"Perché non si può uccidere l'innovazione." (Cose sentite da una decina d'anni a questa parte, quando appunto su a Bruxelles si cercava di ragionare su come assicurarsi che l'industria delle TIC fosse sostenibile. All'epoca, alcuni avevano già previsto ciò che oggi Bruce Schneier e altri vanno a dire al Congresso degli Stati Uniti, ovvero che Internet non è più solo foto di gattini, e per inciso non lo era nemmeno dieci anni fa quando Schneier & co dicevano cose un po' diverse di oggi.) Comunque io ero e resto convinto che (1) le responsabilità civili e penali, specialmente per dolo o colpa grave e/o per attività in cui è richiesta più della cura del "pater familias" (se è ancora questa la terminologia usata) non sono automaticamente obliterate da EULA fantasiose, e che (2) chi richiede software (che sia embedded o meno) per attività tipo gestire le turbine di una centrale nucleare, ha i soldi e le leve politiche per richiedere eccome al "vendor" l'assunzione di responsabilità precise in caso di malfunzionamento. Bisogna vedere se ne ha l'intelligenza e la volontà. Leggerò con piacere l'articolo di Guido Noto La Diega. Ciao, Andrea On Tue, Nov 29, 2016 at 02:30 Fabio Pietrosanti (naif) - lists < lists@infosecurity.ch> wrote:
Ciao,
qualcuno sa' se ci sono state iniziative di regolamentazione / policy making circa la responsabilità dei software vendor in merito alle falle di sicurezza che questi possano avere?
Cioè, 10 anni fa' dire che un software vendor dovrebbe essere responsabile civilmente per un problema di sicurezza al pari di una casa automobilistica per un difetto nella sicurezza dei freni, sarebbe sembrato eresia.
Ma oggi il contesto è forse abbastanza solido per iniziare a pensare di riattribuire le dovute responsabilità a chi produce la tecnologia affinchè il rischio sia mitigato in modo oggettivo e quindi vi possano essere anche coperture assicurative, e quindi vi sia una spirale virtuosa per arrivare ad eliminare sostanzialmente gli exploit 0day.
Magari non per tutti i software vendor ma per i software vendor "a rischio sistemico", perchè Adobe Acrobat Reader sta a Unicredit come "Impara a Cucinare 1.5" sta alla cassa rurale di cantù.
Allora se per le grandi banche ci sono dei vincoli di gestione del rischio, perchè non vi sono dei vincoli (e responsabilità) per i grandi software vendor?
Perchè la Fiat deve rispondere dei problemi di sicurezza nelle sue auto e non la Microsoft o la Apple?
-- Fabio Pietrosanti (naif) HERMES - Center for Transparency and Digital Human Rights http://logioshermes.org - https://globaleaks.org - https://tor2web.org - https://ahmia.fi _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa