Dette indlæg er alene udtryk for skribentens egen holdning.
Blogindlæg

Produktansvar for software

20. marts 2017 kl. 09:2124
Ole Tange
Ole Tange
it-politisk rådigver, Prosa
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
Ole Tange
Ole Tange
it-politisk rådigver, Prosa

I PROSA synes vi, at det er godt, at vores digitale sikkerhedstjenester finder fejl og sårbarheder i produkter. Vi mener, at disse naturligvis skal overdrages til producenten, så han får en mulighed for at rette fejlene, og dermed gøre alle brugerne mere sikre ved næste sikkerhedsopgradering af softwaren i produktet.

Desværre bekræfter Vault 7, hvad mange af os har sagt tidligere: Sikkerhedstjenesterne holder sårbarhederne ind til kroppen med det formål selv at bruge dem. Dermed har man misforstået styrkeforholdet. Lige netop kendskab til sårbarheder i software kan virke både som angrebsvåben og forsvarsvåben - dermed adskiller de sig væsentlig fra f.eks. viden om, hvordan man laver atomvåben.

Lad os tage Nordkorea som eksempel på en modstander. Ligesom sikkerhedstjenesterne kan Nordkorea finde sikkerhedsfejl i udstyr. Lad os sige, at de ikke er så dygtige som tjenesterne i den fri verden så de finder kun 10% af sårbarhederne, som vores sikkerhedstjenester har fundet. Lad os også sige, at Nordkorea har 100.000 enheder, hvoraf 10% er sårbare over for vores sikkerhedtjenesters angreb. Dermed vil vores sikkerhedstjenester kunne angribe 10.000 enheder i Nordkorea. Lad os sige, at vi i den frie verden har 100.000.000 enheder, hvoraf 10% er sårbare, men hvor Nordkorea kun har fundet 10% af sårbarhederne (eller 5.7%). Dermed vil Nordkorea kunne angribe 1.000.000 enheder.

Hvis vi ser på udbredte enheder, så vil det være en fordel for den fri verden (hvor vi er meget afhængige af IT) at få sårbarhederne rettet af producenten, mens det for Nordkorea (og andre lande uden større afhængighed af IT) er en fordel, hvis sikkerhedstjenesterne holder disse hemmelige.

Producenternes medansvar

Nu hjælper det naturligvis ikke, hvis ikke producenterne tager deres ansvar alvorligt og retter de fejl, som de bliver gjort opmærksomme på. Det er utænkeligt, at producenter kan levere fejlfrit udstyr, og det mener jeg ikke er rimeligt at kræve. Men jeg finder det rimeligt, at producenten i hele produktets levetid giver mig som kunde mulighed for at få sikkerhedsrettet softwaren i udstyret.

Artiklen fortsætter efter annoncen

Det kan f.eks. ske ved at producenten tager sikkerhedsrapporter seriøst og leverer sikkerhedsrettelser ud over garantiperioden. Men selv når producenten bliver træt af det, bør han give forbrugeren mulighed for selv at rette sikkerhedsfejl. Det kan f.eks. ske ved, at han giver kildekoden til softwaren til forbrugeren.

Hvis vi er nervøse for, om producenten lukker, så bør man kunne kræve, at han lægger kildekoden i forvaring, så den bliver publiceret i tilfælde af producentens lukning. Benytter producenten underleverandørers software, skal han naturligvis kræve det samme af dem.

Digital teknologi er en så central del af samfundet idag at jeg tror, vi er nødt til at kikke på en eller anden form for producentansvar.

24 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle
Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
23
Jonas Thomsen
22. marts 2017 kl. 10:16

Et krav om deponering af kildekode, men uden produktansvar for direkte og følgeskader ville være utroligt lempeligt i forhold til mange andre produkter med tilsvarende skadevolderpotientiale.

Er IT-produkter (hardware der indeholder software) ikke dækket af loven om produktansvar? I så fald handler det vel om, at nogen skal føre en sag, hvor vi får afklaret skaden af et ikke-vedligeholdt produkt. Omvendt har jeg svært ved at forestille mig, at man kommer ret langt, givet den forventede levetid af sådanne produkter samt deres pris.

  • more_vert
    • insert_linkKopier link
21
Poul-Henning Kamp
21. marts 2017 kl. 22:41

Det samme kunne man naturligvis indføre på IT, men det vil i sidste ende være forbrugeren, som skal kassere produktet, hvis det ikke kan vedligeholdes. At stille særlige krav til deponering af kildekode vil være betydeligt skrappere krav til software end til alle andre produkter.

