Aansprakelijkheid speelt op bij lekken Windows broncode

In de vroege uren van vrijdag 13 februari onthulde Neowin dat de broncode van zowel Windows 2000 als Windows NT4 op straat zou liggen. De Nederlandse uitgave voor beveiliging en hacken, Securitydatabase, kwam met een mogelijke 'bron van het lek', en opperde de mogelijkheid dat de code reeds jarenlang circuleert.

Voor persbureau Associated Press bevestigde Microsoft dat delen van de genoemde besturingsprogramma's 'illegaal ter beschikking' zijn gesteld op internet'.

Microsoft heeft onmiddellijk groot alarm geslagen en de FBI ingeschakeld. De vraag is welk deel van de code is uitgelekt, hoe breed en in welke kringen.

"Er is geen onmiddellijk gevolg voor de klanten van Microsoft", aldus woordvoerder Tom Pilla tegenover AP. Dat mag voor dit moment gelden, maar het lekken van een broncode is het ergste wat Microsoft kan overkomen. Wellicht is de schade economisch nog te beperken door, net als met muziek, het uploaden van het programma aan te pakken zodat het niet breed beschikbaar komt. Er zijn trouwens al veel illegale kopieën in gebruik zonder dat er voor zover bekend broncode beschikbaar was.

Veel groter is het veiligheidsrisico en daarmee het risico voor Microsoft als onderneming en voor haar klanten. Gezien de te verwachten grote hoeveelheid fouten in de code, mede het gevolg van de enorme omvang van de besturingsprogramma's, zou de code in verkeerde handen grote inbraakrisico's met zich meebrengen. Zo zijn er al maandenlang gaten in Windows bekend die nog niet gedicht zijn.

Die schade zou groot kunnen zijn en veel bedrijven kunnen raken. Dit opent opnieuw de vraag van aansprakelijkheid. Naar aanleiding van het dichten van enkele lekken afgelopen week wierp technisch directeur Simon Hania van Xs4all de vraag op of beursgenoteerde ondernemingen het risico van lekken van kritische bedrijfsinformatie goed rapporteren:

"Stel nu eens dat er een exploit zou zijn geweest, losgelaten voordat de patch er was. Wat zou dan worst case de impact geweest zijn op bedrijven als Shell, Unilever, Ahold, KPN en daarnaast de overheid. Aan ondernemingen die aan een beurs in de VS genoteerd zijn worden in het kader van de Sarbanes Oxley Act allerlei eisen gesteld. Onder andere op het gebied van risico-evaluatie, beheersing en rapportage. Hebben zij dit al meegenomen? Dit betekent volgens mij dat ze er niet aan ontkomen om de risico's van het gebruik van lekke besturingssystemen in kaart te brengen en te rapporteren."

Neowin hierover: "Het aantal sectoren en kritische systemen die op deze technologie zijn gebaseerd dat schade zou kunnen ondervinden van nieuwe lekken is iets waar je niet aan zou moeten denken."

Hania beaamt dit: "Kortom: naar mijn mening hoe dan ook zeer risicovol voor de informatieverwerking in grote delen van de wereld."

Een Pavlov-reactie zou de woorden 'Bin Laden' en Al Qaida' kunnen bevatten. Het besturingssysteem, kennis over de mogelijke lekken en kwaadwillende technologische hulp - bijvoorbeeld in Pakistan - zouden grote potentiële schade tot gevolg kunnen hebben.

Indien, zoals Securitydatabase vermoedt, de code al langer beschikbaar is voor derden, dan is dat risico tot op heden niet uitgebuit en zouden ook boze verhalen overdreven zijn.

Dat doet echter niet af aan de door Hania aangesneden kwestie van de aansprakelijkheid van Microsoft en kwetsbaarheid van bedrijven en mogelijke invloed op de beurskoersen.

We komen daar later op terug.

[Peter Olsthoorn, 13 februari 2004]
Warning: include() [function.include]: open_basedir restriction in effect. File(/home/sites/www.netkwesties.nl/web/templates/artikel_kolomscheider.php) is not within the allowed path(s): (/home/netkwestie/:/tmp:/usr/local/lib/php/) in /home/netkwestie/domains/netkwesties.nl/public_html/editie82/artikel4.php on line 46

Warning: include(/home/sites/www.netkwesties.nl/web/templates/artikel_kolomscheider.php) [function.include]: failed to open stream: Operation not permitted in /home/netkwestie/domains/netkwesties.nl/public_html/editie82/artikel4.php on line 46

Warning: include() [function.include]: Failed opening '/home/sites/www.netkwesties.nl/web/templates/artikel_kolomscheider.php' for inclusion (include_path='.:/usr/local/lib/php') in /home/netkwestie/domains/netkwesties.nl/public_html/editie82/artikel4.php on line 46