Onduidelijkheid over (open source) software componenten leiden tot meer vragen

In September 2021 al berichtte de pers over een “executive order” van de Amerikaanse president als antwoord op de toenemende dreigingen van cyber terroristen. Fouten in software leidden er regelmatig toe dat honderdduizenden organisaties hun volledige softwarestack moeten controleren op specifieke (open source) modules met een specifiek patch-level. Dat moest vooral snel, in ieder geval voordat aanvallende partijen er misbruik van konden maken. De oplossing lijkt simpel: iedere applicatie moet vergezeld gaan met een Bill of Material (BOM) waarin precies staat uit welke modules de software is opgebouwd.

Maar niets in de wereld van IT is simpel. Hoe wordt de BOM bijvoorbeeld bijgewerkt als er patches, updates en nieuwe versies worden geïnstalleerd en wat gebeurt er als verschillende applicaties gebruik maken van hetzelfde component maar alleen goed functioneren met verschillende patch-levels van dat specifieke component? Daarnaast moeten er vragen beantwoord worden over verantwoordelijkheden, garanties, boetes en aansprakelijkheid en of de eis voor een BOM voor alle software geldt of alleen voor bedrijf kritische software.

Software van derden

Er bestaat (bijna) geen commerciële- of open source applicatie meer waar geen gebruik wordt gemaakt van software van derden. Vaak wordt open source software gebruikt om specifieke functionaliteit in te vullen, soms commerciële software en in beide gevallen kunnen ook die componenten weer gebruik maken van software van derden. 97% van de, in 2021, gecontroleerde 2.409 codebases1 bevatte open source code dus er is wel degelijk een uitdaging. Koppel dat met de sterk toegenomen risico’s van zeer professionele cyber criminelen die ransomware en/of diefstal van gevoelige data als miljoenen business hebben ontdekt en de urgentie van dit probleem is duidelijk.

Risicomanagement

Risicomanagement gebeurt op twee fronten: Allereerst moet gekeken worden welke software echt in eigen beheer gehouden (moet) worden. Voor deze software is het handmatig bijhouden van een BOM per applicatie geen optie en geautomatiseerde oplossingen zijn alleen mogelijk als bijvoorbeeld de SWID (Software Identification Tagging) een initiatief van NIST en/of Software Package Data Exchange van The Linux Foundation geadopteerd worden door iedereen. Dus ook de open source communities waar maar 3 of 4 members zich actief inzetten. Iedere softwarebouwer zal zich aan strikte regels moeten houden die nodig zijn om geautomatiseerde oplossingen hun werk te laten doen.

De tweede optie is natuurlijk om zoveel mogelijk software als SaaS oplossing te gebruiken omdat het beheer en de inhoud van een BOM dan de verantwoordelijkheid van de SaaS leverancier en/of cloud provider zijn.

Er breken spannende tijden aan: welke organisaties gaan de eis voor een BOM als onderdeel van de selectie- of aanbestedingsprocedure meenemen en hoe gaat zo’n eis zorgen voor eerlijke concurrentie tussen aanbieders van software? Dat auditors, met het oog op de steeds toenemende risico’s van aanvallen door cybercriminelen, een belangrijke stem hebben in deze ontwikkeling mag duidelijk zijn. Van softwareleveranciers wordt nu eindelijk verwacht dat zij hun verantwoordelijkheid nemen en niet langer de druk bij de gebruikers van hun software neerleggen.

We are the digital integration people

The Digital Integration People van Enable U hebben al jaren ervaring in het bouwen en beveiligen van integraties tussen verschillende applicaties en systemen. Van DigID koppelingen tot specifieke koppelingen voor het onderwijs, van landelijke overheidsvoorzieningen die door grote- en kleine gemeentes gebruikt worden tot koppelingen waar iedere Nederlander bijna wekelijks gebruik van maakt. Wij kunnen uw integratie-en security uitdagingen oplossen op een manier die voor u het beste is. Zodat de druk op uw eigen staf zal afnemen en zij zich kunnen richten op het oplossen van al die andere IT uitdagingen die u nog overhoudt.

Lees meer op onze website over (API) Security, de voordelen van Managed Services binnen uw Security Automation strategie, of neem contact met ons op via +31 (0)20 716 3866