Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den CTO d. 6. oktober 2006.
Korrespondenten I hvert CTO får du uddrag af det bedste aktuelle indlæg fra Computerworlds blogunivers (www.cw.dk/blog). Denne gang kommer det fra Computerworlds London-korrespondent Dan Mygind. Følg med i debatten og deltag selv på Dans blog It-korrespondenten (www.cw.dk/blog/itkorr).
Det er en tanke, som ofte er oppe at vende i it-sikkerhedskredse: Hvis softwareproducenterne gøres økonomisk ansvarlige for eventuel mangelfuld sikkerhed i deres softwareprodukter, så vil sikkerheden i deres produkter blive meget bedre.
Med andre ord. Det er nødvendigt at svinge en økonomisk pisk i form af bøder og erstatningskrav over softwarebranchen. Hvis man blot forlader sig på softwarefirmaernes hensigtserklæringer om at styrke sikkerheden, så sker der ikke det store.
Senest var det på sikkerhedskonferencen "Hack In the Box", at sikkerhedsguruen Bruce Schneier gentog forslaget.
- Organisationen, der har muligheden for at mindske risikoen, bør også have ansvaret for risikoen, lød det fra Bruce Schneier.
Det er vel egentlig ikke urimeligt at forlange et vist produktansvar?
Hvis biler eksempelvis er fejlbehæftede, så har bilproducenterne et erstatningsansvar at leve op til.
Kunne man forestille sig, at Microsoft tilbagekaldte et softwareprodukt med sårbarheder, ligesom bilbranchen gør?
Men software er meget mere kompliceret og meget sværere at gøre 100 procent modstandsdygtigt ov-
er for flere og mere professionelle hackere, lyder modargumentet.
Men efterhånden som der kommer software i flere og flere ting, kan softwaredefekter få indflydelse på flere og flere områder af vores liv.
Derfor mener Bruce Schneier og andre, at softwarefirmaerne skal motiveres på den bedst mulige måde, ved at sårbarheder får direkte
konsekvenser for bundlinjen.
I disse dage er der kræfter, der forsøger at få gjort bilfabrikanterne ansvarlige for at skade miljøet. Californien lægger sag an mod bilfabrikanterne, fordi deres biler ødelægger miljøet.
Vil vi snart se de første virksomheder/kommuner/regeringer der lægger sag an mod en softwareleverandør, hvis usikker software har
medført økonomiske tab i form af tabte data, tabt arbejdsfortjeneste og tabte ordrer?
Vil det være noget, vi skal glæde os over?
Eller skal vi frygte en fremtid, hvor softwareleverandører mere eller mindre stopper al videreudvikling af frygt for søgsmål?
OriginalModTime: 04-10-2007 13:29:21
