa King, a FireEye jogi igazgatója. Kinggel Budapesten tudtunk leülni egy beszélgetésre a cég hazai képviselete, a Biztributor által szervezett találkozón.

Segíteni az üzletnek

Mi a FireEye?

A FireEye egy hálózati biztonsággal foglalkozó informatikai vállalat. A 2004-ben alapított cég specialitása az MVX-motor, amely virtualizált sandboxban vizsgálja a forgalom elemeit, és igyekszik detektálni a támadásra jellemző mintázatokat. Ez a technológia található a cég forgalmat monitorozó appliance-ében, de több más terméket is épített rá a cég.
A FireEye 2014-ben felvásárolta a Mandiantet is, utóbbi az IT-biztonsági szolgáltatásokra, különösen a forensics területre fókuszál. A Mandiantet általában támadások utáni rendrakáshoz és a támadók utólagos beazonosításához hívják.
Viszonylag friss felvásárlás az iSight, amely IT-biztonsági hírszerzéssel (intelligence) foglalkozik, segít a partnereknek feltérképezni a potenciális támadókat, támadási vektorokat. Mivel az IT-biztonság erősen kontextuálisfüggő, ez a képesség komoly versenyelőny a FireEye kezében.

King felfogásában a jogi osztály (pontosan úgy, ahogy egy jól összerakott IT-osztály is) rengeteget tud segíteni egy vállalkozásnak, szinte minden területen, legyen szó növekedésről, nemzetközi terjeszkedésről, szabadalmi trollokról, vagy csak arról, hogy hogyan különböztesse meg magát a piacon a versenytársaktól és tegyen szert kézzelfogható előnyre.

King egyik ilyen példa a SAFETY Acthez kötődik. Ez egy speciális jogi keretrendszer még 2002-ből, amely lehetővé teszi, hogy azok a cégek, amelyek kormányzati minősítéssel rendelkező beszállítóktól vásárolnak, mentesüljenek a kártérítési kötelezettség alól terrortámadás esetén. Emiatt ez ragyogó ajánlólevél a biztonsági megoldások számára, a különböző cégek azonnal bele is vágtak a minősítés megszerzésébe.

A keretrendszert azonban nagyon hosszú ideig csak fizikai biztonsági eszközökre használták, a FireEye jogi osztályának (és Alexa Kingnek) jutott először eszébe, hogy ezt kibervédelmi megoldásokra is lehetne alkalmazni, hiszen semmi nincs a szabályozásban, ami az informatikai rendszereket kizárná. Ez persze hordozott némi kockázatot, hiszen ha a végrehajtásért felelős kormányügynökség úgy dönt, hogy az IT mégsem tartozik a törvény hatálya alá, akkor a költséges és időigényes minősítési eljárás felesleges körnek bizonyul. Szerencsére nem így alakult, tavaly áprilisi dátummal a FireEye hivatalosan is megkapta a minősítést az MVX motorra és a felhős szolgáltatására is.

Ez emellett rengeteg más területen is tud segíteni a belsős jogi tanácsadó - mondja King. Az természetes például, hogy a szerződések szövegezésében fontos szerep hárul a jogászokra, de ezt a feladatot is lehet proaktívan, a cég üzleti érdekeinek alárendelve végezni, a gyorsaságon és a pontosságon túl is. Szintén fontos terület lehet a nemzetközi terjeszkedés segítése - ez sokszor pont az eltérő szabályozási környezet miatt halad lassan, itt kritikus lehet a jogi osztály teljesítménye.

Jogászkodás a biztonsággal

Az IT-biztonsággal foglalkozó kutatók számára mindig komoly fejtörést jelent a disclosure, vagyis a felfedezett biztonsági rések felelős nyilvánosságra hozatala. Egyrészt a hibák felfedezéséhez általában nem vezet egyenes út, például valamilyen formában vissza kell fejteni az adott szoftver működését, amit a licencfeltételek általában tiltanak. De a szellemi tulajdon is érzékeny területnek számít, kérdés, hogy mennyi hozható nyilvánosságra a felfedezett szennyesből.

