Rủi ro quản trị từ phần mềm không phép

Suy yếu hạ tầng vận hành của doanh nghiệp

Phần mềm không phép thường bị xem là chuyện nội bộ của phòng công nghệ thông tin trong đơn vị nhưng trong một nền kinh tế đang tham gia sâu hơn vào chuỗi cung ứng toàn cầu, phần mềm không phép là rủi ro tuân thủ, rủi ro an toàn dữ liệu, rủi ro quản trị và rủi ro uy tín.

Một doanh nghiệp có thể không sản xuất hàng giả, không phát tán nội dung lậu, không kinh doanh hàng xâm phạm quyền sở hữu trí tuệ, nhưng vẫn có thể gặp rủi ro nếu hệ thống phần mềm nội bộ không được kiểm soát.

Thực tế, phần mềm không phép có thể xuất hiện ở máy tính văn phòng, phần mềm kế toán, phần mềm thiết kế, phần mềm quản lý sản xuất, công cụ phân tích dữ liệu, hệ điều hành, phần mềm bảo mật, phần mềm dùng để tạo sản phẩm hoặc hồ sơ giao cho khách hàng. Nhiều trường hợp không bắt đầu từ chủ ý vi phạm của lãnh đạo doanh nghiệp, mà từ thói quen cài đặt của nhân viên, máy tính cũ, bản cài đặt không rõ nguồn gốc hoặc việc thiếu người chịu trách nhiệm kiểm kê.

Trong môi trường kinh doanh hiện nay, đối tác quốc tế có thể yêu cầu cam kết tuân thủ. Khách hàng lớn có thể đặt điều kiện về tính hợp pháp của hệ thống công nghệ. Nhà đầu tư có thể rà soát phần mềm trong quá trình thẩm định doanh nghiệp. Một khi phát hiện hệ thống phần mềm thiếu hợp pháp, doanh nghiệp không chỉ đối mặt với yêu cầu chấm dứt sử dụng hoặc bồi thường, mà còn có thể bị đặt câu hỏi về năng lực quản trị.

Thực tiễn xét xử đã cho thấy rủi ro này không còn là nguy cơ tiềm ẩn. Trong một vụ tranh chấp quyền sở hữu trí tuệ về phần mềm tại Bình Dương, doanh nghiệp bị đơn trình bày rằng công ty không có chủ trương vi phạm, nhân viên tự ý cài phần mềm để sử dụng cho mục đích cá nhân. Sau khi bị kiểm tra, công ty đã nộp phạt hành chính 30 triệu đồng, yêu cầu gỡ bỏ phần mềm và xử lý người lao động liên quan.

Tuy nhiên, tranh chấp dân sự vẫn tiếp tục. Theo Bản án 10/2022/Kdtm-st ngày 1/8/2022, Tòa án nhân dân tỉnh Bình Dương buộc doanh nghiệp phải bồi thường hơn 4,6 tỷ đồng và xin lỗi công khai. Thí dụ này cho thấy một điều quan trọng là nếu phần mềm không phép xuất hiện trong môi trường hoạt động của doanh nghiệp, lập luận “nhân viên tự ý cài đặt” thường không đủ thuyết phục nếu doanh nghiệp không chứng minh được hệ thống kiểm soát tương ứng.

Phần mềm không phép còn kéo theo rủi ro an toàn thông tin. Bản bẻ khóa hoặc phần mềm tải từ nguồn không chính thức có thể không được cập nhật, có lỗ hổng bảo mật, bị cài mã độc hoặc chứa công cụ theo dõi. Doanh nghiệp tưởng tiết kiệm chi phí bản quyền, nhưng có thể đánh đổi bằng việc bị rò rỉ dữ liệu khách hàng, bí mật kinh doanh, hồ sơ kế toán, thiết kế sản phẩm và rủi ro vận hành liên tục.

Đối với doanh nghiệp sản xuất, rủi ro có thể không nằm trên một máy tính riêng lẻ, mà còn liên quan đến hồ sơ kỹ thuật giao cho khách hàng, dữ liệu đơn hàng...

Vì vậy, phần mềm không phép cần được nhìn như một mắt xích trong chuỗi rủi ro sở hữu trí tuệ.

Quản trị thay vì đối phó vi phạm

Doanh nghiệp Việt Nam đang tham gia sâu hơn vào các chuỗi cung ứng có yêu cầu cao về tuân thủ. Trong nhiều ngành, đối tác không chỉ quan tâm sản phẩm có đạt tiêu chuẩn kỹ thuật hay không, mà còn quan tâm doanh nghiệp có tôn trọng quyền sở hữu trí tuệ, bảo vệ dữ liệu và quản trị hệ thống công nghệ một cách hợp pháp hay không.

Một nhà máy có thể đạt chuẩn sản xuất, nhưng vẫn gặp rủi ro nếu phần mềm thiết kế, phần mềm quản lý đơn hàng hoặc phần mềm xử lý dữ liệu dùng bản không phép. Một doanh nghiệp có thể có doanh thu tốt, nhưng khi bước vào quá trình gọi vốn hoặc mua bán, sáp nhập, hệ thống phần mềm thiếu giấy phép có thể trở thành điểm trừ trong thẩm định. Một đơn vị cung cấp dịch vụ số có thể mất cơ hội nếu không chứng minh được hệ thống công cụ của mình hợp pháp và an toàn.

