Verschillende audit-partijen hebben zich verenigd in de stichting Secure Software Foundation (SSF). Die organisatie richt zich op verbetering van de beveiliging van bedrijfssoftware in Nederland. De stichting heeft als doel om kwaliteitskeurmerken voor de beveiliging van software op te stellen, zodat afnemers weten welke software volgens beveiligingsstandaarden is ontwikkeld.
Secure Software Foundation heeft tot doel de ontwikkeling van veilige software te bevorderen. Dat moet onder meer gebeuren door het beheren en ontwikkelen van het Framework Secure Software. Daarnaast gaat de stichting Secure Software Certificates uitgeven. Met zo’n certificaat kunnen software-ontwikkelorganisaties aan gebruikers en klanten aantonen dat hun software betrouwbaar ontwikkeld is.
‘Het voorkomen van cybercrime is een zaak van opdrachtgevers en -nemers. Daarom zouden partijen voortaan met elkaar een quality level agreement (qla) moeten sluiten om samen hun software veiliger te maken. Binnen die qla moeten partners afspreken aan welke standaarden hun software moet voldoen’, zegt Wim Goes, lid van de normcomissie van de stichting en daarnaast actief als director quality consulting bij SQS Nederland.
Werken volgens vaste standaarden is volgens Goes dé manier om het cybercriminelen moeilijker te maken. ‘Hoe meer er eenduidig wordt gewerkt, hoe meer kennis we op doen voor de beveiliging. Door volgens vaste standaarden te werken, geef je hackers minder kans of kun je bij een digitale aanval bepaalde delen van je systeem met gevoelige informatie beter beschermen.’
Framework
De SSF heeft onlangs een framework opgeleverd dat zich richt op alle belanghebbenden in de softwareketen. Opdrachtgevers krijgen met dit framework de mogelijkheid aangereikt criteria voor veilige software in hun lijst van vereisten op te nemen, zonder dat ze zelf inhoudelijke experts hoeven te zijn. Zij kunnen hiermee de softwareleverancier vragen om aan te tonen dat hun software veilig is, eventueel door de software te laten certificeren. ‘Het werk van hackers zal zeker moeilijker worden’, denkt Goes, ‘omdat ze eerder opgespoord kunnen worden’.
Een normcommissie ontwikkelt en bewaakt de kwaliteit van het Framework Secure Software. De commissie bestaat uit specialisten op het gebied van secure software development. De huidige leden van de normcommissie zijn: Hans de Vries, directeur Security Academy, Tim Hemel, cto iComply, Luuk Danes, zelfstandig security consultant, Wim Goes, director quality consulting SQS en Danny Onwezen, directeur ARGAIA en voormalig bestuurslid ISACA NL Chapter.
Daarnaast moet een kwaliteitscommissie opgericht worden. Die groep bewaakt de kwaliteit van het Secure Software Certificaat en zal de eisen voor de toelating van geregistreerde auditors en de benoeming van auditpartijen opstellen. Op dit moment worden de taken van de kwaliteitscommissie door de normcommissie waargenomen. De stichting zoekt nog partijen die zich willen aansluiten.
“Het werk van hackers zal zeker moeilijker worden’, denkt Goes, ‘omdat ze eerder opgespoord kunnen worden'”. Met “ze” bedoelen we toch zeker kwetsbaarheden?!?
Het is goed dat de software gecontroleerd wordt, maar neem aub ook de wetware mee. Dankzij social engineering blijft de mens de zwakste schakel.
Alsof Microsoft, Google, Apple of Oracle zullen luisteren naar de ‘aanbevelingen’ van deze Nederlandse jongens.
Het zoveelste onzinnige keurmerk, dat er alleen maar op uit is om geld uit de zakken van ondernemers te kloppen. Want dat Framework, die Certificering enz, die zullen ze niet gratis weggeven.
En wat gebeurt er als je ondanks het gebruik van ‘Certified Secure Software’ toch gehacked wordt ?
An sich een erg goed idee, even los van dit specifieke initiatief. Er worden de nodige ‘business’ app’s gebouwd voor toepassing o.a. in de gezondheidszorg, vaak gebeurt dit onder de vlag van Gamificatie zonder dat er met leveranciers afspraken zijn gemaakt over welke data (informatie) waar op welke manier wordt opgeslagen. Iedere leverancier hanteert daarbij zijn eigen aanpak wat onveiligheid in de hand speelt. één certificerende instantie zou dan erg mooi zijn met één set aan richtlijnen.
Tja ik ben ook niet zo gecharmeerd van wederom een dergelijk initiatief die, hoe pretentieus ook, geen werkelijk toevoegde waarde heeft.
Je mag namelijk van een leverancier verwachten dat die, als gewoon standaard, ook heeft voor de beveiligingskant van de software zonder te roepen ach…. daar heb je AV toch voor? Voldoet die namelijk niet aan kwaliteitsstandaarden die wij al kennen prijst die zichzelf wel uit de markt.
Daar heb je niet nog eens een stempeltje voor nodig denk ik.
Ik wacht op het moment dat “Nederland ICT” met een fatsoenlijk keurmerk komt voor haar leden. “Nederland ICT” noemt zich een “branche organisatie” maar komt in mijn ogen over als een belangenvereniging voor hun eigen leden. Om lid te zijn van BOVAG moet je als autobedrijf aan voorwaarden voldoen en garantie bieden. Om lid te zijn van de NBA (Nederlandse Beroepsorganisatie van Accountants) en de titel AA/RA te voeren moet je (naast de opleiding) voldoen aan talloze voorwaarden.
Aan welke voorwaarden moeten de leden van “Nederland ICT” voldoen, – behalve contributie afdragen 🙂 – ?
@Gerard Bottemanne
Uw laatste vraag heb ik ook al verschillende malen hardop gesteld maar tot op heden geen antwoord op gekregen.