Om lås vore programvara

Jag läste en text häromdagen, och fick inspiration till en intressant jämförelse: Hur skulle det se ut om lås vore som programvara eller IT-tjänster? Kanske så här:

Tack för att du har valt ett lås från Åsna-Alloy. Genom att använda låset accepterar du Användaravtalet och Integritetspolicyn.

Åsna-Alloy Användaravtal: Detta är ett avtal mellan Åsna-Alloy (hädanefter ”Vi” ”Oss”) och slutkunden (hädanefter ”Du” ”Dig” ”Kunden” ”Användaren”) som reglerar användningen av våra inbrottsskyddsprodukter (hädanefter ”Produkt” ”Lås” ”Låset”) och dess mekaniska kodstift (hädanefter ”Nyckel” ”Nycklar”)

1:Ansvarsfriskrivning. Vi frånsäger oss allt ansvar för inbrott, stölder och andra skador som uppstår till följd av felaktigt eller korrekt användning av våra Lås. I exceptionella fall kan ersättning utbetalas, men högst ett tusen (1 000) Svenska Kronor. Användaren är själv ansvarig för att ta reda på och följa instruktionerna för användning av Låset samt för säker förvaring av sina Nycklar.

2:Rättsprocesser. Du godkänner att hålla Oss fria från ansvar och försvara Oss i ett eventuellt mål.

3:Reverse Engineering. Du godkänner att Du inte får plocka isär Låset i syfte att försöka förstå eller dokumentera hur det fungerar.

4:Integritet. Du godkänner att Låset ger tillgång till alla föremål i ditt hus när det öppnas med en Nyckel. Föremålen förblir tillgängliga tills Låset låses med en Nyckel. Din hemadress måste registreras hos Oss för att Du ska kunna erhålla uppdateringar till Ditt Lås.

5:Uppdateringar. Om en säkerhetsbrist i Vår design upptäcks kommer Vi att åtgärda den genom att skicka en uppdateringstekniker till den adress Du uppgivit till Oss. Medan uppdateringarna utförs kan teknikern behöva öppna Ditt Lås med en Huvudnyckel – en Nyckel som passar alla Våra Lås. Teknikern har inte rätt att ta Dina saker, och har assistans av vakter som säkerställer att ingen annan kan ta sig in. Om ingen adress uppgivits kan vi inte utföra några uppdateringar på Ditt Lås.

6:Upphävande av avtal: Du kan upphäva detta avtal genom att skriftligen anmäla det till Oss, samt återlämna alla Lås och Nycklar som omfattas. Avtalet kan också upphävas av Oss om Vi misstänker att Du brutit mot någon del i det. Vi skickar då ett meddelande till Dig om att avtalet upphört. Du har då inte längre rätt att använda våra Lås och tillhörande Nycklar, och måste återlämna dem till Oss. Vi kan återbetala hela eller delar av köpbeloppet, men är inte skyldiga att göra det.

7:Övrigt. Ingenting som sägs i detta avtal gäller om det är ogiltigt enligt lagen i Ditt land.

Slut på användaravtal.

 

 

Åsna-Alloy Integritetspolicy: Detta dokument reglerar integritetsfrågor mellan Åsna-Alloy (hädanefter ”Vi” ”Oss”), slutkunden (hädanefter ”Du” ”Dig” ”Kunden” ”Användaren”) och tredje part vid användningen av våra inbrottsskyddsprodukter (hädanefter ”Produkt” ”Lås” ”Låset”) och dess mekaniska kodstift (hädanefter ”Nyckel” ”Nycklar”)

1: När Låset låses upp med en Nyckel kan dörren lätt öppnas genom att trycka ned handtaget. Det fortsätter tills Låset låses med en Nyckel. Låset kan också låsas och låsas upp inifrån utan att någon Nyckel behöver användas.

2: När Låset är i läget olåst, så att dörren kan öppnas är alla föremål i Ditt hus tillgängliga.

3: Låsets Nyckel har en unik kod som bara passar till Ditt Lås, och Ditt Lås kan bara öppnas av en Nyckel med denna kod. Om Du vill ha flera Nycklar måste Du låta en av Våra tekniker tillverka en Nyckel med samma mekaniska kod. För det behöver Du ta med en befintlig Nyckel till teknikern.

