SOLLEN SOFTWAREUNTERNEHMEN FÜR SICHERHEITSVERLETZUNGEN RECHTLICH HAFTBAR GEMACHT WERDEN? - TECHCRUNCH - SOZIALEN MEDIEN - 2018

Anonim

Es ist eine Binsenwahrheit, dass alle Software Bugs und Sicherheitslücken aufweist. Es ist ein anderer, dass Lizenzvereinbarungen Software-Hersteller ausnahmslos immun machen für die Haftung für Schäden oder Verluste, die durch solche Fehler verursacht werden. Aber zu meiner Überraschung argumentieren Black Hats Gründer und Hauptredner, dass die Softwareprodukthaftung, die vermutlich von Regierungen vorgeschrieben wird, unvermeidlich ist. Wenn sie recht haben, ist eine seismische Veränderung am Horizont.

"Ich sehe keinen Weg vorwärts ohne Software-Haftung", sagte Jeff Moss alias Dark Tangent. Während Software die Welt ernährt, werden Branchen, die bereits der Haftung unterliegen, zu Softwareunternehmen: Moss nennt Airbus, Boeing und Tesla Hersteller von "beweglichen Rechenzentren". Der kürzlich erschienene Jeep-Hack macht deutlich, in welchem ​​Ausmaß Fahrzeughersteller zu Softwareunternehmen geworden sind und anfällig für Softwarefehler sind.

Aber traditionelle Softwarefirmen sind immun gegen Haftung. Es ist nicht, so argumentiert Moss, ein level playing field. "Marktkräfte werden uns zur Softwarehaftung treiben", behauptet er. Keynote Speaker (und Anwältin) Jennifer Granick ist ebenfalls der Meinung, dass das Internet der Dinge dazu führen wird, dass Branchen, die sich der Haftung verschrieben haben, zu Softwareunternehmen werden, was zu einer Software-Haftung führen wird.

Aber sie fügt hinzu: "Ich denke, wir werden für eine lange Zeit einen wirklich beschissenen Job mit Softwarehaftpflicht machen, und die Leute, die darunter leiden werden, werden die Start-ups und Disruptoren sein, nicht die etablierten Firmen."

Es besteht kein Zweifel, dass die Haftung die Software-Industrie dazu bringen würde, Sicherheit viel ernster zu nehmen. Dies würde auch immense Kosten verursachen und das Innovationstempo drastisch verlangsamen. Selbst frühere Befürworter der Software-Haftung, wie Bruce Schneier, sagen so viel:

Heute gibt es keine wirklichen Konsequenzen für schlechte Sicherheit oder schlechte Software jeglicher Art. Schlimmer noch, der Markt belohnt oft schlechte Qualität. Genauer gesagt belohnt es zusätzliche Funktionen und zeitnahe Veröffentlichungstermine, auch wenn diese auf Kosten der Qualität gehen.

Dieses Stück wurde 2003 geschrieben. Ich denke, es ist fair zu sagen, dass die Branche endlich beginnt, die Bedeutung von Sicherheit zu erkennen, und dass es bessere, schnellere und weniger schwere Wege gibt, sie zu verbessern, ohne Innovation zu ersticken Wachstum und propagierende jahrzehntelange unbeabsichtigte Konsequenzen. Selbst andere Formen staatlicher Regulierung wären weit überlegen.

Zum Beispiel habe ich mit Chris Eng, Vice President of Research bei Veracode, gesprochen, der sich stark für die obligatorische Meldung von Verstößen ausspricht, dh Vorschriften, die vorschreiben, dass ein Unternehmen, das eine bestimmte Größe überschreitet, diese nicht bloß offenlegen muss wurden gehackt, aber sie müssen alle verfügbaren technischen Details bereitstellen, damit andere Ziele von jedem neuen Angriff lernen können.

Das passiert heute nicht wirklich. Nur wenige Unternehmen wollen detailgenaue technische Berichte über einen der schlimmsten Tage aller Zeiten veröffentlichen. Aber fast jeder Sicherheitsexperte stimmt zu, dass die obligatorischen Berichtspflichten von enormem Nutzen sein würden, und die Einführung einer behördlichen Anforderung würde verhindern, dass CISOs die unangenehme Vorstellung an die CEOs verkaufen müssen, während sie die Brandstiftung der Brandopfer riskieren. (Besser noch, eine bloße Drohung mit einer regulatorischen Anforderung könnte einen Branchenkonsens auslösen, um dies ohne die Notwendigkeit eines Gesetzes zu ermöglichen; das Beste aus beiden Welten.)

Hier ist wieder eine visuelle Erinnerung daran, wie schlimm es wird:

Die größte # Sicherheitsverletzung im letzten Jahr in einem Diagramm. #hacking pic.twitter.com/CK1Ir0hDi1

- Peter JM Simons (@peterjmsimons) 25. Juli 2015

In der Zwischenzeit können Ihre Autos und sogar Waffen zunehmend gehackt werden. Die Einsätze werden jedes Jahr höher, aber Software-Sicherheit bleibt für viel zu viele Unternehmen ein nachträglicher Einfall. Etwas, jeder stimmt zu, muss getan werden.