Aneta Drabek
Oddział Informacji Naukowej
Biblioteki Uniwersytetu Śląskiego

Andrzej Koziara
Oddział Obsługi Informatycznej
Bibliotek Uniwersytetu Śląskiego

Zasady licencjonowania elektronicznych źródeł informacji naukowej a systemy ochrony sieci komputerowych

Elektroniczne źródła informacji jeszcze na początku lat dziewięćdziesiątych ubiegłego stulecia były bardzo rzadko spotykane w polskich bibliotekach. Zaledwie po piętnastu latach wydają nam się niezastąpioną postacią dla wszystkich źródeł informacji. Wręcz trudno sobie wyobrazić poruszanie się w przestrzeni informacyjnej bez dostępu do baz danych, czasopism elektronicznych czy Internetu. Nikomu już nie chce się wertować drukowanego Przewodnika Bibliograficznego czy innego tradycyjnego źródła informacji, skoro można po uruchomieniu bazy danych dużo szybciej, skuteczniej i wygodniej uzyskać potrzebną informację. Bazy danych dostarczają informacji bibliograficznej, a czasopisma elektroniczne - gotowe artykuły w ciągu zaledwie kilku sekund. Serwisy pełnotekstowe umożliwiają dostęp do tysięcy czasopism, co przy tradycyjnej prenumeracie nigdy nie było możliwe. Wszystkie elektroniczne źródła informacji są lubiane i często wykorzystywane zarówno przez użytkowników, jak i bibliotekarzy. Jednakże dostęp do nich jest nierozerwalnie związany z podpisaniem odpowiedniego dokumentu - licencji. Licencja, czyli prawne zezwolenie na korzystanie z ich zawartości, określa prawa i obowiązki naszej instytucji (czyli licencjobiorcy), a także zobowiązania producenta źródła informacji (licencjodawcy).

Negocjowanie warunków licencji wymaga od bibliotekarzy (bo biblioteka staje się najczęściej instytucją wyznaczoną do ich prowadzenia) znajomości nie tylko własnej dziedziny, ale także prawa czy informatyki. W literaturze przedmiotu często zwraca się uwagę na pułapki prawne, jakie czyhają na biblioteki, a także zachęca się do uważnej lektury wszystkich punktów proponowanego tekstu licencji, zwracając szczególną uwagę na definicje; często wszelkie "niemiłe" niespodzianki czają się właśnie tam^[1][2].

Dlatego też postanowiliśmy przygotować pewien wstępny artykuł przeznaczony dla początkujących i średnio zaawansowanych użytkowników elektronicznych źródeł informacyjnych, porządkujący podstawowe pojęcia i zasady obowiązujące w umowach licencyjnych.

