Nieuws / Security

Home pijltje Alle Artikelen pijltje Nieuws pijltje Security

Leverancier moet beveiligingskosten dragen

27-03-2009 10:36 | Door Jolein de Rooij | Lees meer over het bedrijf: British Telecom | Er zijn 6 reacties op dit artikel | Permalink
geld loon salaris

Beveiligingslekken worden sneller gedicht als de ict-leveranciers er verantwoordelijk voor zouden worden gesteld. De wetgeving moet daar rekening mee houden en de aansprakelijkheid leggen waar hij hoort: bij de leverancier. Dat zegt beveiligingsexpert Bruce Schneier.

Zolang softwareleveranciers de financiële consequenties van slecht beveiligde software niet hoeven te dragen, hebben ze geen prikkel om hun software inherent veiliger te maken. De wetgeving moet daar rekening mee houden en de aansprakelijkheid leggen waar hij hoort: bij de leverancier. Dat zei beveiligingsexpert Bruce Schneier tijdens een lezing op de InfoSecurity-beurs in Brussel.

Volgens de chief security technology officer van BT zijn economische factoren van essentiële invloed op de beveiliging van ict. Leveranciers laten hun beveiligings-investeringen afhangen van een financiële risico-beoordeling: is het goedkoper om beveiligingsproblemen aan te pakken, of om niets te doen?  

Aansprakelijkheid

Hoe belangrijk aansprakelijkheid is, toonde Schneier met een vergelijking tussen de manier waarop banken in Amerika en Engeland zijn omgegaan met pinautomaat-fraude. Wanneer een klant zegt een bepaalde geldopname niet te hebben gedaan, moeten Amerikaanse banken het geld altijd terugstorten, tenzij ze kunnen bewijzen dat de klant het geld wel degelijk zelf heeft opgenomen. In Engeland ligt de bewijslast andersom. Daar moet de klant bewijzen dat de bank een fout heeft gemaakt. Dat heeft er volgens de beveiligingsexpert toe geleid dat in de VS banken veel meer hebben geïnvesteerd in maatregelen om pinautomaat-fraude te voorkomen.

Plaats dit artikel op LinkedIn
Plaats dit artikel op Twitter
Reacties op dit artikel
Geen ratingRonald Vermeij, 27-03-2009 12:20
Ik ben helemaal voor!
Geen ratingTuerlings, 27-03-2009 13:20
Vindt dit een belachelijk iets. Alles wat mensen maken kan gekraakt worden. Een bedrijf heeft ook een verantwoordelijkheid om zelf zaken te regelen. We zien steeds vaker dat de eigenverantwoordelijkheid afgeschoven wordt naar de leverancier. Deze zal daar gemakkelijk mee omgaan door een risicoopslag op haar produkten en diensten te zetten waardoor de projecten en producten minimaal 50 tot 60% duurder worden.
Geen ratingCarlo van Wordragen, 27-03-2009 14:26
Een interessant uitgangspunt. Immers, buiten de ICT-sector kennen we productaansprakelijkheid al.
Wanneer bijvoorbeeld de airbags van een auto slecht of niet functioneren, kan de autofabrikant aansprakelijk worden gesteld voor de gevolgschade.
 
Beveiliging en veiligheid in ICT-producten is vaak nog erg ver te zoeken. Een softwareleverancier is er vaak economisch bij gebaat om producten snel op de markt brengen, inclusief de known security lekken. Pas later komen de security patches. Die het bedrijfsleven enorm veel geld kosten allemaal te installeren.
Geen ratingPaul, 29-03-2009 16:41
Deels mee eens. Ik ben wel van mening dat leveranciers meer aan de securiy moeten doen. Hoe eerder zij security in de SDLC opnemen, des te minder is de financiele impact daarvan. Security in de requirementsfase voorkomt het ontwikkelen van patches achteraf. Deze patches zijn alleen maar extra kosten voor de leveranciers, dus de business case om security zo vroeg mogelijk in de SDLC te borgen is te maken.
 
Daarnaast denk ik dat de verantwoordelijk van de klant hiermee niet moet worden weggenomen.
 
Idee is bijvoorbeeld om bij regelgeving te eisen dat software geen SQL-injection of XSS lekken mag bevatten. Dit is te bepalen (door penttest of code review) en laat de verantwoordelijkheid van de klant nog bestaan.
 
Maar: security blijft een menselijke zaak (zowel aan de kant van de leverancier, klant en hacker) en dat blijft lastig te bevatten of in wet- en regelgeving vast te leggen.
 
