Kaj pa garancija na programsko opremo?
Ko uporabniki in podjetja naletimo na licenčne in druge pogoje, povezane s programsko opremo, samo prevrtimo ali preklikamo nekaj deset strani drobnega tiska, iščoč gumb Potrdi oziroma Se strinjam. Tej pogojev in pravil nihče ne bere, vključno z menoj, sicer verjetno ne bi namestili niti enega programa. Ključen in najkrajši mogoči povzetek pa se bere nekako takole: programska oprema je na voljo »taka, kot je«, brez posebnih zagotovil in garancij, posebej kar zadeva prihodnje posodobitve programske opreme.
In tako se je svetu zgodil primer CrowdStrike, ki je za več ur ohromil del zemeljske oble. Pomanjkljiva posodobitev varnostne programske opreme, ki deluje v okolju Windows, je »sesula« 8,5 milijona računalnikov. In seveda povzročila ogromno gospodarsko škodo, za katero ne želi odgovarjati nihče. Samo letalska družba Delta Airlines je na podjetji CrowdStrike in Microsoft naslovila odškodninski zahtevek z zneskom 500 milijonov ameriških dolarjev – ki jih zelo verjetno nikoli ne bo dočakala, tako kot številni drugi ne.
Zagotovo pa je ta primer, ki seveda še zdaleč ni osamljen, je pač najbolj svež in najodmevnejši, pravšnji, da je celotna IT-industrija izpraša o neuspešnem režimu testiranja sodobne programske opreme. Napaka enega podjetja lahko ohromi celotno industrijo IT, saj so aplikacije in sistemi povezani ter soodvisni. Podjetja in njihovi odvetniki ponudnike/dobavitelje programske opreme kličejo na odgovornost: želijo si jamstev za kakovost njihovih izdelkov in garancij – tudi na prihodnje popravke.
Težava je večplastna, zaradi posebnosti tehnološkega sektorja pa se primer CrowdStrike, najverjetneje z drugimi akterji v glavni vlogi, zlahka ponovi. Programska oprema brez konkretnih jamstev je intelektualni in pravni vakuum. Zakaj bi jo kdo sploh kupil in uporabljal? Hja, ker drugačne pač ni. Na področju pomanjkanja jamstev za programske izdelke in storitve velja s prstom pokazati tudi na regulatorne organe. Ti so si desetletja zatiskali oči, da ne bi razjezili t. i. velikih tehnoloških podjetij in upočasnili tekme za inovacije.
Podjetja v razvitih državah danes v veliki večini s ponudniki programske opreme podpišejo pogodbe, ki določajo plačilo minimalnega nadomestila za prekinitev poslovanja, izračunanega na podlagi časa neuporabe programske opreme. Tu so še vzdrževalni paketi storitev, namenjeni prav posodobitvam, ki na letni ravni znašajo nič kaj nizek znesek (običajno med 15 in 30 odstotki vrednosti licenc). Pričakovali bi, da bo odškodninskih zahtevkov veliko oziroma vsaj toliko, da bo ponudnike »zabolelo« in bodo k testiranju popravkov ter nadgradenj pristopili precej bolj resno.
Dva dobra zgleda imajo blizu. V za poslovanje kritičnih proizvodnih okoljih se nobena posodobitev ne namesti samodejno, temveč jo morajo skrbniki IT-okolja prenesti v testno okolje in dodobra preizkusiti, preden doseže krmilnike strojev. Podoben režim temeljitega preizkušanja je v ZDA zapovedan tudi za vso programsko opremo, nameščeno na strojni opremi za vsaditev v človeško telo, kot so srčni spodbujevalniki. S tem (ameriška) zakonodaja proizvajalcem nalaga proaktivno odgovornost pri posodabljanju in odpravi ranljivosti. Dobre prakse torej obstajajo, zato bi jih veljalo »kopirati in prilepiti« na vse izdelke, ki sodijo v kategorijo poslovne programske opreme. In doseči, da bodo ponudniki zanje nudili vsaj nekajletno garancijo.
Pomislite, bi se usedli v avtomobil, za katerega bi vedeli, da ni v skladu z vsemi predpisi in varnostnimi standardi?