Beveiligingslekken worden sneller gedicht als de ict-leveranciers er verantwoordelijk voor zouden worden gesteld. De wetgeving moet daar rekening mee houden en de aansprakelijkheid leggen waar hij hoort: bij de leverancier. Dat zegt beveiligingsexpert Bruce Schneier.
Zolang softwareleveranciers de financiële consequenties van slecht beveiligde software niet hoeven te dragen, hebben ze geen prikkel om hun software inherent veiliger te maken. De wetgeving moet daar rekening mee houden en de aansprakelijkheid leggen waar hij hoort: bij de leverancier. Dat zei beveiligingsexpert Bruce Schneier tijdens een lezing op de InfoSecurity-beurs in Brussel.
Volgens de chief security technology officer van BT zijn economische factoren van essentiële invloed op de beveiliging van ict. Leveranciers laten hun beveiligings-investeringen afhangen van een financiële risico-beoordeling: is het goedkoper om beveiligingsproblemen aan te pakken, of om niets te doen?
Aansprakelijkheid
Hoe belangrijk aansprakelijkheid is, toonde Schneier met een vergelijking tussen de manier waarop banken in Amerika en Engeland zijn omgegaan met pinautomaat-fraude. Wanneer een klant zegt een bepaalde geldopname niet te hebben gedaan, moeten Amerikaanse banken het geld altijd terugstorten, tenzij ze kunnen bewijzen dat de klant het geld wel degelijk zelf heeft opgenomen. In Engeland ligt de bewijslast andersom. Daar moet de klant bewijzen dat de bank een fout heeft gemaakt. Dat heeft er volgens de beveiligingsexpert toe geleid dat in de VS banken veel meer hebben geïnvesteerd in maatregelen om pinautomaat-fraude te voorkomen.
Ik ben helemaal voor!
Vindt dit een belachelijk iets. Alles wat mensen maken kan gekraakt worden. Een bedrijf heeft ook een verantwoordelijkheid om zelf zaken te regelen. We zien steeds vaker dat de eigenverantwoordelijkheid afgeschoven wordt naar de leverancier. Deze zal daar gemakkelijk mee omgaan door een risicoopslag op haar produkten en diensten te zetten waardoor de projecten en producten minimaal 50 tot 60% duurder worden.
Een interessant uitgangspunt. Immers, buiten de ICT-sector kennen we productaansprakelijkheid al.
Wanneer bijvoorbeeld de airbags van een auto slecht of niet functioneren, kan de autofabrikant aansprakelijk worden gesteld voor de gevolgschade.
Beveiliging en veiligheid in ICT-producten is vaak nog erg ver te zoeken. Een softwareleverancier is er vaak economisch bij gebaat om producten snel op de markt brengen, inclusief de known security lekken. Pas later komen de security patches. Die het bedrijfsleven enorm veel geld kosten allemaal te installeren.
Deels mee eens. Ik ben wel van mening dat leveranciers meer aan de securiy moeten doen. Hoe eerder zij security in de SDLC opnemen, des te minder is de financiele impact daarvan. Security in de requirementsfase voorkomt het ontwikkelen van patches achteraf. Deze patches zijn alleen maar extra kosten voor de leveranciers, dus de business case om security zo vroeg mogelijk in de SDLC te borgen is te maken.
Daarnaast denk ik dat de verantwoordelijk van de klant hiermee niet moet worden weggenomen.
Idee is bijvoorbeeld om bij regelgeving te eisen dat software geen SQL-injection of XSS lekken mag bevatten. Dit is te bepalen (door penttest of code review) en laat de verantwoordelijkheid van de klant nog bestaan.
Maar: security blijft een menselijke zaak (zowel aan de kant van de leverancier, klant en hacker) en dat blijft lastig te bevatten of in wet- en regelgeving vast te leggen.
Een voortrekkende rol van brancheverenigingen is wellicht ook een goed startpunt. Zij behartigen immers het belang van de leden en de leden zijn gebaat bij een veilige omgeving.
Als ze dit nu eens toepassen op Microsoft en Windows. Zouden we gelijk van al die virussen etc. af zijn.
Koren op de molen van de grote jongens. Geen kleine leveranciers meer, die durfen het niet meer aan of worden te duur vanwege de te hoge premies voor de verzekering om dit te dekken. De leverancier bij iedereen om de hoek zal verdwijnen. Alleen nog grote winkels die het aandurven om doozen met software of allen software te verkopen. Hoera hoera voor de monopolist!