Lue uutinen mobiilisivustolla

Lakia rukattava ohjelmistojen turvallisuuden takaamiseksi

26.5.2006 17:16 Oikeustieteen kandidaatti Jari Råmanin väitöstutkimuksen mukaan ohjelmistojen turvallinen kehitys edellyttää muutoksia lainsäädännössä. Tutkimuksen mukaan tuotevastuu ja haavoittuvuusraportointi eivät takaa nykymuodossaan ohjelmistojen turvallisuutta.

Tietoturvallisuudesta on tullut sähköisen hallinnon ja kaupankäynnin kynnyskysymys. Alan investoinnit ovat suuria, joten lainsäätäjäkin on ottanut asian vakavasti. Nykyinen lainsäädäntö keskittyy kuitenkin vain ehkäisemään ja vähentämään turvattomien ohjelmistotuotteiden haitallisia vaikutuksia, Råman katsoo Lapin yliopiston mukaan.

Råmanin mukaan turvattomien ohjelmistojen aiheuttamat kustannukset eivät kohdistu ohjelmistovalmistajiin, vaan jäävät käyttäjien maksettaviksi. Ostajien mahdollisuudet erottaa turvallinen ohjelmisto turvattomasta ovat vähäiset.

- Asiakkaat ovat ryhtyneet vaatimaan ohjelmistovalmistajilta takeita tuotteiden turvallisuudesta. Ilman sääntelyllistä väliintuloa ohjelmistotuotteiden turvallisuus ei kuitenkaan kohene riittävästi, koska markkinoilla ei ole riittäviä kannustimia turvallisten ohjelmistotuotteiden kehittämiseksi, Jari Råman aprikoi.

Tuotevastuuta kartetaan

Nykyisistä sääntelykeinoista tuotevastuu ja haavoittuvuusraportointi osoittautuvat Råmanin mukaan nykymuodossaan riittämättömiksi.

- Ohjelmistomarkkinat pyrkivät karttamaan tuotevastuuta viimeiseen asti, eikä lainsäätäjällä sen enempää kuin tuomioistuimillakaan ole ollut keinoja muuttaa tilannetta. Yksi keskeinen väline vahingollisten seurausten välttämisessä on haavoittuvuuksien saattaminen ohjelmiston kehittäneen tahon sekä suuren yleisön tietoon, mutta tätä mahdollisuutta ei ole otettu riittävästi huomioon turvallisten ohjelmistojen kehittämisessä, Råman sanoo.

Råman ehdottaakin ohjelmistovirheille selvää vastuun asettamista lainsäädännön keinoin tai vähintäänkin haavoittuvuuksia koskevan tiedon entistä parempaa hallintaa.

- Haavoittuvuusraportointi julkisen vallan tukemana sääntelyn muotona on jo saanut aikaan muutosta kohden turvallisempien ohjelmistojen kehitystä. Pelkkä ohjelmistovirheiden jälkikäteinen korjaaminen ei kuitenkaan riitä. Mikäli haavoittuvuusraportoinnin avulla halutaan todella vaikuttaa turvallisten ohjelmistojen kehitykseen, on tieto ohjelmistovirheistä sekä niiden syistä ja seurauksista otettava systemaattisemmin ja laajemmin käyttöön ohjelmistokehityksessä, Råman sanoo.

Råmanin väitöskirja "Regulating Secure Software Development: Analysing the potential regulatory solutions for the lack of security in software" (Turvallisten ohjelmistojen sääntely: Sääntelyllisiä ratkaisuja turvattomien ohjelmistojen ongelmaan) tarkastettiin Lapin yliopiston oikeustieteiden tiedekunnassa tänään perjantaina.

Tuomas Karvonen toimitus@digitoday.fi

Kirjoita kommentti

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias ja ystävällinen, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit. Varauduthan siihen, että linkkejä sisältävät viestit tarkistetaan yksitellen roskapostin suodattamiseksi. Arvostamme mielipidettäsi!
Lue koko keskusteluetiketti

Bottivarmistus: mitä on kaksi ynnä viisi?

Viesti Nimi

Uutiset

Seksuaalirikoksesta epäilty valmentaja löytyi kuolleena sellistä

• Pohjanlahdelta löytyi upotettu konjakkilaiva
• Miljoonien viinakokoelma myyntiin vaimon vuoksi
• Kreikkaan vaaditaan uusia vaaleja
• Putkirikko toi pienen järven Sörnäisten rantatielle – katso video