Download whitepapers, case studies
en onderzoeken over ICT-onderwerpen
Computable IT Knowledge Base
   Dagelijks het laatste
ICT-nieuws in je inbox?
Computable e-mail nieuwsbrief
Winnaar Lof-prijs Vakinformatie 2009

Home pijltje ICT Topics pijltje Security pijltje Nieuws

security / Nieuws

27-03-2009 10:36 | Door Jolein de Rooij | Tags: Beveiliging, Software | Gerelateerde bedrijven: British Telecom | Er zijn 6 reacties op dit artikel | Permalink

Leverancier moet beveiligingskosten dragen

geld loon salaris

Beveiligingslekken worden sneller gedicht als de ict-leveranciers er verantwoordelijk voor zouden worden gesteld. De wetgeving moet daar rekening mee houden en de aansprakelijkheid leggen waar hij hoort: bij de leverancier. Dat zegt beveiligingsexpert Bruce Schneier.

Zolang softwareleveranciers de financiële consequenties van slecht beveiligde software niet hoeven te dragen, hebben ze geen prikkel om hun software inherent veiliger te maken. De wetgeving moet daar rekening mee houden en de aansprakelijkheid leggen waar hij hoort: bij de leverancier. Dat zei beveiligingsexpert Bruce Schneier tijdens een lezing op de InfoSecurity-beurs in Brussel.

Volgens de chief security technology officer van BT zijn economische factoren van essentiële invloed op de beveiliging van ict. Leveranciers laten hun beveiligings-investeringen afhangen van een financiële risico-beoordeling: is het goedkoper om beveiligingsproblemen aan te pakken, of om niets te doen?  

Aansprakelijkheid

Hoe belangrijk aansprakelijkheid is, toonde Schneier met een vergelijking tussen de manier waarop banken in Amerika en Engeland zijn omgegaan met pinautomaat-fraude. Wanneer een klant zegt een bepaalde geldopname niet te hebben gedaan, moeten Amerikaanse banken het geld altijd terugstorten, tenzij ze kunnen bewijzen dat de klant het geld wel degelijk zelf heeft opgenomen. In Engeland ligt de bewijslast andersom. Daar moet de klant bewijzen dat de bank een fout heeft gemaakt. Dat heeft er volgens de beveiligingsexpert toe geleid dat in de VS banken veel meer hebben geïnvesteerd in maatregelen om pinautomaat-fraude te voorkomen.

Gerelateerde artikelen
Reacties op dit artikel
Ronald Vermeij, 27-03-2009 12:20
Ik ben helemaal voor!
Tuerlings, 27-03-2009 13:20
Vindt dit een belachelijk iets. Alles wat mensen maken kan gekraakt worden. Een bedrijf heeft ook een verantwoordelijkheid om zelf zaken te regelen. We zien steeds vaker dat de eigenverantwoordelijkheid afgeschoven wordt naar de leverancier. Deze zal daar gemakkelijk mee omgaan door een risicoopslag op haar produkten en diensten te zetten waardoor de projecten en producten minimaal 50 tot 60% duurder worden.
Carlo van Wordragen, 27-03-2009 14:26
Een interessant uitgangspunt. Immers, buiten de ICT-sector kennen we productaansprakelijkheid al.
Wanneer bijvoorbeeld de airbags van een auto slecht of niet functioneren, kan de autofabrikant aansprakelijk worden gesteld voor de gevolgschade.
 
Beveiliging en veiligheid in ICT-producten is vaak nog erg ver te zoeken. Een softwareleverancier is er vaak economisch bij gebaat om producten snel op de markt brengen, inclusief de known security lekken. Pas later komen de security patches. Die het bedrijfsleven enorm veel geld kosten allemaal te installeren.
Paul, 29-03-2009 16:41
Deels mee eens. Ik ben wel van mening dat leveranciers meer aan de securiy moeten doen. Hoe eerder zij security in de SDLC opnemen, des te minder is de financiele impact daarvan. Security in de requirementsfase voorkomt het ontwikkelen van patches achteraf. Deze patches zijn alleen maar extra kosten voor de leveranciers, dus de business case om security zo vroeg mogelijk in de SDLC te borgen is te maken.
 
