Tietoturvallisuudesta on tullut sähköisen hallinnon ja kaupankäynnin kynnyskysymys. Alan investoinnit ovat suuria, joten lainsäätäjäkin on ottanut asian vakavasti. Nykyinen lainsäädäntö keskittyy kuitenkin vain ehkäisemään ja vähentämään turvattomien ohjelmistotuotteiden haitallisia vaikutuksia.

Råmanin mukaan turvattomien ohjelmistojen aiheuttamat kustannukset eivät kohdistu ohjelmistovalmistajiin, vaan jäävät käyttäjien maksettaviksi. Ostajien mahdollisuudet   erottaa turvallinen ohjelmisto turvattomasta ovat varsin vähäiset.

– Asiakkaat ovat ryhtyneet vaatimaan ohjelmistovalmistajilta takeita tuotteiden turvallisuudesta. Ilman sääntelyllistä väliintuloa ohjelmistotuotteiden turvallisuus ei kuitenkaan kohene riittävästi, koska markkinoilla ei ole riittäviä kannustimia turvallisten ohjelmistotuotteiden kehittämiseksi, Jari Råman sanoo.

Nykyisistä sääntelykeinoista tuotevastuu ja haavoittuvuusraportointi osoittautuvat Råmanin mukaan nykymuodossaan riittämättömiksi.

– Ohjelmistomarkkinat pyrkivät karttamaan tuotevastuuta viimeiseen asti , eikä lainsäätäjällä sen enempää kuin tuomioistuimillakaan ole ollut keinoja muuttaa tilannetta. Yksi keskeinen väline vahingollisten seurausten välttämisessä on   haavoittuvuuksien saattaminen ohjelmiston kehittäneen tahon sekä suuren yleisön tietoon, mutta tätä mahdollisuutta ei ole otettu riittävästi huomioon turvallisten ohjelmistojen kehittämisessä, Råman sanoo.

Råman ehdottaakin ohjelmistovirheille selkeää vastuun asettamista lainsäädännön keinoin tai vähintäänkin haavoittuvuuksia koskevan tiedon entistä parempaa hallintaa.  

– Haavoittuvuusraportointi julkisen vallan tukemana sääntelyn muotona on jo saanut aikaan muutosta kohden turvallisempien ohjelmistojen kehitystä. Pelkkä ohjelmistovirheiden jälkikäteinen korjaaminen ei kuitenkaan riitä. Mikäli haavoittuvuusraportoinnin avulla halutaan todella vaikuttaa turvallisten ohjelmistojen kehitykseen, on tieto ohjelmistovirheistä sekä niiden syistä ja seurauksista otettava systemaattisemmin ja laajemmin käyttöön ohjelmistokehityksessä, Råman sanoo.

Tietoja väitöstilaisuudesta:
Jari Råmanin englanninkielinen väitöskirja väitöskirja Regulating Secure Software Development: Analysing the potential regulatory solutions for the lack of security in software (Turvallisten ohjelmistojen sääntely: Sääntelyllisiä ratkaisuja turvattomien ohjelmistojen ongelmaan) tarkastetaan Lapin yliopiston oikeustieteiden tiedekunnassa perjantaina 26.5.2006 klo 12, luentosalissa 2, Yliopistonkatu 8, Rovaniemi. Vastaväittäjänä tilaisuudessa toimii professori Gerald Quirchmayr Wienin yliopistosta ja kustoksena professori Ahti Saarenpää Lapin yliopiston oikeustieteiden tiedekunnasta.

Taustatietoja väittelijästä:
Jari Råman valmistui oikeustieteen kandidaatiksi Lapin yliopistosta 2000. Valmistumisen jälkeen hän on toiminut tutkijana oikeusinformatiikan instituutissa, sivutoimisena tuntiopettajana Oulun yliopiston tietojenkäsittelytieteiden laitoksella sekä sivutoimisena tutkijana Oy L M Ericssonin Ab:n Oulun yksikössä. Råman on laatinut useita selvityksiä ja raportteja ministeriöille ja Euroopan komissiolle. Tällä hetkellä Jari Råman toimii oikeusinformatiikan assistenttina Lapin yliopiston oikeustieteiden tiedekunnassa.

Lisätietoja:
Jari Råman
Puhelin 040 587 5801
Sähköposti etunimi.sukunimi@ulapland.fi

Teksti: Olli Tiuraniemi
Valokuva: Niina Huuskonen