Beheer

Security
oog - controle

Toch maar overheidsbemoeienis?

Hoe krijgen we softwareleveranciers tot het bouwen van veilige code?

4 november 2016

Het idee is vaker geopperd: softwareleveranciers moeten maar eens veilige software gaan opleveren. Zorgplicht wordt dat genoemd.

Voorstanders wijzen op andere sectoren. Van een autoleverancier wordt ook een veilige auto verwacht, en er zijn keuringsinstituten die daar op moeten toezien. Als het voor auto’s kan, dan moet het toch ook mogelijk zijn om leveranciers aan te spreken op producten die vanwege software niet veilig zijn.

Het probleem komt duidelijk naar voren bij het Internet of Things botnet, Mirai. Het is hackers gelukt om vele honderdduizenden apparaatjes bij mensen thuis te hacken en die in te zetten om grote internetdiensten zoals Twitter uit te schakelen. De apparaten die we thuis gebruiken, zoals netwerk disks en camera’s, hebben vaak standaard of soms helemaal geen wachtwoorden. Ze hangen wel allemaal aan het internet en hackers weten ze volledig over te nemen en opdrachten te geven om websites uit de lucht te schieten. En dat raakt ons allemaal.

We zijn gewend dat bij grote security problemen vrij snel patches verschijnen waarmee we onze software weer veilig kunnen maken. Helaas werkt dat niet zo makkelijk bij IoT apparaatjes. Vaak hebben ze niet eens een mogelijkheid voor updates of hebben de eigenaren geen idee hoe ze een update moeten doorvoeren, als daar al zin in hebben. Want hoeveel last hebben ze er zelf van? Maar dat zou met de grootschalige DDoS-aanvallen die we nu hebben gezien drastisch kunnen veranderen.

Afdwingen dan maar

Hoe lossen we dan dit probleem op? Moeten we de fabrikanten toch maar een aantal zaken gaan afdwingen? Gegarandeerd veilige software maken kan niemand, maar afdwingen dat dat er een update mogelijk is en een gebruiker verplichten het wachtwoord te wijzigen kan wel degelijk. Ik was er altijd op tegen om regels op te leggen aan leveranciers. Mijn weerstand zat er vooral in dat ik het onrealistisch vind om af te dwingen dat producten niet te hacken zijn. Maar een automatisch updatemechanisme, en geen standaardwachtwoorden moeten we toch wel kunnen afdwingen in het belang van ons allemaal?

 

Reactie toevoegen