Daarnaast denk ik dat de verantwoordelijk van de klant hiermee niet moet worden weggenomen.
 
Idee is bijvoorbeeld om bij regelgeving te eisen dat software geen SQL-injection of XSS lekken mag bevatten. Dit is te bepalen (door penttest of code review) en laat de verantwoordelijkheid van de klant nog bestaan.
 
Maar: security blijft een menselijke zaak (zowel aan de kant van de leverancier, klant en hacker) en dat blijft lastig te bevatten of in wet- en regelgeving vast te leggen.
 
Een voortrekkende rol van brancheverenigingen is wellicht ook een goed startpunt. Zij behartigen immers het belang van de leden en de leden zijn gebaat bij een veilige omgeving.
 

 

Evert, 30-03-2009 12:35
Als ze dit nu eens toepassen op Microsoft en Windows. Zouden we gelijk van al die virussen etc. af zijn.
Alf, 30-03-2009 14:56
Koren op de molen van de grote jongens. Geen kleine leveranciers meer, die durfen het niet meer aan of worden te duur vanwege de te hoge premies voor de verzekering om dit te dekken. De leverancier bij iedereen om de hoek zal verdwijnen. Alleen nog grote winkels die het aandurven om doozen met software of allen software te verkopen. Hoera hoera voor de monopolist!
 
Nieuws
Voeg het Computable ICT-nieuws toe aan uw iGoogle-paginarss
Meer nieuws
rssMeer Security
Security Whitepapers

Vul het gat tussen bedrijfsverwachtingen en IT-mogelijkheden

Door de groei van het internet en het aantal toepassingen (bijvoorbeeld databescherming en applicatiebeschikbaarheid),......

Security whitepapers

Computable Events - Security

event

Computable organiseert verschillende events met praktijkgerichte informatie over actuele onderwerpen in de ICT:

Webcast Security | 10-04-08
Security Opinie

ISO 27001: cloudbeveiliging

08-02 21:21   Wanneer een organisatie gebruik gaat maken van de nieuwe mogelijkheden van cloud computing heeft dit veel gevolgen, ook voor de ISO 27001-certificering. In deze analyse wordt aan...

Security opinie
Security Producten

Simpana geschikt voor de cloud

05-02 11:56   CommVault voorziet zijn Simpana-software van een geïntegreerde cloud-storageverbinding. Hiermee kunnen klanten back-up- en archiefdata op locatie veilig, betrouwbaar en...

Security producten
Security Praktijk

Transparante systeemtoegang voor 17.000 UWV-medewerkers

16-07 11:15   Het moet de nachtmerrie zijn van elke informatiebeveiliger: de toegang regelen van 17.000 medewerkers tot de systemen van een organisatie waarin ruim 22 miljard euro per jaar...

Security praktijk
Security Achtergrond

Kaspersky Benelux: 'We komen er hoe dan ook uit'

05-02 13:57   Er is veel gezegd en geschreven over het conflict tussen Kaspersky Lab Benelux en het Russische hoofdkantoor van Kaspersky. De modder vloog over en weer en beide kemphanen hebben...

Security achtergrond
Computable IT directory
Pinewood Automatisering BV
Delft
Pinewood Automatisering is specialist in netwerk- en databeveiliging. Onze focus ligt op securit...Toon details
ZyXEL Communications BV
Hoofddorp
ZyXEL is ‘s werelds grootste DSL router leverancier en loopt bovendien voorop als het gaat om de...Toon details
Replica Data Security
Utrecht
Replica Data Security biedt oplossingen voor het beveiligen van documenten tegen uitval en inbreuk op mobiele...Toon details
Vind meer bedrijven op IT Directory.nl
VNU Media Bluedome Computable.nl is onderdeel van VNU Media, uitgever van o.a.:
NationaleVacaturebank.nl / Intermediair / Intermediair voor Starters / Banen.nl / CompanyRating / IntermediairPW / HRbase.nl / Financebase.nl / Overheidscircuit.nl / InInterim.nl / InOverheid.nl / InIct.nl / IT Directory.nl / Computable / CRN / Tweakers.net / Koopinfo / IT Knowledge Base /

Abonneren / Adverteren / Disclaimer / Privacy / Alle rechten voorbehouden © 1995-2010 VNU Media