Hvis du køber en ny bil, og motoren bryder sammen på vej hjem fra bilforhandleren, så er det producenten, du kan kræve løser problemet og skaffer dig en ny motor, der virker. Her har du nemlig produktansvarsloven på din side.
Men den lovgivning gælder fortsat ikke softwareløsninger, og det skal laves om, i takt med at software indbygges i flere og flere fysiske produkter.
Sådan lyder opfordringen i en ny rapport fra Ingeniørforeningen IDAs digitaliseringsudvalg.
»Vi undrer os over, at softwareleverandører stadig ikke har et produktansvar i dag. Bilproducenter har eksempelvis ansvaret for de fysiske komponenter i deres biler, men ikke den software, der bruges til at gøre bilerne selvkørende. Hvis en producent af fødevarer, biler, eller byggematerialer sjusker, så brugernes liv bringes i fare, forventer vi, at de producenter stilles til ansvar, tilbagekalder produkterne, udbedrer problemet og betaler erstatninger. Hvorfor accepterer vi, at det tilsvarende ikke gælder for softwareproducenter?« spørger Jørn Guldberg, it-sikkerhedsekspert og medlem af IDAs digitaliseringsudvalg.
Professor: Producenter skal sikkerhedspatche sine produkter
Ingeniørforeningen står ikke alene med ønsket om en opdateret produktansvarslovgivning.
Professor i Security Engineering ved Cambridge University Ross Anderson har sidste år afleveret en rapport til EU-Kommissionen med en række anbefalinger til en opdatering af produktansvarslovgivningen i EU.
Ifølge ham er det manglende produktansvar et problem for de mange sårbarheder og sikkerhedshændelser, der løbende opstår i softwaresystemer.
»Langt de fleste maskinbyggere har i dag en en statisk tilgang til produktsikkerhed. Man laver en række før-markedstest, med standarder der har en tidshorisont på omkring 10 år. Men hvis hackere finder sårbarheder i softwaren, er tidshorisonten pludselig forkortet fra årevis og helt ned til en måned. Vi mangler en dynamisk tilgang til lovgivning om Internet of Things, der italesætter, hvordan vi bedst undersøger sikkerhedshændelser, og hvem der har ansvaret for at offentliggøre viden om de hændelser,« sagde Ross Anderson, da han tidligere i år deltog i en it-sikkerhedskonference arrangeret af Dansk IT.
Sårbarheder opstår blandt andet, fordi produktudvikling foregår på en radikalt anderledes måde med software.
Mens producenter af eksempelvis biler eller medicinsk udstyr ofte bruger flere år på at teste og kvalitetsgodkende nye produkter, så er meget software i dag udviklet med kort time-to-market, Scrum og med stay-in-beta, og det er måske endda indlejret i produkter, som igen indgår i samlede løsninger på en uklar måde.
Det giver ekstra udfordringer med nye typer sårbarheder i softwaren, som kan udnyttes af kriminelle eller til cyberspionage fra fremmede nationer.
Eksisterende lovgivning bremser sikkerhedsopdateringer
Ifølge Ross Anderson kan den eksisterende produktansvarslovgivning faktisk have den helt modsatte effekt og forhindre opdateringer, der lukker software-sårbarheder.
»I dag er udfordringen, at softwareopdateringer kan bryde CE-mærkningen, fordi der sker mærkbare ændringer af produktet, og vi ser eksempler på producenter, der undlader at sikkerhedspatche deres produkter for at undgå at skulle indhente nyt certifikat,« sagde Ross Anderson tidligere i år.
Han foreslår derfor også, at produktansvarsloven udvides til også at omfatte software. Det vil betyde, at producenterne skal være ansvarlige for løbende at garantere opdateringer, der kan lukke kendte sikkerhedshuller i IoT-software i en årrække.
Konkret foreslår Ross Anderson, at standarden ISO 29147 implementeres som et krav for at blive CE-mærket. ISO-standarden definerer, hvordan en leverandør skal håndtere sårbarheder i produkter.
På den måde vil software i IoT-enheder blive sidestillet med bilproducenter, der i dag skal garantere at levere reservedele til deres biler i en årrække.
Version2 har tidligere fortalt om eksempler på IoT-udstyr og medicinsk udstyr, som ikke bliver løbende opdateret.
Storbritannien på vej med IoT-lovgivning
Den engelske minister for digitalisering, kultur, medier og sport, Margot James, var tidligere i år ude i samme ærinde som Ingeniørforeningen IDA i forbindelse med publiceringen af et nyt sikkerhedskodeks, der skal gøre IoT-enheder mere sikre for forbrugerne.
»Vi vil have, at alle skal have gavn af det store potentiale, der er i internetforbundne enheder. Det er vigtigt, at de er sikre og har en positiv indflydelse på folks liv. Vi har arbejdet sammen med industrien for at udvikle et strengt nyt sæt regler, så stærk sikkerhed bliver indbygget i hverdagsteknologien, fra det øjeblik det bliver udviklet,« sagde Margot James, minister for det digitalisering, kultur, medier og sport, i en pressemeddelelse tilbage i marts i år.
Margot James understreger at det ikke længere skal være forbrugerne, der selv skal sikre deres enheder, men at sikkerheden skal være indbygget fra starten.
Den samme melding kommer fra IDA. Her mener man, at det skal være hovedleverandøren af et software-system, der skal gøres ansvarlig overfor brugerne af softwaren.
»IDAs Digitaliseringsudvalg mener, at man bør afsøge mulighederne for at lovgive i forhold til en form for 'entreprenør-ansvar', hvor leverandører tager mere eller mindre hele ansvaret for det samlede system/produkt. Med andre ord bliver det derfra leverandørens ansvar internt at gå videre og kæmpe mod sine underleverandører, og herunder sikre sig at de forskellige kodestumper, som underleverandørerne leverer, ikke har eller får utilsigtede konsekvenser. Skulle det ske, at de enkelte stykker embedded software ikke er af ordentlig kvalitet, er det hovedleverandørens ansvar over for kunden,« skriver IDA i rapporten 'Cyber- og informationssikkerhed, åbne data og etik'.
»Rapporten anbefaler et fundamentalt skift i tilgang. Det skal ikke længere være forbrugerne, der selv skal sikre deres enheder, men i stedet skal der være indbygget en stærk sikkerhed allerede fra designfasen i Internet of Things-produkter til forbrugere,« står der i den engelske rapport.
Kun for ny software
IDA understreger dog, at der skal skelnes mellem standard- og specialudviklede softwaresystemer.
»For standardsystemer kan og bør vi stille krav til producenterne, idet det udelukkende bør betragtes som deres ansvar, hvad der bringes på markedet. Men for specialudviklede systemer er det kunden, der stiller kravene (gode såvel som dårlige krav), og i øvrigt også kunden der står for en stor del af afprøvningen. I sådanne tilfælde kan det ikke nødvendigvis være rimeligt at give producenten det fulde ansvar,« skriver IDA i rapporten.
»Vi håber, at de danske politikere vil forholde sig til problemstillingen. Udfordringen er selvfølgelig, at der stort set ikke findes ‘rene’ danske produkter, men at software udvikles i hele verden. Derfor skal problemstillingen også løftes på EU-niveau og globalt plan på sigt,« siger Jørn Guldberg.
Konkret foreslår Ross Anderson, at standarden ISO 29147 implementeres som et krav for at blive CE-mærket. ISO-standarden definerer, hvordan en leverandør skal håndtere sårbarheder i produkter.
