Raad: softwaremaker schiet tekort in beveiliging

Onderzoeksraad voor Veiligheid presenteert rapport: ‘Kwetsbaar door software’

Dit artikel delen:

Softwareleveranciers dragen een grote verantwoordelijkheid bij het verbeteren van de digitale veiligheid. Er moet beter worden samengewerkt om grote aanvallen te voorkomen. Bovendien moet Europa dwingender optreden door strengere kwaliteitseisen te stellen aan de producten van softwarebedrijven. Dat staat in de aanbevelingen van de Onderzoeksraad voor Veiligheid die gisteren het rapport ‘Kwetsbaar door software’ publiceerde.

In dat rapport stelt de raad dat ingrijpen hard nodig is om de digitale veiligheid te vergroten. De Nederlandse aanpak van digitale veiligheid moet 'snel en fundamenteel' veranderen om te voorkomen dat de maatschappij ontwricht raakt door cyberaanvallen.

Het onafhankelijke bestuursorgaan onderzocht beveiligingslekken die ontstonden bij duizenden organisaties door kwetsbaarheden in software van Citrix (eind 2019). Daardoor drongen criminelen en statelijke actoren diep door in de netwerken van grote bedrijven, een situatie die in sommige gevallen nog steeds plaatsvindt. De raad nam in de nasleep van het Citrix-lek het hele mechanisme van beveiliging en samenwerkingen tussen leveranciers, klanten en overheden onder de loep.

‘Veilige software is allereerst de verantwoordelijkheid van de fabrikant’, stellen de onderzoeker onder aanvoering van voorzitter Jeroen Dijsselbloem. Ze vinden dat fabrikanten meer zouden moeten investeren om de veiligheid van software voortdurend te verbeteren.

Patches

"Fabrikanten overstelpen softwaregebruikers met patches,, maar dat is geen structurele oplossing"

‘Fabrikanten overstelpen softwaregebruikers nu met patches en updates om gebreken in hun software te verhelpen zonder met structurele oplossingen te komen. Er zijn geen instrumenten die afnemers van software onafhankelijk inzicht bieden in de veiligheid van de software’, schrijven ze. Ook schiet de eigen kennis en positie van afnemers vaak tekort om zelf eisen te stellen aan fabrikanten en veiligere software af te dwingen, of zien zij daar het belang niet van in.

De raad is ook kritisch over de rol van het Nationaal Cyber Security Centrum (NCSC). ‘Veel organisaties die software gebruiken en potentieel slachtoffer zijn van cyberaanvallen worden nu niet gewaarschuwd. Het NCSC ziet voor zichzelf wettelijk geen mandaat om organisaties buiten de overheidsdiensten en vitale organisaties te waarschuwen.’

Het is volgens de Onderzoeksraad van groot belang dat er vanuit de overheid een centrale aanpak komt om dreigingen te signaleren en alle potentiële slachtoffers van cyberaanvallen zo snel en direct mogelijk te waarschuwen, met voldoende mandaat en wettelijke waarborgen.

Aanbevelingen

Volgens de onderzoekers moeten fabrikanten, overheden en organisaties samen tot een effectieve aanpak komen om Nederland weerbaarder te maken tegen cybercriminaliteit. ‘Dit vraagt van fabrikanten dat zij de veiligheid van hun software voortdurend en fundamenteel verbeteren.’

De Onderzoeksraad voor Veiligheid doet de aanbeveling om op Europees niveau kwaliteitseisen aan software te stellen om softwarefabrikanten te dwingen verantwoordelijkheid te nemen voor de veiligheid van hun product. Ook adviseert de raad overheden en het bedrijfsleven hun krachten te bundelen. ‘Door samen te werken kunnen ze hun positie richting softwarefabrikanten versterken en hun schaarse expertise beter benutten.’

Om de politiek meer slagkracht te geven, moet er één bewindspersoon en één centrale dienst komen die toeziet op digitale veiligheid. Nu is die verantwoordelijkheid te veel versnipperd, vinden de onderzoekers. Ook beveelt het orgaan aan dat grotere bedrijven en organisaties wettelijk worden verplicht om verantwoording af te leggen over de wijze waarop zij hun digitale veiligheid beheersen.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden
Nieuwsbrief

Wil je dagelijks op de hoogte gehouden worden van het laatste ict-nieuws, trends en ontwikkelingen? Abonneer je dan op onze gratis nieuwsbrief.

Vul een geldig e-mailadres in

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2021-12-17T10:34:00.000Z Pim van der Beek
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.