Leverancier moet beveiligingskosten dragen

27-03-2009 10:36 | Door Jolein de Rooij | Lees meer over het bedrijf: British Telecom | Er zijn 6 reacties op dit artikel | Permalink
geld loon salaris

Beveiligingslekken worden sneller gedicht als de ict-leveranciers er verantwoordelijk voor zouden worden gesteld. De wetgeving moet daar rekening mee houden en de aansprakelijkheid leggen waar hij hoort: bij de leverancier. Dat zegt beveiligingsexpert Bruce Schneier.

Zolang softwareleveranciers de financiële consequenties van slecht beveiligde software niet hoeven te dragen, hebben ze geen prikkel om hun software inherent veiliger te maken. De wetgeving moet daar rekening mee houden en de aansprakelijkheid leggen waar hij hoort: bij de leverancier. Dat zei beveiligingsexpert Bruce Schneier tijdens een lezing op de InfoSecurity-beurs in Brussel.

Volgens de chief security technology officer van BT zijn economische factoren van essentiële invloed op de beveiliging van ict. Leveranciers laten hun beveiligings-investeringen afhangen van een financiële risico-beoordeling: is het goedkoper om beveiligingsproblemen aan te pakken, of om niets te doen?  

Aansprakelijkheid

Hoe belangrijk aansprakelijkheid is, toonde Schneier met een vergelijking tussen de manier waarop banken in Amerika en Engeland zijn omgegaan met pinautomaat-fraude. Wanneer een klant zegt een bepaalde geldopname niet te hebben gedaan, moeten Amerikaanse banken het geld altijd terugstorten, tenzij ze kunnen bewijzen dat de klant het geld wel degelijk zelf heeft opgenomen. In Engeland ligt de bewijslast andersom. Daar moet de klant bewijzen dat de bank een fout heeft gemaakt. Dat heeft er volgens de beveiligingsexpert toe geleid dat in de VS banken veel meer hebben geïnvesteerd in maatregelen om pinautomaat-fraude te voorkomen.

Reacties op dit artikel
Geen ratingRonald Vermeij, 27-03-2009 12:20
Ik ben helemaal voor!
Geen ratingTuerlings, 27-03-2009 13:20
Vindt dit een belachelijk iets. Alles wat mensen maken kan gekraakt worden. Een bedrijf heeft ook een verantwoordelijkheid om zelf zaken te regelen. We zien steeds vaker dat de eigenverantwoordelijkheid afgeschoven wordt naar de leverancier. Deze zal daar gemakkelijk mee omgaan door een risicoopslag op haar produkten en diensten te zetten waardoor de projecten en producten minimaal 50 tot 60% duurder worden.
Geen ratingCarlo van Wordragen, 27-03-2009 14:26
Een interessant uitgangspunt. Immers, buiten de ICT-sector kennen we productaansprakelijkheid al.
Wanneer bijvoorbeeld de airbags van een auto slecht of niet functioneren, kan de autofabrikant aansprakelijk worden gesteld voor de gevolgschade.
 
Beveiliging en veiligheid in ICT-producten is vaak nog erg ver te zoeken. Een softwareleverancier is er vaak economisch bij gebaat om producten snel op de markt brengen, inclusief de known security lekken. Pas later komen de security patches. Die het bedrijfsleven enorm veel geld kosten allemaal te installeren.
Geen ratingPaul, 29-03-2009 16:41
Deels mee eens. Ik ben wel van mening dat leveranciers meer aan de securiy moeten doen. Hoe eerder zij security in de SDLC opnemen, des te minder is de financiele impact daarvan. Security in de requirementsfase voorkomt het ontwikkelen van patches achteraf. Deze patches zijn alleen maar extra kosten voor de leveranciers, dus de business case om security zo vroeg mogelijk in de SDLC te borgen is te maken.
 
Daarnaast denk ik dat de verantwoordelijk van de klant hiermee niet moet worden weggenomen.
 
Idee is bijvoorbeeld om bij regelgeving te eisen dat software geen SQL-injection of XSS lekken mag bevatten. Dit is te bepalen (door penttest of code review) en laat de verantwoordelijkheid van de klant nog bestaan.
 
Maar: security blijft een menselijke zaak (zowel aan de kant van de leverancier, klant en hacker) en dat blijft lastig te bevatten of in wet- en regelgeving vast te leggen.
 
Een voortrekkende rol van brancheverenigingen is wellicht ook een goed startpunt. Zij behartigen immers het belang van de leden en de leden zijn gebaat bij een veilige omgeving.
 

 

Geen ratingEvert, 30-03-2009 12:35
Als ze dit nu eens toepassen op Microsoft en Windows. Zouden we gelijk van al die virussen etc. af zijn.
Geen ratingAlf, 30-03-2009 14:56
Koren op de molen van de grote jongens. Geen kleine leveranciers meer, die durfen het niet meer aan of worden te duur vanwege de te hoge premies voor de verzekering om dit te dekken. De leverancier bij iedereen om de hoek zal verdwijnen. Alleen nog grote winkels die het aandurven om doozen met software of allen software te verkopen. Hoera hoera voor de monopolist!
 
3 vacatures
Security officer

Ministerie van Veiligheid en Justitie, Immigratie- en Naturalisatiedienst , Rijswijk ZH

Senior ICT-Beheerder

Gemeente Breda , Breda

Systeembeheerder Kantoorautomatisering

SURFsara , Amsterdam

Top 10 Reagerende members
  Aantal reacties
met 3+ sterren
Gemiddelde
waardering
Klik voor meer info1 1572 6.2
Klik voor meer info2 1305 6.0
Klik voor meer info3 1271 6.2
Klik voor meer info4 1072 6.2
Klik voor meer info5 993 6.1
Klik voor meer info6 901 6.1
Klik voor meer info7 755 6.2
Klik voor meer info8 524 6.1
Klik voor meer info9 405 6.2
Klik voor meer info10 399 6.0