'Softwaremakers mogen aansprakelijkheid voor fouten niet langer afdoen met disclaimers'

Easterly wil dat de (Amerikaanse) overheid het softwareleveranciers onmogelijk maakt zich te verschuilen achter leveringsvoorwaarden als het gaat om de aansprakelijkheid voor brakke software. In de software-industrie is het 'ship now, fix later'-principe standaard geworden. Dat heeft geleid tot vele maandelijkse patchrondes om ontdekte kwetsbaarheden te repareren. Die aanpak speelt spionage en criminelen in de kaart. Easterly pleitte tijdens een voordracht aan de Carnegie Mellon Universiteit - waar The Register over bericht - dat de overheid technologieleveranciers aansprakelijk moet stellen voor die risico's.

Een eenvoudige manier om dat te doen, is door bij wet te verbieden dat technologieleveranciers in hun leveringsvoorwaarden opnemen dat ze niet aansprakelijk zijn voor de gevolgen van fouten in hun software. Er zouden hogere standaarden moeten worden ingesteld voor softwarekwaliteit en -onderhoud, met name waar het gaat om kritieke infrastructuur. Voor technologieleveranciers die zich houden aan deze standaarden, zou een safe harbor framework moeten worden ontwikkeld om hun aansprakelijkheid af te schermen.

Prioriteiten moeten veranderen

Ze erkent dat het niet mogelijk is om alle kwetsbaarheden in software te voorkomen. Maar nu ligt het accent bij de technologieleveranciers te veel op kosten, nieuwe eigenschappen en snelle marktintroductie. Dat moet veranderen, vindt Easterly. Veilig gebruik van software moet veel hoger op de agenda. Ze noemde als voorbeeld dat Microsoft veel te weinig inzet op het standaard gebruik van multifactor authentication. Apple doet dat bijvoorbeeld veel beter, waardoor 95%van de iCloud-gebruikers MFA toepast. Bij de enterpriseklanten van Microsoft ligt het percentage MFA-toepassers op 25%. Slecht een derde van de admins gebruikt MFA.

CISA hamert onder leiding van Easterly al langer op het gebruik van beschikbare technologie die toepassingen aantoonbaar veiliger maakt, zoals de inzet van ontwikkeltalen als Rust Go, Python en Java in plaats van C en C++.