Debatt: Hvem har ansvaret?

De fleste kjenner nok til sikkerhetsoppdateringene og patchene som til stadighet dukker opp - gjerne like etter at skaden er skjedd. For de som jobber på IT-avdelingen er dette dagligdags og blir etterhvert ren rutine.

Hvis vi likevel stopper opp her og tenker oss litt om: Hvem er det egentlig sitt ansvar å ivareta sikkerheten i programmene vi til daglig er så avhengige av?

Vi trekker fram et aktuelt eksempel som kan være med på å få fram poenget.

Om produsenter og brannslukking
Cisco har nå i dag gått ut med en sikkerhetsoppdatering til sin Security Agent (SA). Det viste seg at visse versjoner av denne var sårbar for DOS-angrep. Spesifikt nevnt er SA versjon 4.5, som kjører på Windows (ikke Windows XP).

Selve sårbarheten stammer fra en feil i måten programmet håndterer pakker på. Dette førte til at man ved hjelp av en spesiell IP-pakke kun kræsje slike sårbare systemer. Oppdateringen kan forøvrig lastes ned fra Ciscos hjemmesider.

I mange tilfeller har dette ført til reelle problemer for de bedriftene som har blitt utsatt for dette. Det kan være nedetid på enkeltmaskiner, ekstra arbeid for IT-avdelingen og i alle tilfeller kostnader forbundet med dette.

Så tilbake til spørsmålet: Hvem har ansvaret for dette sikkerhetshullet?

Man kunne vel tenke seg at det skulle være programvareutviklerne som hadde ansvaret for en slik grunnleggende svikt? Ok, det er mange faktorer å holde styr på, og vi kan vel alle være enige om at det er vanskelig å lage 100% trygg programvare så lenge vi skal "ha i strømkabelen".

Likevel kan man forvente at de som selger programvare har ansvaret for dette, tar på seg skylden for konsekvensene av slike sikkerhetshull og er med å betale regningen. I det nevnte eksemplet får nok ikke Cisco merke særlig mye til konsekvensene, og kan klare seg med å drive litt "brannslukking" i etterkant.

IT-bransjen og bilproduksjon
Her vil vi komme inn på en sammenligning som ofte brukes i denne sammenheng: IT-bransjen og bilproduksjon.

Mange av oss er vel kjent med avisoppslag om bilmodeller som trekkes tilbake på grunn av feil eller mangler. For dersom en bil hadde hatt et "sikkherhetshull" som førte til ulykker - da sitter bilprodusenten med et klart ansvar for det inntrufne og de konsekvenser dette måtte ha. Det hjelper lite å rette på ting etter at ulykken har skjedd, og dette har de måttet ta konsekvensene av.

Så tilbake til vår egen verden. Når opplevde du sist at produsent X betalte deg eller bedriften penger for den helgen du måtte bruke på å rette opp i feil som en konsekvens av sikkherhetshull i produsentens programvare? Eller sendte deg en mail der det sto noe som sånt som at "vi beklager det inntrufne, og vi lover at dette ikke skal gjenta seg"?

Vi tipper at svaret er at du sjelden eller aldri har opplevd dette.

Tenker man pragmatisk, så ser vi at det er sluttbrukerne som ender opp med ansvaret og regningen for dette, og dermed også deg som jobber på IT-avdelingen. Det er vel nesten gått så langt at du ikke engang tenker at "hei, er dette egentlig mitt ansvar?". Du er presset på tid, og gjør det du pleier å gjøre i en slik situasjon: Forsøker å fikse feilen så snart som mulig, slik at du kanskje kan gå hjem før klokken syv den dagen.

Hva mener du?
Er dette holdbart? Vi bruker årlig enorme ressurser på programvare, lisenser og oppdateringer. Skal vi i tillegg måtte ende opp med å stå ansvarlige for de konsekvensene sikkerhetshull og feil fører til?

Og hvorfor er dette "greit" i IT-bransjen når det ikke tolereres i mange andre bransjer?

Vi vil gjerne høre din mening om dette, og oppfordrer deg til å delta i debatten på HWB.nos forum.

Norges beste mobilabonnement

Juni 2017

Kåret av Tek-redaksjonen

Jeg bruker lite data:

Ice Mobil 1 GB


Jeg bruker middels mye data:

Telio Go 5 GB


Jeg bruker mye data:

Komplett Maxiflex 12 GB


Jeg er superbruker:

Komplett Megaflex 30 GB


Finn billigste abonnement i vår mobilkalkulator

Forsiden akkurat nå

Til toppen