Gelecek haftaki RSA Konferansında konuşma yapacak bir politika uzmanı, yazılım satıcılarını güvensiz ürünler sunmaktan sorumlu tutacak yasal hazırlıkların devam ettiğini, ancak fiili yasaların ve cezaların en az on yıl uzakta olduğunu söylüyor.
Güvenli olmayan yazılım satıcılarına yönelik daha fazla sorumluluk Biden Beyaz Saray’ın desteğine sahip. Bununla birlikte, Stanford Jeopolitik Programı/UC Berkeley Hukuk Fakültesi kıdemli politika danışmanı/teknoloji ve yönetişim eğitmeni James Dempsey’e göre, lisanslama ve sözleşme korumaları, savunmasız ürünleri müşterilere milyonlara mal olan şirketleri korudu.
Dempsey önerilen konuların ayrıntılı bir tartışmasını yönetecek Yazılım sorumluluğuna ilişkin yasal çerçeveler bu yılki RSA’da satıcılara sorumluluk ortamına dair bir fikir vereceğiz. Kendisine Ulusal Siber Direktör Ofisi, siber politika ve programlar, ulusal siber direktör yardımcısı Nick Leiserson; Bruce Schneier, güvenlik teknolojisi uzmanı, araştırmacı ve öğretim görevlisi, Harvard Kennedy School; ve Chinmayi Sharma, doçent, Fordham Hukuk Fakültesi.
Dempsey, “Şu anda neredeyse tüm yazılım geliştiricilerin lisanslarında veya diğer sözleşmelerinde veya hizmet koşullarında, ürünlerindeki herhangi bir kusura ilişkin herhangi bir sorumluluğu reddettiklerini belirten bir ifade var” diye açıklıyor.
Örnek olarak kendi dizüstü bilgisayarındaki Microsoft lisansı örneğini kullanıyor.
“Örneğin, dizüstü bilgisayarımdaki işletim sistemi için Microsoft lisansı şöyle diyor: ‘Bu sınırlı garanti kapsamında, bu anlaşmanın herhangi bir bölümü kapsamında veya herhangi bir teori kapsamında, kar kaybı veya doğrudan , sonuç olarak ortaya çıkan, özel, dolaylı veya tesadüfi zararlar” dedi Dempsey Dark Reading’e. “Bu sözleşmedeki hasar istisnaları ve telafi sınırlamaları, Microsoft’un zarar olasılığını bilmesi veya bilmesi gerektiği durumlarda bile geçerlidir.”
Satıcılar bu şekilde müşterilerinin zararlarına ilişkin yasal sorumluluktan kaçıyor ve bazı durumlarda bunun yerine siber sigorta ödemeleri alıyor.
İlerleme Yazılımı, savunmasız MOVEit dosya aktarım yazılımı 600’den fazla kuruluşun ihlaline ve 40 milyondan fazla kişinin kişisel bilgilerinin ele geçirilmesine yol açan şirket, şu ana kadar müşteri kayıplarının sorumluluğundan kurtuldu. Bunun yerine Progress, Menkul Kıymetler ve Borsa Komisyonu’na şirketin 15 milyon doların tamamını tahsil etme niyetini belirten bir 8-K formu sundu. siber sigorta poliçesi kapsamı.
varken Progress Software’e karşı toplu tüketici hakları davası Yakın tarihli bir belgeye göre, ihmal ve sözleşme ihlaline karşı müşterileri için herhangi bir yasal koruma bulunmuyor ve bu, diğer endüstrilerde üzerinde anlaşmaya varılan bir yasal “bakım standardı” kapsamında uygulanabilir.Yazılım Sorumluluğu Standartları: Sorumluluk için Ürüne Odaklanmak, Güvenli Liman için Sürece Odaklanmak,” Dempsey tarafından Lawfare dergisinde yayınlandı. Makale, Dempsey’in, satıcıları ürünlerinin siber güvenliğinden yasal olarak sorumlu tutmaya yönelik doğru yola ilişkin teorisini özetlemektedir.
Okta, müşterilerini siber saldırılara ve kayıplara maruz bırakan başka bir yazılım satıcısıdır. Eylül ayında Caesars Entertainment ve MGM Resorts’a yönelik siber saldırılar kullanıldı İlk saldırı vektörü olarak Okta. Konaklama devlerine yönelik siber saldırılarla ilgili kayıplar, yüz milyonlarca dolarlık maliyete yol açtı; hem kazanç kaybı hem de fidye yazılımı ödemeleri.
2023’ün sonunda Okta, yetkisiz bir kullanıcının müşterilerinin %100’ünün verilerine erişebildiğini doğruladı.
Güçlü Yazılım Geliştirici Sorumluluğu Korumaları Neden Önemlidir?
Dempsey, geliştiricileri bilerek güvenli olmayan araçlar üretmekten sorumlu tutmak için, korkunç aykırı değerleri belirlemek için bir yazılım satıcısından beklenebilecek makul düzeyde siber güvenliğin ne olduğuna ilişkin dikkatlice düşünülmüş yönergeler gerektiğini açıkladı.
Dempsey’s Lawfare makalesinde “Yazılım üreticilerinin, ürünlerinin sigortacısı haline getirilmemesi gerektiği, bunun yerine yalnızca bir ürün makul olmayan derecede güvenli olduğunda sorumlu olmaları gerektiği konusunda genel bir anlaşma olduğu için, yazılım sorumluluğunun doğru bir şekilde alınması, büyük ölçüde bir bakım standardının tanımlanmasına bağlıdır.” Okumak.
Makalede, bu standardın halihazırda ürün sorumluluğu kanununda yaygın olarak kullanılan kusur analizini de içereceği belirtildi.
Dempsey ayrıca, tespit edilmesi zor kusurlar için bir yazılım geliştiricinin “güvenli limanını” savunuyor. Dempsey, “Bunun için bir dizi sağlam kodlama uygulamasına yönelirim” diye yazdı.
Dempsey, Dark Reading’e Biden Yönetiminin, güvensiz yazılım geliştiricilerini sorumlu tutma hedefine ulaşmak için mevzuatın gerekli olacağını fark ettiğini söylüyor ve bunun da uzak bir ihtimal olduğunu anladıklarını ekliyor: “Bunu 10 yıllık bir sorun olarak görüyorlar.”
Dempsey önerilen konuların ayrıntılı bir tartışmasını yönetecek yazılım sorumluluğuna ilişkin yasal çerçeve 6 Mayıs Pazartesi günü, San Francisco’daki RSA sırasında saat 08:30’da (PT) satıcılara yaklaşan sorumluluk ortamına dair bir fikir veriyor.