Stel leveranciers aansprakelijk voor beveiliging
Gepubliceerd: Woensdag 12 maart 2008
Auteur: Bruce Schneier
Informatiebeveiliging kost ons miljarden. Het probleem is dat het geld dat we eraan uitgeven het probleem niet oplost. We betalen wel, maar blijven zitten met onveiligheden.
Informatiebeveiliging kost ons miljarden. We betalen ervoor in diefstal: diefstal van informatie, financieel. We betalen ervoor in productiviteitsverlies, op het moment dat het netwerk ermee ophoudt en op al die momenten dat we kleine storende ongemakken moeten verduren. We betalen ervoor wanneer we beveiligingsproducten en -diensten moeten kopen om de andere twee verliezen te verkleinen. We betalen voor beveiliging, jaar na jaar.
Het probleem is dat al het geld dat we eraan uitgeven het probleem niet oplost. We betalen wel, maar we blijven nog steeds zitten met onveiligheden.
Het probleem ligt in onveilige software. Slecht ontwerp, slecht geïmplementeerde onderdelen, onvoldoende tests en veiligheidslekken door softwarefouten. Wanneer we geld uitgeven aan beveiliging, betalen we eigenlijk voor de gevolgen van onveilige software.
En dat is nou precies het probleem. Het feit dat we betalen zorgt er niet voor dat de veiligheid van de onderliggende software beter wordt. We betalen voor het bestrijden van het probleem, niet voor een oplossing.
Veiligheidslekken oplossen
De enige manier om dit op te lossen is wanneer leveranciers hun software beter maken en dat zullen ze niet doen zolang het niet financieel aantrekkelijk is voor hen.
Vandaag de dag worden de kosten van onveilige software niet gedragen door de leveranciers die de code produceren. In economische termen heet dit een 'externaliteit', de kosten van een besluit worden gedragen door andere mensen dan degenen die het besluit namen.
Er zijn geen harde consequenties voor leveranciers wanneer ze slechte software of software van mindere kwaliteit afleveren. Sterker nog, de markt beloont lage kwaliteit vaak. Om precies te zijn, het beloont extra features en een vroege release, ook als dit ten koste gaat van de kwaliteit.
Als we verwachten dat softwareleveranciers minder features bouwen, de ontwikkelcycli verlengen en investeren in veilige ontwikkelprocessen, moet dat voor hen financieel interessant zijn. Wanneer we verwachten dat bedrijven een belangrijke hoeveelheid tijd en geld steken in hun eigen netwerkbeveiliging - vooral in de beveiliging van hun klanten - dan moet dat ook in hun financiële voordeel zijn.
Aansprakelijkheid
Een wet op aansprakelijkheid is een manier om dat voordeel te creëren. Door het risico op aansprakelijkheid te verhogen, worden de kosten verhoogd wanneeer het fout gaat en daardoor zal een CEO sneller meer geld willen investeren om het goed te doen. Security is risicomanagement; aansprakelijkheid raakt de risicorekensom.
We moeten de risicobalans zo veranderen dat CEO's het probleem willen aanpakken en het geven van druk op zijn jaarcijfers is de beste manier om dat te doen.
Natuurlijk is het geen kwestie van alles of niets. Er zijn veel partijen betrokken bij een typische software-aanval. Zo is daar het bedrijf dat de kwetsbare software verkocht. Daarnaast is er de persoon die de aanvals-tool schreef. De aanvaller zelf, die de tool gebruikte om in een netwerk binnen te dringen. Dan is er nog de eigenaar van dat netwerk, die de taak heeft om dat netwerk te verdedigen. Het is niet reëel om de verantwoordelijkheid volledig bij de leverancier te leggen, maar ook niet bij de netwerk-eigenaar of degene die de aanval uitvoerde. Vreemd genoeg komt 100 procent van de kosten vandaag de dag direct voor rekening van de netwerkeigenaar, en dat moet stoppen.
We zullen altijd blijven betalen voor beveiliging. Softwareleveranciers zullen aansprakelijkheidskosten doorberekenen aan ons. Dat hoeft niet noodzakelijkerwijs goedkoper te zijn dan wat we nu betalen. Maar zolang we toch betalen, kunnen we beter betalen voor een oplossing van het probleem. Door de leverancier te dwingen om te betalen voor de oplossing en die kosten door te berekenen, betekent dat het probleem in ieder geval uiteindelijk wordt opgelost.
Aansprakelijkheid verandert alles. Op dit moment is er geen reden voor een softwarebedrijf om niet feature na feature na feature aan te bieden. Aansprakelijkheid dwingt zo'n bedrijf om nog eens na te denken voordat ze iets veranderen. Aansprakelijkheid dwingt softwarebedrijven om de data te beschermen die hen is toevertrouwd. Aansprakelijkheid betekent dat zij die in de beste positie verkeren om het probleem op te lossen, ook daadwerkelijk verantwoordelijk zijn voor de oplossing.
Informatiebeveiliging is geen technisch probleem, het is een economisch probleem. En de manier om dat te verbeteren is om het economische probleem op te lossen. Doe dat en al het andere zal volgen.
Bruce Schneier is een bekent cryptograaf en expert in de computerbeveiliging. Hij schreef diverse boeken over cryptografie en is oprichter en chief technology officer van Counterpane, een onderdeel van BT.
De rubriek Opinie biedt ruimte aan opvattingen uit de markt over actuele ontwikkelingen in de ICT. De meningen en opvattingen in het bovenstaande artikel zijn voor rekening van de auteur, en komen niet noodzakelijk overeen met de meningen en opvattingen van de redactie. U kunt opinies aan Webwereld aanbieden door deze te mailen naar redactie@webwereld.nl. De redactie behoudt zich het recht voor om opinies zonder overleg te redigeren, te weigeren en/of in te korten.
