IDA: Software-leverandører skal gøres ansvarlige for fejl og sårbarheder

Hvis du køber en ny bil, og motoren bryder sammen på vej hjem fra bilforhandleren, så er det producenten, du kan kræve løser problemet og skaffer dig en ny motor, der virker. Her har du nemlig produktansvarsloven på din side.

Men den lovgivning gælder fortsat ikke softwareløsninger, og det skal laves om, i takt med at software indbygges i flere og flere fysiske produkter.

Sådan lyder opfordringen i en ny rapport fra Ingeniørforeningen IDAs digitaliseringsudvalg.

»Vi undrer os over, at softwareleverandører stadig ikke har et produktansvar i dag. Bilproducenter har eksempelvis ansvaret for de fysiske komponenter i deres biler, men ikke den software, der bruges til at gøre bilerne selvkørende. Hvis en producent af fødevarer, biler, eller byggematerialer sjusker, så brugernes liv bringes i fare, forventer vi, at de producenter stilles til ansvar, tilbagekalder produkterne, udbedrer problemet og betaler erstatninger. Hvorfor accepterer vi, at det tilsvarende ikke gælder for softwareproducenter?« spørger Jørn Guldberg, it-sikkerhedsekspert og medlem af IDAs digitaliseringsudvalg.

Det anbefaler IDA om produktansvar

IDAs Digitaliseringsudvalg mener, at man bør afsøge mulighederne for at kunne indføre/lovgive i forhold til en form for ”entreprenør-ansvar”, hvor leverandører tager mere eller mindre hele ansvaret for det samlede system/produkt. Med andre ord bliver det derfra leverandørens ansvar internt at gå videre og kæmpe mod sine underleverandører, og herunder sikre sig at de forskellige kodestumper, som underleverandørerne leverer, ikke har eller får utilsigtede konsekvenser. Skulle det ske, at de enkelte stykker embedded software ikke er af ordentlig kvalitet, er det hovedleverandørens ansvar over for kunden. I forhold til ovenstående gør IDAs Digitaliseringsudvalg dog opmærksom på, at kan være hensigtsmæssigt at skelne mellem standardsystemer og specialudviklede systemer, herunder integrationer. For standardsystemer kan og bør vi stille krav til producenterne, idet det udelukkende bør betragtes som deres ansvar, hvad der bringes på markedet. Men for specialudviklede systemer er det kunden, der stiller kravene (gode såvel som dårlige krav) og i øvrigt også kunden, der står for en stor del af afprøvningen. I sådanne tilfælde kan det ikke nødvendigvis være rimeligt at give producenten det fulde ansvar.

Kilde: Rapporten: Cyber- og informationssikkerhed, åbne data og etik - 3 råd fra IDAs Digitaliseringsudvalg

Jørn Guldberg, it-sikkerhedsekspert og medlem af IDAs digitaliseringsudvalg, vil have software omfattet af produktansvarsloven. Illustration: IDA

Professor: Producenter skal sikkerhedspatche sine produkter

Ingeniørforeningen står ikke alene med ønsket om en opdateret produktansvarslovgivning.

Professor i Security Engineering ved Cambridge University Ross Anderson har sidste år afleveret en rapport til EU-Kommissionen med en række anbefalinger til en opdatering af produktansvarslovgivningen i EU.

Ifølge ham er det manglende produktansvar et problem for de mange sårbarheder og sikkerhedshændelser, der løbende opstår i softwaresystemer.

»Langt de fleste maskinbyggere har i dag en en statisk tilgang til produktsikkerhed. Man laver en række før-markedstest, med standarder der har en tidshorisont på omkring 10 år. Men hvis hackere finder sårbarheder i softwaren, er tidshorisonten pludselig forkortet fra årevis og helt ned til en måned. Vi mangler en dynamisk tilgang til lovgivning om Internet of Things, der italesætter, hvordan vi bedst undersøger sikkerhedshændelser, og hvem der har ansvaret for at offentliggøre viden om de hændelser,« sagde Ross Anderson, da han tidligere i år deltog i en it-sikkerhedskonference arrangeret af Dansk IT.

Sårbarheder opstår blandt andet, fordi produktudvikling foregår på en radikalt anderledes måde med software.

Mens producenter af eksempelvis biler eller medicinsk udstyr ofte bruger flere år på at teste og kvalitetsgodkende nye produkter, så er meget software i dag udviklet med kort time-to-market, Scrum og med stay-in-beta, og det er måske endda indlejret i produkter, som igen indgår i samlede løsninger på en uklar måde.

Det giver ekstra udfordringer med nye typer sårbarheder i softwaren, som kan udnyttes af kriminelle eller til cyberspionage fra fremmede nationer.

Læs også: Professor: Medikoindustrien forsømmer at sikre hospitalsudstyr mod hacking

Eksisterende lovgivning bremser sikkerhedsopdateringer

Ifølge Ross Anderson kan den eksisterende produktansvarslovgivning faktisk have den helt modsatte effekt og forhindre opdateringer, der lukker software-sårbarheder.

»I dag er udfordringen, at softwareopdateringer kan bryde CE-mærkningen, fordi der sker mærkbare ændringer af produktet, og vi ser eksempler på producenter, der undlader at sikkerhedspatche deres produkter for at undgå at skulle indhente nyt certifikat,« sagde Ross Anderson tidligere i år.

Han foreslår derfor også, at produktansvarsloven udvides til også at omfatte software. Det vil betyde, at producenterne skal være ansvarlige for løbende at garantere opdateringer, der kan lukke kendte sikkerhedshuller i IoT-software i en årrække.

Konkret foreslår Ross Anderson, at standarden ISO 29147 implementeres som et krav for at blive CE-mærket. ISO-standarden definerer, hvordan en leverandør skal håndtere sårbarheder i produkter.

På den måde vil software i IoT-enheder blive sidestillet med bilproducenter, der i dag skal garantere at levere reservedele til deres biler i en årrække.

Version2 har tidligere fortalt om eksempler på IoT-udstyr og medicinsk udstyr, som ikke bliver løbende opdateret.

Læs også: Hospitalernes medikoudstyr kobles på nettet: Øger sårbarhed over for cyberangreb

Storbritannien på vej med IoT-lovgivning

Den engelske minister for digitalisering, kultur, medier og sport, Margot James, var tidligere i år ude i samme ærinde som Ingeniørforeningen IDA i forbindelse med publiceringen af et nyt sikkerhedskodeks, der skal gøre IoT-enheder mere sikre for forbrugerne.

»Vi vil have, at alle skal have gavn af det store potentiale, der er i internetforbundne enheder. Det er vigtigt, at de er sikre og har en positiv indflydelse på folks liv. Vi har arbejdet sammen med industrien for at udvikle et strengt nyt sæt regler, så stærk sikkerhed bliver indbygget i hverdagsteknologien, fra det øjeblik det bliver udviklet,« sagde Margot James, minister for det digitalisering, kultur, medier og sport, i en pressemeddelelse tilbage i marts i år.

Margot James understreger at det ikke længere skal være forbrugerne, der selv skal sikre deres enheder, men at sikkerheden skal være indbygget fra starten.

Den samme melding kommer fra IDA. Her mener man, at det skal være hovedleverandøren af et software-system, der skal gøres ansvarlig overfor brugerne af softwaren.

»IDAs Digitaliseringsudvalg mener, at man bør afsøge mulighederne for at lovgive i forhold til en form for 'entreprenør-ansvar', hvor leverandører tager mere eller mindre hele ansvaret for det samlede system/produkt. Med andre ord bliver det derfra leverandørens ansvar internt at gå videre og kæmpe mod sine underleverandører, og herunder sikre sig at de forskellige kodestumper, som underleverandørerne leverer, ikke har eller får utilsigtede konsekvenser. Skulle det ske, at de enkelte stykker embedded software ikke er af ordentlig kvalitet, er det hovedleverandørens ansvar over for kunden,« skriver IDA i rapporten 'Cyber- og informationssikkerhed, åbne data og etik'.

Læs også: Politisk indgreb efter års smøleri: »Urimeligt at forbrugere selv skal sikre IoT-enheder«

»Rapporten anbefaler et fundamentalt skift i tilgang. Det skal ikke længere være forbrugerne, der selv skal sikre deres enheder, men i stedet skal der være indbygget en stærk sikkerhed allerede fra designfasen i Internet of Things-produkter til forbrugere,« står der i den engelske rapport.

Kun for ny software

IDA understreger dog, at der skal skelnes mellem standard- og specialudviklede softwaresystemer.

»For standardsystemer kan og bør vi stille krav til producenterne, idet det udelukkende bør betragtes som deres ansvar, hvad der bringes på markedet. Men for specialudviklede systemer er det kunden, der stiller kravene (gode såvel som dårlige krav), og i øvrigt også kunden der står for en stor del af afprøvningen. I sådanne tilfælde kan det ikke nødvendigvis være rimeligt at give producenten det fulde ansvar,« skriver IDA i rapporten.

»Vi håber, at de danske politikere vil forholde sig til problemstillingen. Udfordringen er selvfølgelig, at der stort set ikke findes ‘rene’ danske produkter, men at software udvikles i hele verden. Derfor skal problemstillingen også løftes på EU-niveau og globalt plan på sigt,« siger Jørn Guldberg.

Konkret foreslår Ross Anderson, at standarden ISO 29147 implementeres som et krav for at blive CE-mærket. ISO-standarden definerer, hvordan en leverandør skal håndtere sårbarheder i produkter.

Kommentarer (12)

Sortér kommentarer

Ældste først
Nyeste først
Bedste først

#1 Poul-Henning Kamp 27. august 2018 - 13:24 Blogger

JATAK!

Og det kan kun gå for langsomt.

#2 Casper Thule Mathiasen 27. august 2018 - 13:51

Jubii!!

Så kan man måske nørde formelle metoder flere steder i fremtiden!

#3 Henrik Sørensen 27. august 2018 - 17:55

Og en af dem, tak!

Klart en god idé.

Kan forslaget udvides således at visse produkter eller produktkategorier ikke må sælges uden en CE godkendelse/certifikat eller anden relevant godkendelse, så forbrugere og virksomheder ikke behøver nærlæse specifikationer for at vide om man er sikret?

#4 Bjarke I. Pedersen 27. august 2018 - 22:12

Hvordan med opensource?

Vil det ikke gå hen og blive et problem for opensource?

Tænker hvis det er udvikleren som har skrevet en stump kode, er vedkommende så bundet til at skulle supportere det så længe der er folk der bruger det?

Eller misforstår jeg problematikken fuldstændigt?

#5 Søren Koch 27. august 2018 - 22:21

Re: Hvordan med opensource?

Nu er jeg ikke advokat, men produktansvar fordrer jo at der er sket et salg.

Det meste open source software downloades jo bare og bruges uden der er betalt for den, og så kan jeg ikke se at produktansvar kan komme ind over (men jeg kan tage fejl)

Det var bl.a derfor at vi på DTU Energi udgav Elchemea Analytical som opensource.

#6 Hans Nielsen 28. august 2018 - 00:31

Det meste open source software downloades jo bare og bruges uden der er betalt for den,

Nu Installeres meget jo som enten Android eller Linux på enheder som telefoner eller Routere og lignende. Her er der normalt kun producenten, som som kender nok til produkter til forholdsvis enkelt at lave en opdatering. Og tit den eneste som har lidt interesse i at lave opgradering. Hvis det så efter 1-2 år efter at produktet er EOL. Noget som en ny version af Wif, nye CPU, ram typer, som giver dobbelt hastighed eller lignende, hurtigt kan sørge for sker. Og der så kommer nogle sikkerheds huller, så er der ikke mange producenter som laver nye firmware, jeg vil sige tæt på slet ingen, og det sker helt sikkert ikke i produktet fulde rigtige levetid som nemt kan være mere end 6-8 år. Og slet ikke på de mange OEM produkter.

#7 Denny Christensen 28. august 2018 - 08:45

Der skal nu nok komme en retssag hvor en der har lidt tab forsøger at finde en udvikler der kan betale - i USA givet vis hvor retssager anlægges og tages op i retssystemet i højere grad end i eks. Danmark.

#8 Troels Henriksen 28. august 2018 - 08:52

I så fald er det producenten (altså, den der får penge fra en kunde) der står med produktansvaret. Hvis man så ikke mener at man har kompetencerne til at patche den Linux-kerne man har smidt i sin intelligente tandbørste, eller hvad det nu er for noget IoT-ragelse man sælger, så må man lave en aftale med f.eks. Red Hat om at de sørger for det. Der er forholdsvist mange virksomheder hvis eksistensgrundlag er at tage noget open source og levere support/garanti på det, og jeg tror gerne de vil være med til at understøtte produktansvar for produkter der bruger open source-kode.

#9 Chresten Christensen 28. august 2018 - 13:00

Det meste open source; jeg har set har en klausul, der sige noget i retning af; ”ingen garanti”, ”ejet ansvar” og osv Så open source give netop ingen garanti. Dersom der ikke sker noget salg er det heller ikke et produkt, men mere en personlig tilgengivelse.

ref : https://opensource.org/licenses ref : https://www.google.com/search?ei=&q=open+source+rights

#10 Bjarke I. Pedersen 28. august 2018 - 13:37

Jeg ved ikke hvor meget det gælder, hvis loven siger at man skal stå til ansvar for det. Du kan ikke i en licens frasige dig at skulle overholde en lovgivning (såfremt det bliver en lovgivning altså).

#11 Chresten Christensen 28. august 2018 - 13:58

Det kommer jo meget an på hvordan love udformes... Så længe vi ikke har noget konkret at forholde os til, blive det svært at diskutere det. Men begge mulighed er absolut mulige. At man kan blive ansvarlig for open source eller ej. :)

#12 Hans Nielsen 30. august 2018 - 12:30

Jeg ved ikke hvor meget det gælder, hvis loven siger at man skal stå til ansvar for det

Som det er nu, køber du noget hardware, hvor producenten (eller en OEM i 3-4 led) har "lånt" noget åben source og tilrettet det til deres produkt.

Hvis man vil til lave et produktansvar for open source delen. Så risikere man nok at der er ikke er mange som vil frigive software eller arbejde på det under en sådan licens. Som: Du har tilrettet sproget til Dansk i LibreOffice som er en del af Ubuntu.Ubuntu videodriver er blevet blevet hacket, og det har kostet 3 milliarder ved "mærsk". Betaler du kontant eller med kort.

Men derfor skal leverandøren af hardware/software jo stå inde for den samlet levering. Problemet er bare her, at du måske har købt et produkt på EBay hvor forhanlder har fået en god 10 stk pris ved en anden OEM i 3 led. Og sidder 1200 km inden i Kina og arbejder for et Amba.

En løsning som nok ikke har sin gang på jord, kunne være at man simpelthen henviser til at der skal være en told/forsikringer på alle produkter som sælges i EU. Og hvis ikke at produkter sikkerhed opdateres i produktets reelle levetid, så skal det købes tilbage og destrueres af forsikringsselskabet. Men sådanne løsninger og mekanismer findes der, når man ser på biler findes der sådan mekanismer, biler skal til syn og produkter som er farlige bliver indkaldt via motorregister for producentens regning. Men her er det stadig producenten/sælgeren som er ansvarlig ikke producenten af f eks, lygteglasset, eller softwaren til MP3 afspilleren.

SÅ det kan laves, men det vil koste dyrt for mange kinesisk små producenter, men så må den Kinesiske stat lave en ordning som styre det. Det kan de sikkert finde ud af, når de også kan arrangere gratis fragt til udlandet.

Men nu er der råbt ulven kommer, mange gange og med rette. Men jeg tror desværre at vi skal se mange angreb og også direkte dødsfald i USA, Japan og EU før der kommer regler og reguleringer.

En helt anden sag positiv sag, er vel at sådan en lov ikke kun skal gælde Open Source, det bør vel glæde alt Software. Så kan man kræve at Microsoft levere sikkerhedsopdateringer til alt deres software siden DOS. Og at de betaler for nedbrud, genoprettelse og andre udgifter når der er huller eller fejl i deres software.

Log ind eller Opret konto for at kommentere

IDA: Software-leverandører skal gøres ansvarlige for fejl og sårbarheder

Professor: Producenter skal sikkerhedspatche sine produkter

Eksisterende lovgivning bremser sikkerhedsopdateringer

Storbritannien på vej med IoT-lovgivning

Kun for ny software

Mere om Internet of things

Webassembly kommer til container-brug på serveren