CONTRIBUTOR

Hva om hackeren tar over bilen med deg bak rattet?

KOMMENTAR: I fjor ble det kjent at hackere relativt enkelt kunne komme seg inn i kontrollsystemet til biler i BMW-familien, slik at bilene kunne stjeles. Hva om en hacker hugger i bremsene med deg om bord i bilen?

I fjor ble det kjent at biler i BMW-familien lot seg hacke i så stor skala at et forsikringsselskap nektet å forsikre dem. Hva om en hacker tar kontroll over bilen din i fart? IT-advokat Kristian Foss kommenterer.
I fjor ble det kjent at biler i BMW-familien lot seg hacke i så stor skala at et forsikringsselskap nektet å forsikre dem. Hva om en hacker tar kontroll over bilen din i fart? IT-advokat Kristian Foss kommenterer. Bilde: BMW
Kristian FossKristian FossBidragsyter
20. mars 2015 - 08:16

Denne kommentaren gir uttrykk for skribentens meninger.

La oss se på hva tingenes internett gjør med produktansvaret.

Med stadig flere ting koblet sammen over internett, vil det ikke være til å unngå at stadig flere sikkerhetsmangler oppstår. En sikkerhetsmangel er som navnet antyder, dårligere sikkerhet enn det vi kan forvente.

Spesifikt er mangler som fører til at andre tar over kontrollen over tingene, praktisk for tingenes internett.

Det ble i 2014 kjent at biler i BMW-familien har latt seg hacke i så stor skala at forsikringsselskap i England har nektet å forsikre nyere, gateparkerte BMWer. Hva om styrings- eller bremsesystemet på biler også tas over? Bare forestill deg scenene på en motorvei om alle biler av en modell plutselig hugger i bremsene.

Fra Tyskland ble det også nylig kjent at en smelteovnen i et Tysk smelteverk ble hacket, med betydelige skader til følge.

Les saken: Massive ødeleggelser etter kyberangrep mot stålverk

Hvem kan holdes ansvarlig?

Etter produktansvarsloven (pal.) plikter produsenten å «erstatte skade som hans produkt volder og som skyldes at det ikke byr den sikkerhet som en bruker eller allmennheten med rimelighet kunne vente» (§ 2). Dette kaller loven «sikkerhetsmangel».

Ved vurderingen av hva man kunne vente, skal det ifølge loven «tas hensyn til alle forhold som har sammenheng med produktet, dets presentasjon, markedsføring og påreknelige bruk.».

Det vil si at dersom tingen brukes på normalt vis, skal den være trygg.

Fikk du med deg denne? Bilene kjører selv om 10 år

Hvilken ting?

Sikkerhetsmangelen må ligge i et «produkt» - etter loven ansett å være «varer og løsøre» (pal. § 1-2).  Også råvarer er omfattet. Vi snakker med andre ord om ting i vid forstand.

Tjenester faller utenfor. Det kan skape uklarhet. Vil for eksempel et sikkerhetsbrudd i talegjenkjenningen til TVer være en sikkerhetsmangel i tingen TV eller i en tjeneste?

Skade må ha oppstått på «person» eller «ting» til privat bruk (pal. § 2-3). Ting brukt i næringsvirksomhet faller utenfor.

Varen kan også inngå i en annen vare. Eller være innføyet i fast eiendom. Sistnevnte kan være praktisk for alle de elektriske artiklene som føyes inn i våre stadig smartere hus. Fast eiendom som sådan faller utenfor.

Strømleverandører og -kunder bør være oppmerksomme på at elektrisitet er omfattet. Særlig skade som følge av feil frekvens eller spenning er praktisk. Strømstans faller utenfor.

Noe helt annet: Denne boksen gjør «alle» biler smarte

Hvilken erstatning kan kreves?

Erstatning skal fastsettes etter alminnelige erstatningsregler, i henhold til skadeerstatningsloven (pal. § 2-5). Utgangspunktet er dermed at økonomisk tap som er en påregnelig følge av sikkerhetsmangelen må foreligge.

Med påregnelighet mener vi at det må ha vært mulig for produsenten å kunne forestille seg at skaden kunne føre til tapet, og det må kreves «en viss nærhet i årsakssammenheng» (Rt. 1973 s 1268).

Psykisk skade er i prinsippet ikke utelukket. Men selv i saker der Høyesterett har ansett at det er årsakssammenheng mellom en skade og psykiske problemer, har resultatet ofte blitt at skadeårsaken var for avledet til å bli ansett påregnelig.

Smelteovn ute av kontroll

Hva med det tyske smelteverket som ble hacket? Utgjorde svakheten som muliggjorde innbruddet en sikkerhetsmangel? Hva kunne brukeren «med rimelighet» «vente»? Skal det være mulig å trenge inn i et smelteverk? Skal det være fysisk kontakt mellom internett og styringssystem? Er fordelene ved å kunne fjernstyre så store at brukeren må akseptere en viss risiko?

Skade på tingen selv eller andre ikke-private ting omfattes som nevnt ikke av ansvaret. Men hva med skade på person, ville den vært påregnelig? Om først sikkerheten var brutt, ville det da vært så unaturlig at personer kom til skade om smelteovnen først ble overtatt?

Om slike hendelser ikke er påregnelig første eller andre gang de finner sted, vil de kunne bli det om de gjentar seg?

Hva om bilers bremser eller styring medfører ulykke og invaliditet? Med det skadepotensialet en bil har, kan det være liten tvil om at bilen «ikke byr den sikkerhet som en bruker eller allmennheten med rimelighet kunne vente».

Det kan tilsvarende være liten tvil om at det økonomiske tapet er en påregnelig følge av sikkerhetsmangelen som forårsaket ulykken.

Hvem er produsent etter loven?

Over har vi vist til at «produsenten» kan bli ansvarlig etter produktansvarsloven. Det er imidlertid flere enn det vi normalt tenker på som produsent som kan bli ansvarlig.

En praktisk situasjon er når noen har satt sitt navn på produkter laget av andre, såkalt «white labeling». Typisk er produktet laget ved en uavhengig fabrikk i Kina, men solgt under merkenavnet til et europeisk eller amerikansk selskap. Da kan selskapet som setter sitt navn på produktet bli ansvarlig (pal. § 1-3).

Om ikke produsenten enkelt kan finnes, kan forhandleren blir ansvarlig. Det samme gjelder importøren av varer fra utenfor EØS-området.

Fire måter for produsenten å beskytte seg på

Som vist over, kan ansvaret importører, distributører og andre som anses som produsenter, ende opp med bli stort. Det er i hovedsak fire grep «produsenten» kan ta.

Det første er å sørge for god sikkerhet i produktet. Fordi leveransekjeden for tingenes internett kan bli lang, kan dette bli en krevende øvelse. Men alternativet er økt eksponering.

Det andre grepet produsenten kan ta er å gi god informasjon til sluttkunden. Særlig viktig er det å informere om hvordan systemet fungerer, hvordan data brukes og de risiki som ligger i bruk av systemet.

 

Advokat Kristian Foss har skrevet en serie kommentarer om tingenes internett (Internet of Things) og mulige uheldige virkninger for deg og samfunnet. Se også disse:

  1. Forsikringstrøbbel med IoT
  2. Uvitende stjerne i ditt eget live video show?
  3. Hvem eier dataene?
  4. Skurkene trives i tingenes internett
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.