Debatt: Hvem har ansvaret?

[ymerguer]

Sikkerhet er viktig i en bransje som håndterer store mengder sensitivt materiale. Gang på gang får vi likevel bekreftet at det vi trodde var et sikkert program, likevel ikke er det. Vi spør: Hvem har egentlig ansvaret for sikkerheten?

Les mer

[Micromus]

Interessant tema, som det er skrevet mye om ( blandt annet av Schneier, Ptacek, Ranum, Bejtlich og mange mange flere ).

 

 

Det virker som om debatten her er myntet på ansvarsforholdet mellom programvareleverandør og kunde, det bør være sagt at under overskriften "Hvem har ansvaret?" kan det være mange flere settinger og tilfeller som ikke innebærer programvare-brist, men likevell åpner for diskusjon.

 

 

Bil sammenligningen er litt søkt:

 

Uhell med biler, alt for ofte - dessverre - ender med personskader og tap av liv, og ikke kun økonomiske tap som er tilfellet ved de aller fleste typer sikkerhetsbrudd.

 

Programvare har vanligvis en lisensavtale som fraskriver selskapet som laget dett for alt ansvar.

 

Det er viktig å skille brukerfeil fra produktfeil. Hvem sin skyld er det hvis bilen kjører i grøfta i 200? Bilprodusent, dekkprodusent, veivesenet eller føreren?

 

Bilprodusenter har også en vesentlig lettere oppgave, de skal sørge for at den dummeste fører ikke klarer å ødelegge bilen ved normal bruk.

En sammenligning til datasikkerhet vil være hvis bilprodusenten skulle forhindre de smarteste hodene i verden i å få bilen av veien uansett bruk av hjelpemiddel.

 

Nå renner det litt utover her, en bedre sammenligning vil være produsenter av låser. Bruk google, prøv å finn ut hvor mange låser som ikke er dirk-bare ( altså feilfrie ), og finn deretter antallet sykler, juveler etc. erstattet av selskaper som ABUS, Trioving, etc. Antall TV'er erstattet av H-vinduet, og listen fortsetter.

Endret 17. juli 2005 av Micromus

[knatten]

En liten interessant ting i denne sammenheng er et argument som mange motstandere av åpen kildekode ofte bruker:

"Kjøper man programvare av et stort programvare-selskap vet man at man har noen å klage til."

Men som Stefan nevner i artikkelen, hvor mange er det egentlig som noen gang har fått erstatning for økonomiske tap i forbindelse med feil i datasystemer? Jeg har enda til gode å møte noen. Hva hjelper det da å klage? Det som teller er hvor stabil og sikker programvaren er, og hvor raskt man kan få oppdateringer når noe går galt.

[roac]

Man får ikke erstatning for øknomiske tap som følge av feil i programvare, rett og slett fordi det er spesifisert i avtalen at dette ikke ytes, og derved har kunde godtatt at han ikke får noen erstatning dersom alt skulle finne på å gå galt.

 

Det er skremmende ofte brukerfeil (også på administrativt nivå) som forårsaker nedetid. Dette kan uansett ikke produsent av programvare ta høyde for. Produsent av programvare kan heller ikke ta ansvaret for tredjepartskomponenter som er brukt, og produsent av tredjepartskomponenter kan selvfølgelig ikke ta ansvar for svakheter i operativsystemet. Derved blir en diskusjon om ansvarsforholdet etter min oppfatning helt på jordet.

 

Når det er sagt er det ofte en person som har ansvaret for sikkherheten i nettverket, og denne har ikke ansvaret for feil i programvaren, men å finne en programvare som går stabilt og som har en mengde feil som er liten nok (og lite kritiske nok) til å aksepters, men som sagt, vekdommende kan ikke stå til ansvar for feil i programvaren, men evt galt programvalg.

[ymerguer]

Man får ikke erstatning for øknomiske tap som følge av feil i programvare, rett og slett fordi det er spesifisert i avtalen at dette ikke ytes, og derved har kunde godtatt at han ikke får noen erstatning dersom alt skulle finne på å gå galt.

 

Derved blir en diskusjon om ansvarsforholdet etter min oppfatning helt på jordet.

 

Når det er sagt er det ofte en person som har ansvaret for sikkherheten i nettverket, og denne har ikke ansvaret for feil i programvaren, men å finne en programvare som går stabilt og som har en mengde feil som er liten nok (og lite kritiske nok) til å aksepters, men som sagt, vekdommende kan ikke stå til ansvar for feil i programvaren, men evt galt programvalg.

Vi tar herved din mening til etteretning, men fastholder at det ikke er på jordet med en slik diskusjon (selv om eksemplet kunne vært bedre).

 

Du sier det er spesifisert i avtalen at det ikke er produsentens ansvar - greit nok det. Det er en "standardkontrakt" mellom produsent og sluttbruker som det er vanskelig å forhandle om, og som man må gå for eller la være.

 

Det vi vil frem til her er at når man skal ut og kjøpe programvare, som er en eller annen i bedriften sitt ansvar, så må man forholde seg til veldig mye "glossy" informasjon om hvor fantastisk en eller annen programvarepakke er. Den ene produsenten skryter mer av sitt produkt enn det neste.

Det er jo flere som helt konkret reklamerer med hvor mye bedre sikkerhet eller hvor mye mindre nedetid man får, osv.

Ok, dette er markedsføring, og man vet at man må ta dette med en klype salt. Og ja, hele problematikken har helt sikkert mye med tredjepartsprogramvare å gjøre.

