“Het uitbrengen van een patch is goedkoop, maar het uitvoeren ervan bepaald niet.” Volgens beveiligingsexpert David Rice dragen gebruikers te veel de lasten van beveiligingslekken in software. Een keurmerk moet daarin verandering brengen.
"Er bestaat geen label voor softwarekwaliteit, zoals we dat bijvoorbeeld wel hebben voor energiezuinigheid. Je kunt de risicofactor van software meten aan de hand van algemene aanvalspatronen van misbruikers. Die zijn de afgelopen veertig jaar niet veranderd. Op die manier kun je garanderen dat software een bepaalde kwaliteit heeft."
Dat zegt beveiligingsexpert David Rice. De directeur van beveiligingsadviesbureau Monterey deed zijn uitspraken op een beveiligingssymposium georganiseerd door Govcert, het computerincidentrespons team van de Nederlandse overheid.
"We weten hoe we die tools kunnen gebruiken. Nu moeten ze nog door de overheid als beloningsmechanisme in de markt worden ingezet. Dan heeft bovendien als bijeffect dat softwarefabrikanten juridisch kunnen worden aangesproken op de kwaliteit van hun software."
Nieuwe licentie uitonderhandelen
Wanneer softwarebedrijven fouten maken, lijdt de consument daar volgens Rice het meest onder. Rice: "Fabrikanten betalen niet voor de sociale kosten van hun software. Het uitbrengen van een patch is goedkoop, maar het uitvoeren ervan bepaald niet." Leveranciers misbruiken beveiligingslekken vaak zelfs om nieuwe softwarelicenties uit te onderhandelen, zo zegt Rice: "Waarom zou je je software aanpassen als je een gebruiker ook een nieuwe versie kunt opdringen?"
Economische schade
Rice: "Beveiliging is niet zichtbaar. Daarom kun je er ook geen prijs op plakken. Maar als je een keurmerk invoert, kan dat wel. Nu kopen consumenten software waarvan niemand weet hoeveel beveiligingslekken erin zitten."
Op dit moment is er volgens Rice in de softwaremarkt sprake van een deadlock: "In plaats van hun producten te testen, verkopen softwarefabrikanten ze liever. En consumenten verlangen steeds nieuwe functies, met onnodige softwarecomplexiteit tot gevolg."
Volgens de natuurkundige wordt de economische schade die gebruikers ondervinden van slecht functionerende software te weinig serieus genomen. Rice: "Slechte software vernietigt kostbaar investeringskapitaal."
Op de link http://picasaweb.google.com/freemovequantumexchange is een presentatie van een operationeel (research) systeem voor het delen van informatie in groepen te vinden. De security van dit operationele (research) systeem is (informatie-theoretisch) bewijsbaar. Bovendien wordt de geldigheid van de (informatie-theoretisch) bewijsbare veiligheid ook real-time geverifieerd door het systeem. Dit gaat dus nog een stukje verder dan het beveiligingskeurmerk. Gezien het huidige belang van informatiesystemen in de maatschappij moet het ontwerpen en maken van informatiesystemen vergelijkbaar opgezet worden als elke andere belangrijke engineering discipline (bijvoorbeeld het ontwerpen en maken van energiesystemen). De inhoudsopgave van de ontwerpmethode wat we hiervoor gemaakt hebben, waarmee het bovenstaande research systeem ontworpen en gemaakt is, is te vinden op de link http://docs.google.com/Doc?docid=dds86766_10cxpm7g