Een voortrekkende rol van brancheverenigingen is wellicht ook een goed startpunt. Zij behartigen immers het belang van de leden en de leden zijn gebaat bij een veilige omgeving.
 

 

Geen ratingEvert, 30-03-2009 12:35
Als ze dit nu eens toepassen op Microsoft en Windows. Zouden we gelijk van al die virussen etc. af zijn.
Geen ratingAlf, 30-03-2009 14:56
Koren op de molen van de grote jongens. Geen kleine leveranciers meer, die durfen het niet meer aan of worden te duur vanwege de te hoge premies voor de verzekering om dit te dekken. De leverancier bij iedereen om de hoek zal verdwijnen. Alleen nog grote winkels die het aandurven om doozen met software of allen software te verkopen. Hoera hoera voor de monopolist!
 
Meer Nieuws
Volg het Computable ICT-nieuws via TwitterVoeg het Computable ICT-nieuws toe aan je iGoogle-paginaAbonneer je op de Computable ICT-nieuws RSS-feed

10-02   Infor helpt Ferrari met bouwen F1-auto's

10-02   Tester Four Oaks in Israëlische handen

10-02   IS Online en Tres zijn klaar voor Elfstedentocht

10-02   SecureLink migreert Microsoft-diensten Atradius

Aantal reacties
11

10-02   Nieuwe software brengt Vitens in problemen

10-02   Ex-Misys-topman moet CSC uit penarie helpen

10-02   Veenman en 20/20 vision adviseren samen klant

10-02   Cisco maakt 2,2 miljard dollar kwartaalwinst

10-02   Misys en Temenos willen fuseren

10-02   Raet stelt Schrijnemaekers als nieuwe CFO aan

Meer Security
rss

10-02  SecureLink migreert Microsoft-diensten Atradius

09-02  Vodafone: Wij spelen klantinformatie niet door

09-02  Lang leve de hackers!

Aantal reacties
2

09-02  'Ook met cookiewet is gebruiker niet anoniem'

Aantal reacties
1

09-02  'KPN koppelt ID aan internetverkeer'

Aantal reacties
4

08-02  'Nieuwe cookiewet is eenvoudig te omzeilen'

Aantal reacties
3

07-02  Eigen werknemer kan ook een vijand zijn

Aantal reacties
9

03-02  'Overheid vreest voor veiligheid in de cloud'

01-02  F5 beschermt openbare websites

31-01  Publieksvoorlichting is belangrijke taak voor NCSC
Gerelateerde artikelen
Aantal reacties
2

06-10-09  ‘Bedrijven bezuinigen op beveiliging’

27-03-09  Bruce Schneier: beveiliging wordt lastiger

Aantal reacties
7

16-03-09  Bedrijven breken beveiliging af

26-02-09  Wie wordt de nieuwe minister van Informatiebeveiliging?

Aantal reacties
1

20-01-09  Beveiligingswereld loopt achter de feiten aan

Aantal reacties
2

06-10-08  Betere beveiliging begint bij ontwikkeling

Aantal reacties
1

17-09-08  ‘Software moet beveiligingskeurmerk krijgen’

Security whitepapers

Best Practices om laptop-data te beschermen

In een tijd waarin steeds meer werknemers mobiel hun werk doen en de hoeveelheid data exponentieel toeneemt, is......

Top 10 Reagerende members
  Aantal reacties
met 3+ sterren		Gemiddelde
waardering
Klik voor meer info1 153 6.4
Klik voor meer info2 119 6.6
Klik voor meer info3 109 6.4
Klik voor meer info4 79 6.6
Klik voor meer info5 53 6.1
Klik voor meer info6 49 6.3
Klik voor meer info7 47 6.5
Klik voor meer info8 43 6.1
Klik voor meer info9 43 6.0
Klik voor meer info10 40 6.3
VNU Media Computable.nl is onderdeel van VNU Media, uitgever van o.a.:
NationaleVacaturebank.nl | Intermediair | IntermediairPW | Carrièregids.nl | CompanyRating | NationaleStagebank.nl | Banen.nl | HRbase.nl | HRdirectory.nl | Financebase.nl | InIct.nl | InInterim.nl | InOverheid.nl | Overheidscircuit.nl | Computable | CRN | IT Knowledge Base | Tweakers.net | Recruitmentbloggers

Sitemap | Abonneren | Adverteren | Algemene voorwaarden | Disclaimer | Privacy | Alle rechten voorbehouden © 1995-2012 VNU Media