Każde elektroniczne źródło informacji składa się z dwóch elementów. Pierwszym z nich są same informacje przygotowywane przez zespoły autorskie ich właścicieli. Drugim jest oprogramowanie niezbędne do ich pozyskiwania. W związku z tym umowy licencyjne reguluje zarówno Ustawa o prawie autorskim i prawach pokrewnych^[3], jak i Ustawa o ochronie baz danych^[4]. Jakkolwiek umowa licencyjna musi być zgodna z prawem autorskim obowiązującym w danym kraju, jednak regulacje dotyczące użytkowania źródeł elektronicznych często opierają na prawie umownym, co oznacza, że strony zawierające umowę mogą dowolnie ustalać warunki, na jakich użytkowany będzie materiał chroniony prawem autorskim^[5]. W Ustawie o prawie autorskim jedynie cztery przepisy dotyczą umów licencyjnych^[6]. Stąd jedyną rozsądną radą, jakiej można udzielić bibliotekom jest to, co zostało napisane już wcześniej: czytać to co się podpisuje, a właściwie nie tylko czytać, ale również konsultować ze specjalistami każdy wątpliwy punkt. Dobre rady dotyczące korygowania zawartości licencji najczęściej nie znajdują praktycznego zastosowania. Właściciele źródeł informacji (niekiedy ich dystrybutorzy) w sposób nieugięty chronią zapisy wprowadzone przez ich zespoły prawne. Równocześnie bardzo często jedyną odpowiedzią na nasze wnioski i korekty jest stwierdzenie, że jeśli nie zaakceptujemy umieszczonych w niej zapisów to źródło informacji nie zostanie nam dostarczone. Jako dostarczenie rozumiemy tak przekazanie nam informacji na nośnikach optycznych (CD, DVD) lub magnetycznych (dyskietki, taśmy do streamerów), jak i otwarcie dla nas dostępu do źródła informacyjnego z serwera podłączonego do sieci Internet. Serwery takie mogą być przygotowywane przez samego właściciela informacji, jak również źródła takie mogą być przekazywane do dystrybucji przez firmy (żargonowo nazywane dystrybutorami lub koncentratorami informacji) zajmujące się udostępnianiem ich na rynku. Ponieważ źródłem takim w pełni dysponuje jego właściciel możemy spotykać się z sytuacjami patowymi. Z jednej strony wydaje się nam, że rynek jest w pełni konkurencyjny (te same bazy znaleźć można w ofercie wielu firm), lecz warunki licencji na ich użytkowanie są wszędzie identyczne. Z drugiej - okazuje się nagle, że źródła informacji posiadające takie same nazwy u różnych dystrybutorów nie tylko sprzedawane są w innych cenach, lecz także obsługiwane są przez inne oprogramowanie wyszukiwawcze, a co gorsza w niektórych swoich mutacjach są niekompletne. Jest to jedna z oczywistych pułapek, na które jesteśmy narażeni we współczesnym świecie konkurencji. Jest ona szczególnie groźna dla osób przygotowujących specyfikacje do postępowań przetargowych. Sytuacja ta pogłębia się ponieważ dystrybutorzy informacji samodzielnie i praktycznie samowolnie zmieniają systemy, w których udostępniane są bazy danych. Jesteśmy tutaj narażeni na utratę części tego, za co wcześniej zapłaciliśmy, a praktycznie nie ma sposobu na to, by uzyskać odpowiednie zadośćuczynienie za ewentualne "szkody".

By dobrze zrozumieć filozofię współczesnego sposobu licencjonowania, należy wrócić do korzeni, kiedy to jedynym sposobem dostarczenia informacji było przysłanie odpowiedniego źródła informacji zapisanego na krążku CD. Jak już na wstępie wspomnieliśmy, uzupełnieniem samej bazy jest oprogramowanie przeznaczone do wyszukiwania informacji. Oprogramowanie to w zależności od typu licencji, jaką zakupiliśmy było przeznaczone do instalowania na pojedynczej stacji roboczej lub serwerze, jeśli bazę taką mogliśmy dystrybuować w naszej sieci lokalnej. Z tego okresu pochodzą pierwsze stosowane do dnia dzisiejszego zasady licencjonowania elektronicznych źródeł informacji. Pierwszy to całkowity zakaz jakiegokolwiek ingerowania w oprogramowanie służące do wyszukiwania informacji (np. klasyczne dodawanie funkcji zapisu na dyskietkę wyników wyszukiwania, jeśli tego nie przewidział właściciel bazy danych, zezwalając tylko na ich wydruk) oraz, co było szczególnie podkreślane, całkowity i bezwzględny zakaz maszynowego przetwarzania informacji w niej zawartych. Zakaz ten obejmował m.in. konwersję całości lub części danych do innej struktury lub do innego narzędzia mogącego posłużyć do wyszukiwania informacji z dostarczonego nam zbioru. Zasady te stały się podstawą prawną dla konstruowanych od połowy lat dziewięćdziesiątych dwudziestego wieku uniwersalnych systemów sieciowego rozpowszechniania baz danych. Przewodnim ich założeniem było (jeśli na to zezwalała licencja) rozpowszechnianie baz danych, w których wyszukiwanie było wykonywane tylko i wyłącznie przy pomocy oprogramowania dostarczonego wraz z bazą danych. Równocześnie dla zapewnienia przestrzegania wymienionych powyżej zasad (obowiązujących z dodatkowymi rozszerzeniami do dzisiaj) konstruktorzy takich systemów zobowiązani byli do ścisłego i jednoznacznego identyfikowania stacji roboczej, która uzyskała dostęp do systemu. Realizowano to najczęściej poprzez oprogramowanie aktywnych monitorów, które w sposób jednoznaczny porównywały numer IP, pod którym stacja roboczą była widoczna w sieci z tym, który był fizycznie przydzielony stacji w sieci lokalnej. W przypadku stwierdzenia rozbieżności system taki odmawiał uruchomienia dostępu do konkretnej bazy danych mimo, że pierwotnie zidentyfikowany numer IP zezwalał na zalogowanie się do systemu.