Samtidig kan ikke produsenter fraskrive seg sitt ansvar. Det blir for enkelt, og er egentlig litt betenkelig at man går med på dette i en del tilfeller (som der det i store ord loves ditt og datt).

Det er ikke snakk om en enten-eller-situasjon, der det enten bare er produsenten som har skylda eller bare sluttbruker. Det er selvfølgelig mer komplisert enn som så, men vi ville bare ha en debatt rundt dette for å få frem om det som oftest er sluttbruker som må ta støyten (noe vi hadde en mistanke om - men som kan vise seg å være feil).

[kamus]

Diskusjonen om hvem som skal ta ansvaret blir vanskelig uansett, og hvorfor det?

Kjøper man en bil og holder den orginalt fra forhandler så gjelder garantien, så langt er vi alle enige, men garantien gjelder vanligvis ikke mer enn 3-5 år.

 

Hva når man modifiserer denne bilen, er det da Forhandlerern eller tredjepartsleverandøren som skal betale gildet?

 

Hva hvis du ikke følger servicer/vedlikehold på bilen, hvem skal betale morroa da når det går en viss plass?

 

Jeg tror at bedrifter i Norge i dag ikke er flinke nok til å se inn i fremtiden hva slags programvare har de behov for. Har sett altfor mange bedrifter som bruker masse penger på forskjellige programvareløsninger, men de har ikke penger til vedlikeholdet, og da er man like langt.

De fleste leverandørene i dag er jo blitt betydlig bedre til å komme med patcher for sine systemer, men veldig ofte er dette ikke installert når uhellet skjer, og det er jo ting som går direkte på vedlikeholdet.

 

Hvordan skal man da straffe leverandøren, når brukeren ikke har gjort det som han har blitt bedt om å gjøre?

[roac]

Meget godt poeng, da det er svært liten andel av angrep mot nettverk som benytter seg av zero day exploits. Kjente sikkerhetsproblem er det som regel patcher for, og om ikke disse er installert så er det kundens ansvar. Hvis ikke infrastrukturen rundt er sikret, slik at en annen tjeneste på en annen maskin blir utnyttet for så å ta ned et annet produkt, da er det også kundens ansvar, i mine øyne.

[sumptrollet]

Meget godt poeng, da det er svært liten andel av angrep mot nettverk som benytter seg av zero day exploits. Kjente sikkerhetsproblem er det som regel patcher for, og om ikke disse er installert så er det kundens ansvar.

Ting er ikke alltids så enkelt. Hva gjør du når du sitter med en gammel utgave av Solaris på en maskin som styrer en telefonsentral og leverandøren støtter ikke senere utgaver av OS-et?

[roac]

Hva gjør du når du sitter med en gammel utgave av Solaris på en maskin som styrer en telefonsentral og leverandøren støtter ikke senere utgaver av OS-et?

Dette blir en risikovurdering, noe man stadig må gjøre i forbindelse med installasjon/drift av nettverk. Dersom man ikke finner det forsvarlig å ha den på samme nett som resten av serverene (jeg kjenner ikke infrastrukturen i det aktuelle tilfellet), så kan man skille denne ut på et eget nett, og ha begrensninger på trafikk til/fra serveren. I enkelte tilfeller kan dessverre slike tiltak være nødvendig, selv om jeg ikke synes at det er en optimal løsning.

[Gjest medlem-82119]

Jeg vil si at ansvaret er tredelt:

 

1 -Først og fremst må utviklerne av programmet sørge for en grunnleggende sikkerhet, slik at det ikke blir FOR enkelt å bli rammet.

Dette går veldig ofte på bekostning av brukervennligheten.

Slik for eksempel internet explorer er laget så kan man få virus kun ved å være på en side, uten å laste noe ned.

De ulike utviklerne må også samarbeide, slik at f.eks definisjonsfiler i ulike antivirusprogrammer samkjøres slik at man får like god beskyttelse uansett hvilket program man velger.

 

2 -De som lager virus/sikkerhetstrusler eller sprer det med vilje må straffes mye hardere, slik at det blir for hard straff til at det er verdt det.

Sett opp mot skaden det forårsaker, så kunne man f.eks gitt en minimumsbot på 250000,- og i tillegg til at de burde fått regningen på både produksjonstap og alle påløpte utgifter som et virusangrep de har startet har påført bedriften av utgifter.

Hvis et stort virus forårsaker utgifter på f.eks ti milliarder, ja så sender man en regning på ti milliarder som det løper standard rente på under nedbetalingen.

 

3 -Brukerne må bli bevisste på sine handlinger, og være aktive i å bruke riktig sikkerhetsløsninger og programvare.

Dette gjelder gjevnlige oppdateringer, bruken av antivirus/brannmurer/zero day osv, oppgraderinger av hardware osv slik at man er up to date.

Man må også sørge for at virusangrep begrenses mest mulig ved at riktige tiltak gjøres når man har fått virus.

Man bør også teste sårbarheten innimellom, slik at man vet hvor skoen trykker.

 

Til slutt:

Å holde utviklerne ansvarlige for enhver bruk i etthvert oppsett på enhver maskin under enhver forutsetning er håpløst.

Det man KAN gjøre, er bedre å rangere produktene slik at man har større mulighet til å velge best mulig produkt til eget bruk.

Jeg vil også tro at det kan ligge et grunnlag for erstatning hvis en feil/sikkerhetshull i programmet i seg selv var årsaken til at man fikk virus, men da bør også den som med vilje sendte viruset få den største regningen.