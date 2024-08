De FBI roept bedrijven en organisaties op die een product of dienst zoeken om voor softwareleveranciers te kiezen die security vanaf het begin bij de ontwikkeling een prioriteit maakt, aangezien dit voor een veiliger softwarelandschap kan zorgen. Om organisaties hierbij te helpen heeft de Amerikaanse opsporingsdienst samen met het cyberagentschap CISA de 'Secure by Demand Guide' gepubliceerd.

"Softwareleveranciers willen graag de features leveren die klanten vragen, dus is het essentieel dat klanten als onderdeel van het aanbestedingsproces security eisen", zo stellen de diensten. Volgens de FBI en het CISA richten bedrijven bij de keuze voor een softwareleverancier zich vaak op de zakelijke beveiligingsmaatregelen van de leverancier, bijvoorbeeld het voldoen aan compliancestandaarden. "Hoewel enterprise security belangrijk is, moeten klanten ook kijken naar hoe een leverancier product security benadert", merken de diensten op.

Enterprise security gaat over de manieren waarop een bedrijf de eigen infrastructuur en operaties beschermt. Product security gaat over het leveren van veilige software die bestand tegen aanvallen is. "Er zijn veel compliancestandaarden die organisaties tijdens het aanbestedingsproces gebruiken die zich richten op enterprise security, andersom zijn er weinig die naar product security kijken", gaan de diensten verder.

Met het nu gepubliceerde adviesdocument willen de FBI en het CISA organisaties helpen zodat ze ook kunnen zien hoe een softwareleverancier met product security omgaat en 'secure by design' principes volgt. Tijdens verschillende fases van de aanbesteding zouden organisaties product security moeten meenemen, zowel voor, tijdens als na de aanbesteding.

Concreet kunnen bedrijven vragen stellen zoals of de softwareleverancier het eenvoudig maakt om updates te installeren, standaard multifactorauthenticatie biedt, niet met standaard wachtwoorden werkt, standaard logbestanden biedt en beleid heeft waarin staat hoe het met meldingen over kwetsbaarheden omgaat.