Xử lý phần mềm không phép không nên được nhìn nhận như một chiến dịch đối phó mà cần trở thành nội dung quản trị thường xuyên của doanh nghiệp.

Trước hết, doanh nghiệp phải biết mình đang dùng gì. Cần có danh mục phần mềm, số lượng máy, người sử dụng, mục đích sử dụng, loại giấy phép, thời hạn, điều kiện sử dụng, nhà cung cấp và bộ phận chịu trách nhiệm. Không thể quản trị một tài sản mà doanh nghiệp chưa từng kiểm kê.

Tiếp theo, phải phân loại rủi ro. Phần mềm văn phòng thông thường có một mức rủi ro. Phần mềm thiết kế, kỹ thuật, dữ liệu, tài chính, bảo mật, quản trị sản xuất hoặc phần mềm dùng để tạo sản phẩm giao cho khách hàng có mức rủi ro cao hơn.

Doanh nghiệp xuất khẩu, doanh nghiệp trong khu công nghiệp, doanh nghiệp công nghệ và doanh nghiệp tham gia chuỗi cung ứng của các tập đoàn lớn cần xem tuân thủ phần mềm là một phần của quản trị rủi ro, không phải chi phí phụ.

Thứ ba, cần có quy trình nội bộ, với việc ai được quyền cài phần mềm, phần mềm nào bị cấm, phần mềm nguồn mở được sử dụng trong điều kiện nào, tài khoản phần mềm do ai quản lý, nhân viên nghỉ việc thì xử lý quyền truy cập ra sao, phần mềm dùng thử có bị chuyển thành sử dụng trái phép hay không... Quy trình này chính là nền tảng của tuân thủ.

Ngay cả phần mềm nguồn mở cũng không nên được hiểu đơn giản là miễn phí và dùng thế nào cũng được. Nhiều phần mềm nguồn mở đi kèm điều kiện sử dụng, sao chép, sửa đổi, phân phối hoặc tích hợp vào sản phẩm. Nếu doanh nghiệp không kiểm soát, rủi ro pháp lý có thể xuất hiện không chỉ từ phần mềm thương mại không phép, mà cả từ việc dùng sai điều kiện của phần mềm hợp pháp.

Không phải doanh nghiệp nào cũng có đủ nguồn lực để hợp pháp hóa toàn bộ hệ thống trong một thời gian ngắn. Vì vậy, cách tiếp cận thực tế không phải là đẩy mọi doanh nghiệp vào tâm thế sợ hãi, mà là xây dựng lộ trình. Ưu tiên trước các phần mềm cốt lõi, phần mềm liên quan đến dữ liệu nhạy cảm, phần mềm phục vụ sản xuất, thiết kế, tài chính, khách hàng và bảo mật. Những phần mềm ít rủi ro hơn có thể được thay thế dần bằng giải pháp hợp pháp, phù hợp với quy mô doanh nghiệp.

Đối với cơ quan Nhà nước, doanh nghiệp nhà nước, trường học, bệnh viện và các đơn vị sử dụng ngân sách, vấn đề này còn liên quan đến kỷ luật quản lý tài sản, an toàn dữ liệu và hình ảnh của khu vực công. Một nền hành chính số không thể dựa trên nền tảng phần mềm thiếu hợp pháp hoặc thiếu kiểm soát.

Cơ quan quản lý, hiệp hội ngành hàng, khu công nghiệp và địa phương có nhiều doanh nghiệp xuất khẩu có thể hỗ trợ bằng các chương trình hướng dẫn tự rà soát phần mềm, không nên kiểm tra bất ngờ để xử phạt thật nhiều, mà cần giúp doanh nghiệp nhận diện rủi ro, lập danh mục phần mềm, phân loại mức độ ưu tiên, xây dựng lộ trình hợp pháp hóa và xử lý nghiêm các trường hợp cố tình vi phạm, quy mô lớn hoặc tái phạm.

Cách làm này cũng phù hợp với tinh thần nâng chuẩn thực thi sở hữu trí tuệ, tức là xử lý nghiêm các hành vi có tổ chức, cố ý, quy mô lớn, nhưng đồng thời tạo điều kiện để doanh nghiệp có thiện chí khắc phục, chuẩn hóa hệ thống và nâng năng lực quản trị. Từ đó làm cho thị trường hiểu rằng tôn trọng quyền sở hữu trí tuệ là một điều kiện của kinh doanh hiện đại.

Một nền kinh tế muốn đi lên bằng công nghệ, dữ liệu và đổi mới sáng tạo không thể xem nhẹ tính hợp pháp của chính công cụ mình đang sử dụng. Nâng chuẩn thực thi sở hữu trí tuệ trong lĩnh vực phần mềm không chỉ để giảm rủi ro thương mại, mà đó là bước cần thiết để nâng chất lượng quản trị của doanh nghiệp Việt Nam trong kinh tế số.