image

"Straf leveranciers van onveilige producten"

zaterdag 11 oktober 2014, 07:40 door Redactie, 6 reacties

Bedrijven en leveranciers die onveilige producten aanbieden zouden moeten worden gestraft. Dat stelt James Lyne, hoofd onderzoek bij het Britse anti-virusbedrijf Sophos, in een interview met Security.NL. Veel van de huidige problemen ontstaan volgens hem omdat "safe by default" niet de standaard is.

Lyne kocht onlangs een groot aantal producten via internet. "Ze hadden lekken die in 2004 gênant waren, maar nu gewoon grof nalatig zijn." Zo stond remote toegang via het internet ingeschakeld en werden er standaard inloggegevens gebruikt. Zeven van de twaalf beveiligingscamera's die Lyne kocht waren nog steeds kwetsbaar voor de Heartbleed-bug. "Het is gewoon troep", laat hij gefrustreerd weten.

Dat bedrijven wordt toegestaan om zich zo te gedragen is volgens de onderzoeker een groot falen in het juridische en vertrouwenssysteem. Er moet dan ook serieus worden overwogen om bedrijven te straffen die zich niet aan basale beveiligingsstandaarden houden merkt Lyne op. "Deze bedrijven zijn nalatig ten opzichte van hun klanten en veel gebeurt er niet."

Vrije markt

Consumenten zouden in de vrije markt bedrijven die onveilige producten aanbieden kunnen afstraffen, maar volgens Lyne werkt de vrije markt niet in het belang van de consument. "We hebben systematisch gefaald om consumenten voldoende te onderwijzen om geïnformeerde beslissingen te kunnen maken." Daardoor kiest de consument voor de goedkoopste producten en gelooft alle marketingverhalen.

Lyne kijkt ook naar de beveiligingsindustrie, die er onvoldoende in is geslaagd om consumenten voldoende te waarschuwen welke producten veilig zijn en welke niet. Daardoor kunnen nalatige bedrijven die onveilige producten aanbieden hun marktaandeel vergroten ten koste van veilige oplossingen. Om de situatie op te lossen zou een econoom eraan kunnen werken of kan het via regelgeving worden opgelost merkt hij op.

"Op dit moment doen we onvoldoende en dit soort technologie wordt overal gebruikt. De huidige markt van consumentenkeuze doet zijn werk niet." Lyne vergelijkt het aanbieden van onveilige producten met het verkopen van voedsel waar mensen voedselvergiftiging van krijgen. In dit geval treedt de gezondheidsautoriteit op en sluit het restaurant of de winkel tot het probleem is opgelost.

Wat betreft buitenlandse goederen die kwetsbaarheden bevatten zouden landen, net zoals bijvoorbeeld in het geval van een uitbraak van de gekke koeienziekte, hun grenzen moeten sluiten totdat het probleem is verholpen. De onderzoeker erkent dat het nog wel even kan duren voordat deze situatie werkelijkheid wordt. In de tussentijd pleit hij voor een "naming en shaming" aanpak, waarbij onderzoekers zoveel mogelijk apparaten als mogelijk onderzoeken en bugs verantwoord melden, om vervolgens de leveranciers die niet of onverantwoord reageren aan de schandpaal te nagelen.

Reacties (6)
11-10-2014, 08:27 door Anoniem
Klinkt als iemand met gezond verstand...
M.a.w. dit zou al normaal moeten zijn, maar blijkbaar is er niemand met de relevante bevoegdheid die dit afdwingt, of ook maar af wil dwingen...
11-10-2014, 08:33 door tarunjj
Goed idee. Dan zou er een soort Keuringsdienst van Internetapparatuur moeten komen.
11-10-2014, 12:21 door Anoniem
Keuringsdienst van Internetapparatuur, dat klinkt goed.

Zeg maar: KEMA keur voor veiligheid.

Geen 100% garantie, maar dat het in iedergeval voldoet aan b.v. OWASP-top 10 volgens een externe auditor.

En als er dan toch fouten inzitten ben je niet financieel aansprakelijk mits je het binnen een doe-bare periode fixed, anders wel.

Zeg ICT-jurist Arnoud Engelfriet, zou dit juridisch vandaag al kunnen?
13-10-2014, 14:19 door Ramon.C - Bijgewerkt: 13-10-2014, 14:20
Dhr.Lyne heeft gelijk.. Ze worden arrogant de grote leveranciers.
17-10-2014, 11:52 door _R0N_
Hij heeft helemaal gelijk, net als dat Navigatie leveranciers verplicht zijn tenminste 1 update van de kaarten te leveren zouden leveranciers van netwerk spul (in de ruimste zin van het woord) op zijn minst verplicht moeten zijn te zorgen dat de boel veilig is op de dag van aanschaf.
17-10-2014, 16:00 door Anoniem
pleit hij voor een "naming en shaming" aanpak

Laten we het eerst netjes houden en beginnen met informeren door direct een vraag stellen aan James Lyne Sophos via security.nl

@ James Lyne, Sophos

Consumers appreciate safe products.
A product can be considered when it prevents users from digital harm, privacy harassment, digital evil doers and so on.

In this article we read that companies that offer unsafe products should be punished according to Sophos.
Inspired by the august 2014 blackhat presentation of CIA Dan Geer?
Code of Hammurabi paragraph, http://geer.tinho.net/geer.blackhat.6viii14.txt .
Following those consumer protecting thoughts that are more than welcome, a few questions to Sophos.

Questions to Sophos

Is Sophos offering products that consumers can consider as safe to use?

Does Sophos has a reasonable and acceptable explanation that the company is listed on these Wikileaks pages, https://wikileaks.org/The-Spyfiles-The-Map.html
Country, UK.
Where Sophos as a company is listed between many spying companies and marked as a company that is considered active on internet monitoring.
Active monitoring civillians?
Active monitoring activities by using the products offered to consumers?

In what way should consumers consider Sophos products as safe?

Could Sophos explicitly state that they are not involved with the activities as suggested on the wikileaks pages and therefor make a statement to consumers that Sophos products are safely to use and to trust?
Safe and to trust as seen from a consumer perspective.

Real trust and no consumers doubts are probably the best advertisement a security company can get.

Best Regards
a security.nl reader
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.