logo-print

Θα πρέπει οι εταιρείες λογισμικού να είναι υπεύθυνες για παραβιάσεις σε συστήματα ασφάλειας;

Τα πρόσφατα περιστατικά hacking της Jeep καταδεικνύουν το βαθμό στον οποίο οι αυτοκινητοβιομηχανίες έχουν γίνει και εταιρείες λογισμικού, και ως εκ τούτου ευάλωτες σε ελαττώματα λογισμικού

Τεχνητή νοημοσύνη, μεταφορές & ευθύνη των μεταφορέων στο Ελληνικό Δίκαιο
Γενικός Κανονισμός για την Προστασία των Προσωπικών Δεδομένων και Ευθύνη για Αποζημίωση

Είναι κοινώς αποδεκτό ότι όλα τα λογισμικά έχουν σφάλματα και κενά ασφαλείας, ακόμα και αν οι άδειες χρήσης τους απαλλάσσουν, στις περισσότερες περιπτώσεις, τους προμηθευτές τους από την ευθύνη για τυχόν ζημιές που προκαλούνται από τέτοια ελαττώματα.

Ωστόσο, ο Jeff Moss (γνωστός και ως Dark Tangent), ιδρυτής των Black Hat και Def Con, των δύο πιο δημοφιλών συνεδρίων για την ασφάλεια πληροφοριακών συστημάτων και τους hackers, θεωρεί ότι η ύπαρξη ευθύνης για τα προϊόντα λογισμικού είναι αναπόφευκτη.

Αν ο Moss έχει δίκιο, αυτό μπορεί να προκαλέσει τεράστιες αλλαγές στη συγκεκριμένη βιομηχανία.

Σύμφωνα με τον Moss, όσο η χρήση λογισμικού εισέρχεται σε περισσότερους κλάδους, βιομηχανίες οι οποίες είχαν ούτως η άλλως ευθύνη για τα προϊόντα τους, όπως η Boeing ή η Tesla αποκτούν πλέον την ιδιότητα «κινούμενων κέντρων δεδομένων».

Τα πρόσφατα περιστατικά hacking της Jeep, μάλιστα, καταδεικνύουν το βαθμό στον οποίο οι αυτοκινητοβιομηχανίες έχουν γίνει και εταιρείες λογισμικού, και ως εκ τούτου ευάλωτες σε ελαττώματα λογισμικού.

Από την άλλη, οι παραδοσιακές εταιρείες λογισμικού δεν υπέχουν αυτή τη στιγμή καμία ευθύνη για το λογισμικό τους, γεγονός που δεν επιτρέπει την ύπαρξη ίσων όρων στην αγορά.

«Δε βλέπω πως μπορεί να εξελιχθεί η κατάσταση, χωρίς να υπάρξει ευθύνη για το λογισμικό.

Οι δυνάμεις της αγοράς είναι εκείνες που θα μας οδηγήσουν προς αυτήν την κατεύθυνση», τονίζει ο Moss.

Την άποψή του συμμερίζεται και η δικηγόρος Jeniffer Granick, η οποία σημειώνει ότι το Διαδίκτυο των πραγμάτων (Internet of thnigs) θα συμβάλλει σε μεγάλο βαθμό στην αλλαγή αυτή.

Δεν υπάρχει καμία αμφιβολία ότι η ύπαρξη ευθύνης για το λογισμικό θα αναγκάσει τη βιομηχανία του λογισμικού να πάρει το ζήτημα της ασφάλειας πολύ πιο σοβαρά.

Από την άλλη, όμως, θα επιφέρει ένα τεράστιο κόστος και θα επιβραδύνει το ρυθμό της καινοτομίας, με τα κυριότερα θύματα να είναι οι startups και όχι οι καθιερωμένες εταιρείες του χώρου, αναφέρει η Granick.

Παράλληλα, ο Chris Eng, αντιπρόεδρος έρευνας της Veracode, τάσσεται σθεναρά υπέρ της υποχρεωτικής αναφοράς παραβάσεων, δηλαδή της ύπαρξης κανονισμών που υπαγορεύουν ότι όταν μια εταιρεία που υπερβαίνει ένα ορισμένο μέγεθος πέφτει θύμα hacking, δε θα πρέπει απλά να αποκαλύπτει ότι χτυπήθηκε, αλλά θα πρέπει να παρέχει όλες τις διαθέσιμες τεχνικές λεπτομέρειες, ούτως ώστε άλλοι στόχοι να μπορούν να μάθουν από την επίθεση αυτή.

Κάτι τέτοιο δε συμβαίνει σήμερα, καθώς λίγες είναι οι εταιρείες που θα ήθελαν να ενημερώνουν εθελοντικά για το τι συνέβη σε μία από τις χειρότερες μέρες τους.

Από την άλλη, σχεδόν όλοι οι ειδικοί σε θέματα ασφάλειας συστημάτων συμφωνούν ότι η υποχρεωτική αναφορά παραβάσεων θα είναι εξαιρετικά επωφελής, ενώ ακόμα και η ιδέα ότι μία τέτοια υποχρέωση θα μπορούσε να επιβληθεί δια νόμου, θα επέφερε σημαντικές αλλαγές στο πως αντιλαμβάνεται η βιομηχανία παραγωγής λογισμικού τα ζητήματα ασφαλείας.

Μία οπτική υπενθύμιση για το πόσο ανησυχητική είναι η κατάσταση αναφορικά με την ασφάλεια ακόμα και των μεγαλύτερων οργανισμών:

Πηγή: techcrunch.com

Τα υποκειμενικά και αντικειμενικά όρια της συμφωνίας περί διαιτησίας

ΔΙΑΙΤΗΣΙΑ

Φορολογικός Πολυκώδικας - Σεπτέμβριος 2022

ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΦΟΡΟΛΟΓΙΚΟ ΔΙΚΑΙΟ

ΣΥΓΧΡΟΝΗ ΝΟΜΟΘΕΣΙΑ

ΝΙΚΟΛΑΟΣ ΜΠΑΡΜΠΑΣ

ΣΤΥΛΙΑΝΟΣ ΜΑΥΡΙΔΗΣ

 

send