Produktansvar for software?

Tilbage i maj 2003 skrev Nicholas Carr en opsigtsvækkende artikel, i hvilken han argumenterede for, at it-branchen følger en udvikling, som ligner det, man kender fra andre eksempler. Som en hvilken som helst anden infrastrukturbranche ville udviklingen betyde, at branchens produkter ville blive allerstedsnærværende, og det specielle ved branchen ville herefter forsvinde - it bliver en hyldevare (engelsk commodity). Som følge heraf vil man ikke længere kunne forlange højere priser for it, og dette vil selvfølgelig få stor indflydelse på branchens fremtid. Mao. vil it ikke længere være vigtigt; det er ligegyldigt, skrev Carr.

Såfremt vi et øjeblik godtager påstanden om, at it på længere sigt vil blive en normal handelsvare, vil det være naturligt at forudse, at branchen så også skal til at lære at tage ansvar for sine produkter. Situationen er velkendt i dag, hvor man for at tage noget software i brug må anerkende en licens, som siger, at man ingenlunde kan gøre ansvar for manglende eller dårlig funktionalitet i et softwareprodukt gældende overfor softwareproducenten. Dette er noget særligt for softwarebranchen, ingen andre steder kender man en sådan situation: Firestone kan ikke lave dæk og så sige, at bilisten bruger dækkene på egen risiko, og McDonalds er i USA blevet dømt for ikke at advare om, at deres kaffe kan være varm, men Microsoft kan sagtens levere et produkt, hvor omkostningerne hidrørende fra fejl ikke dækkes af Microsoft, men derimod af brugeren.

Det giver økonomisk mening at lade den, der forårsager nogle økonomiske tab, dække disse (og det vil i MS-tilfældet ovenfor også betyde, at exploitkreatøren og angrebsstarteren skal betale, ligesom det giver mening, at en netværksejer, der ikke har sikret sit netværk ordentligt, også bør bøde for den skade, som et sådant exploit har forårsaget). På den måde sikres det, at der er nogle gode grunde til, at den, der kan, forebygger så meget, som det økonomisk giver mening.

Som det er nu, har MS (og andre softwareproducenter) ikke megen økonomisk bevæggrund til at gøre software sikrere; de økonomiske skader begrænser sig til dårlig PR og andre ridser i lakken, når dette eller hint produkt viser sig at være usikkert. Det er økonmiskt ikke særligt slemt, og økonomi tæller nu engang tungest i et firma, det er jo det, firmaet lever af.

Der er fortalere for en sådan ansvarsplacering her og der. Bruce Schneier er en af foregangsmændene for et sådan skifte (se hans bog Secrets and Lies). Men endnu er der ingen af de store selskaber, som har indrømmet et sådant ansvar for deres produkter.

Man kan se Microsofts skifte i retning af sikrere software (Trusthworthy Computing) som et tegn på, at også MS på længere sigt godt ved, at det er i den retning, udviklingen går. Ligeledes kan man vælge at se dækning af tab i tilfælde af immaterialretskrænkelse i softwareprodukter som eksempel på det samme, men dette har efter min opfattelse rod i et forsøg på at antyde, at Open Source-produkter er useriøse. Det er dog et (to?) af de eneste tegn, jeg kan komme i tanke om. Tværtimod bliver EULA-licenser mere og mere omfattende, og som bruger synes man at få færre og færre rettigheder i forbindelse med brug af software (man køber forresten ikke softwaren, men får allerhøjst lov til at bruge det).

Men fat mod: hvis Carr har ret og it på længere sigt er som enhver anden infrastrukturbranche, så må udviklingen gå i retning af, at softwareproducenterne bliver nødt til at anerkende produktansvar for deres software. Det vil andet lige betyde, at det bedre kan betale sig at lave sikrere og mere pålidelig software - til gavn for alle andre end softwareproducenterne. Og hvis der går udu i noget, så er der faktisk et sted, man kan vende sig imod - man skal ikke længere dække tabet selv.

Eller er forklaringen tværtimod, at Carr tog fejl?