Uitbesteding is in, maar gebeurt té vaak alleen om kostenvoordelen. Dit kan beveiligingsproblemen opleveren. De experts van de Computable-topics Security en Outsourcing reageren.
Crackers en – al dan niet geautomatiseerde – malware moeten wel een opening hebben in hun software-doelwitten. Het door een ander laten ontwikkelen van je software kan een extra beveiligingsrisico met zich meebrengen. Dit blijkt uit onderzoek door het Europese analistenbureau Quocirca, wat Computable eerder al meldde.
Volgens Quocirca is er een kans van 40 procent dat organisaties die 90 procent van hun softwareontwikkeling hebben uitbesteed gehackt worden. Al deze organisaties geven aan doelwit te zijn geweest van hackers. Maar liefst 60 procent laat niet vastleggen dat er beveiliging moet worden ingebouwd in deze applicaties. Dit suggereert niet dat outsourcingsbedrijven crackers in dienst hebben, of geïnfiltreerd zijn door dergelijke sujetten. Nee, het is geen James Bond-scenario, het is volgens de Computable-panelleden een geval van business cases en te weinig aandacht voor beveiliging.
Computable-expertpanel Security
De leden van het Computable-expertpanel Security erkennen het beveiligingsprobleem, maar hebben er nog wat aan toe te voegen.
Erik Westhovens, cio van Delatsis: "Outsourcingsbedrijven zien de opdracht als een methode om geld te verdienen, en het goed beveiligen van programma's kost veel extra geld, en dat gaat weer af van de winst." Gespecialiseerde beveiligingsspecialisten zijn immers schaars, en kosten überhaupt al veel geld, merkt hij op. "Dit gaat overigens niet alleen op voor softwareontwikkeling maar ook voor het maken van packages. Ik heb al vele MSI's gezien die security-lekken bevatten omdat er residu achterblijft. Goedkoop is dan heel vaak duurkoop."
Ray Bogman, van Jira ICT, zegt dat het probleem niet alleen buiten de deur ligt. "Integriteit van software is erg belangrijk of het nu wel of niet inhouse wordt gemaakt. Ik zie nog steeds maar al te vaak dat software-ontwikkelaars een ‘backdoor' maken voor eventuele debugging. Van een simpele upload file-functie tot en met een webshell." Zo'n achteringang valt te misbruiken.
Wat opmistischer
Bernhard van der Feen, product solution manager security bij Microsoft, is wat optimistischer. "Ik kan uit ervaring zeggen dat outsourcers onverwacht anders kunnen denken over kwaliteit en veiligheid." Toch is hij ook niet verbaasd over de geconstateerde hogere hackkans. Beveiliging delft wel eens het onderspit: "Niet bewust of door stupiditeit maar vaak door het maken van keuzes gebaseerd op het eigen referentiekader – een cultuur, ervaring, omgeving, werkwijze, levensvisie, prioriteiten – het is verbazingwekkend hoe dat kan doorwerken in keuzes binnen je ontwikkelwerk."
Rene Visser, senior consultant bij Oversite, is kritisch over het onderzoek. "De context daarvan is niet geheel duidelijk. Er zijn namelijk meerdere mogelijkheden en manieren om ontwikkeling uit te besteden." Maar hij vult Bogman aan dat het probleem breder is: "Het is niet alleen maatwerksoftware die aandacht nodig heeft. De SANS heeft een prijsvraag uitstaan om te melden of er backdoors aanwezig bij de 'standaard' software en hardware." Hij maakt zich dan ook meer zorgen om andere bedreigingen.
Tips
Rene Visser komt met de volgende tips:
-
Test en accepteer zelf ! (Anders krijg je "Wij van WC Eend zeggen dat …")
-
Geef de dienstverleners geen directe toegang tot de productieomgevingen en productiedata. Creëer dus een (gedeeltelijke) OTAP (DTAP) straat.
-
Nog mooier: laat de externe partij ontwikkelen op jouw eigen ontwikkelomgeving. Dat geeft je controle over de code, data en manier van werken.
-
Zorg dat er additionele maatregelen zijn genomen om gedrag en werking van dit soort software te monitoren.
-
Probeer bij het opstellen van de eisen, dus bij het opstellen van de case, ook de beveiligingseisen mee te nemen. Dus niet achteraf toevoegen.
Te weinig aandacht
Rein de Vries, adviseur bij LBVD Informatiebeveiligers, onderschrijft dat security te weinig aandacht krijgt. "Zowel bij interne als externe ict-projecten. Net zo goed als functionele en technische eisen dien je beveiligingseisen te formuleren afhankelijk van de risico's die kleven aan het hebben en gebruiken van het nieuwe systeem."
"Het is bekend dat er bij uitbesteding het nodige misgaat. Weinig leveranciers bouwen op niveau. OWASP? Nooit van gehoord. Standaard clausules in de offerte? CMM? Development baseline? Drie keer nee. De verklaring hiervoor is simpel. De focus ligt op functionaliteit die niet te veel mag kosten."
"Beveiliging drijft de prijs alleen maar op en dan verlies je het van de concurrent. Het ontwikkelen van fatsoenlijke software is al lastig genoeg, dus aandacht voor beveiliging? Nu even niet." De Vries roept klanten op kritischer te zijn. "Beveiliging heeft z'n prijs. Hiervoor is het nodig dat aan klantzijde iemand met verstand van zaken de inkoop ondersteunt."
Twijfel
Floris van den Dool, security lead bij Accenture, twijfelt aan het verhoogde hackrisico. "Dat hangt er maar vanaf. Eerste vraag is natuurlijk aan wie er uitbesteed wordt." Je moet belangrijke activiteiten natuurlijk overlaten aan betrouwbare partijen met duidelijke afspraken over kwaliteit, zowel van het opgeleverde als van de ontwikkel- en testmethodes. "En beveiliging is gewoon onderdeel van die kwaliteit." Ook hij verwijst naar methodische aanpakken, zoals CMMI en OWASP.
"De tweede vraag is misschien wel net zo belangrijk: wie besteedt er uit?" Den Dool stelt dat de meeste bedrijven minder kennis van security hebben dan een gespecialiseerde partij met speciaal daarvoor opgeleide mensen, die op de hoogte zijn van de nieuwste ontwikkelingen en bedreigingen.
Tegengeluiden
Sinclair Koelemij, operations team leader Network Solutions & Security Services bij Honeywell Process Solutions, komt met een tegengeluid: "Dit lijkt me een moeilijk houdbare stelling. Ja, het is zo dat veel softwareontwikkelaars weinig kennis van en aandacht voor security hebben. Dit is echter niet alleen het geval bij externe firma's, maar geldt net zo goed voor interne afdelingen."
"Ook is het waar dat bij outsourcing een commercieel aspect meespeelt, maar de kwaliteit is net zo belangrijk, om de relatie veilig te stellen." Bovendien kan zo'n externe firma juist meer kennis in huis hebben, het is daar immers dagelijks werk, vertelt Koelemij uit ervaring.
"Softwareontwikkeling is voor veel andere bedrijven niet hun ‘core business'." Toch moet je als uitbestedende partij daar ook zelf op letten. "Een volwassen organisatie vraagt van een outsourcer ook een volwassen overeenkomst en daar mogen afspraken over ict-beveiliging niet ontbreken."
Computable-expertpanel Outsourcing
De experts van het Computable-topic Outsourcing bieden ook onderbouwde tegenwerpingen.
Simon Kornblum, manager business development bij Raet, is verbaasd over de 1-op-1 correlatie tussen externe ontwikkeling en de verhoogde hackkans. "Gerenommeerde bedrijven doen zaken met gerenommeerde bedrijven. Kwaliteit (OTAP en gecertificeerde kennis) en compliancy (ISO, SAS70 e.d.) van het geleverde eindproduct beïnvloeden mijns inziens sterk het ‘hackersrisico'."
"Of je nu ontwikkelt in eigen beheer, veelal ook met extern ingehuurde kennis, of buiten de deur is daarmee volstrekt irrelevant. Belangrijk is te kijken naar met wie je zaken doet, wat de kwaliteiteisen zijn die deze partij nastreeft en wat het trackrecord is. Geeft dit garantie? Nee, geenszins. Geeft dit vertrouwen? Zeer zeker."
Zelf op orde hebben
Hans Reterink, managing consultant bij Berenschot, hekelt de correlatie ook. "Het wordt niet onderbouwd of aannemelijk gemaakt. Een andere verklaring zou interessant zijn om te onderzoeken. Wie software-ontwikkeling outsourced, moet zijn interne organisatie op orde hebben, scope en doelstellingen helder hebben, een externe leverancier kunnen aansturen, afspraken maken en deze volgen, kortom: zijn eigen ict governance redelijk voor elkaar hebben."
"Zou het niet logisch zijn als een dergelijke organisatie niet ook een redelijke security awareness heeft? Dat betekent dat men begrijpt dat hacks tot de mogelijkheden behoren, en dus dat hacks actief worden gedetecteerd en gerapporteerd. Dat betekent vaak ook dat er security beleid bestaat, een security officer is aangesteld, en dat men zich niet schaamt om te erkennen dat men gehackt is. Het outsourcen van applicatieontwikkeling en het kennen en durven erkennen van het gehackt zijn kunnen zo beide een uiting zijn van een volwassen eigen ict-organisatie."
Stemmingmakerij
Cor Geerstma, ceo van ISDC, spreekt zelfs van stemmingmakerij. "Het is wel erg kort door de bocht. Wie het onderzoek van Quocirca naleest, ziet dat deze conclusie anders geformuleerd is: 'Alle bedrijven die toegeven dat zij regelmatig gehacked worden, outsourcen een deel van hun softwareontwikkeling. Bijna 90 procent outsourct ruim 40 procent (van de softwareontwikkeling).' Daaruit blijkt niet dat het hacken een direct gevolg is van die 'ruim 40 procent' softwareonwikkeling buitenshuis."
Hij erkent wel het gevaar van hackers en andere bedreigingen. "Dit gevaar schuilt echter in een korte termijn denken dat zo vaak de verkeerde basis is voor outsourcing. Dit geldt voor zowel outsourcers als opdrachtgevers. Erik Westhovens beschrijft dat hierboven heel mooi: dat de opdracht een methode is om geld te verdienen. "Opdrachtgevers zien outsourcing ook als een methode om snel geld te verdienen, lees kosten te besparen. Dan blijkt goedkoop vaak duurkoop te zijn."
Geerstma benadrukt dat outsourcing een oplossing is voor het structurele tekort aan hoogopgeleide ict'ers. Kostenbesparingen moeten daarom niet leidend zijn in een outsourcingscontract. De outsourcer dient een verlengstuk te zijn van de opdrachtgever en zich betrokken op te stellen." Beveiliging is dus een essentieel onderdeel van de duidelijke afspraken.
Niet makkelijk
Age-Jan van der Meer, senior manager bij Ernst & Young Advisory, benadrukt nog dat beveiliging niet makkelijk is. "In de praktijk blijkt dat het bouwen van een applicatie niet per definitie hetzelfde is als het bouwen van een veilige applicatie." Ook hij geeft aan dat het probleem geldt voor zowel externe als interne ontwikkeling. Er is over het algemeen dus onvoldoende aandacht voor het verwerken van beveiliging in applicaties.
"Dit staat los van het fenomeen outsourcing. Wel is het zo dat van professionele dienstverleners op het gebied van softwareontwikkeling mag, nee sterker nog moet worden verwacht dat zij zorgen voor een adequate beveiliging van de in opdracht ontwikkelde applicatie."
Meer tips
Age-Jan van der Meer vult de tipslijst van René Visser aan met het volgende:
-
Stel in de functionele én technische specificaties eisen over de beveiliging.
-
Neem beveiligingsaspecten mee in de acceptatietesten.
-
Laat een onafhankelijke partij vaststellen of de beveiliging van de ontwikkelde applicatie aan de eisen voldoet, vóór je die in productie neemt.