'Microsoft niet laten boeten voor lekke software'
Regelmatig wordt er geopperd om softwareontwikkelaars zoals Microsoft aansprakelijk te maken voor beveiligingslekken in hun producten, omdat dit tot veiligere software zou moeten leiden, maar er kleven ook risico's aan. Dat zegt Rik Ferguson van Trend Micro. Het idee is dat als softwareontwikkelaars moeten opdraaien voor gemaakte fouten, veilig programmeren een hogere prioriteit gaat.
Ferguson waarschuwt dat hierdoor de kosten van software stijgen, omdat ontwikkelaars allemaal verzekeringen moeten afsluiten, aangezien het bijna onmogelijk is om foutloze code te schrijven. De kosten hiervan worden vervolgens doorberekend aan de klant. Voor gratis software zou dit zelfs het einde kunnen betekenen.
Een tweede effect is dat consumenten met extra kosten te maken krijgen. Als een ontwikkelaar een nieuwe versie uitbrengt die lekken in een eerdere versie verhelpt, zou de juridische dekking niet meer voor de oude versie gelden. Consumenten die de ontwikkelaar aansprakelijk willen kunnen houden moeten dan ook naar de nieuwste versie upgraden.
Nalatigheid
Daarnaast zou de gebruikersovereenkomst al voldoende mogelijkheden bieden om een ontwikkelaar aan te pakken in het geval van nalatigheid. Ferguson merkt echter op dat de meeste incidenten het gevolg zijn van misbruik van beveiligingslekken waar al een patch voor beschikbaar is.
"Zelfs met fysieke goederen zoals een auto, is een leverancier niet verantwoordelijk om een potentieel levensgevaarlijke fout te verhelpen, alleen om een terugroepactie te organiseren en de noodzakelijke veranderingen te maken. Is het echt zo verschillend of je reageert op een terugroepactie of een patch installeert. Waar denk je dat in die gevallen de verantwoordelijkheid ligt?"
Nu krijgt de klant indirect de kosten op het bordje door noodupdates en ander extra werk wat wordt veroorzaakt door blijkbaar onveilig programmeren. En de vergelijking met de auto gaat weer lekker op. Een potentieel levensgevaarlijke fout in een auto wordt breed uitgemeten in de media en de garage neemt actief contact op met de klanten. Bij het gros van de ontwikkelaars staat er niet eens een waarschuwing op de site, laat staan dat de verkoper je op gaat bellen om je te vertellen dat je software potentieel levensgevaarlijk zou zijn. Zie je het al voor je? "Goedemorgen, met de V&D. Die laptop die u vorig jaar heeft gekocht etc..."
Prima, maar er moet iets veranderen en een boetesysteem is een prachtige stimulans voor ontwikkelaars en uitgevers om meer prio te geven aan communicatie en preventie. Nu zijn ze enkel geïnteresseerd in zo veel mogelijk centjes verdienen.
Die gebruikersovereenkomst sluit nu juist alle verantwoordelijkheid en mogelijke schadeclams uit.
Arnoud Engelfriet?
Als je nou naar M$ kijkt, dan is 100% van alle software die ze ooit gemaakt hebben kandidaat voor een 'terugroepactie'.
Verder is bij deze fabrikant gebleken dat 1 'terugroepactie' per 'model' nog nooit genoeg geweest is. En 10 ook niet.
Conclusie: het werk is veel slechter dan dat van een auto-fabrikant en die vergelijking gaat dus ook mank.
Nu krijgt de klant indirect de kosten op het bordje door noodupdates en ander extra werk wat wordt veroorzaakt door blijkbaar onveilig programmeren. En de vergelijking met de auto gaat weer lekker op. Een potentieel levensgevaarlijke fout in een auto wordt breed uitgemeten in de media en de garage neemt actief contact op met de klanten. Bij het gros van de ontwikkelaars staat er niet eens een waarschuwing op de site, laat staan dat de verkoper je op gaat bellen om je te vertellen dat je software potentieel levensgevaarlijk zou zijn. Zie je het al voor je? "Goedemorgen, met de V&D. Die laptop die u vorig jaar heeft gekocht etc..."
Prima, maar er moet iets veranderen en een boetesysteem is een prachtige stimulans voor ontwikkelaars en uitgevers om meer prio te geven aan communicatie en preventie. Nu zijn ze enkel geïnteresseerd in zo veel mogelijk centjes verdienen.
Dan schrijf je toch jouw eigen OS? Is vast en zeker perfect.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.