Produktansvar for software

I PROSA synes vi, at det er godt, at vores digitale sikkerhedstjenester finder fejl og sårbarheder i produkter. Vi mener, at disse naturligvis skal overdrages til producenten, så han får en mulighed for at rette fejlene, og dermed gøre alle brugerne mere sikre ved næste sikkerhedsopgradering af softwaren i produktet.

Desværre bekræfter Vault 7, hvad mange af os har sagt tidligere: Sikkerhedstjenesterne holder sårbarhederne ind til kroppen med det formål selv at bruge dem. Dermed har man misforstået styrkeforholdet. Lige netop kendskab til sårbarheder i software kan virke både som angrebsvåben og forsvarsvåben - dermed adskiller de sig væsentlig fra f.eks. viden om, hvordan man laver atomvåben.

Lad os tage Nordkorea som eksempel på en modstander. Ligesom sikkerhedstjenesterne kan Nordkorea finde sikkerhedsfejl i udstyr. Lad os sige, at de ikke er så dygtige som tjenesterne i den fri verden så de finder kun 10% af sårbarhederne, som vores sikkerhedstjenester har fundet. Lad os også sige, at Nordkorea har 100.000 enheder, hvoraf 10% er sårbare over for vores sikkerhedtjenesters angreb. Dermed vil vores sikkerhedstjenester kunne angribe 10.000 enheder i Nordkorea. Lad os sige, at vi i den frie verden har 100.000.000 enheder, hvoraf 10% er sårbare, men hvor Nordkorea kun har fundet 10% af sårbarhederne (eller 5.7%). Dermed vil Nordkorea kunne angribe 1.000.000 enheder.

Hvis vi ser på udbredte enheder, så vil det være en fordel for den fri verden (hvor vi er meget afhængige af IT) at få sårbarhederne rettet af producenten, mens det for Nordkorea (og andre lande uden større afhængighed af IT) er en fordel, hvis sikkerhedstjenesterne holder disse hemmelige.

Producenternes medansvar

Nu hjælper det naturligvis ikke, hvis ikke producenterne tager deres ansvar alvorligt og retter de fejl, som de bliver gjort opmærskomme på. Det er utænkeligt, at producenter kan levere fejlfrit udstyr, og det mener jeg ikke er rimeligt at kræve. Men jeg finder det rimeligt, at producenten i hele produktets levetid giver mig som kunde mulighed for at få sikkerhedsrettet softwaren i udstyret.

Det kan f.eks. ske ved at producenten tager sikkerhedsrapporter seriøst og leverer sikkerhedsrettelser ud over garantiperioden. Men selv når producenten bliver træt af det, bør han give forbrugeren mulighed for selv at rette sikkerhedsfejl. Det kan f.eks. ske ved, at han giver kildekoden til softwaren til forbrugeren.

Hvis vi er nervøse for, om producenten lukker, så bør man kunne kræve, at han lægger kildekoden i forvaring, så den bliver publiceret i tilfælde af producentens lukning. Benytter producenten underleverandørers software, skal han naturligvis kræve det samme af dem.

Digital teknologi er en så central del af samfundet idag at jeg tror, vi er nødt til at kikke på en eller anden form for producentansvar.

Ole Tanges billede
Ole Tange har beskæftiget sig med fri software siden 1991, kørt GNU/Linux siden 1992, og i 1996 slettede han sin Windows partition. Han er hovedudvikler af GNU Parallel, aktiv i IT-politik og ansat som IT-politisk rådgiver hos Fagforbundet af IT-professionelle, PROSA. Foto: (CC-By) Maibritt Kerner, PROSA

Kommentarer (24)

Poul-Henning Kamp Blogger

Medlemskabet indtil videre:

Mig selv sagde hunden: http://queue.acm.org/detail.cfm?id=2030258

Bruce Schneier: https://www.schneier.com/news/archives/2012/03/rsa_2012_are_softwar.html

Dan Geer: http://geer.tinho.net/geer.blackhat.6viii14.txt

(Dit laminerede medlemskort og megafonen til at råbe "Get Of My Lawn" vil ankomme i løbet af 8 til 12 uger :-)

Jan Juul Mortensen

Det kan godt være, at du, PHK eller jeg kunne bruge kildekoden til noget, men det kan den almindelige forbruger ikke.

PHK stoler også kun på egen kode til opbevaring af login oplysninger, hvorfor den almindelige forbruger må antages ikke, at kunne stole på 3. part der måtte offentliggøre nyt på baggrund af den offentliggjorte kildekode.

Claus Juul

Tanken om at software der ikke længere vedligeholdes skal frigives som open source er jeg enig i.

Jeg mener at "problemet" bør løses ved at rettighederne til produkter med lav livscyklus, herunder software, sættes ned til måske 5 år. og der stilles krav om at ethvert stykke softwares kildekode ikke kan gå tabt.

Torben Mogensen Blogger

For at sikre offentliggørelse efter f.eks. 5 år, kunne man kræve, at kildekoden til al software, der bliver solgt enten som sig selv eller som del af produkter, sendes til en offentlig myndighed, som så efter fem år kan gøre den tilgængelig. Hvis nyere versioner udgives, skal de også deponeres.

Bemærk, at offentliggørelse ikke medfører tab af rettigheder: Det vil stadig ikke være tilladt at kopiere denne software over i egne produkter, med mindre der eksplicit er givet tilladelse til dette. Men rettighedsloven bør tillempes, så det ligger inden under "fair use" at modificere den publicerede kode til egen brug og at publicere patches, som andre kan bruge til samme formål.

Keld Simonsen

Software er ikke undtaget fra købeloven, eller andre love, og derfor gælder produktansvar efter almindelig dansk ret også for software.

Jeg tror det Ole mest går efter er retten til at få udbedret fejl og mangler, ikke direkte skadeserstatninger foranledigte at ansvarspådragende fejl.

Som forbruger gælder der en 2 års reklamationsret, og derfor er softwareproducenterne og deres forhandlere forpligtede til at udbedre de fejl som opdages i disse 2 år. Og det må formodes at sw-fejl er iboende ved købet, så der bør ikke være meget tvivil om denne forpligtelse. Praksis er nok lidt anderledes...

Jesper Louis Andersen

Jeg kan kun være fuldstændigt enig med Ole (+ PHK, Schneier og Geer)her.

Vi bliver nødt til at behandle vores software som ethvert andet produkt vi køber. Der er en oplagt virkemåde og hvis produktet har sikkerhedsfejl, må det skønnes at dette ikke er tiltænkt adfærd at den solgte vare. De skal naturligvis rettes.

Sammenlignet med f.eks. bilindustrien, så er der visse dele af en bil det ikke kan forventes at køber er i stand til at rette eller forstå. Derfor beskytter man køberen. Software er overhovedet ikke forskelligt herfra. Meget passende har FBI i dag været ude med riven omkring Russisk indblanding i det amerikanske demokrati. Den direkte vej fra denne rive til softwarefejl er decideret slående. Hvis samfundet ikke beskytter sig mod dårlig software, så kan i sidste ende gå ud over demokratiet.

Og guderne skal vide at der findes meget dårlig software derude. For en virksomhed foregår der en effektiv minmax strategi: Hvornår går den, så vi undgår at miste kunder eller profit. Hvis vi ikke sætter nogen krav, så bliver softwaren derefter: elendig. En anden grobund til fejl er software, der er skrevet af en nybegynder med det formål at lære. Denne software bliver så gjort til et færdigt produkt efterfølgende. Det kan have katastrofale konsekvender for den indre opbygning af systemet. Sikkerhed kan som regel ikke tilføjes senere i processen. Det kræver tankegang fra starten af.

Generelt er jeg rigtigt glad for Dan Geer's tilgang: forbrugeren skal have visse rettigheder og sælgeren af produktet må foretage nogen (temmeligt salomoniske) valg i forbindelse med produktet. Lige nu får de sådan set både i pose og sæk på samme tid, og vi er som forbrugere stillet meget dårligt.

Ultrakort: det kan ikke være rigtigt at en slutbruger skal kunne sætte et separat WiFi op til deres internet of things og lukke dem af fra resten af deres internet.

Poul-Henning Kamp Blogger

Som forbruger gælder der en 2 års reklamationsret, og derfor er softwareproducenterne og deres forhandlere forpligtede til at udbedre de fejl som opdages i disse 2 år.

  1. Det er en reklamationsret, hvilket i praksis kun betyder at leverandøren skal lytte, ikke at de skal gøre noget.

  2. Retten gælder kun hvad kunden "med rette kan forvente af produktet" og da licensbetingelserne udtrykkeligt siger at producenten ingenting lover, er det hvad kunden med rette kan forvente: Ingenting.