Technologie te, wobec zdecydowanej zmiany nastawienia dużych dystrybutorów baz danych, odchodzą już do lamusa, lecz jak sądzimy dla zastosowań lokalnych (baz krajowych czy lokalnych) będą miały zastosowanie jeszcze kilka może kilkanaście lat. Równocześnie mimo zmiany technologii na tzw. dostęp on-line do źródeł informacji do dnia dzisiejszego wszyscy producenci baz danych przestrzegają zakazu maszynowego przetwarzania informacji. Bezwzględnie zakazują stosowania jakichkolwiek technik, które umożliwiałyby przechowywanie nawet pojedynczych rekordów z bazy danych na komputerze nieuprawnionym lub takich, które, jak poprzednio wspomnieliśmy, blokowałyby identyfikację stacji roboczej klienta.

Od samego początku w każdej licencji znaleźć można zapis dotyczący upoważnionego (autoryzowanego) użytkownika, autoryzowanego miejsca oraz autoryzowanego komputera. Celem niniejszego artykułu jest zwrócenie uwagi na wszelkie formy zabezpieczeń, jakich wymagają producenci baz danych (źródeł elektronicznych) oraz na to, iż brak wypełnienia tych zaleceń jest w istocie złamaniem umowy licencyjnej, czyli złamaniem prawa. Dlatego też tak ważne są wszechstronne konsultacje (w tym wypadku z informatykami i administratorem sieci), żeby nie podpisywać licencji, której i tak nie będzie można (z przyczyn technicznych) przestrzegać. Konsultacje takie niezbędne są również po to, by na bazie wymagań, które musimy spełnić, tak dopracować systemy bezpieczeństwa, aby nie stały one w sprzeczności z umowami, które zawarliśmy. Oczywiście będzie to wymagało pracy od służb informacyjnych oraz rezygnacji przez nie z uproszczeń, do których są przyzwyczajone.

Wracając do autoryzowanych użytkowników (Authorised User) - w przypadku instytucji akademickiej są nimi zazwyczaj nauczyciele akademiccy (zarówno ci zatrudnieni na stałe, jak i czasowo), studenci, pracownicy etatowi, pracownicy kontraktowi oraz osoby odwiedzające daną instytucję (muszą oni być poinformowani o konieczności przestrzegania umowy). Wydawcy często dzielą uprawnionych użytkowników na użytkowników autoryzowanych (upoważnionych) oraz użytkowników tymczasowych. Autoryzowani użytkownicy mają dostęp do licencjonowanych materiałów albo z komputerów zlokalizowanych w sieci danej uczelni, albo (o ile licencja na to zezwala) mogą korzystać z komputerów spoza sieci przez zdalny dostęp (remote access), np. poprzez system OneLog. Licencjobiorca zobowiązuje się dostarczyć zakres numerów IP bezpiecznej sieci uczelnianej. Wydawca przekazuje często dodatkowy element zabezpieczający - identyfikator i hasło, które biblioteka zobowiązuje się przekazywać wyłącznie autoryzowanym użytkownikom. Oczywiście w przypadku, gdy hasło to jest identyczne dla całej instytucji, praktycznie nie jesteśmy w stanie upilnować jego poufności przez dłuższy czas. Równocześnie, jeśli czas jego obowiązywania jest stosunkowo krótki, mamy kłopoty ze sprawnym dystrybuowaniem jego nowej postaci. Rozwiązaniem tego problemu jest stosowanie na terenie naszej instytucji systemów menadżera haseł.

Z pojęciem autoryzowanego użytkownika wiąże się często pojęcie autoryzowanego miejsca (Authorized Site), w którym korzystać można z materiałów. Miejsce to można rozumieć wirtualnie - jako miejsca na uczelni (niezależnie od lokalizacji) połączone wspólną bezpieczną siecią komputerową oraz geograficznie - jako fizyczną lokalizację budynków, w których użytkownik pracować może na licencjonowanych źródłach informacji. Warto tu zwrócić uwagę, iż zapis ten może stanowić pułapkę. Na przykład, jeśli w licencji określa się autoryzowane miejsce, jako budynki zlokalizowane w promieniu 5 mil od biblioteki, a jeden z wydziałów znajduje się w innym mieście, wtedy mimo odpowiednich numerów IP, pracownicy tego wydziału nie mogą (bez łamania licencji lub otrzymania pisemnej zgody wydawcy) pracować na danej bazie.

Subskrypcja danej bazy wiąże się często z określoną w licencji liczbą użytkowników, którzy mogą jednocześnie korzystać z danego źródła. Oczywiście jeśli taki parametr jest definiowany w licencji, dostawca takiego źródła informacji zapewnia najczęściej systemową kontrolę liczby użytkowników, którzy z niego korzystają.

W przypadku autoryzowanego komputera licencjobiorca nie tylko otrzymuje określoną liczbę jednoczesnych użytkowników, ale dodatkowo jest zobowiązany podać taką samą liczbę komputerów (numerów IP), na których jedynie praca taka będzie możliwa.

Czasem takie ograniczenie może pójść jeszcze dalej – licencja może obejmować nie tylko określoną liczbę użytkowników, ale także wybrane miejsce, gdzie można z danej bazy korzystać. W przypadku Uniwersytetu Śląskiego takim przykładem są bazy PsycINFO i PsycARTICLES, które dostępne są jedynie na Wydziale Pedagogiki i Psychologii. Oczywiście Uniwersytet Śląski mógł dokonać zakupu licencji na korzystanie z tych baz dla całej jednostki, lecz biorąc pod uwagę jej wykorzystanie w innych jednostkach, koszty byłyby niewspółmierne do efektów informacyjnych.

Na podstawie wcześniej przytoczonych szczegółów możemy zinwentaryzować podstawowe techniki i sposoby konfigurowania sieci oraz systemów informatycznych, które są wykluczane przez licencje formułowane praktycznie przez wszystkich dostawców i dystrybutorów elektronicznych źródeł informacyjnych:

1. wszystkie systemy W3cache, Proxy i routery, które mają wdrożoną funkcję przechowywania choćby przez ułamek sekundy pobranych danych na dyskach twardych. Nie dotyczy to tzw. obszaru wymiany danych pomiędzy pamięcią operacyjną i masową, jeśli wdrożone konfiguracje systemowe uniemożliwiają pozyskanie w jakikolwiek sposób zapisanych tam danych stanowiących obraz zawartości pamięci operacyjnej. Wszystkie próby pozyskania informacji tam zapisanej są traktowane jako działania sprzeczne z prawem;
2. wszystkie systemy Proxy bądź inne pełniące podobną rolę, które nie wymagają autoryzacji podczas ich wykorzystania. Dopuszczenie uzyskują tylko te systemy, które przeprowadzają prawidłową autoryzację użytkowników. Prawidłowa autoryzacja w takim systemie powinna przebiegać jako połączone ze sobą dwie funkcje: jednoznaczna identyfikacja fizyczna komputera (numer MAC karty sieciowej lub podobnego urządzenia bądź numer IP) oraz jednoznaczna chroniona identyfikacja użytkownika (nazwa użytkownika i hasło). System taki w sposób automatyczny (bez możliwości skasowania) powinien rejestrować wszystkie połączenia do źródeł informacyjnych. Z zapisów takiego systemu służby nadzorujące wykorzystanie źródeł informacyjnych (najczęściej dla wyższych uczelni państwowych są nimi pracownicy Oddziałów Informacji Naukowej lub Działów Czasopism) powinny mieć możliwość przeprowadzania nadzoru ich wykorzystania;
3. wszystkie systemy z grupy tzw. translatorów adresów (NAT) tak dynamicznych, jak i statycznych oraz wszystkich innych, których działanie będzie prowadziło do oszukiwania dystrybutora źródeł informacji co do rzeczywistego numeru IP stacji roboczej. Zabronione jest zarówno stosowanie techniki, gdy cała podsieć "prywatna" jest ukazywana pod jednym numerem IP (Static NAT), jak również bardziej zawansowanej, gdzie dla wydzielonych adresów w Internecie, w sposób dynamiczny i statyczny przydzielane są zewnętrzne numery IP (Dynamic NAT) z puli przyznanej naszym instytucjom przez operatorów sieci Internet. Zakaz ten nie obowiązuje dla źródeł informacji, w których dostawcy dla autoryzacji dostępu używają tylko i wyłącznie nazwy użytkownika i hasła.

W opracowaniu tym oczywiście nie uwzględniono wszystkich specyficznych rozwiązań, które są odpowiednie dla porozumień uczelni wyższych i innych instytucji naukowych łączących się w konsorcja. Nie uwzględniono również rozwiązań lokalnych i specyficznych dla małych źródeł informacji. Chcielibyśmy również artykułem tym zainspirować dyskusję w środowisku bibliotekarskim oraz organizację konferencji, poświęconych tej tematyce.

Przypisy

[1] HAAVISTO, T. Licencje a biblioteki. In EBIB Elektroniczny Biuletyn Informacyjny Bibliotekarzy [on-line]. 2002 nr 5 (34) [dostęp: 8 maja 2005]. Dostępny w World Wide Web: http://ebib.oss.wroc.pl/2002/34/haavisto.php.

[2] GIAVARRA, E. Licencjonowanie źródeł cyfrowych: jak uniknąć pułapek prawnych? In Horyzonty [on-line]. 2000 nr 1 [dostęp: 8 maja 2005]. Dostępny w World Wide Web: http://www.pfsl.poznan.pl/horyzonty/Nr1/warto1.html.

[3] USTAWA z dn. 4 lutego 1994 o prawie autorskim i prawach pokrewnych (Dz. U. 1994 Nr 24 poz. 83).

[4] USTAWA z dn. 27 lipca 2001 r. o ochronie baz danych (Dz. U. 2001 Nr 128 poz. 1402).

[5] KRAJEWSKI, M. Umowy licencyjne w polskim prawie cywilnym. In EBIB Elektroniczny Biuletyn Informacyjny Bibliotekarzy [on-line]. 2002 nr 5 (34) [dostęp: 8 maja 2005]. Dostępny w World Wide Web: http://ebib.oss.wroc.pl/2002/34/krajewski.php.

[6] USTAWA z dn. 4 lutego 1994 o prawie autorskim i prawach pokrewnych (Dz. U. 1994 Nr 24 poz. 83), art. 65-68.

Bibliografia

1. KOZIARA, A. Sieciowe rozpowszechnianie baz danych dostarczanych na nośnikach optycznych. In EBIB. Eletroniczny Biuletyn Informacyjny Bibliotekarzy [on-line]. 1999 nr 8 [dostęp: 10 maja 2005]. Dostępny w World Wide Web: http://ebib.oss.wroc.pl/arc/e008-04.html.

2. DABANOVIC, R., KOZIARA, A. Infoware remote information server - system czwartej generacji do sieciowego rozpowszechniania baz danych: czy rewolucja na miarę trzeciego tysiąclecia? In. Elektroniczna biblioteka dzisiaj: efektywne wykorzystanie baz CD-ROM w sieciach komputerowych. Katowice: Wydaw. Akademii Ekonomicznej, 2000, s. 185-200.

Zasady licencjonowania elektronicznych źródeł informacji naukowej a systemy ochrony sieci komputerowych / Aneta Drabek, Andrzej Koziara// W: Biuletyn EBIB [Dokument elektroniczny] / red. naczelny Bożena Bednarek-Michalska. - Nr 5/2005 (66) maj. - Czasopismo elektroniczne. - [Warszawa] : Stowarzyszenie Bibliotekarzy Polskich KWE, 2005. - Tryb dostępu: http://www.ebib.pl/2005/66/drabek.php. - Tyt. z pierwszego ekranu. - ISSN 1507-7187