security / Nieuws
Leverancier moet beveiligingskosten dragen
Beveiligingslekken worden sneller gedicht als de ict-leveranciers er verantwoordelijk voor zouden worden gesteld. De wetgeving moet daar rekening mee houden en de aansprakelijkheid leggen waar hij hoort: bij de leverancier. Dat zegt beveiligingsexpert Bruce Schneier.
Zolang softwareleveranciers de financiële consequenties van slecht beveiligde software niet hoeven te dragen, hebben ze geen prikkel om hun software inherent veiliger te maken. De wetgeving moet daar rekening mee houden en de aansprakelijkheid leggen waar hij hoort: bij de leverancier. Dat zei beveiligingsexpert Bruce Schneier tijdens een lezing op de InfoSecurity-beurs in Brussel.
Volgens de chief security technology officer van BT zijn economische factoren van essentiële invloed op de beveiliging van ict. Leveranciers laten hun beveiligings-investeringen afhangen van een financiële risico-beoordeling: is het goedkoper om beveiligingsproblemen aan te pakken, of om niets te doen?
Aansprakelijkheid
Hoe belangrijk aansprakelijkheid is, toonde Schneier met een vergelijking tussen de manier waarop banken in Amerika en Engeland zijn omgegaan met pinautomaat-fraude. Wanneer een klant zegt een bepaalde geldopname niet te hebben gedaan, moeten Amerikaanse banken het geld altijd terugstorten, tenzij ze kunnen bewijzen dat de klant het geld wel degelijk zelf heeft opgenomen. In Engeland ligt de bewijslast andersom. Daar moet de klant bewijzen dat de bank een fout heeft gemaakt. Dat heeft er volgens de beveiligingsexpert toe geleid dat in de VS banken veel meer hebben geïnvesteerd in maatregelen om pinautomaat-fraude te voorkomen.
- ‘Bedrijven bezuinigen op beveiliging’
- Bruce Schneier: beveiliging wordt lastiger
- Bedrijven breken beveiliging af
- Wie wordt de nieuwe minister van Informatiebeveiliging?
- Beveiligingswereld loopt achter de feiten aan
- Betere beveiliging begint bij ontwikkeling
- ‘Software moet beveiligingskeurmerk krijgen’
Wanneer bijvoorbeeld de airbags van een auto slecht of niet functioneren, kan de autofabrikant aansprakelijk worden gesteld voor de gevolgschade.
Beveiliging en veiligheid in ICT-producten is vaak nog erg ver te zoeken. Een softwareleverancier is er vaak economisch bij gebaat om producten snel op de markt brengen, inclusief de known security lekken. Pas later komen de security patches. Die het bedrijfsleven enorm veel geld kosten allemaal te installeren.
Daarnaast denk ik dat de verantwoordelijk van de klant hiermee niet moet worden weggenomen.
Idee is bijvoorbeeld om bij regelgeving te eisen dat software geen SQL-injection of XSS lekken mag bevatten. Dit is te bepalen (door penttest of code review) en laat de verantwoordelijkheid van de klant nog bestaan.
Maar: security blijft een menselijke zaak (zowel aan de kant van de leverancier, klant en hacker) en dat blijft lastig te bevatten of in wet- en regelgeving vast te leggen.
Een voortrekkende rol van brancheverenigingen is wellicht ook een goed startpunt. Zij behartigen immers het belang van de leden en de leden zijn gebaat bij een veilige omgeving.
- 14:05 Subsidie voor ICT-opleiding blijkt niet populair
- 14:15 ICT'er vindt flexwerken belangrijk
- 13:28 Virusprobleem AZM is nog niet opgelost
- 14:23 Juniper en ProCurve winnen terrein op Cisco
- 13:03 Bouw & ICT 2010: CORA zingt rond
- 10:58 Bedrijven krijgen subsidie voor ICT-opleidingen
- 10:49 Siemens versimpelt zijn ICT-divisie
- 10:33 Leeuwarden zoekt testers voor Drupal-site
- 17:36 Eurlings zet tender Kilometerheffing stop
- 15:59 Ook studentinformatiesysteem UvA is vertraagd
Tijd om de Firewall te repareren
In de laatste decenia, het toegenomen volume aan internet content, bedreigingen en applicaties op het bedrijfsnetwerk......
Computable Events - Security
Computable organiseert verschillende events met praktijkgerichte informatie over actuele onderwerpen in de ICT:
Webcast Security | 10-04-08SonicWall komt met nieuwe security producten
19-03 10:30 SonicWall, specialist in beveiliging van netwerkinfrastrucuren, introduceert de nieuwe Firewall NSA E8500. Daarnaast komt het bedrijf met nieuwe oplossingen voor grote...
Security productenTransparante systeemtoegang voor 17.000 UWV-medewerkers
16-07 11:15 Het moet de nachtmerrie zijn van elke informatiebeveiliger: de toegang regelen van 17.000 medewerkers tot de systemen van een organisatie waarin ruim 22 miljard euro per jaar...
Security praktijkOp veilige manier kunnen anywhere-ken
15-02 17:44 Steeds meer bedrijven kijken naar het nieuwe werken. De opkomst ervan wordt dan ook veel vanuit leveranciers, maar ook vanuit overheden, gestimuleerd. Termen als 'efficiënter...
Security achtergrondSaaS verhoogt noodzaak host-based intrusion protection-systeem
11-03 11:09 Network-based intrusion prevention/detection-systemen op de perimeter van het netwerk zijn inmiddels voor vele organisaties gemeengoed geworden. Maar waar blijft de acceptatie van...
Security opinie


