Moderne produkter er fyldt med software - men kvaliteten og sikkerheden halter, og der mangler klare regler

Der er alt for mange eksempler på fysiske produkter med software-funktioner, hvor både sikkerheden og kvaliteten halter. Leverandørerne skal forpligtes i forhold til deres produkter, mener Thomas Kristmar.

- Hvis jeg køber en analog røremaskine, og den ikke virker, kan jeg gå derhen, hvor jeg har købt den, og bede dem om at få det løst. Men hvis mit køleskab pludselig ikke længere kan komme på nettet, fordi det er blevet overtaget af en angriber, så er det mit problem.
 
Sådan beskriver Thomas Kristmar, medlem af Fagrådet for Informationssikkerhed i DANSK IT, en problemstilling, der i stigende grad mærkes, fordi stadig flere fysiske produkter er afhængige af software for at virke efter hensigten.  
 
- Det er mit problem, hvis køleskabet ikke kan komme på nettet, eller hvis nogen overtager det via nettet, forklarer Thomas Kristmar.
 
Han arbejder til daglig som Head of Information Security Incident Management Operations i Nordea og er tidligere chef i Center for Cybersikkerhed under Forsvarets Efterretningstjeneste. Dermed har han også ekspertisen til at kunne gennemskue konsekvenserne af, at der mangler klare regler og retningslinjer for de stadig mere software-baserede produkter, man kan købe i butikkerne.
 
- Et produkt har tidligere været en fysisk genstand. Enten virkede produktet, eller også virkede det ikke. I dag er software blevet en større og større del af produktets funktionalitet, og desværre er der bare ikke den samme grundighed omkring beskyttelsen af softwarekomponenter.
 
- Der er masser af eksempler på, at du køber et produkt, der har en stor softwarekomponent, som så viser sig at have masser af fejl. Der mangler klarhed over, hvis problem det er, lyder Thomas Kristmars holdning.

Der mangler klare regler og mere transparens

Thomas Kristmar beskriver problemets kerne: - Jeg har som forbruger ikke en jordisk chance for at skelne mellem sikre og ikke-sikre produkter. Alle andre steder har vi løftet den byrde væk fra borgerne. Vi har mærkningsordninger og certificeringer og så videre. Men når vi snakker internet of things, kan jeg bare ikke se, at der er en langsigtet strategi.

Hvad er det for en politisk diskussion, du mener, at der er behov for?

- Jeg ser et behov for, at man har en diskussion om, hvordan man kan forpligte leverandøren. I dag er der en meget subtil forskel på, om det er et produkt eller en tjeneste 

Thomas Kristmar forklarer, at en fastmonteret GPS eksempelvis er et produkt, og at producenten derfor har et ansvar, hvis den ikke fungerer og eksempelvis viser brugeren ned ad en ensrettet vej i den forkerte retning. Hvis man bruger Google Maps, er der derimod tale om en tjeneste, og så har producenten ikke det samme ansvar.

- Det er bare ikke godt nok, lyder Thomas Kristmars personlige holdning til den problemstilling.

Men hvorfor er de almindelige regler, der giver forbrugerne rettigheder, ikke gode nok?

- Jeg synes, at det er åbenlyst, at de ikke virker. Der er en kamp på markedet om at komme med mere funktionalitet i produkterne, og der er simpelthen ikke den samme kvalitetskontrol af softwaren, som der normalt er. Der er produkter, der er beregnet til at skulle på nettet, der sælges med en indbygget bagdør I form af et hardcoded brugernavn/kodeord fra fabrikkens side for at kunne levere support. Så pludselig er din cloud-device i hjemmet åben for Gud og hver mand, når brugernavn/kodeord bliver offentligt kendte.

Thomas Kristmar argumenterer for, at et sammenligneligt billede i den gammeldags, analoge verden ville være, at man købte en ny bil, som alle andre i princippet kunne låse op, hvis de kom forbi den på gaden.

- Ville du finde dig i det? Det ville du formentlig ikke, lyder det fra Thomas Kristmar.

- Der mangler simpelthen noget markeds-transparens. Der mangler noget, der kan diskriminere mellem gode og knap så gode leverandører på det her område. 

Politikerne skal forstå kompleksiteten

Thomas Kristmar håber, at DANSK IT kan være med til at skabe opmærksomhed om problemstillingen med manglende kontrol med sikkerhed og kvaliteten i moderne produkter, der er afhængige af software. 
 
- Vi har den faglige ekspertise til at kunne se, at det her ikke er sort eller hvidt. Svaret er ikke bare at gøre alt til open source eller sådan noget. Men det handler om, at vi gerne vil hjælpe vores politikere, så de forstår kompleksiteten i, at der kommer IoT i alting, så de kan være med til at beskytte samfundet.
 
- Det er ikke sikkert, at man kan lave en national lovgivning, der løser problemet, men man kan i hvert fald arbejde for det i forhold til EU. Vi skal simpelthen forpligte vores leverandører i forhold til deres produkter, siger Thomas Kristmar.