Sorumluluk Kimde?

Yazılım üreticileri, sattıkları yazılımlardaki güvenlik açıklarından sorumlu tutulmalı mı? Şu anda zaten sorumlu durumdalar mı, yoksa sorumlu olmalarını sağlamak için yeni yasal düzenlemeler mi gerekiyor? Tartışmanın iki tarafından da oldukça sert yorumlara konu olacak, ilginç sorular bunlar.

Hemen her seferinde, bir yazılım satın alınca beraberinde gelen Son Kullanıcı Lisans Sözleşmesi’ni yakından incelediğiniz zaman geliştirici firmanın bu yazılımın kullanımdan (ya da kullanılamamasından) doğabilecek her türlü doğrudan, dolaylı ya da bağlantılı zarardan sorumlu tutulamayacağını belirten ifadeler görürsünüz. Peki bu kabul edilebilir, ya da adil bir düzenleme mi?

Yazılım ürünleri birer fiziksel meta olmadıklarından ticari malların satışını düzenleyen yasaların çoğunun kapsamına girmiyorlar. Ancak gayet elle tutulur finansal kayıplar yaratan bir çok saldırı da uygulama ya da işletim sistemlerindeki güvenlik açıkları ve hatalardan meydana geliyor.

İlk bakışta, geliştiriciye bir şekilde sorumluluk yüklemek doğal gözüküyor. Satıcıyı mallarının kalitesinden yasal olarak sorumlu kıl, dolayısıyla daha güvenli program yazmalarını sağla. Piyasaya sürülmüş ürünlerdeki güvenlik açıklarını azalttır ki tüm firmaların sürekli güçlü yazılımlar geliştirdikleri bir ekosistem oluşsun. Aslında bu yeni bir fikir bile değil, İngiltere’de Lordlar Kamarası’na bağlı Bilim ve Teknoloji Komitesi’nin 2006 yılında yayınladığı Kişisel Internet Güvenliği raporu, şöyle bitiyor:

“Sonuç olarak hükümete, BT sektöründe satıcılara yasal sorumluluk yüklenmesi ilkesini Avrupa çapında incelemesini öneriyoruz. Kısa vadede, özellikle ihmal belirlenen durumlarda böyle bir sorumluluk satıcılara (yani yazılım ve donanım üreticilerine) yüklenmeli ve kullanıcı sözleşmeleri geçerli kabul edilmemelidir. Uzun vadede, endüstri olgunlaştıkça daha kapsamlı bir satıcı sorumluluğu ve tüketici koruma iskeleti kurularak yürürlüğe sokulmalıdır.”

Bruce Schneier ve Viviane Reding gibi kimi uzak görüşlü uzmanlardan da benzer çağrılar geldi. Peki böyle bir düzenlemenin sonucu ne olur, ve tüketiciler zaten şu anda yeterli derece korunmakta olabilir mi?

İlk ve en açık sonuç, yazılım geliştirme maliyetinin artması olacaktır. Kusursuz, mükemmel bir program yazmanın imkansızlığı geliştiricileri kaçınılmaz bir dava yağmuruyla başbaşa bırakacak, tüm bu yasal mücadelelerin faturası tüketiciye çıkacaktır.  Özellikle en temel güvenlik önlemlerini bile uygulamaya yanaşmayan firmalar, sistemlerine sızıldığı zaman suçu hemen yazılım üreticisine atacaktır. Bu özellikle ücretsiz, özgür yazılımın sonu anlamına gelebilir.

Önceden düşünülmeyen ikinci sonuçsa tüketici için maliyetli olabilir. Yazılım üreticisi eski sürümün hatalarını gideren yeni bir sürüm yayınladığı zaman ne olacak? Piyasadan kalkmış eski sürümler için de yasal sorumluluk sürecek mi, yoksa tüketiciler sırf yasanın güvencesi altında kalabilmek için belki de gerek duymadıkları pahalı yazılım terfilerine mi mecbur kalacaklar?

Gerçekte şu anda ne durumdayız, şu upuzun lisans sözleşmeleri bellekte işgal  ettikleri alanı hak ediyorlar mı? Yeni yasalar gerekli mi, uğraşmaya değer mi? Ben sıradan bir kullanıcıyım, avukat değilim, ama avukat bir uzmanın görüşünü aktaracağım:

“Eğer yazılım üreticisi, ihmalkar davrandığı için yazılımının güvenlik açıkları taşımasına neden olduysa, özellikle de bu açıklar yazılımdaki hatalardan ya da uygulanması gereken yöntemlerin uygulanmamasından kaynaklanıyorsa, şu anda geçerli olan yasalara göre bu durumdan doğacak tüm sonuçlardan sorumlu tutulabilir. Lisans sözleşmesindeki ifadeler firmanın yasal sorumluluğunu kısıtlayabilir, ama bu sözü geçen ifadelerin ele alınan olay için ne derece geçerli olduğunun her davada ayrıca incelenmesi gerekir.”

Şunu unutmamakta fayda var: Yaşanan sisteme sızma olaylarının büyük kısmı, yazılım üreticisinin zaten yamasını yayınlamış olduğu güvenlik açıklarından kaynaklanıyor. Otomobil gibi fiziksel bir üründe bile firma belirlenen bir kusuru size gelip düzeltmek zorunda değil, sizin firmanın yaptığı duyuruya uyarak aracınızı firmaya götürmeniz ve düzelttirmeniz gerekiyor. Firmanın duyurusunu umursamayıp aracınızı servise götürmemenizle, yazılım üreticisinin yayınladığı güvenlik yamasını uygulamamanız arasında yasal olarak bir fark olmalı mı? Böyle bir durumda, yasal sorumluluk kimde olmalı?

 

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir