home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / n_z / nia_63.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  45.7 KB  |  796 lines
  1.  
  2.    Founded By:    |  _                        _______
  3.  Guardian Of Time |  __      N.I.A.   _      ___   ___  Are you on any WAN? are
  4.    Judge Dredd    |  ____     ___    ___    ___     ___ you on Bitnet, Internet
  5. ------------------+  _____    ___    ___    ___     ___  Compuserve, MCI Mail,
  6.   X           /      ___ ___  ___    ___    ___________  Sprintmail, Applelink,
  7.    +---------+       ___  ___ ___    ___    ___________    Easynet, MilNet,
  8.    | 31OCT90 |       ___   ______    ___    ___     ___    FidoNet, et al.?
  9.    | File 63 |       ___    _____    ___    ___     ___ If so please drop us a
  10.    +---------+               ____     _     __      ___        line at
  11.                               ___           _       ___ elisem@nuchat.sccsi.com
  12.         Other World BBS        __
  13.            Text Only            _    Network Information Access
  14.                                        Ignorance, There's No Excuse.
  15.  
  16.                SECTION III COMPUTER SECURITY CONTROLS AND THE LAW
  17.                                 Guardian Of Time
  18.  
  19.                  NIA---NIA---NIA---NIA---NIA---NIA---NIA---NIA
  20.  
  21. Well I rushed to get this one out in time for Halloween, so here is part III
  22. of my series on Computer Security Controls, I hope that you will enjoy it.
  23.  
  24. Lord Macduff, I hope you enjoy ALL of those VAX Manuals you are reading, and
  25. don't forget WRITE SOMETHING!
  26.  
  27.                  NIA---NIA---NIA---NIA---NIA---NIA---NIA---NIA
  28.  
  29.  
  30.  
  31.  
  32.  
  33. STANDARDS OF DUE CARE
  34.  
  35. The follow the leader strategy of employing generally used controls in data
  36. processing is motivated in part by the legal concept of standards of due
  37. care.  It is becoming possible to lose more in damages from a civil action
  38. such as a stockholders' suit or citizens' suit against the government after
  39. an accidental or intentionally caused act than directly from the act itself.
  40. Liability for the violation by a provider of computer services towards any
  41. other ( customer, data subject, affected third party, stockholder ) can
  42. arise through a conscious act of malice with intent to cause harm, through
  43. reckless disregard of the consequences to the person harmed or through
  44. negligent performance or failure to perform.  For such liability to attach,
  45. a duty of care must be owed to the victim of the act.  Once responsibility
  46. is established, the provider having the responsibility is requried to act as
  47. a prudent person.
  48.  
  49. the action sof another person in the same position or the general practice
  50. of the computer services industry are useful in establishing the standard of
  51. care against which individual performance will be measured.  However,
  52. industry practice is not a complete answer. In the TJ Hooper case, which
  53. concnerned the failure of a large tug boat operator to use radio receivers
  54. in 1932 to avoid inclement weather, Judge Learned Hand Stated:
  55.  
  56. IS IT THEN A FINAL ANSWER THAT THE BUSINESS HAD NOT YET ADOPTED RECEIVING
  57. SETS? THERE ARE, NO DOUBT, CASES WHERE COURTS SEEM TO MAKE THE GENERAL
  58. PRACTICE OF THE CALLING (INDUSTRY) THE STANDARD OF PROPER DILIGENCE;...
  59. INDEED IN MOST CASES REASONABLE PRUDENCE IS IN FACT COMMON PRUDENCE, BUT
  60. STRICTLY IT IS NEVER ITS MEASURE; A WHOLE CALLING (INDUSTRY) MAY HAVE UNDULY
  61. LAGGED IN THE ADOPTION OF NEW AND AVAILABLE DEVICES.  IT ( THE INDUSTRY )
  62. MAY NEVER SET ITS OWN TESTS, HOWEVER PERSUASIVE BE ITS USAGES.  COURTS MUST
  63. IN THE END SAY WHAT IS REQUIRED; THERE ARE PRECAUTIONS SO IMPERATIVE THAT
  64. EVEN THEIR UNIVERSAL REGARD WILL NOT EXCUSE THEIR OMISSION (60F.2D. 737,730)
  65. (2ND CIR. 1932, CERT, DENIED 287 US 662 ( 1932 ).
  66.  
  67. No definitive answer or test can establish a standard of due care on grounds
  68. of common practice in an industry or on prudence based on use of available
  69. devices whether generally adopted or not.  In 1955, the Circuit Court of
  70. Appeals for the Sixth Circuit held that the failure to use radar by an
  71. aircraft in 1948 was excusable because no commercially feasible aircraft
  72. radar system was available (Northwest Airlines v. Glenn L. Martin Co. 224,
  73. F.2d 120, 129-130).  In 1977, the US District court for the Southern
  74. District for New York held an airline liable for a robbery for failure to
  75. take appropriate precautions, despite the provision of an armed guard in
  76. front of the locked unmarked storage area and the argument that the airline
  77. had taken the same degree of precautions that other airlines had.
  78. (Manufacturers Hanover Trust Co. v. Alitalia Airlines, 429 F.Supp.
  79. 964(1977)).  Further, professionals may not always rely on generally
  80. accepted practices.  In US v. Simon (425 F. 2d. 796 [2nd Cir. 1969]) the
  81. United States Court of Appeals for the Second Circuit held that, even in a
  82. criminal case, generally accepted accounting principles were not necessarily
  83. the measure of accountants' liability for allegedly misleading statements in
  84. a footnote to the financial statements.
  85.  
  86. The concept of standard of due care will arise w/ in creasing frequency as
  87. disputes over computer-related loss end in litigation.  Computer security
  88. administrators must be aware of standard of due care issues that arise and
  89. take acction to conform to the outcome.
  90.  
  91. APPLYING LEGAL CONCEPTS TO COMPUTER SERVICES
  92.  