A kérdés a FireEye kapcsán is releváns, a cég ugyanis tavaly perrel fenyegetett egy kis német IT-biztonsági csapatot, arra hivatkozva, hogy az megsértette a szellemi tulajdonát, a FireEye eszközében talált sebezhetőség közzétételével. Eközben a Google Project Zero keretében szintén újabb sebezhetőségekre bukkantak kutatók - ebben az ügyben azonban fel sem merült tudomásunk szerint a szellemi tulajdon védelme, a közzététel zökkenőmentes volt. Hol húzza meg a határt a FireEye ebben a kérdésben - kérdeztem a jogi igazgatót.

"Mi saját magunkat is biztonsági kutatóknak tartjuk, ehhez a közösséghez tartozunk" - mondja King. "Mi is pontosan tudjuk, hogy úgy tudjuk megvédeni a vásárlóinkat, ha minden sebezhetőségről tudunk, akár mi fedezzük azokat fel, akár külső kutatók. Vannak persze helyzetek, amikor valakik nem akarnak az általunk kért disclosure policy-n keresztül dolgozni - de mi mindig törekszünk az együttműködésre." A határt a cég ott húzza meg, ahol a vásárlók kerülnek veszélybe a nyilvánosságra hozatal miatt - "ha úgy érezzük, hogy a felhasználóink nem nagyobb biztonságban, hanem épp ellenkezőleg, sebezhetőbb helyzetbe kerülnek, akkor helyezünk kilátásba jogi lépéseket."

Trolletetés tilos

A szellemi tulajdon kapcsán felmerülő másik kérdés a szabadalomtrolloké, amelyben megint csak a kompetens jogi osztály nyújthat védelmet. Az Egyesült Államokban ugyanis igen aktívak a gazdasági tevékenységgel nem rendelkező cégek, amelyek felvásárolnak bizonyos szabadalmakat, és a "rendes" cégeket e szabadalmak megsértésével gyanúsítva perrel fenyegetik. Mivel az Egyesült Államokban nem általános gyakorlat, hogy a vesztes fizeti a perköltséget, pusztán e fenyegetés elegendő ahhoz, hogy a megvádolt cégek fizessenek - a szabadalmi pernek sok százezer dolláros (vagy akár sokmilliós) költsége van még akkor is, ha a bíróság szinte azonnal lesöpri a vádat, így sokan inkább fizetnek néhány tízezer dollár licencdíjat, mert egyszerűen olcsóbb.

Mindent vivő munkahelyek

Mindig voltak olyan informatikai munkahelyek, melyek nagyon jól fekszenek az önéletrajzban.

Mindent vivő munkahelyek Mindig voltak olyan informatikai munkahelyek, melyek nagyon jól fekszenek az önéletrajzban.

"Terroristákkal nem tárgyalunk" - mondja erre King. Ez hosszabb távon a kifizetődő stratégia a jogi igazgató szerint, hiszen ha a trollok tudják, hogy a cég sosem köt peren kívüli egyezséget, akkor egy idő után lemondanak a zaklatásról. A perköltség ugyanis kétélű fegyver, ha perre kerül sor, akkor az bizony a trollnak is nagyon drága tud lenni. De a FireEye nem hagyja ennyiben a kérdést, a cég sok más amerikai tech céggel együtt szeretné a Kongresszusnál elérni a szabadalmi törvények módosítását és a nyilvánvalóan visszaélésszerű perek visszaszorítását, mondja a jogi igazgató.

Magyar cégeknek segíteni

King beszélt arról is, hogy min dolgozik Magyarországon: az amerikai jogrendszer ismeretét és a szilícium völgyi kapcsolatait szeretné latba vetni hazai tech cégeknél. "Szeretnék találni egy vállalatot, amelyben van jövő, amelyben jó végrehajtás mellett nagy potenciál rejlik. Ismerem a kockázati befektetői közösséget, tudom, hogy mit néznek, mit keresnek egy-egy vállalatban, és fel tudnám készíteni az amerikai nyitást fontolgató cégeket erre a váltásra" - fogalmazott King.

Kubernetes képzéseinket már közel 300 szakember végezte el. A nagy sikerre való tekintettel a tanfolyamot aktualizált tananyaggal június 18-án újra elindítjuk! A 8 alkalmas, élő képzés képzés órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról