Vreemd verhaal, zonder feitelijke onderbouwing waarom dit de hackkans vergroot. Ik kan me voorstellen dat de hackkans vergroot als je een externe partij toegang geeft tot je netwerk en dit zelf niet goed regelt, maar dat de hackkans vergroot door de ontwikkelde software zelf verbaasd me ten zeerste.

Ja, je bent nooit te oud om te leren denk ik. Zeker nog nooit van Trojan horse gehoord. Cracking is allang niet meer alleen maar een handmatige actie. Er zijn vele software tools ontwikkeld die tot doel hebben illegaal toegang te verschaffen tot andere systemen. Met andere woorden: verbaas je niet meer, maar leer/lees wat meer.

Natuurlijk wel Leendert, maar ik mag toch aannemen dat als je als outsourcing-bedrijf opdrachten voor softwareontwikkeling aanneemt en een serieus bedrijf bent (waar ik de outsourcing-bedrijven onder schaar), dit geen issue is. Misschien verhelderend om te weten dat de meeste outsourcing bedrijven niet bestaan uit hackers. Ik ben van mening dat dit artikel zonder enige feitelijke onderbouwing een statement neerzet wat (zoals zo vaak) weer een negatieve schaduw werpt op outsourcing. Dit heeft niets met lezen/kennen te maken, maar met een stukje logica en ervaring. Je ziet al met welk gemak je de stelling in dit artikel overneemt, zonder te weten of dit het feitelijk probleem is.

Het statement klinkt wel zwart/wit maar aan de andere kant zie wij, die onderzoek doen naar outsourcebedrijven, dat de code van veel websoftware te wensen over laat als het gaat om bijv. beveiliging. Of het nu een Nederlands of Indiaas bedrijf is! Heel veel programmeurs zijn gewoonweg niet ervaren genoeg of de bedrijven schenken er te weinig aandacht aan.
Het aantal website dat je zou kunnen hacken door bijv. "code insertion" is schrikbarend hoog. En deze zijn vaak gemaakt door de zgn. "gerenormeerde" bedrijven!

Ik ben het helemaal eens met de stelling. Outsourcing bedrijven zien de opdracht als een methode om geld te verdienen, en het goed beveiligen van programma's kost veel extra geld, en dat gaat weer af van de winst. Gespecialiseerde beveiligingsspecialisten kosten veel geld, en er zijn er maar weinig. Dit gaat niet alleen op voor software ontwikkeling maar ook voor het maken van packages. Ik heb al vele MSI's gezien die security lekken bevatten omdat er residu achterblijft. Goedkoop is dan heel vaak duurkoop.

Integriteit van software is erg belangrijk of het nu wel of niet inhouse wordt gemaakt.
Ik zie nog steeds maar al te vaak dat software ontwikkelaars ?backdoor? script maken voor eventuele debugging. Van een simpele upload file functie t/m een webshell. En zeker als het gaat om webapplicatie is de ?image tracker? een veel voorkomende truc waardoor de maker kan zie waar de webapplicatie ge?nstalleerd word. En kan vervolgens via de achterdeur de website/server binnenkomen.

Ok, als je er vanuitgaat dat het hackers zijn die werken voor zo'n outsourcingsbedrijf dan is het duidelijk. Als je echter optimistischer bent kan ik uit ervaring zeggen dat outsource bouwers rond kwaliteit en veiligheid onverwacht anders kunnen denken. Niet bewust of door stupiditeit maar vaak door het maken van keuzes gebaseerd op het eigen referentiekader - een cultuur, ervaring, omgeving, werkwijze, levensvisie, prioriteiten - het is verbazingwekkend hoe dat kan doorwerken in keuzes binnen je ontwikkelwerk. De uitspraak verbaast mij dan ook niet.

Dit stuk verklaart niet WAAROM de hackkans groter is als de ontwikkeling wordt uitbesteed. De tips aan 't eind vind ik ook een beetje merkwaardig...
 
Als de veiligheid van je applicatie heel belangrijk is, betrek er dan een derde partij bij die de applicatie/code contoleert. Dan is het zeker handig als je met de bouwer hebt afgesproken dat hij verantwoordelijk is voor het oplossen van gevonden risico's. Ongeacht in- of outsourced ontwikkeling. A.d.h.v. het rapport kun je redelijk goed opmaken hoe de bouwer omgaat met security in applicatie/code...

Ik ben het met jullie eens het is niet geheel duidelijk wat de context van het onderzoek is geweest. Er zijn meerdere mogelijkheden en manieren om ontwikkelingen (diensten) uit te besteden.
 
Het is trouwens niet alleen maatwerk software die aandacht nodig heeft. De SANS heeft een prijsvraag uitstaan om te melden of er backdoors aanwezig bij de 'standaard' software en hardware. Het vermoeden bestaat dat veel producten bewust of onbewust voorzien zijn van dit soort leverancier en / of staats deurtjes.
 
Ik denk dat de hackkans ??n van de extra risico's kan zijn. Ik zou me toch (afhankelijk van het risicoprofiel / analyse) me zorgen maken over andere bedreigingen.
 
Vandaar de volgende tips:
- Test en accepteer zelf ! (anders krijg je wij van wc eend zeggen dat ...)
- Geef deze dienstverleners niet directe toegang tot de productie omgevingen en productie data. Creer dus een (gedeeltelijke) OTAP (DTAP) straat.
- Nog mooier laat de exteren partij ontwikkelen op jouw eigen Ontwikkel omgeving. (geeft je controlle over de code, data en manier van werken).
- Zorg dat er additionele maatregelen zijn genomen om het gedrag en werking van dit soort software te monitoren, etc.
- Probeer bij het opstellen van de eisen, dus bij het opstellen van de case, ook de beveiligingseisen mee te nemen. (en niet achteraf)

Ik verbaas me over 1:1 correlatie die wordt gelegd tussen extern laten ontwikkelen van software en daarmee een verhoogd ?hackersrisico?. Gerenommeerde bedrijven doen zaken met gerenommeerde bedrijven. Kwaliteit (OTAP en gecertificeerde kennis) en compliancy (ISO, SAS70 e.d.) van het geleverde eindproduct be?nvloeden mijns inziens sterk het ?hackersrisico?. Of je nu ontwikkelt in eigen beheer, veelal ook met extern ingehuurde kennis of het in resultaatverantwoordelijkheid buiten de deur laten ontwikkelen is daarmee volstrekt irrelevant. Belangrijk is te kijken naar met wie je zaken doet, wat de kwaliteiteisen zijn die deze partij nastreeft en wat het trackrecord is. Geeft dit garantie, nee geenszins, geeft dit vertrouwen, zeer zeker.

Het onderzoek laat zien dat er een correlatie is tussen gehackt worden en het uitbesteden van het bouwen van applicaties. Een oorzakelijke relatie tussen beiden wordt wel gesuggereerd, maar niet onderbouwd of aannemelijk gemaakt. Een andere verklaring zou interessant zijn om te onderzoeken. Wie software ontwikkeling outsourced, moet zijn interne organisatie op orde hebben, scope en doelstellingen helder hebben, een externe leverancier kunnen aansturen, afspraken maken en deze volgen, kortom: zijn eigen ICT governance redelijk voor elkaar hebben. Zou het niet logisch zijn als een dergelijke organisatie niet ook een redelijke security awareness zou hebben? Dat betekent dat men begrijpt dat hacks tot de mogelijkheden behoren, dat hacks actief worden gedetecteerd en worden gerapporteerd. Dat betekent vaak ook dat er security beleid bestaat, een security officer is aangesteld, en dat men zich niet schaamt om te erkennen dat men gehackt is. Het outsourcen van applicatieontwikkeling en het kennen en durven erkennen van het gehackt zijn kunnen zo beide een uiting zijn van een volwassen eigen ICT organisatie.

Een moeilijk houdbare stelling lijkt me. Ja, het is zo dat veel software ontwikkelaars weinig kennis en aandacht hebben van/voor security. Dit is echter niet alleen het geval bij externe firmas maar geldt net zo goed voor interne afdelingen. Ook is het waar dat bij outsourcing een commercieel aspect meespeelt, maar de kwaliteit is net zo belangrijk om de relatie veilig te stellen. Tevens is het mijn ervaring dat de betere externe firmas ook meer kennis in huis hebben omdat het voor hen hun dagelijkse werk is, waarbij softwareontwikkeling voor veel andere bedrijven niet hun "core business" is. Daarbij vraagt een volwassen organisatie van outsourcing ook een volwassen overeenkomst en daar mogen afspraken t.a.v. IT beveiliging niet ontbreken.

Te vaak zien we dat security een onderschoven kindje is bij ICT-projecten; zowel interne als externe. Net zo goed als functionele en technische eisen dien je beveiligingseisen te formuleren afhankelijk van de risico's die kleven aan het hebben en gebruiken van het nieuwe systeem. Dat bij uitbesteding het nodige misgaat is bekend. Weinig leveranciers bouwen op niveau. OWASP? Nooit van gehoord. Standaard clausules in de offerte? CMM? Development baseline? 3 x neen. De verklaring hiervoor is simpel. De focus ligt op functionaliteit die niet te veel mag kosten. Beveiliging drijft de prijs alleen maar op en dan verlies je het van de concurrent. Het ontwikkelen van fatsoenlijke software is al lastig genoeg, dus aandacht voor beveiliging? Nu even niet. Het wordt tijd dat klanten beseffen dat beveiliging z'n prijs heeft en leren veeleisend te zijn. Hiervoor is het nodig dat aan klantzijde iemand met verstand van zaken inkoop ondersteund.

Uitbesteden van softwareontwikkeling zou de kansen voor hackers verhogen. Dat hangt er maar vanaf lijkt me...
Eerste vraag is natuurlijk aan wie er uitbesteed wordt. Het is zonder meer duidelijk dat uitbesteden van belangrijke activiteiten altijd dient te gebeuren aan betrouwbare partijen met duidelijke afspraken omtrent kwaliteit. En beveiliging is gewoon onderdeel van die kwaliteit. Als er duidelijke afspraken worden gemaakt over de wijze waarop software wordt ontwikkeld en getest kunnen problemen met kwaliteit voorkomen of in ieder geval gesignaleerd worden. Voor het ontwikkel process biedt CMMI een goed raamwerk en voor de security eisen vormen de OWASP regels een goed uitgangspunt. Daarnaast kan de code met behulp van tools getest worden waarbij de rapportage direct aan de uitbestedende partij kan worden gegeven.
De tweede vraag is overigens mischien wel net zo belangrijk: wie besteedt er uit? En dan durf ik de stelling aan dat de meeste bedrijven minder kennis van security hebben dan een gespecialiseerde partij die de software kan laten ontwikkelen door daarvoor special opgeleide mensen die op de hoogte zijn van de laatste trends en bedreigingen.

De stelling dat 'organisaties die 90 procent van de softwareontwikkeling hebben uitbesteed, een kans van 40 procent hebben doelwit te worden van hackers' is erg kort door de bocht. Het riekt een beetje naar stemmingmakerij. Wie het onderzoek van Quocirca naleest, ziet dat deze conclusie anders geformuleerd is: 'Alle bedrijven die toegeven dat zij regelmatig gehackd worden, outsourcen een deel van hun softwareontwikkeling. Bijna 90 procent outsourct ruim 40 procent (van de softwareontwikkeling).' Daaruit blijkt niet dat het hacken een direct gevolg is van die 'ruim 40 procent' softwareonwikkeling buitenshuis. Men zou ook kunnen stellen: 'van de directeuren van bedrijven die 40% van hun softwareontwikkeling outsourct is xx% wel eens verkouden'. Is outsourcing dan ook een gevaar voor de volksgezondheid?
 
Het gevaar van hackers en andere bedreigingen is reeel, dat zal ik niet ontkennen. Dit gevaar schuilt echter in een korte termijndenken dat zo vaak de verkeerde basis is voor outsourcing. Dit geldt voor zowel outsourcers als opdrachtgevers. Erik Westhovens beschrijft dit hierboven heel mooi: 'Outsourcingbedrijven zien de opdracht als een methode om geld te verdienen, en het goed beveiligen van programma's kost veel extra geld, en dat gaat weer af van de winst'. Opdrachtgevers zien outsourcing ook als een methode om snel geld te verdienen, lees kosten te besparen. Dan blijkt goedkoop vaak duurkoop te zijn.
 
Outsourcing is naar mijn mening een oplossing voor probleem van het structurele tekort aan hoogopgeleide ICT-ers. Kostenbesparingen moeten daarom niet leidend zijn in een outsourcingscontract. De outsourcer dient een verlengstuk te zijn van de opdrachtgever en zich betrokken op te stellen. Het is dan ook essentieel dat er bij het ontwerpen van een blauwdruk duidelijke afspraken gemaakt worden over security. Deze moet het bedrijfsbeleid van zowel outsourcer als opdrachtgever in acht nemen, evenals wet- en regelgeving, ISO-standaarden en compliance-eisen. De software-architecten van ISDC in Roemeni? werken nauw samen met onze opdrachtgevers om alle service level requirements vast te leggen. Deze hebben hun weerslag in het ontwerp, het testen en het coderen. Beveiliging is daar een essentieel onderdeel van.
 
Het bovenstaande artikel gaat voorbij aan de belangrijkste conclusie die Quocirca zelf boven haar rapport zet: Organisaties die de beschikbare middelen gebruiken om de beveiliging van de applicaties die zij ontwikkelen te verbeteren geven minder uit aan het totale budget voor IT-beveiliging en zijn hierdoor minder kwetsbaar.

In de praktijk blijkt dat het bouwen van een applicatie niet per definitie hetzelfde is als het bouwen van een veilige applicatie. Dit geldt voor zowel applicaties die door bedrijven zelf zijn gebouwd, als voor applicaties die door derden in opdracht worden ontwikkeld. Over het algemeen gaat dus de stelling op dat tijdens het bouwproces onvoldoende aandacht bestaat voor het incorporeren van adequate beveiligingsmaatregelen in applicaties. Dit staat los van het fenomeen ?outsourcing?. Wel is het zo dat van professionele dienstverleners op het gebied van softwareontwikkeling mag, nee sterker nog moet worden verwacht dat zij zorg dragen voor een adequate beveiliging van de in opdracht ontwikkelde applicatie. Ik zou bovenstaand tips willen aanvullen met de volgende:
1 Neem vereisten ten aanzien van beveiliging op in functionele ? en technische specificaties.
2 Laat beveiligingsaspecten onderdeel uitmaken van de acceptatietesten.
3 Laat een onafhankelijke partij vaststellen of de beveiliging van de ontwikkelde applicatie aan de vereisten voldoet, alvorens deze in productie te nemen.