onsdag, oktober 21, 2009

Producentansvar i IT-branschen

Bruce Schneier säger med jämna mellanrum att man borde införa ett producentansvar i IT-branschen för att komma till rätta med säkerhetsmardrömmenproblemen vi ser på Internet idag. Ta den här läsvärda essän, till exempel:
It's the system that's broken. There's no other industry where shoddy products are sold to a public that expects regular problems, and where consumers are the ones who have to learn how to fix them. If an automobile manufacturer has a problem with a car and issues a recall notice, it's a rare occurrence and a big deal – and you can take you car in and get it fixed for free. Computers are the only mass-market consumer item that pushes this burden onto the consumer, requiring him to have a high level of technical sophistication just to survive.
Med de tankarna i bakhuvudet var det extra intressant att i går lyssna på företrädare för Region Skåne som öppenhjärtigt berättade om vad som hände i början av året när en ditintills okänd version av Conficker härjade vilt i regionens sjukvårdssystem. (Det händer för övrigt alldeles för sällan att stora organisationer berättar om vilka misstag de gjort - kudos till dem.)

Det är en sak att masken spred sig pandemiskt i de vanliga administrativa systemen, men det är i sammanhanget särskilt intressant att den också tog sig in i vårdapparaturen, det som i branschen kallas MTP (medicintekniska produkter), som till exempel utrustning för fjärranalys av EKG-upptagningar i ambulanser.

För MTP råder det nämligen producentansvar.

Så vad händer när Region Skåne Lex Maria-anmäler en av de stora multinationella tillverkarna av medicinsk utrustning för att de i en av sina enheter hade ett inbyggt windows-system där administratörskontot hade användarnamn "admin" och lösenord "admin", vilket Conficker knäckte på sisådär noll sekunder?

Jo, tillverkarens första drag var att låta en jurist i Bryssel hävda att incidenten i fråga överhuvudtaget aldrig ägt rum. Man kan säga att parterna i det läget står ganska långt från varandra.

Producentansvar är en attraktiv tanke, men jag tror också att det skulle leda till aldrig tidigare skådade mängder av juridisk bullshit...

Inga kommentarer:

 
MediaCreeper Creeper