  93. One area where the courts have had some difficulty in applying legal
  94. concepts to computers is in determining exactly how to characterize computer
  95. services from a legal point of view.  The courts have generally held that
  96. basic legal principles requiring a person to exercise reasonable care do not
  97. change simply because a computer is involved.  The courts have generally
  98. stated that those who use computers must do so w/ care, and they have not
  99. been sympathetic to defenses asserting good faith mistakes resulting from
  100. reliance on faulty computer data.  In Ford Motor Credit Co. v. Swarens (447
  101. S.W. 2d. 53 [Ky. 1964]), for example, a finance company wrongfully
  102. repossessed the plaintiff's car after he had proven on two occasions that he
  103. was current in his payments by showing cancelled checks to agents of the
  104. defendant.  The finance company defended on the basis that an admitted error
  105. w/ respect to the plaintiff's account had ocurred as a result of a computer
  106. error.  The court rejected this defense stating:
  107.  
  108. FORD EXPLAINS THAT THIS WHOLE INCIDENT OCCURRED B/C OF A MISTAKE BY A
  109. COMPUTER.  MEN FEED DATA TO A COMPUTER AND MEN INTERPRET THE ANSWER THE
  110. COMPUTER SPEWS FORTH.  IN THIS COMPUTERIZED AGE, THE LAW MUST REQUIRE THAT
  111. MEN IN THE USE OF COPUTERIZED DATA REGARD THOSE W/ WHOM THEY ARE DEALING AS
  112. MORE IMPORTANT THAN A PERFORATION ON A CARD.  TRUST IN THE INFALLIBILITY OF
  113. A COMPUTER IS HARDLY A DEFENSE, WHEN THE OPPORTUNITY TO AVOID THE ERROR IS
  114. AS APPARENT AND REPEATED AS WAS HERE PRESENTED.
  115.  
  116. It is clear, therefore, that excessive reliance on computer data w/out
  117. proper safeguards to ensure the reliability and accuracy of the information
  118. may constitute the failure to exercise due care, and in some cases may even
  119. result in the award of punitive damages.
  120.  
  121. PROFESSIONAL STANDARD OF CARE
  122.  
  123. There is clearly a duty to exercise resonable care in using computers.
  124. Depending on the legal characterization given to contracts to supply
  125. computer equipment and services, a higher standard of care may be required
  126. of suppliers of computer services.  Such an argument would be based on the
  127. teory that programmers and others who provide computer services hold
  128. themselves out as professionals w/ special expertise.  As such
  129. professionals, they arguable should be held to the level of care that would
  130. be exercised by a reasonable member of the profession under similar
  131. circumstances.
  132.  
  133. In Triangle Underwriters v. Honeywell, Inc (604 F. 2d. 737 [2nd Cir. 1979])
  134. for example, the court found that Honeywell agreed to deliver a completed
  135. computer system to Triangle and not to run a continuous data processing
  136. service.  Triangle tried to argue not only that Honeywell been negligent in
  137. failing to design and deliever a workable system, but also that the wrong
  138. continued during the period in which Honeywell comployees attempted to
  139. repair the malfunctioning system.  Triangle argued that Honeywell had
  140. engaged in professional malpractice, and that the continuous treatment
  141. theory should apply so that the statue of limitations would not commence to
  142. run until the professional relationship had ended.  The district court noted
  143. that the continuous treatment theory had been applied by New York courts to
  144. nonmedical professionals such as lawyers, accountants, and architects, but
  145. it declined to apply the theory to Honeywell.  "In the case at bar ... the
  146. necessary continuing professional relationship did not exist.  Honeywell was
  147. not responsible for the continuous running of a data prcessing system for
  148. Triangle."
  149.  
  150. Although the court thus refused to accept the plaintiff's theory of
  151. professional malpractice on the facts of that case, the decision leaves open
  152. the possiblity that the doctrin might be applied in a future case to person
  153. who privide computer services for a client on an ongoing basis.
  154.  
  155. STRICT LIABILITY
  156.  
  157. There is further issue of whether those who provide computer services should
  158. be strictly liable in tort for injury to others due to malfunctions of the
  159. equipment.  The doctrine of strict liability arose out of cases invovling
  160. the sale of goods, and it has been said that:
  161.  
  162. PROFESSIONAL SERVICES DO NOT ORDINARILY LEND THEMSELVES TO THE DOCTRINE OF
  163. TORT LIABILITY W/OUT FAULT B/C THEY LACK THE ELEMENTS WHICH GAVE RISE TO THE
  164. DOCTRINE.  THERE IS NO MASS PRODUCTION OF GOODS OR A LARGE BODY OF DISTANT
  165. CONSUMERS WHOM IT WOULD BE UNFAIR TO REQUIRE TO TRACE THE ARTICLE THEY USED
  166. ALONG THE CHANNELS OF TRADE TO THE ORIGNAL MANUFACTURER AND THERE TO
  167. PINPOINT AN ACT OF NEGLIGENCE REMOTE FROM THEIR KNOWLEDGE AND EVEN FROM
  168. THEIR ABILITY TO INQUIRE.  THUS, PROFESSIONAL SERVICES FORM A MARKED
  169. CONTRAST TO CONSUMER PRODUCTS CASES AND EVEN IN THOSE JURISDICTIONS WHICH
  170. HAVE ADOPTED A RULE OF STRICT PRODUCTS LIABILITY A MAJORITY OF DECISIONS
  171. HAVE DECLINED TO APPLY IT TO PROFESSIONAL SERVICES.  THE REASON FOR THE
  172. DISTINCTION IS SUCCINCTLY STATED BY TRAYNOR, J., IN GAGNE V. BERTRAN, 43
  173. CAL. 2D 481, 275 P. 2D 15, 20-21 (1954): "[T]HE GENERAL RULE IS APPLICABLE
  174. THAT THOSE WHO SELL THEIR SERVICES FOR THE GUIDANCE OF OTHERS IN THEIR
  175. ECONOMIC, FINANCIAL, AND PERSONAL AFFAIRS ARE NOT LIABLE IN THE ABSENCE OF
  176. NEGLIGENCE OR INTENTIONAL MISCONDUCT. ... THOSE WHO HIRE [EXPERTS] ... ARE
  177. NOT JUSTIFIED IN EXPECTING INFALLIBITY, BUT CAN EXPECT ONLY RESONALBE CARE
  178. AND COMPETENCE.  THEY PURCHASE SERICE, NOT INSURANCE (CT/EAST, INC. V.
  179. FINANCIAL SERVICES, INC., 5CLSR 817 [1975]).
  180.  
  181. Under this traditional approach, a finding that an agreement to provide
  182. computer equipment constituted either a sale of goods on the one hand or a
  183. contract for professional services on the other would appear to decide the
  184. issue of whether the doctrine of strict liability would apply.  Following
  185. this line of reasoning, if an agreement to provide a computer package was
  186. construed as an agreement for professional services, then the provider could
  187. not be strictly liable in tort for any malfunction.
  188.  
  189. Traditional legal theories, however, cannot always be applied w/out
  190. difficulty to novel concepts such as computer agreements.  It may be more
  191. appropriate, therefore, to adopt the approach used by a federal court in
  192. Wisconsin in Johnson v. Sears, Roebuck & Co. (355 F. Supp. 1065 [ED Wis.
  193. 1973]).  In Johnson, the plaintiff argued that the hospitals that treated
  194. her for injuries had done so negligently and that they were strictly liable
  195. in tort.  The court decided the issue of the applicability of strict
  196. liability to the sale of services by analyzing blood transfusion cases that
  197. held hospitals strictly liable in tort for providing blood containing
  198. impurities to patients.  The court rejected the sales/service analysis and
  199. stated that the decision to impose strict liability should be made on an ad
  200. hoc basis by examining the facts involved in each particular case.  The
  201. court reasoned that the "... decision should not be based on a technical or
  202. artificial distinction between sales and services.  Rather, I must determine
  203. if the policies which support the imposition of strict liability would be
  204. furthered by its imposition in this case."
  205.  
  206. STATUTORY SOURCES OF LIABILITY FOR RELIANCE ON INACCURATE COMPUTER-BASED
  207. DATA
  208.  
  209. Regardless of whether suppliers of computer services should be held to a
  210. higher standard of care or subject to strict liability in tort clearly the
  211. common law duty exists to exercise reasonalbe care to ascertain the accuracy
  212. of information furnished by a computer before relying on such data.  This
  213. duty becomes particularly important when computer data are relied on in
  214. making periodic reports required by the federal securities laws.  Management
  215. has a duty to maintain accurate records and third parties have the duty to
  216. verify the accuracy of information supplied by management.
  217.  
  218. MANAGEMENTS RESPONSIBILITIES:  Various provisions of the Securities Act of
  219. 1933 (the 1933 Act) and the Securities Exchange Acot of 1934 (The 1934 Act)
  220. impose liability for making false or misleading statements of a material
  221. fact or for failing to state a material fact necessary to make statements
  222. made not misleading, in the light of the circumstances under which they were
  223. made.  These provisions create a duty on the part of reporting companies to
  224. file accurate reports and to maintain accurate records.  The foreign Corrupt
  225. Practices Act of 1977 (FCPA) codified this duty to maintain accurate
  226. records.
  227.  
  228. A recent bank embezzlement of 21.3$ million illustrates the importance of
  229. complying w/ the FCPA's requirement of establishing a system of internal
  230. accounting controls.  The management of an entity is responsible for
  231. establishing and maintaining adequate internal controls, and it is worth
  232. noting that the complaint in a shareholder's derivative suit now being
  233. argued before the United States District Court for the Southern District of
  234. Texas relies partly on an allegation that management failed to do so.
  235. management risks exposure to significant potential liability, therefore, if
  236. it fails to institute and enforce internal controls sufficient to comply w/
  237. the FCPA.
  238.  
  239. Internal controls should ensure that data produced by a computer are
  240. accurate and reliable.  This means that restrictions should be put on access
  241. to computer records and on who has the capability to enter information or
  242. alter data in the computer.  "Audit Trails" should also be used to create
  243. documentary evidence of transactions and of who made particular data entry.
  244. Finally, electronic record keeping systems are only as trustworth as the
  245. people who use them, and it is imperative that a security system be
  246. established to help preclude unauthorized person from gaining access to the
  247. computer or altering information in the system.
  248.  
  249. ACCOUNTANTS' RESPONSIBILITIES:  The 21.3$ million bank embezzlement raises
  250. substantial questions about the sufficiency of the auditing procedures of a
  251. bank or other company that uses an electronic data processing system for the
  252. storage and representation of assets.  The role of an accountant performing
  253. an independent audit is to furnish anopinion that the accounts of the
  254. company being audited are in proper order and that they fairly present the
  255. company's financial position.  It seems obvious, therefore, that an
  256. independent accountant performing an audit of a company that uses an EDP
  257. system should examine the reliability of the system and the controls on it
  258. before issuing an opinion.  Otherwise, the accountant's certification of the
  259. company's financial statements would have no reliable basis.  The Second
  260. Standard of Field Work of the Generally Accepted Auditing Standards approved
  261. and adopted by the membership ofthe American Institute of Certified Public
  262. Accountants (AICPA) states that "[t]here is to be a proper study and
  263. evaluation of the existing internal control as a basis for reliance thereon
  264. and for the determination of the resultant extent of the tests to which
  265. auditing procedures are to be restricted" (American Institue  of Certified
  266. Public Accountants, Statement on Auditing Standards No, 1, Sec. 150.02.
  267. [1973]).  This Standard of Field Work requires an auditor to study and
  268. evaluate a corporation's system of interal control to establish a basis for
  269. reliance thereon in formulating an opinion on the fairness of the
  270. corporation's financial statements, and this basic duty does not vary w/ the
  271. use of different methods of data processing as the Standard states:
  272.  
