‘Software moet beveiligingskeurmerk krijgen’

17-09-2008 10:11 | Door Jolein de Rooij | Lees meer artikelen over: Patches | Er is 1 reactie op dit artikel | Permalink

“Het uitbrengen van een patch is goedkoop, maar het uitvoeren ervan bepaald niet.” Volgens beveiligingsexpert David Rice dragen gebruikers te veel de lasten van beveiligingslekken in software. Een keurmerk moet daarin verandering brengen.

"Er bestaat geen label voor softwarekwaliteit, zoals we dat bijvoorbeeld wel hebben voor energiezuinigheid. Je kunt de risicofactor van software meten aan de hand van algemene aanvalspatronen van misbruikers. Die zijn de afgelopen veertig jaar niet veranderd. Op die manier kun je garanderen dat software een bepaalde kwaliteit heeft."

Dat zegt beveiligingsexpert David Rice. De directeur van beveiligingsadviesbureau Monterey deed zijn uitspraken op een beveiligingssymposium georganiseerd door Govcert, het computerincidentrespons team van de Nederlandse overheid.

"We weten hoe we die tools kunnen gebruiken. Nu moeten ze nog door de overheid als beloningsmechanisme in de markt worden ingezet. Dan heeft bovendien als bijeffect dat softwarefabrikanten juridisch kunnen worden aangesproken op de kwaliteit van hun software."

Nieuwe licentie uitonderhandelen

Wanneer softwarebedrijven fouten maken, lijdt de consument daar volgens Rice het meest onder. Rice: "Fabrikanten betalen niet voor de sociale kosten van hun software. Het uitbrengen van een patch is goedkoop, maar het uitvoeren ervan bepaald niet." Leveranciers misbruiken beveiligingslekken vaak zelfs om nieuwe softwarelicenties uit te onderhandelen, zo zegt Rice: "Waarom zou je je software aanpassen als je een gebruiker ook een nieuwe versie kunt opdringen?"

Economische schade

Rice: "Beveiliging is niet zichtbaar. Daarom kun je er ook geen prijs op plakken. Maar als je een keurmerk invoert, kan dat wel. Nu kopen consumenten software waarvan niemand weet hoeveel beveiligingslekken erin zitten."

Op dit moment is er volgens Rice in de softwaremarkt sprake van een deadlock: "In plaats van hun producten te testen, verkopen softwarefabrikanten ze liever. En consumenten verlangen steeds nieuwe functies, met onnodige softwarecomplexiteit tot gevolg."

Volgens de natuurkundige wordt de economische schade die gebruikers ondervinden van slecht functionerende software te weinig serieus genomen. Rice: "Slechte software vernietigt kostbaar investeringskapitaal."

R.Heinen, 18-09-2008 11:08

Op de link http://picasaweb.google.com/freemovequantumexchange is een presentatie van een operationeel (research) systeem voor het delen van informatie in groepen te vinden. De security van dit operationele (research) systeem is (informatie-theoretisch) bewijsbaar. Bovendien wordt de geldigheid van de (informatie-theoretisch) bewijsbare veiligheid ook real-time geverifieerd door het systeem. Dit gaat dus nog een stukje verder dan het beveiligingskeurmerk. Gezien het huidige belang van informatiesystemen in de maatschappij moet het ontwerpen en maken van informatiesystemen vergelijkbaar opgezet worden als elke andere belangrijke engineering discipline (bijvoorbeeld het ontwerpen en maken van energiesystemen). De inhoudsopgave van de ontwerpmethode wat we hiervoor gemaakt hebben, waarmee het bovenstaande research systeem ontworpen en gemaakt is, is te vinden op de link http://docs.google.com/Doc?docid=dds86766_10cxpm7g

	Aantal reacties met 3+ sterren		Gemiddelde waardering
1	PaVaKe	154	6.4
2	Reza Sarshar	120	6.7
3	Henri Koppen	109	6.4
4	edekkinga	79	6.6
5	Jaap-G	53	6.1
6	Guido Groeneweg	49	6.3
7	Ruud Mulder	47	6.5
8	mauwerd	43	6.1
9	Frank Brechts	43	6.0
10	Rob Koelmans	40	6.3

Nieuws / Development

‘Software moet beveiligingskeurmerk krijgen’

Nieuwe licentie uitonderhandelen

Economische schade

10-02 Infor helpt Ferrari met bouwen F1-auto's

10-02 Tester Four Oaks in Israëlische handen

10-02 IS Online en Tres zijn klaar voor Elfstedentocht

10-02 SecureLink migreert Microsoft-diensten Atradius

10-02 Nieuwe software brengt Vitens in problemen

10-02 Ex-Misys-topman moet CSC uit penarie helpen

10-02 Veenman en 20/20 vision adviseren samen klant

10-02 Cisco maakt 2,2 miljard dollar kwartaalwinst

10-02 Misys en Temenos willen fuseren

10-02 Raet stelt Schrijnemaekers als nieuwe CFO aan

10-02 Tester Four Oaks in Israëlische handen

10-02 Nieuwe software brengt Vitens in problemen

08-02 Nokia verplaatst smartphoneproductie naar India

08-02 'ICT-afdeling is te traag voor ontwikkeling apps'

06-02 Banometer: Topstart vacaturemarkt krijgt vervolg

06-02 Duitse PMCS.helpLine neemt Leidse MCH+ over

03-02 Siemens PLM Software introduceert Jack 7.1

03-02 Itemis betreedt Nederlandse markt via Warmer IT

01-02 Microsoft-partner Asapnet zet IT-University op

01-02 Kwaliteitscontroleur is nog geen testprofessional

27-03-09 Leverancier moet beveiligingskosten dragen

22-08-08 ‘Software wordt nooit foutloos'

20-08-08 2,4 miljoen voor onderzoek naar betrouwbare software

14-08-08 Software kiezen? Zoek de verborgen kosten!

23-05-08 ‘Software heeft bijna 100 procent hackkans'

Gemeenten en ICT besparingen