Et krav om deponering af kildekode, men uden produktansvar for direkte og følgeskader ville være utroligt lempeligt i forhold til mange andre produkter med tilsvarende skadevolderpotientiale.

  • more_vert
    • insert_linkKopier link
19
Jonas Thomsen
21. marts 2017 kl. 13:49

Biler har en på mange måder interessant og relevant ordning i den sammenhæng: Periodiske syn.

Men der er jo ikke krav til bilproducenter om, at de skal fortsætte med at kunne vedligeholde den. Selv hvis synet dumper den. I yderste konsekvens, må forbrugeren kassere bilen, hvis den dumper til syn og ikke kan repareres.

Det samme kunne man naturligvis indføre på IT, men det vil i sidste ende være forbrugeren, som skal kassere produktet, hvis det ikke kan vedligeholdes. At stille særlige krav til deponering af kildekode vil være betydeligt skrappere krav til software end til alle andre produkter.

  • more_vert
    • insert_linkKopier link
18
Poul-Henning Kamp
21. marts 2017 kl. 13:30

Faktisk stiller vi slet ikke krav om, at det skal kunne repareres

Der stilles ikke krav til at hardware skal kunne repareres, men der stilles krav til at tingene ikke må blive til fare for brugerne i tingens levetid.

En lampe kan blive tilbagekaldt lang tid efter de 2års reklamationsperiode, hvis den begynder at slå folk ihjel eller tænder ild i huse.

Biler har en på mange måder interessant og relevant ordning i den sammenhæng: Periodiske syn.

  • more_vert
    • insert_linkKopier link
16
Jonas Thomsen
21. marts 2017 kl. 12:47

Præcis min pointe - der er ikke krav om, at den skal kunne repareres.

  • more_vert
    • insert_linkKopier link
14
Jonas Thomsen
21. marts 2017 kl. 12:30

Hvorfor mener I, at der skal gælde andre regler for software, end for hardware? Vi stiller jo heller ikke krav om, at hardware skal kunne repareres ud over garantien? Faktisk stiller vi slet ikke krav om, at det skal kunne repareres, men blot at det skal ombyttes til noget der virker.

  • more_vert
    • insert_linkKopier link
13
Poul-Henning Kamp
21. marts 2017 kl. 12:06

Produktansvar og garantiforpligtelser virker ikke, hvis ikke der en "... or else!" bagstopper der er til at tage og føle på.

Derfor kommer vi ikke udenom en eller anden form for "rigtigt" produktansvar, således at et produkt der er utæt som en si ikke blot "koster" en softwareupdate og 15 minutters arbejde i PR afdelingen.

Vi skal hen hvor der er tale om produkttilbagekald, refusion for hele salgsprisen + ulemper/skader forvoldt, således at den administrerende direktør har sved på panden hvergang et nyt produkt sendes på markedet.

Det vil få ham til at føle sig nødsaget til at tegne en forsikring for at afdække sit produktansvar, for dermed kommer forsikringsselskaberne automatisk ind på banen med kvalitetskontrol og uvildig certificering.

Der er ingen måde at være "lidt gravid" og der er bestemt ingen grund til at prøve på det.

  • more_vert
    • insert_linkKopier link
12
Maciej Szeliga
21. marts 2017 kl. 08:58

Er den i det hele taget brugbar når man køber retten til at bruge softwaren ?

  • more_vert
    • insert_linkKopier link
10
Poul-Henning Kamp
20. marts 2017 kl. 21:11

Som forbruger gælder der en 2 års reklamationsret, og derfor er softwareproducenterne og deres forhandlere forpligtede til at udbedre de fejl som opdages i disse 2 år.

  1. Det er en reklamationsret, hvilket i praksis kun betyder at leverandøren skal lytte, ikke at de skal gøre noget.

  2. Retten gælder kun hvad kunden "med rette kan forvente af produktet" og da licensbetingelserne udtrykkeligt siger at producenten ingenting lover, er det hvad kunden med rette kan forvente: Ingenting.

  • more_vert
    • insert_linkKopier link
9
Jesper Louis Andersen
20. marts 2017 kl. 20:19

Jeg kan kun være fuldstændigt enig med Ole (+ PHK, Schneier og Geer)her.

Vi bliver nødt til at behandle vores software som ethvert andet produkt vi køber. Der er en oplagt virkemåde og hvis produktet har sikkerhedsfejl, må det skønnes at dette ikke er tiltænkt adfærd at den solgte vare. De skal naturligvis rettes.

Sammenlignet med f.eks. bilindustrien, så er der visse dele af en bil det ikke kan forventes at køber er i stand til at rette eller forstå. Derfor beskytter man køberen. Software er overhovedet ikke forskelligt herfra. Meget passende har FBI i dag været ude med riven omkring Russisk indblanding i det amerikanske demokrati. Den direkte vej fra denne rive til softwarefejl er decideret slående. Hvis samfundet ikke beskytter sig mod dårlig software, så kan i sidste ende gå ud over demokratiet.

Og guderne skal vide at der findes meget dårlig software derude. For en virksomhed foregår der en effektiv minmax strategi: Hvornår går den, så vi undgår at miste kunder eller profit. Hvis vi ikke sætter nogen krav, så bliver softwaren derefter: elendig. En anden grobund til fejl er software, der er skrevet af en nybegynder med det formål at lære. Denne software bliver så gjort til et færdigt produkt efterfølgende. Det kan have katastrofale konsekvender for den indre opbygning af systemet. Sikkerhed kan som regel ikke tilføjes senere i processen. Det kræver tankegang fra starten af.

Generelt er jeg rigtigt glad for Dan Geer's tilgang: forbrugeren skal have visse rettigheder og sælgeren af produktet må foretage nogen (temmeligt salomoniske) valg i forbindelse med produktet. Lige nu får de sådan set både i pose og sæk på samme tid, og vi er som forbrugere stillet meget dårligt.

Ultrakort: det kan ikke være rigtigt at en slutbruger skal kunne sætte et separat WiFi op til deres internet of things og lukke dem af fra resten af deres internet.

  • more_vert
    • insert_linkKopier link
8
Keld Simonsen
20. marts 2017 kl. 16:49

Software er ikke undtaget fra købeloven, eller andre love, og derfor gælder produktansvar efter almindelig dansk ret også for software.

Jeg tror det Ole mest går efter er retten til at få udbedret fejl og mangler, ikke direkte skadeserstatninger foranledigte at ansvarspådragende fejl.

Som forbruger gælder der en 2 års reklamationsret, og derfor er softwareproducenterne og deres forhandlere forpligtede til at udbedre de fejl som opdages i disse 2 år. Og det må formodes at sw-fejl er iboende ved købet, så der bør ikke være meget tvivil om denne forpligtelse. Praksis er nok lidt anderledes...

  • more_vert
    • insert_linkKopier link
7
Torben Mogensen
20. marts 2017 kl. 16:18

For at sikre offentliggørelse efter f.eks. 5 år, kunne man kræve, at kildekoden til al software, der bliver solgt enten som sig selv eller som del af produkter, sendes til en offentlig myndighed, som så efter fem år kan gøre den tilgængelig. Hvis nyere versioner udgives, skal de også deponeres.

Bemærk, at offentliggørelse ikke medfører tab af rettigheder: Det vil stadig ikke være tilladt at kopiere denne software over i egne produkter, med mindre der eksplicit er givet tilladelse til dette. Men rettighedsloven bør tillempes, så det ligger inden under "fair use" at modificere den publicerede kode til egen brug og at publicere patches, som andre kan bruge til samme formål.

  • more_vert
    • insert_linkKopier link
6
Claus Bobjerg Juul
20. marts 2017 kl. 13:17

Tanken om at software der ikke længere vedligeholdes skal frigives som open source er jeg enig i.

Jeg mener at "problemet" bør løses ved at rettighederne til produkter med lav livscyklus, herunder software, sættes ned til måske 5 år. og der stilles krav om at ethvert stykke softwares kildekode ikke kan gå tabt.

  • more_vert
    • insert_linkKopier link
3
Jan Juul Mortensen
20. marts 2017 kl. 11:08

Det kan godt være, at du, PHK eller jeg kunne bruge kildekoden til noget, men det kan den almindelige forbruger ikke.

PHK stoler også kun på egen kode til opbevaring af login oplysninger, hvorfor den almindelige forbruger må antages ikke, at kunne stole på 3. part der måtte offentliggøre nyt på baggrund af den offentliggjorte kildekode.

  • more_vert
    • insert_linkKopier link
1
Mike Mikjær
20. marts 2017 kl. 10:31

Ja det der er jo logik for os Opensource folk ... desværre er det ret svært at forklare "almindelige" mennesker!

Jeg syntes dog du gør et rigtigt godt forsøg herpå ! :-)

  • more_vert
    • insert_linkKopier link