  273. SINCE THE DEFINITION AND RELATED BASIC CONCEPTS OF ACCOUNTING CONTROL ARE
  274. EXPRESSED IN TERMS OF OBJECTIVES, THEY ARE INDEPENDENT OF THE METHOD OF DATA
  275. PROCESSING USED; CONSEQUENTLY, THEY APPLY EUQLLY TO MANUAL, MECHANICAL, AND
  276. ELECTRONIC DATA PROCESSING SYSTEMS. HOWEVER, THE ORGANIZATION AND PROCEDURES
  277. REQUIRED TO ACCOMPLISH THOSE OBJECTIVES MAY BE INFLUENCED BY THE METHOD OF
  278. DATA PRCOESSING USED.
  279.  
  280. The AICPA has recognized that "[t]he increasing use of computers for
  281. processing accounting and other business information has introduced
  282. additional problems in reviewing and evaluating internal control for audit
  283. purposes," and it has issued a Statement on the Effects of EDP on the
  284. Auditor's Study and Evaluation of Internal Control.  This Statement provides
  285. that:
  286.  
  287. WHEN EDP IS USED IN SIGNIFICANT ACCOUNTING APPLICATIONS, THE AUDITOR SHOULD
  288. CONSIDER THE EDP ACTIVITY IN HIS STUDY AND EVALUATION OF ACCOUNTING CONTROL.
  289. THIS IS TRUE WHETHER THE USE OF EDP IN ACCOUNTING APPLICATIONS IS LIMITED OR
  290. EXTENSIVE AND WHETHER THE EDP FACILITIES ARE OPERATED UNDER THE DIRECTION OF
  291. THE AUDITOR'S CLIENT OR A THIRD PARTY.
  292.  
  293. When Auditing a coporation w/ an EDP system, therefore, an auditor should
  294. thoroughly examine the system to evaludate its control feautres.  To conduct
  295. his examination properly, however, the auditor must have sufficient
  296. expertise to enable him to understand entirely the particular EDP system
  297. invloved.
  298.  
  299. CONCLUSIONS ON APPLYING LEGAL CONCEPTS
  300.  
  301. Everyone who uses or supplies computer services has a common law duty to
  302. exercise resonable care to ensure that information supplied by the computer
  303. is accurate and reliable.  The federal securities laws impose additional
  304. duties on management to keep accurate records and to devise and maintain a
  305. system of internal accounting controls sufficient to provide reasonable
  306. assurances that transactions are executed in accordance w/ management's
  307. authorization and are accurately recorded.  Finally, accountants who audit
  308. companies w/ EDP systems have a duty to review the company's system of
  309. internal controls and to disclose any material deficiencies to management
  310. and possibly to the public through notes to its certification of financial
  311. statements.
  312.  
  313. These various duties illustrate the necessity of taking steps to ensure the
  314. reliability of computer systems.  A well-designed system of internal control
  315. is crucial to safeguard against the improper use of the computer.  Internal
  316. control begins w/ the computer equipment itself.  When converting to an EDP
  317. record keeping system, management should get outside advice on the type of
  318. system required and on the controls that should be built into the system.
  319. Management should fully understand what the computer programs in the system
  320. are designed to do and that the computer can do only what it is told and
  321. nothing more.  This can be an important method of preventing fraud, and
  322. management should demand that internal controls be put into the system, b/c
  323. otherwise the programmer may not do so.
  324.  
  325. Once controls are built into the computer system itself, internal controls
  326. hsould be established and maintained to prevent unauthorized access to the
  327. system.  The internal controls should cover all phases of EDP and include
  328. input, processing, and output controls.  An overall plan of organization and
  329. operation should be devised containing controls over access to EDP
  330. equipment, as well as provisions for effective supervision and rotation of
  331. personnel, and the plan should be strictly enforced.  Rinally, an internal
  332. auditing process should be established to provide independent document
  333. counts or totals of significant data fields.
  334.  
  335. The independent accountant plays a major role in preventing unauthorized
  336. persons from gaining access to the computer system.  Through his review of a
  337. company's internal controls, an accountant can detect possible weaknesses
  338. and recommend useful changes.  It is very important, therefore, that outside
  339. auditors closely scrutinize a company's internal control system.  A rigorous
  340. independent audit makes up the final stage of an overall plan to help
  341. prevent the production of inaccurate computer based data.
  342.  
  343. PROTECTING PROPRIETARY INTERESTS IN COMPUTER PROGRAMS
  344.  
  345. Discussions w/ legal counsel at several of the field sites revealed
  346. considerable concern about proprietary interests in computer programs.
  347. Little communication exists between lawyers and data processing managers,
  348. and areas of their mutal concers are not often addressed.  Communication is
  349. even more important today as programs and data files are increasingly viewed
  350. by management as valuable, intangible assets of their organizations.  In
  351. addition, government and business organizations are increasingly acquiring
  352. commercially available computer programs where proprietary interests of
  353. providers and users must be protected.  Selection of generally used controls
  354. will be strongly influenced by the need to preserve proprietary rights to
  355. computer programs.
  356.  
  357. PROBLEMS ADDRESSED
  358.  
  359. Protecting proprietary interests in computer programs in a multifaceted task
  360. that requires knowledge of the law, computer programs, and security.  Few
  361. data processing managers have this expertise in-house, but all owners and
  362. custodians of computer programs can and should add to their skills and
  363. knowledge from other sources of expertise.
  364.  