4: Trots det som sägs i 3, finns olika Huvudnycklar. Våra tekniker har Nycklar som passar i alla Lås, för att kunna utföra uppdateringar, och släppa in Dig om Du glömt Nyckeln. Hyresvärdar kan ha tillgång till begränsade Huvudnycklar som passar alla lägenheter i deras hus. Vi kommer aldrig att använda en Huvudnyckel förutom i följande fall. Åt Dig på begäran och vid uppvisande av legitimation. När Vi uppdaterar Ditt Lås. Åt Våra dotterbolag och samarbetspartners för att kunna utföra tjänster åt Oss. Åt lagupprätthållande myndigheter om Vi har anledning att misstänka brott.

Slut på integritetspolicy


 

 

Sedan händer följande.

När låset är installerat och bostadsadressen registrerad, kommer teknikern direkt och börjar meka med låset. Diskussionen mellan teknikern och ägaren:

-Jaha, ja. Det här har ju legat något halvår på hyllan innan du köpte det, det kommer att ta en stund.

-Jaså, hinner det hända så mycket på ett halvår?

-Ja, minsann. Den här veckan fick jag rycka ut tre gånger till alla kunder. Det är till exempel så att man kan komma in om man petar på låskolven samtidigt som man drar i handtaget på ett visst sätt. Men det sätter vi stopp för med den här, sade teknikern och skruvade fast en plåt som täckte dörrspringan.

Ägaren, som var egenföretagare, kände sig så trygg med lösningen att han lät sin topphemliga prototyp ligga på köksbordet medan han åkte och handlade, trots att han brukade ha sådant i kassaskåpet.

Någon vecka senare kom teknikern tillbaka med en ask skruv och en skruvdragare med två olika bits.

-Hej igen! Vad har hänt nu?

-Plåten vi installerade sitter med vanlig krysspårskruv. Man kan skruva loss den och komma in. Men nu byter jag till specialskruv, sade teknikern och började skruva.

När det var gjort kände sig ägaren så säker att han inte ens stängde kassaskåpet med ritningar och beräkningar innan han åkte för att diskutera priser med en blivande leverantör.

 


 

Om du läser avtalen och berättelsen så ser du bland annat att om låset är olåst, är föremålen i kassaskåpet inte säkra heller, i alla fall om man får tro paragraferna 4 resp. 2 i användaravtal och integritetspolicy, att det går att låsa inifrån utan nyckel i integritetspolicyn men inte i användaravtalet, och att det inte står någonstans att låset är verkningslöst om det finns andra vägar in.

Dessa brister är inte misstag från min sida. Så ser det ofta(st) ut i användaravtal och integritetspolicyer för programvara.

Om historien utspelade sig i verkligheten, bortsett från den ekonomiska delen som borde komma med uppdateringarna, tror du att egenföretagaren hade:

  1. Köpt ett lås med de villkor som föreskrivs?
  2. Ansett att det är normalt att man måste registrera sig hos tillverkaren för att få alla fördelar?
  3. Ansett att det är normalt att de har möjlighet att, och kommer att,  släppa in polisen i hans hus på endast ”anledning att misstänka brott”?
  4. Inte oroat sig för att huvudnycklarna skulle hamna i orätta händer?
  5. Ansett att det är normalt att låset är så otestat att det ständigt behöver uppdateras, och även uppdateringarna uppdateras?
  6. Trots det att låset hela tiden innan den senaste uppdateringen haft minst ett, numera känt, fel som gjort att tjuvar kunnat ta sig in, känt sig så säker på att de inte längre kan ta sig in att hemliga prototyper, beräkningar och ritningar förvaras framme när ingen är hemma?

NÄR DET GÄLLER PROGRAMVAROR OCH DIGITALA TJÄNSTER SKER DETTA HELA TIDEN, VARJE DAG, TIMME MINUT OCH SEKUND. UNDANTAGEN ÄR VÄLDIGT FÅ.

Advertisements

Taggar:, , ,

Kommentera gärna här

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s

%d bloggare gillar detta: