Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

CPB: maak leveranciers aansprakelijk voor softwarefouten

woensdag 6 juli 2016, 12:16 door Redactie, 15 reacties

Om de cyberveiligheid in Nederland te vergroten kunnen softwareleveranciers aansprakelijk worden gemaakt voor de schade die ontstaat uit softwarefouten, zo stelt het Centraal Planbureau in een vandaag verschenen rapport. Volgens het Planbureau neemt het risico op financiële cybercrime toe.

Het gaat dan om ransomware, phishing en andere vormen van cybercrime gericht op financieel gewin waar zowel eindgebruikers als bedrijven het slachtoffer van worden. Om de cyberveiligheid te vergroten ziet het Centraal Planbureau verschillende kansen. "Zo is het belangrijk de verantwoordelijkheid voor veiligheid neer te leggen bij de organisaties die daarvoor toegerust zijn. Dat is effectiever dan bijvoorbeeld van consumenten te eisen dat ze hun computers beveiligen, omdat zij vaak niet weten hoe de cybercriminelen van hun computers gebruik maken", aldus de organisatie.

Daarnaast wijst het erop dat softwareleveranciers aansprakelijk kunnen worden gemaakt voor de schade die ontstaat uit softwarefouten. "Onveilige software en onveilige digitale diensten blijven kansen bieden aan criminelen. Verkopers van software en digitale diensten hebben onvoldoende prikkels om te concurreren op de veiligheid van hun producten en beperken daarom hun aansprakelijkheid voor de deugdelijkheid van hun producten. Een wettelijk vereiste minimum productaansprakelijkheid kan verkopers een prikkel geven om de veiligheid van hun producten te vergroten", aldus het Planbureau in het rapport Risicorapportage Cyberveiligheid Economie (pdf).

Ook kan de overheid volgens het Centraal Planbureau slimmer gebruikmaken van ict, bijvoorbeeld door het beter naleven van de eigen beveiligingsstandaarden. Daarnaast wordt er gepleit om opsporingsdiensten de voordelen van ict beter te laten benutten, bijvoorbeeld door het instellen van één digitaal aangifteloket waar alle signalen van cybercrime met elkaar vergeleken kunnen worden. Uit cijfers van het CBS zou blijken dat 11% van de Nederlanders slachtoffer van cybercrime is geworden. Toch ontving de politie in de periode 2005 tot en met 2014 maar 16.000 aangiftes van computervredebreuk. In dezelfde periode van tien jaar werden 130 daders vanwege computervredebreuk bestraft door een rechter.

EU en NAVO gaan samenwerking op cybergebied versterken
Gebruikers Acer Cloud kwetsbaar door lek in Android-app
Reacties (15)
06-07-2016, 12:34 door karma4
Nu nog de malware op AD ruimte door derden noemen en de aansprakelijkheid gaat richting de juiste verantwoordelijken.
06-07-2016, 12:55 door Anoniem
Dit kan er alleen maar voor zorgen dat softwareleveranciers "fouten" gaat proberen te verbergen en niet openbaar maakt.

Een boete of aansprakelijkheid vind ik alleen kunnen als er sprake zou zijn van opzettelijk falen van QA of het niet fixen van reeds bekende bugs.
06-07-2016, 13:13 door Anoniem
Gaan we niet erg ver richting wat men in USA doet?

Als iets echt onbekend is (denk aan een voortvloeisel uit een typo die een buffer overflow toelaat) gaat dit wel ver.
Als het iets is dat de ontwikkel-club had kunnen weten (b.v. niet getest met een source-code scanner) dan is het denk ik wel terecht.

Iemand moet wel noemen wat het minimum is. Anders zal een leverancier alsnog zeggen: dat wisten we niet.

Kijk je b.v. naar websites met https://internet.nl en je zou dat het minimum noemen (feit voor overheid voor zover ik weet) dan lopen een hoop sites achter.
06-07-2016, 15:00 door Anoniem
Komt vanzelf als er meer doden vallen vanwege software bugs.
06-07-2016, 16:14 door Anoniem
Serieus? Is dit het beste wat het CPB kan verzinnen? Dat krijg je never nooit voor elkaar. Kijk naar de bergen met security updates die jaar in, jaar uit blijven uitkomen voor softwareproducten die al tien jaar mee draaien. Programmeer- en ontwerpfouten zijn ontzettend moeilijk om allemaal af te vangen. Dan zou Microsoft opeens 10x zoveel ontwikkelaars en 50x zoveel testers in dienst moeten nemen. Security is per definitie zwemmen tegen de stroom in, en privacy ook. Informatie delen zit ingebakken in het universum. Ik zou dan liever zeggen: wees voorzichtig met alles wat je digitaliseert. Geen electronisch patienten dossier bijvoorbeeld. Dat lost het niet op, maar maakt het wel lastiger. Voor de rest is het denk ik een zowat onoplosbaar probleem. We werken met van alles digitaal dat waarde heeft - informatie, betalingen, noem maar op - en er zijn altijd eikels die daar misbruik van proberen te maken.
06-07-2016, 16:24 door Anoniem
Ik vind het een goed plan : dan kan microsoft en adobe sluiten.
Zonder alernatief vind ik dit gebrul van niets.
06-07-2016, 16:50 door Anoniem
Door Anoniem: Dit kan er alleen maar voor zorgen dat softwareleveranciers "fouten" gaat proberen te verbergen en niet openbaar maakt.
Tegenwoordig heb je het internet, dingen "onder de pet houden" dat werkt niet zo goed meer.
06-07-2016, 17:16 door Anoniem
Door Anoniem: Ik vind het een goed plan : dan kan microsoft en adobe sluiten.
Zonder alernatief vind ik dit gebrul van niets.
Ieder softwarebedrijf kan sluiten, en wat denk je van hardware.
Geeft weer aan hoeveel verstand ze hebben van soft en hardware.
06-07-2016, 17:35 door karma4
Door Anoniem: Ik vind het een goed plan : dan kan microsoft en adobe sluiten.
Zonder alernatief vind ik dit gebrul van niets.
En open software blijft buiten Schot want er is geen levenancier? Dan wordt dat prijsschieten op je eigen voet.
06-07-2016, 17:42 door Rolfieo
Door Anoniem: Ik vind het een goed plan : dan kan microsoft en adobe sluiten.
Mee eens....

Als we dan alleen al eens nadenken over heartbleed.
Of dat iedereen die eens iets doet in OpenSource, zou dan aansprakelijk gesteld kunnen worden voor fouten in zijn code.

[/quote]Zonder alernatief vind ik dit gebrul van niets.[/quote]Helemaal mee eens. Dit valt volgens mij gewoon onder kijk mij eens hard schreeuwen zonder eigenlijk na te denken over waar ze werkelijk over praten.
Legacy code, welke nog steeds heel veel gebruikt wordt, waar soms niemand meer iets van weet. En er aan zitten, eigenlijk zeer lasten en kostbaar is + if it ain't broke, don't fix it. Maar wat als er ergens toch een foutje in zit.

Software bevat altijd fouten... klaar..... Je kunt en moet de fouten natuurlijk tot een minimum houden. En je zou de leverancier eigenlijk wel verantwoordelijk moeten houden om updates uit te brengen. Dat zou een betere oplossing zijn naar mijn gevoel. Maar dan komt ook de zelfde vraag weer terug..... Mag je van een leverancier verwachten dat die software van 10-14 jaar geleden ondersteund? Commercieel is dat eigenlijk weer niet te doen. Aan de andere kant, als klant kun je je software weer upgraden naar ondersteunde versies, welke wel weer door de leverancier ondersteund wordt.

Lastig puntje.....
06-07-2016, 19:43 door Anoniem
Beetje ondoordacht. Men kan beter uitgaan van dat als er een kwetsbaarheid in de software zit, de softwareleverancier een vastgestelde termijn de tijd krijgt om een patch aan te bieden. Gaat dit niet binnen de vastgestelde termijn, dán pas kan men actie ondernemen tegen de leverancier.

Het gaat wat ver om van huis uit te gaan dat softwarefouten en kwetsbaarheden op die manier afgestraft worden. Foutloze software maken is onmogelijk, laat staan waterdichte software. En hoe ga je gesloten software auditten dan als je geen toegang hebt tot de broncode? Wordt lastig. Maar repareren hoort een standaard onderdeel te worden van de serviceverlening. Binnen een vastgestelde tijdspanne worden de patches kosteloos geleverd, na een bepaalde periode betaal je voor extra ondersteuning. Inderdaad: zoals het nu gaat met garantiebepalingen.

Zo moeilijk hoeft het toch allemaal niet te zijn?
06-07-2016, 20:01 door Anoniem
Typisch een idee van een stel dwazen die nog geen flauw idee hebben van hoe het allemaal werkt...
Voor één op zichzelf staand apparaatje met niet teveel functies zal het nog wel lukken, maar de meeste computersytemen
zijn "door de mens geschapen wondertjes" die net als mensen hun gebreken hebben of kunnen krijgen.
07-07-2016, 14:25 door Anoniem
Als je iets anders dan software koopt en er staat in de gebruiksvoorwaarden dat de leverancier niet kan garanderen dat het gekochte juist werkt en ook kosteloos herstel van het gekochte bij fabricagefouten of vergoedingen van ontstane schade op voorhand afwijst, dan zou je nog wel een keer achter je oor krabben voor je dat koopt. Bij software lijkt dit echter de "normale" gang van zaken.
Als je vandaag de dag software oplevert die kwetsbaar is voor bv. SQL-injection of Cross Site Scripting, dan ben je prutser. En geen gewone prutser, maar een enorme prutser! Dit soort fouten en de oplossingen daarvoor zijn al zo lang bekend, dat iedere programmeur zijn ogen uit zijn kop moet schamen als hij/zij dit soort fouten maakt. Het zijn geen vergissingen meer, maar blunders. De programmeur heeft dan op meerdere plaatsen gefaald (in ieder geval gebrekkige input validation en output sanitation).
En ja, het is lastig om de verantwoordelijkheid bij één leverancier te leggen als de fout in de software van een service of library ligt die door een derde is geleverd. Maar toch is dat geen reden om dan maar onveilige software op te leveren. In vind dat leveranciers best wat meer aandacht mogen geven aan de veiligheid van hun software. Ik denk niet dat het haalbaar is om foutloze software te eisen, maar de veiligheid moet veel hoger kunnen dan nu vaak het geval is.
Tenslotte, dat hoeft helemaal niet te leiden tot duurdere code. Sterker, ik verwacht dat de code veelal goedkoper wordt. Immers, voor veilige code moet je eerst denken en dan pas coderen. Door validatie uit te voeren met standaard functies en routines, hoef je maar één keer na te denken en te coderen en die functies dan hergebruiken. Dat is niet zo'n nieuw en origineel idee, want in de jaren 80 van de vorige eeuw was dit de "mode".
07-07-2016, 16:31 door ph-cofi
Ik denk dat dit juridisch niet gaat werken als de software producten door leveranciers zijn gemaakt van buiten de EU? Het gaat dus alleen maar werken als de gebruikers uitsluitend binnen de EU gemaakte software gebruiken? Wat vinden de gebruikers daarvan?
08-07-2016, 09:24 door Anoniem
@ph-cofi: bij auto's van buiten de EU werkt het juridisch ook. En bij smartphones en medicijnen en gloeilampen en kleding en ... waarom dan niet bij software?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search

Smartengeld bij misbruik persoonsgegevens moet de regel zijn:

7 reacties
Aantal stemmen: 613
Image
Vacature
Vacature

Junior specialist OSINT

Ben jij enthousiast en leergierig en wil je het cybercrimeteam Oost Nederland verder helpen in de aanpak van digitale criminaliteit? We zijn op zoek naar een junior specialist Open Source Intelligence (OSINT). Weet jij de digitale wereld van buiten naar binnen te halen? Dan is deze functie iets voor jou!

Lees meer
Kan de AVG ook als middel tegen oneerlijke concurentie worden ingezet?
24-02-2021 door Arnoud Engelfriet

Juridische vraag: ik las in het FD dat concurrenten de AVG niet tegen elkaar in konden zetten. Maar het is toch oneerlijke ...

6 reacties
Lees meer
Certified Secure LIVE Online training
De verkiezingsprogramma's doorgelicht: Deel 4 digitalisering
20-02-2021 door Redactie

Een digitaal paspoort, recht op een betaalbare en snelle internetverbinding, 'digitale inburgering' of digitaal stemmen, het ...

8 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter