Bedrijven die ervoor kiezen hun software elders te laten bouwen hebben meer kans gehackt te worden dan bedrijven die dat niet doen. Alle organisaties die hun software elders laten bouwen zeggen weleens gehackt te zijn.
Organisaties die het bouwen van applicaties uitbesteden hebben een grotere kans gehackt te worden. Uit een onderzoek van het Europese analistenbureau Quocirca blijkt dat alle organisaties die programmatuur elders hebben laten bouwen doelwit zijn geweest van kwaadwillenden. Volgens Quocirca hebben organisaties die 90 procent van de softwareontwikkeling hebben uitbesteed een kans van 40 procent doelwit te worden van hackers.
Quocirca is bang dat het aantal gehackte organisaties alleen maar zal groeien. Meer dan driekwart van de ondervraagde organisaties kiest ervoor om belangrijke applicaties elders te laten bouwen. 60 procent van de organisaties laat niet vastleggen dat er beveiliging in deze applicaties moet worden ingebouwd. 20 procent van de Engelse organisaties denkt er niet eens bij na.
Quorcirca deed het onderzoek onder 250 ict-directeuren in het Verenigd Koninkrijk, de Verenigde Staten en Duitsland. Meer dan de helft van deze organisaties zegt 40 procent meer dan nodig uit te besteden aan een ander.
Tips bij het outsourcen van software.
– Kijk goed bij de dienstverlener welke processen en regels het bedrijf hanteert om zeker te stellen dat de software goed beveiligd is.
– Zorg ervoor dat in het contract staat de dienstverlener verantwoordelijk is voor fouten in de software
– Zorg ervoor dat de dienstverlener de software test
Vreemd verhaal, zonder feitelijke onderbouwing waarom dit de hackkans vergroot. Ik kan me voorstellen dat de hackkans vergroot als je een externe partij toegang geeft tot je netwerk en dit zelf niet goed regelt, maar dat de hackkans vergroot door de ontwikkelde software zelf verbaasd me ten zeerste.
Ja, je bent nooit te oud om te leren denk ik. Zeker nog nooit van Trojan horse gehoord. Cracking is allang niet meer alleen maar een handmatige actie. Er zijn vele software tools ontwikkeld die tot doel hebben illegaal toegang te verschaffen tot andere systemen. Met andere woorden: verbaas je niet meer, maar leer/lees wat meer.
Natuurlijk wel Leendert, maar ik mag toch aannemen dat als je als outsourcing-bedrijf opdrachten voor softwareontwikkeling aanneemt en een serieus bedrijf bent (waar ik de outsourcing-bedrijven onder schaar), dit geen issue is. Misschien verhelderend om te weten dat de meeste outsourcing bedrijven niet bestaan uit hackers. Ik ben van mening dat dit artikel zonder enige feitelijke onderbouwing een statement neerzet wat (zoals zo vaak) weer een negatieve schaduw werpt op outsourcing. Dit heeft niets met lezen/kennen te maken, maar met een stukje logica en ervaring. Je ziet al met welk gemak je de stelling in dit artikel overneemt, zonder te weten of dit het feitelijk probleem is.
Het statement klinkt wel zwart/wit maar aan de andere kant zie wij, die onderzoek doen naar outsourcebedrijven, dat de code van veel websoftware te wensen over laat als het gaat om bijv. beveiliging. Of het nu een Nederlands of Indiaas bedrijf is! Heel veel programmeurs zijn gewoonweg niet ervaren genoeg of de bedrijven schenken er te weinig aandacht aan.
Het aantal website dat je zou kunnen hacken door bijv. “code insertion” is schrikbarend hoog. En deze zijn vaak gemaakt door de zgn. “gerenormeerde” bedrijven!
Integriteit van software is erg belangrijk of het nu wel of niet inhouse wordt gemaakt.
Ik zie nog steeds maar al te vaak dat software ontwikkelaars ?backdoor? script maken voor eventuele debugging. Van een simpele upload file functie t/m een webshell. En zeker als het gaat om webapplicatie is de ?image tracker? een veel voorkomende truc waardoor de maker kan zie waar de webapplicatie ge?nstalleerd word. En kan vervolgens via de achterdeur de website/server binnenkomen.
Ik ben het helemaal eens met de stelling. Outsourcing bedrijven zien de opdracht als een methode om geld te verdienen, en het goed beveiligen van programma’s kost veel extra geld, en dat gaat weer af van de winst. Gespecialiseerde beveiligingsspecialisten kosten veel geld, en er zijn er maar weinig. Dit gaat niet alleen op voor software ontwikkeling maar ook voor het maken van packages. Ik heb al vele MSI’s gezien die security lekken bevatten omdat er residu achterblijft. Goedkoop is dan heel vaak duurkoop.
Ok, als je er vanuitgaat dat het hackers zijn die werken voor zo’n outsourcingsbedrijf dan is het duidelijk. Als je echter optimistischer bent kan ik uit ervaring zeggen dat outsource bouwers rond kwaliteit en veiligheid onverwacht anders kunnen denken. Niet bewust of door stupiditeit maar vaak door het maken van keuzes gebaseerd op het eigen referentiekader – een cultuur, ervaring, omgeving, werkwijze, levensvisie, prioriteiten – het is verbazingwekkend hoe dat kan doorwerken in keuzes binnen je ontwikkelwerk. De uitspraak verbaast mij dan ook niet.
Dit stuk verklaart niet WAAROM de hackkans groter is als de ontwikkeling wordt uitbesteed. De tips aan ’t eind vind ik ook een beetje merkwaardig…
Als de veiligheid van je applicatie heel belangrijk is, betrek er dan een derde partij bij die de applicatie/code contoleert. Dan is het zeker handig als je met de bouwer hebt afgesproken dat hij verantwoordelijk is voor het oplossen van gevonden risico’s. Ongeacht in- of outsourced ontwikkeling. A.d.h.v. het rapport kun je redelijk goed opmaken hoe de bouwer omgaat met security in applicatie/code…
Ik ben het met jullie eens het is niet geheel duidelijk wat de context van het onderzoek is geweest. Er zijn meerdere mogelijkheden en manieren om ontwikkelingen (diensten) uit te besteden.
Het is trouwens niet alleen maatwerk software die aandacht nodig heeft. De SANS heeft een prijsvraag uitstaan om te melden of er backdoors aanwezig bij de ‘standaard’ software en hardware. Het vermoeden bestaat dat veel producten bewust of onbewust voorzien zijn van dit soort leverancier en / of staats deurtjes.
Ik denk dat de hackkans ??n van de extra risico’s kan zijn. Ik zou me toch (afhankelijk van het risicoprofiel / analyse) me zorgen maken over andere bedreigingen.
Vandaar de volgende tips:
– Test en accepteer zelf ! (anders krijg je wij van wc eend zeggen dat …)
– Geef deze dienstverleners niet directe toegang tot de productie omgevingen en productie data. Creer dus een (gedeeltelijke) OTAP (DTAP) straat.
– Nog mooier laat de exteren partij ontwikkelen op jouw eigen Ontwikkel omgeving. (geeft je controlle over de code, data en manier van werken).
– Zorg dat er additionele maatregelen zijn genomen om het gedrag en werking van dit soort software te monitoren, etc.
– Probeer bij het opstellen van de eisen, dus bij het opstellen van de case, ook de beveiligingseisen mee te nemen. (en niet achteraf)
Ik verbaas me over 1:1 correlatie die wordt gelegd tussen extern laten ontwikkelen van software en daarmee een verhoogd ?hackersrisico?. Gerenommeerde bedrijven doen zaken met gerenommeerde bedrijven. Kwaliteit (OTAP en gecertificeerde kennis) en compliancy (ISO, SAS70 e.d.) van het geleverde eindproduct be?nvloeden mijns inziens sterk het ?hackersrisico?. Of je nu ontwikkelt in eigen beheer, veelal ook met extern ingehuurde kennis of het in resultaatverantwoordelijkheid buiten de deur laten ontwikkelen is daarmee volstrekt irrelevant. Belangrijk is te kijken naar met wie je zaken doet, wat de kwaliteiteisen zijn die deze partij nastreeft en wat het trackrecord is. Geeft dit garantie, nee geenszins, geeft dit vertrouwen, zeer zeker.