image

"Overheid bouwt onveiligste software"

vrijdag 16 maart 2012, 11:16 door Redactie, 4 reacties

Als het gaat om softwareontwikkeling leveren overheden de onveiligste websites en applicaties af. Dat blijkt uit onderzoek van Veracode. Het bedrijf onderzocht software van verschillende Amerikaanse sectoren, waaronder de federale overheid, banken en commerciële ontwikkelaars. Zo bleek dat slechts zestien procent van de webapplicaties die de Amerikaanse overheid liet ontwikkelen veilig is. In de financiële sector ging het om 24%, terwijl 28% van de commerciële software als veilig werd bestempeld. Worden de richtlijnen van SANS gebruikt, dan worden de verschillen nog groter. Dan blijkt dat 18% van de overheidsapplicaties veilig is, tegenover 28% bij de financiële sector en 34% van de commerciële software.

Reguleren
"De overheid doet voorkomen dat veiligheid een probleem van de commerciële sector is en dat ze iedereen gaan reguleren", zegt Chris Wysopal van Veracode. "Maar als je hiernaar kijkt, loopt de private industrie voor op de overheid."

Wordt er naar het soort kwetsbaarheden gekeken, dan blijkt dat 40% van de overheidsapplicaties vatbaar voor SQL Injection is. Bij de financiële industrie is dit 29% en bij de commerciële softwareontwikkelaars 30%. Cross-site scripting (XSS) werd bij 75% van de overheidsapplicaties aangetroffen, tegenover 67% bij de financiële industrie en 55% bij commerciële software.

Reacties (4)
16-03-2012, 11:31 door Anoniem
Dat is mijn ervaring ook.

Sterker nog. Je wil het niet weten hoe slecht. En als ik dan die berichten van ze zie...dikke pakken boter op hun hoofd.

Daar zijn zeer reeele risico's voor de Nederlandse burger in te onderkennen.

Maar ICTérs in de commerciele sector die voor de publieke sector werkzaamheden verrichten worden monddood gemaakt met geheimhouding clausules op straffe van gevangenisstraf.

En zo is het en niet anders. Punt!

Grondig doorlichten is geen wens maar een absolute must want dit kan echt niet zo langer meer.

En tip vd sluier begin met de belangrijkste instanties hier in Nederland.

Politiek Den Haag wordt wakker.

Zo en nu het meldpunt falende overheid zoeken.
16-03-2012, 12:00 door Wim ten Brink
Zo bleek dat slechts zestien procent van de webapplicaties die de Amerikaanse overheid liet ontwikkelen veilig is.
Met nadruk op "liet ontwikkelen"...

Overheden gaan vaak bezuinigen op de verkeerde kosten en huren dan ontwikkelaars in die goedkoper werken, maar een mindere kwaliteit afleveren. Veel van die ontwikkelaars gaan failliet indien ze aan het "normale" bedrijfsleven software zouden ontwikkelen omdat bedrijven veel strictere eisen hebben als het gaat om kwaliteit en beveiliging. Plus, bedrijven zijn sneller geneigd om een ontwikkelaar in gebreke te stellen indien de ontwikkelaar slecht werk aflevert.
16-03-2012, 15:57 door SirDice
Door WorkshopAlex:
Zo bleek dat slechts zestien procent van de webapplicaties die de Amerikaanse overheid liet ontwikkelen veilig is.
Met nadruk op "liet ontwikkelen"...

Overheden gaan vaak bezuinigen op de verkeerde kosten en huren dan ontwikkelaars in die goedkoper werken, maar een mindere kwaliteit afleveren. Veel van die ontwikkelaars gaan failliet indien ze aan het "normale" bedrijfsleven software zouden ontwikkelen omdat bedrijven veel strictere eisen hebben als het gaat om kwaliteit en beveiliging. Plus, bedrijven zijn sneller geneigd om een ontwikkelaar in gebreke te stellen indien de ontwikkelaar slecht werk aflevert.

Pay peanuts, get monkeys ;)
16-03-2012, 16:03 door Anoniem
Er zitten wat technische complicaties aan ICT-overheidsopdrachten. De overheid moet vanaf een bepaald bedrag aanbesteden.
Bij de aanbesteding moet vooraf bekeken worden welke sancties gepast zijn bij wanprestaties. Ook de kwalificatie "wat is een wanprestatie" en de bijbehorende sancties moeten voor de verlening van de opdracht helder zijn (dat kan een budget, dat kan een termijn, dat kan een software-versie, dat kan een "werkende koppeling" tussen applicatie A en applicatie B zijn). Deze controle op de levering moet ook verwerkt zijn in en bekend zijn bij de aanbesteding. Anders maakt de rechtbank gehakt van een claim.
Als een bedrijf ontevreden is, kan men "direct" stoppen met een ICT-leverancier en overstappen naar een ander. In het nieuwe contract zou dan meteen de ervaring "waar ging het fout" verwerkt zijn zodat een extra/nieuwe sanctie wordt bedacht als de leverancier niet dat levert wat wordt verwacht. Het claimen van een schade wordt gedaan nadat een afweging op kosten/baten is gemaakt van een gang naar de rechtbank.
Bij de overheid gaat een overstap meteen gepaard met a. een nieuwe aanbesteding of b. het benoemen van kandidaat 2 als leverancier. Helaas is bij a. de vertraging van de levering een vervelende factor (daarom wordt zo lang doorgemodderd met een gekozen leverancier). Optie b. is niet veel beter omdat in de eerder bekendgemaakte condities niet zomaar nieuwe wanprestatie-criteria kunnen worden toegevoegd. Dat kan alleen als de leverancier daarmee akkoord gaat.

Los van de kwestie overheid of bedrijfsleven, adviseer ik iedereen de voorwaarden van de ICT-leveranciers goed te lezen (die werken grotendeels in het voordeel van de leverancier). Als men het niet eens is met de voorwaarden, dan zouden bijv. artikel x/y/z ook niet van toepassing kunnen worden verklaard of men maakt eigen voorwaarden ...
De vraag is dan of een ICT-leverancier inschrijft bij een opdracht en een contract tekent als daarin hakblok+bijl genoemd worden. Het moet daarbij zakelijk en ook redelijk blijven.
Als een school met 700 ICT-gebruikers een opdracht zou geven waarin staat "binnen 1 weekend moet de migratie van de servers klaar zijn" - dan zijn opdrachtgever en ICT-bedrijf gezegend met "the force" of beiden naïef.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.