Poul-Henning Kamp Blogger

Produktansvar og garantiforpligtelser virker ikke, hvis ikke der en "... or else!" bagstopper der er til at tage og føle på.

Derfor kommer vi ikke udenom en eller anden form for "rigtigt" produktansvar, således at et produkt der er utæt som en si ikke blot "koster" en softwareupdate og 15 minutters arbejde i PR afdelingen.

Vi skal hen hvor der er tale om produkttilbagekald, refusion for hele salgsprisen + ulemper/skader forvoldt, således at den administrerende direktør har sved på panden hvergang et nyt produkt sendes på markedet.

Det vil få ham til at føle sig nødsaget til at tegne en forsikring for at afdække sit produktansvar, for dermed kommer forsikringsselskaberne automatisk ind på banen med kvalitetskontrol og uvildig certificering.

Der er ingen måde at være "lidt gravid" og der er bestemt ingen grund til at prøve på det.

Jonas Thomsen

Hvorfor mener I, at der skal gælde andre regler for software, end for hardware? Vi stiller jo heller ikke krav om, at hardware skal kunne repareres ud over garantien? Faktisk stiller vi slet ikke krav om, at det skal kunne repareres, men blot at det skal ombyttes til noget der virker.

Kristian Rastrup

Faktisk stiller vi slet ikke krav om, at det skal kunne repareres, men blot at det skal ombyttes til noget der virker.

Forhandler har ifølge købeloven lov til at vælge om han vil forsøge at reparere varen i stedet for at ombytte til en ny hvis varen er væsentligt dyrere end reparationen.

http://www.forbrug.dk/Artikler/Test-og-raad/Forbrugerleksikon/Reklamatio...

Poul-Henning Kamp Blogger

Faktisk stiller vi slet ikke krav om, at det skal kunne repareres

Der stilles ikke krav til at hardware skal kunne repareres, men der stilles krav til at tingene ikke må blive til fare for brugerne i tingens levetid.

En lampe kan blive tilbagekaldt lang tid efter de 2års reklamationsperiode, hvis den begynder at slå folk ihjel eller tænder ild i huse.

Biler har en på mange måder interessant og relevant ordning i den sammenhæng: Periodiske syn.

Jonas Thomsen

Biler har en på mange måder interessant og relevant ordning i den sammenhæng: Periodiske syn.


Men der er jo ikke krav til bilproducenter om, at de skal fortsætte med at kunne vedligeholde den. Selv hvis synet dumper den. I yderste konsekvens, må forbrugeren kassere bilen, hvis den dumper til syn og ikke kan repareres.

Det samme kunne man naturligvis indføre på IT, men det vil i sidste ende være forbrugeren, som skal kassere produktet, hvis det ikke kan vedligeholdes. At stille særlige krav til deponering af kildekode vil være betydeligt skrappere krav til software end til alle andre produkter.

Poul-Henning Kamp Blogger
Poul-Henning Kamp Blogger
Jonas Thomsen

Og det er præcis derfor man har indført de regelmæssige syn: For at kunne filtrere de biler fra der ikke mere er sikre at have i trafikken.


Bilproducenterne skal jo ikke garantere produktet ud over den lovede garanti. Så må det jo være op til køberne at lave være med at købe biler, som ikke holder ud over deres garanti og som derfor skal kasseres tidligt.

Jonas Thomsen

Et krav om deponering af kildekode, men uden produktansvar for direkte og følgeskader ville være utroligt lempeligt i forhold til mange andre produkter med tilsvarende skadevolderpotientiale.


Er IT-produkter (hardware der indeholder software) ikke dækket af loven om produktansvar? I så fald handler det vel om, at nogen skal føre en sag, hvor vi får afklaret skaden af et ikke-vedligeholdt produkt. Omvendt har jeg svært ved at forestille mig, at man kommer ret langt, givet den forventede levetid af sådanne produkter samt deres pris.

Kristian Rastrup

Så må det jo være op til køberne at lave være med at købe biler, som ikke holder ud over deres garanti og som derfor skal kasseres tidligt.

Visse dele på bilen som bremser og styring er et samfundsproblem hvis de svigter og ikke kun ejerens. Det samme kan siges om meget IT. Det er ikke i samfundets interesse at overlade den slags til markedskræfterne.

Log ind eller opret en konto for at skrive kommentarer