Moeten software makers een eed afleggen?
Moeten software makers een eed afleggen? Of het nu je Apple watch is, je cloud omgeving, software defined network , MRI scanners of je smart TV, overal zit software in. Met software bestuur of verwerk je informatie. Omdat software en softwaremakers ieders leven sterk beinvloeden, moeten zij dan eigenlijk niet een soort eed van Hippocrates of Bankierseed gaan afleggen?
De laatste 5 jaar is er een duidelijke verschuiving van aandacht in de ICT gaande. Van hardware, netwerken, besturingssystemen, ofwel ICT infrastructuur, naar software en databases, ook wel verzameld onder de naam (bedrijfs)applicaties
Voor mijzef valt een besturingsysteem ook onder de component software. Maar het is in elk geval duidelijk dat ICT infrastructuur 'mainstream' en 'gewoon' is geworden en de focus echt naar software gaat.
Een eed afleggen lijkt geen slecht idee omdat software ontwikkelaars allerlei verborgen functionaliteiten of achterdeuren kunnen inbouwen waardoor informatie gemanipuleerd kan worden. Zeker nu er steeds vaker software van internet geplukt wordt moeten softwaremakers doordrongen worden van het belang van hun werk.
Een voorbeeld scenario
Stel in een stukje medische software wordt code ingebouwd die de uitslagen manipuleert. Gelet op de toenemende self-service en automatisering/robotisering en vertrouwen in technologie kan het zijn dat de patient een extra medicijn krijgt en daarmee op pad gaat. Helemaal als het betreffende stukje software door de medicijn fabrikant gemaakt is. Ook al zou het medicijn een placebo het is toch een stukje extra inkomsten voor de fabrikant.
Een dergelijke eed of belofte gaat wel uit van zelfdiscipline en zelfregulering. Helaas zijn er afgelopen jaren wat situaties waarbij de eed van Hippocrates of de bankierseed niet geholpen heeft.
Misschien is een eed afleggen teveel gevraagd. Bij wijs van spreken - moet iedereen die in de ICT werkt dan geen eed afleggen?
Statement of integrity
Om toch e.e.a. praktisch aan te vliegen, helpt het naar mijn mening om softwarebedrijven te verplichten om naast hun release notes een 'statement of integrity' afgeven. Een verklaring van de programmeur dat de software:
geen achterdeuren of “service entrances” bevat
geen informatie lekt (databreaching)
werkt met minimale privileges op robuuste system (least-privilege principe & hardend systems)
onvolkomendheden (bugs) direct worden gemeld en kosteloos worden opgelost
de software is ontworpen, gedocumenteerd en gemaakt met de best-beschikbare kennis, inzichten en kunde die voor handen was
de software tenminste 1x per jaar gereviewd word in relatie tot de stand der techniek, wetgeving en maatschappelijke belangen
Met deze laatste 2 punten probeer je een stukje ethiek in de verklaring te brengen en maar besef me dat e.e.a. moeilijk meetbaar is en daardoor wellicht zweverig wordt.
Natuurlijk zijn software (kwaliteit) normenkaders handig. Maar een stukje ethiek ontbreekt er vaak in. Qua controleerbaarheid zijn software kwaliteitsnormenkaders ook nog een brug te ver zijn.
Ik denk dat een dergelijke verklaring goed past in de privacy wetgeving. Deze verklaring past ook goed in de tijd waarin we leven - meer stil staan bij de gevolgen, maatschappelijke verantwoording nemen, integriteit en ethiek.
Ik denk dat een verplichte “statement of integrity” bij software een goede en praktische eerste stap is. Normenkaders omtrent softwarekwaliteit is dan de volgende stap.
Bent u het met mij eens of vindt u dat ik doorsla?
Door: Ronald van Erven, Information Risk Officer in samenwerking met Cqure Kennisplatform.