  365. Those invloved w/ computer programs--owners, users, custodians, employees,
  366. and competitors--have two conflicting goals; sometimes the same party
  367. pursues both goals simultaneously for different products.  One goal is to
  368. protect the computer program, either to ensure a competitive advantage by
  369. preventing others from using the computer program or to charge for its use
  370. or disclosure.  The other goal is to ignore protection so that the computer
  371. programs can be used and transferred at will and w/out cost.  The particular
  372. goal sought by an organization depends on its values, purposes, and
  373. policies; however, the data processing manager should understand the
  374. boundaries of fair and legal business practice that apply to users,
  375. custodians, and owners of computer programs, as well as to competitors.
  376.  
  377. THE NATURE OF COMPUTER PROGRAMS
  378.  
  379. Before the types of comptuer programs involved are identified, it is helpful
  380. to know why the laws differentiate computer programs from other parts of
  381. computer systems.  A computer program is a form of intellectual property (a
  382. valuable, intangible asset consisting of ideas, process, and methods) that
  383. is relatively new and eludes analogy to previously existing products.
  384. Debate continues as to whether computer programs are products, technical
  385. processes, or professional services.  Computer programs are thus unique as a
  386. subject of treatment under existing law, and applying the law requires
  387. adapting current legal concepts of particular forms of computer programs.
  388. Computer programs are developed to run in specific types of computers (such
  389. as operating systems) or are machine independent (such as many application
  390. programs).  They may be in human-readable form or machine-readable form.
  391. Some computer programs are translated into different programming languages
  392. or converted to run on different computers.
  393.  
  394. FORMS OF LEGAL PROTECTION
  395.  
  396. The five forms of legal protection that can apply to computer programs are
  397. patent, copyright, trade secret, trademark and contract.
  398.  
  399. PATENTS:_Patent protection is a federal statutory right giving the inventor
  400. or his assignee exlusive rights to make, use, or sell a product or process
  401. for 17 years.  An invention must meet several criteria to receive patent
  402. protection.  First, it must involve statutory subject matter (I.E., physical
  403. methods, apparatus, compositions of matter, devices, and improvements).  It
  404. cannot consist merely of an idea or a formual.  Furthermore, the invention
  405. must be new, useful, not obvious, and must be described according to patent
  406. regulations in a properly filed and prosecuted patent application.
  407.  
  408. The status of patent protection for computer programs until 1981 was
  409. ambiguous.  In three dicisons the US Supreme Court held that parrticular
  410. computer programs were unaptentable b/c of failure to meet one or more of
  411. the tests described previously.  The Court declined to patent what it felt
  412. was merely a formula, it had held a process non-patentable for obviousness,
  413. and it had refused a patent when the only novelty involved was the form of
  414. carrying out a nonpatentable step.
  415.  
  416. In 1981, however, the Supreme Court handed down two decisions that may have
  417. some effect on future patentability claims.  These cases invlved computer
  418. programs that are part of inventions otehrwise eligible for patent.  In one
  419. case, the Court decided that a process control computer program for curing
  420. synthetic rubber should not be denied a patent simply b/c it uses an
  421. algorithm (an ordered set of insturctions) and a computer.  The US Patent
  422. Office must still determine whether the entire process is novel enough to
  423. warrant issuing a patent.
  424.  
  425. In a companion case, the Court let stand a lower court ruling that a module
  426. of the Honeywell Series 60 Level 64 computer system should be considered for
  427. patent.  The module, which includes electronic circuits and a computer
  428. program fixed in the circuits, is a storage and retrieval device using
  429. internal storage registers.  Again, the device must meed the novelty
  430. requirement before a patent is issued.  Note that these decisions invlove
  431. computer progams that are part of a patentable device or process; these
  432. decisions do not reverse past rulings that computer programs are not
  433. patentable.
  434.  
  435. Even if there were a major change in computer programs patent policy, few
  436. owners would seek patent status for their computer programs.  The patent
  437. process is lengthy and expensive and requires full disclosure of the idea.
  438. Furthermore, a patent has only a 50% chance of surviving a challenge to its
  439. validity in the courts.  For those few programs that really do represent
  440. technological breakthroughs, however, a patent would provide the exclusive
  441. right to use or sell the program for 17 years (patents are nonrenewable).
  442.  
  443. COPYRIGHTS:_Copyright is the federal statutory protection for an author's
  444. writings.  Written works created since 01JAN78 are protected by the new
  445. copyright law, which provides exclusive rights to the author or his assignee
  446. for the copyright, publication, broadcast, translation, adaptation, display,
  447. and performance of the idea contained in the work from the time it is embodied
  448. in tangible form.  This protection is lost in the writing is published w/out
  449. copyright notice, which consists of the word copyright (or copyright symbol),
  450. the date, and the author's name.  This notice must be affixed so that it
  451. attracts the attention of third parties(I.E., On the first or inside front
  452. page of a book or pamphlet).  In late 1980 a federal copyright bill was enacted
  453. explicitly to cover computer programs and data bases.
  454.  
  455. Copyright is inexpensive and can be obtained quickly.  One required and one
  456. optinal copy along w/ minor filing fees must be submitted to the Copyright
  457. Office.  The second copy can be the first and last 25 pages of the program.
  458. Although optional, the second coy is a prerequisite for bringing an
  459. infringement suit and for some remedies such as statutory damages and the
  460. award of attorney fees.  The coyright remains in effect for 50 years beyond
  461. the death of the author and is nonrenewable.
  462.  
  463. B/c copyright protects only against copying and requires disclosure of the
  464. idea, its usefulness is limited for some programs.  However, it can be
  465. adequate protection for inexpensive package programs sold in the multiple
  466. copy market.  The function of such programs is not unique; the value to the
  467. owner lies in selling thousands of copies.
  468.  
  469. TRADE SECRETS:_A trade secret is a right protected by state rather than
  470. federal law.  It is defined in many states as a secret formula, pattern,
  471. scheme, or device used in the operation of a business that gives the
  472. organization a competitive advantage over those who do not know it.
  473. computer programs have qualified as trade secrets in a number of court
  474. cases.
  475.  
  476. The requirement for trade secret status is that the item must remain secret.
  477. Absolute secrecy is not required; for example, if the secret is disclosed
  478. only to people bound (by virtue of their relationship or by contract) to
  479. keep it confidential, trade secret status is maintained regardless of how
  480. many people know it.  Confidential realationships include employees, agents
  481. in a fiduciary or trust relationship, and thieves.  To prevent thieves from
  482. profiting from ill-gotten knowledge, the laws hold that they are in a
  483. constructive trust relationship.  A contract is used to bind licensees and
  484. joint venture partners or investors.  In some states these people are bound
  485. even w/out a contract.
  486.  
  487. Once the secret is disclosed w/out a requirement of confidentiality, or is
  488. disclosed to someone who does not know its secret character, the trade
  489. secret status is lost forever.  (Trade secrets are often disclosed
  490. carelessly to user groups and at technical meetings.)  If the secret is not
  491. disclosed, however, the protection can last forever.
  492.  
  493. Employees who learn the secret in the course of their duties are bound not
  494. to misappropriate it b/c of their trust relationship.  Many employees do not
  495. realize the comprehensive nature of that trust should be educated by their
  496. employers before they injure both the employer and themselves by using computer
  497. programs developed for an employer for their own purposes.
  498.  
  499. TRADEMARKS:_Trademark protection provides the exclusive right to use a
  500. symbol to identify goods and services.  Trademark rights take effect upon
  501. use in commerce.  Registration w/ the US Patent Office or a state agency is
  502. not necessary to obtain trademark status, but it helps greatly in exercising
  503. trademark rights.  Trademark protection exists at both the federal and state
  504. levels.  The protected symbol can be both a trade name and a logo (E.G.
  505. XYZ).  The protection afforded by the trademark is limited to the name or
  506. logo.  The program content itself is not protected.  B/c the major benefit
  507. of trademark protection is to prevent another product from being given the
  508. same name, this protection is useful only for programs that will be
  509. marketed.
  510.  
  511. CONTRACTS:_Copies of computer programs are ordinarily transferred to others
  512. in the course of doing business (sometimes in source language form);
  513. therefore, transfer is frequently accompanied by an agreement to keep the
  514. computer program confidential.  Patented and copyrighted computer programs
  515. can be transferred using contracts that have more restrictive provisions
  516. that the patent or copyright laws requires.  The owner can, for example,
  517. contract w/ another not to disclose copyrighted computer progras.  In
  518. addition, damages for disclosure or unauthorized copying, complex formulas
  519. for royalty payment for legitimate use, and the ownership of enhancements
  520. and changes to the computer program can also be delineated in a contract.
  521.  
  522. SELECTING THE RIGHT PROTECTION
  523.  
  524. The type of protection that is best for a particular computer program
  525. depends on several factors:
  526.  
  527. (1) The longer the lifespan of the program, the more likely that the
  528.     expensive investment of patent protection will be worthwhile.
  529.  
  530. (2) The higher the value of the program, the more money that can
  531.     reasonably be spent of protection
  532.  
  533. (3) Algorithms that must be disclosed widely are (if otherwise worth the
  534.     investment) best protected by patent, which precludes use as well as
  535.     duplication.  Copyright protects only against copying, and trade secret
  536.     protection is irrevocably lost if the algorithm is inadvertently
  537.     disclosed outside a confidential relationship.
  538.  
  539. (4) The most expensive protection is patent; the least expensive is
  540.     copyright.
  541.  
  542. (5) Patents take the longest time to obtain; the other forms offer almost
  543.     immediate protection.
  544.  
  545. (6) A patent protects against recreation; trade secret protection is lost
  546.     if the program can be recreated.
  547.  
  548. These factors are summarized in TABLE 1.
  549.  
  550. UNRESOLVED LEGAL ISSUES
  551.  
  552. Two unresolved but imprtant legal issues affect the analysis summarized in
  553. TABLE 1.  The first is the patentability of computer programs discussed
  554. previously.  The data processing manager and corporate counsel should keep
  555. track of the continuing legal debate in this area.  The second unresolved
  556. issue is the legal relationship between copyright and trade secret
  557. protection when both are used for the same product.  Trade secret protection
  558. has been held by the US Supreme Court to be compatible w/ patent protection,
  559. but the Court has yet to decide whether a trade secret can be copyrighted to
  560. protect the secret in case it is disclosed.
  561.  
  562. TABLE 1.
  563.  
  564. DECISION TABLE FOR TYPES OF LEGAL PROTECTION
  565. |---------------------------------------------------------------|
  566. |DECISION FACTOR                  | HIGH     | MEDIUM  | LOW    |
  567. |---------------------------------------------------------------|
  568. |ESTIMATED LIFESPAN OF THE PROGRAM| C OR TS  | P       | C OR TS|
  569. |VALUE OF THE PROGRAM TO THE OWNER| P, C, TS | P, C, TS| C, TS  |
  570. |NEED TO DISCLOSE THE PROGRAM     |          |         |        |
  571. |TO OTHERS                        |  P, C    | TS, C   | TS     |
  572. |OWNER'S EXPENSE BUDGET           |  P, TS, C| TS, C   | C      |
  573. |TIME SENSITIVITY                 |  TS, C   | P, TS, C| P, TS  |
  574. |SUSCEPTIBILITY TO REVERSE        |          |         |        |
  575. |ENGINEERING                      |  P       | P, TS   | TS, C  |
  576. |---------------------------------------------------------------|
  577.  NOTES C=COPYRIGHT, P=PATENT, TS=TRADE SECRET
  578.  
  579. The policies underlying the two forms of protection conflict:  federal
  580. copyright protection contemplates disclosure, while state trade secret
  581. protection requires nondisclosure w/out an obligation for further
  582. disclosure.  According to some legal scholars, a court could rule that a
  583. copyrighted program is not eligible for trade secret protection.  Other
  584. legal scholars argue that since the disclosure requirement for federal
  585. patent protection has not preempted trade secret protection, the Supreme
  586. Court should also uphold the right of computer program owners to receive
  587. both trade secret and copyright protection.
  588.  
  589. SUGGESTED CONTROLS
  590.  
  591. B/c of these critical and unresolved legal issues, developers should
  592. carefully evaluate the types of protection and rmain alert to changes in the
  593. laws.  At present,often the best alternative is to copyright computer
  594. programs and then license or disclose the computer program using agreements
  595. that restrict use, transfer, and disclosure.  This approach should not
  596. conflict w/ existing copyright law theory, and it achieves the same secrecy
  597. afforded by trade secret protection.
  598.  
  599. Embodying the program in electronic circuitry is another alternative that
  600. should be considered.  It cannot be altered by the user and inhibits copying
  601. and user enhancements.  In addition, the recent Supreme Court decision
  602. suggests that programs in such form can receive patent protection if they
  603. are parts of patentable devices.  W/out patent protection, they are
  604. susceptible to recreation and thus to loss of trade secret status.
  605.  
  606. to provide notice of the proprietary rights of computer-related materials,
  607. the owner should put a human-readable notice on all materials a user will
  608. see.  The notice can be placed on a computer terminal that displays the
  609. program, on listings, on manuals, on containers of machine-readable
  610. material, and in the program itself.  A suggested form of notice is:
  611.  
  612. THIS IS AN UNPUBLISHED WORK PROTECTED UNDER THE COPYRIGHT LAW OF 1976.  IT
  613. IS OWNED BY XYZ COMPANY, ALL RIGHTS RESERVED.  ANY UNAUTHORIZED DISCLOSURE,
  614. DUPLICATION, OR USE IS A VIOLATION OF CIVIL AND CRIMINAL LAW.
  615.  
  616. If licensed, a reference to the license can be included in the notice.
  617.  
  618. IF THE WORK IS PUBLISHED, IT SHOULD HAVE THE FORMAL COPYRIGHT NOTICE
  619. ATTACHED IN LIEU OF THE ABOVE STATEMENT.  THE INTENTIONAL OMISSION OF THE
  620. COPYRIGHT WILL CAUSE THE OWNER TO LOSE HIS COPYRIGHT; AN UNINTENTIONAL
  621. OMISSION CAN BE REMEDIED.
  622.  
  623. EMPLOYER-EMPLOYEE RELATIONSHIPS
  624.  
  625. Many problems covering computer programs protection arise from the
  626. employer-employee relationship, where two philosophies often conflict.  One
  627. philosophy is that the products of the employee belong to the employer; the
  628. other is that employees should be free to change jobs during their careers
  629. and to use the expertise gained in one job in new work situations.
  630.  
  631. Although some employers might argue that all work done during employment
  632. belongs to them, and some employees might claim that their creations are
  633. theirs exclusively, the laws do not generally support either claim.  State
  634. laws vary on this question; however, the prevailing view is that programs
  635. written or developed as a specific task assigned by the employer belong
  636. exclusively to the employer, and that programs written or developed solely
  637. by the employee, using the employee's own time/resources, belong exclusively
  638. to the employee.  Most controversy over computer program ownership falls in
  639. the gray area between these two positions.
  640.  
  641. The following discussion centers on trade secret law since patent and
  642. copyright protection are less helpful.  Patent protection for computer
  643. programs is ambiguous and hence rarely used, and most companies have a
  644. well-established patent assignment policy.  On the other hand, the new
  645. copyright law is explicit regarding work for hire:
  646.  
  647. IN THE CASE OF A WORK MADE FOR HIRE, THE EMPLOYER OR OTHER PERSON FOR WHOM
  648. THE WORK WAS PREPARED IS CONSIDERED THE AUTHOR FOR PURPOSES OF THIS TITLE,
  649. AND, UNLESS THE PARTIES HAVE EXPRESSLY AGREED OTHERWISE IN A WRITTEN
  650. INSTRUMENT SIGNED BY THEM, OWNS ALL OF THE RIGHTS COMPRISED IN THE
  651. COPYRIGHT.
  652.  
  653. Conflicts of trade secret ownership between employers and employees for
  654. other than assigned work are usually resolved based on the resources used.
  655. Employees who develop new computer programs on their own time, at home, on a
  656. personally owned terminal, but using employer computer time may be found to
  657. own the programs; however, the employer may be given a royalty-free license
  658. to use the programs in its business.  A more complex question concerns
  659. employees working at home on flextime or w/ an employer-owned terminal or
  660. microcomputer.  In such cases, proof of whose resources are used in
  661. development is more difficult to establish.
  662.  
  663. legal battles over program ownership are very costly to both sides and
  664. consume enormous amounts of time/energy.  Often a court formulates a
  665. compromise so that neither side actually wins.  To avoid going to court over
  666. program ownership, employers should have an explicit policy regarding
  667. employee-developed programs.  This policy can be part of an
  668. organization-wide trade secret protection plan developed by management and
  669. legal counsel.
  670.  
  671. A basic control requires that each employee involved in developing computer
  672. programs should be required to sign an agreement concerning ownership of
  673. computer programs at the time of hire.  A formal emplyment or secrecy
  674. agreement or an informal letter to the employer can be used.  Since both
  675. types of agreement are legally effective, management style should determine
  676. which approach is used.  The informal letter is friendlier, but the awesome
  677. contract form may make a more lasting impression on the employee.
  678.  
  679. If a simple letter is used, the following format is recommended for the key
  680. paragraph:
  681.  
  682. ALL COMPUTER PROGRAMS WRITTEN BY ME, EITHER ALONE OR W/ OTHERS, DURING THE
  683. PERIOD OF MY EMPLOYMENT, COMMENCING ON _______________, 19__, AND UP TO AND
  684. INCLUDING A PERIOD OF ____________ AFTER TERMINATION, WHETHER OR NOT
  685. CONCEIVED OR MADE DURING MY REGULAR WORKING HOURS, ARE THE SOLE PROPERTY OF
  686. THE COMPANY.
  687.  
  688. This important control prevents misunderstanding and protects the employer
  689. against legal action.
  690.  
  691. Employees may use skills developed during previous jobs; however, they may
  692. not use trade secrets disclosed to or produced by them during those jobs.
  693. This is enjoinable behavior and may result in the award of damages to the
  694. former emplyer.  Departing employees should take nothing tangible from the
  695. old job -- listings, notebooks, tapes, documents, or copies of any kind,
  696. including lists of specific customers.  Prospective employers should
  697. carefully avoid crossing the fine line between hiring someone to provide
  698. expertise in a particular area and hiring someone to provide knowledge of a
  699. competitor's proprietary products or business plan.  Spcial care is required
  700. when more than one employee is hired from the same company.
  701.  
  702. Another essential control requires that departing employees should be
  703. reminded during the exit interview that no materials or proprietary concepts
  704. received during employment can be used at the new job.  They should be asked
  705. to read and sign a statement that acknowledges their understanding of this
  706. point.  The statement should also affirm that no materials have been removed
  707. from the employer's premises and that all those previoulsy in the employee's
  708. possession have been returned.  Employers should obtain the employee's new
  709. address in case later contract is necessary.
  710.  
  711. During the exit interview, employees should have the opportunity to clarify
  712. gray areas -- programs they wrote on their own time using company terminals
  713. and company computer time, innovations they developed that the company never
  714. used, and so on.  Permitting a departing employee to use an invention that
  715. will not cause loss of competitive advantage can ensure a friendly and loyal
  716. colleague in the marketplace.  In any case, legal counsel should be involved
  717. in these sessions, b/c an attorne experienced in trade secret law can interpret
  718. the naunces of the interview more effectively and can emphasize the consequences
  719. of unfair competitive conduct.
  720.  
  721. GUIDELINES FOR COMPUTER PROGRAM USERS
  722.  
  723. Users who obtain computer programs outside of contractual or other
  724. confidential relationships that preclude competitive action can legally
  725. recreate the programs and use them freely even if they know they are trade
  726. secrets.  In addition, users who obtain computer programs from third parties
  727. w/out any knowledge that they are proprietary are free to use them.  In such
  728. cases the third party may be liable to the owner for misappropriation.
  729. Computer program users should note, however, that intentional wrongful use
  730. in this situation may lead to criminal and civil liability for infringement
  731. or misappropriation.
  732.  
  733. Patented inventions can only be used w/ the owner's permission.  The alleged
  734. infringer, however, can challenge the validity of the patent in court and,
  735. if successful, can defeat the patentee's exclusive right to use the
  736. invention.
  737.  
  738. Another problem concerns the owernship of a user-made change or enhancement
  739. that significantly alters the constitution of the computer program.  Neither
  740. copyright nor trade secret law is explicit n this point.  Many vendor-user
  741. agreements require the user to return all copies of the computer program at
  742. the end of the term; however, few vendores forbid user changes and
  743. enhancements or ask for royalties from new works embodying or based on their
  744. computer programs.  Some agreements contain provisions that any and all
  745. changes belong to the vendor.  Thus, the computer program user should pay
  746. special attention to contract provisions regarding changes and enhancements.
  747. In the absence of a specific agreement, the user takes some risk but has a
  748. fair chance of surviving a challenge that user-made changes infringe on the
  749. vendor's rights.
  750.  
  751. RECOMMENDED COURSE OF ACTION
  752.  
  753. The data processing manager should understand the legal alternatives for
  754. protecting computer programs and adopt prudent controls used by others under
  755. similar circumstances.  If the organization uses computer programs developed
  756. and owned by outside parties, this understanding and use of controls can
  757. prevent legal problems and can ensure that the terms of the agreement for
  758. using the computer programs are proper.  for organizations that develop
  759. computer programs in-house, a corporate policy based on a thorough knowledge
  760. of the laws is a basic control that can prevent misunderstandings between
  761. management and development personnel.
  762.  
  763. Such a policy can also ensure that the company does not lose a competitive
  764. advantage b/c of unathorized disclosure or copying of programs.  B/c the
  765. laws in this are are subject to change, the data processing manager should
  766. stay in close touch w/ the organization's legal counsel to keep pace w/ the
  767. latest developments.
  768.  
  769. Meeting standards of due care and protecting proprietary interests in
  770. computer programs are examples of common sources of motivation and need to
  771. adopt generally used controls.  Consideration of these common sources of
  772. motivation and need, as well as the generally used controls (many found in
  773. the study of the field sites), leads to a new computer security concept
  774. presented in the next section.
  775.  
  776.                                 END OF PART III
  777.  
  778.               NIA---NIA---NIA---NIA---NIA---NIA---NIA---NIA---NIA
  779.  
  780.  
  781. Current List Of BBS's that carry ALL of Network Information Access Files:
  782.  
  783. BBS NAME           PHONE NUMBER    SYSOP(S)                        SOFTWARE
  784. --- ----           ----- ------    --------                        --------
  785. Metamorphis Alpha  713/475-9055    Starchilde/Moonchilde           TAG
  786. Pier 7             713/477-2681    Slice/Mouser                    Quick
  787. The End Over!      713/821-4174    Chester                         TAG
  788. The Enigma         713/852-7121    Odysseus/Volker/Brutus          Telegard
  789. Talk Radio         713/941-0917    Sir Lawrence/Lord MacDuff       TAG
  790.  
  791. All Boards are 24 Hours unless otherwise noted...
  792.  
  793.  
  794.  
  795.  
  796.