"Onveilige ontwikkelaars moeten belasting betalen" *update*
Bedrijven die onveilige en buggy software op de markt brengen moeten door middel van een belasting "gestraft" worden, want alleen zo kan men ontwikkelaars aansprakelijk stellen. Het idee is afkomstig van David Rice, auteur van "Geekconomics: The Real Cost of Insecure Software". volgens Rice kost slecht geprogrammeerde software alleen al in de Verenigde Staten 180 miljard dollar per jaar, en heeft het vergaande gevolgen, zoals een neerstortende Boeing 757 in 1996, de grote elektriciteitsstoring van 2003 en niet te vergeten computercriminaliteit.
Door ontwikkelaars belasting te laten betalen, zouden klanten meer voor software moeten gaan betalen, maar die programma's zouden dan minder buggy zijn. "Op dit moment voelen mensen niet de sociale kosten van onveilige software. Dat probeert mijn voorstel te veranderen", aldus Rice.
Net als normale fabrikanten minder belasting betalen om "groener" te worden, zou een ontwikkelaar van programma's met schonere code voordeliger uit zijn. Op die manier zou ook de consument niet met de doorberekende belasting te maken krijgen, waardoor het voor consumenten loont om veilige software aan te schaffen.
Update 5/12
David Rice gaf ons de volgende reactie:
Hi. I'm David Rice, and no I wasn't drunk when I wrote this, nor was I on
XTC. I hope to high heaven that I'm not an idiot, either.
I apologize for writing in English since my Dutch is rather poor (or more
accurately non-existent). Wow. The translation for this did not come out
correctly so I understand why everyone on the list is so upset. The
translation I received was "insecure developers must pay taxes." This isn't
entirely accurate.
The idea behind a "vulnerability tax" is the same idea behind carbon taxes.
Pollution is an inevitable part of manufacturing. It is almost impossible to
produce an item without creating some form of pollution. The answer is not
to stop manufacturing as this makes everyone worse off. So what nations
around the world have done, including Europe, is to tax pollution.
Vulnerabilities are treated in the same manner. Since perfect software is
not possible, and vulnerabilites are in fact inevitable, we simply treat
vulnerabilities like we treat pollution: inevitable, but actionable. We can do
something to positively affect climate change and we can do something to
combat insecure software.
Not only would software manufacturers be taxed for producing "pollution"
but so too would consumers who chose to purchase insecure software.
This promotes (and rewards) software manufacturers that make better
software instead of what the market does now, which is reward defect-
laden software. Those software manufacturers that create less
vulnerabilites pass on less tax to the consumer.
WIll this make software more expensive at time of purchase? Absolutely.
But software is enormously expensive after the fact. Why complain about
Vista costing 1000EUR when it costs you an extraordinary amount to
protect it from exploitation? The problem with software is not that it is
expensvie...it is that it is not expensive enough.
The same reason is applied to carbon emitting vehicles. The problem with
cars is not that they are expensive, but that they are not expensive enough
to drive. So people drive and fill the atmosphere with carbon, "taxing" us all.
A carbon tax simply lets people feel the social cost of driving as well as off-
setting the expense of environmental damage. Does it fix everything? Of
course not. But it helps.
I hope my response comes out correctly in translation. My apologies if it
does not. I appreciate your discussion on this list am glad you feel strongly
about this.
Had hij aan de hasj-pijp gezeten? XTC-pilletje misschien?
Dit leid nergens naartoe. Alleen naar meer belastingen voor de consument
en meer inkomsten voor de overheid.
opvolger van Windows Vista zeker EUR 1000 kosten of zo?
Hoe 'buggy' moet de software zijn om in aanmerking te komen
voor die 'bugtax'?
produkten te leveren. Bovenstaand voorbeeld slaat nergens op. Je krijgt
dan bug-testers die het aantal bugs naar boven moeten halen, niet om
vervolgens de software veiliger te maken, maar om de belastingaanslag te
kunnen berekenen ?
Wanneer je ontwikkelaars wilt prikkelen, dan zorg je daarvoor door middel
van liability, waardoor de ontwikkelaars verantwoordelijk kunnen worden
gehouden door schade ondervonden door een slechte security-
architectuur.
Bijkomend voordeel bij liability is dat bedrijven zich hiertegen willen
indekken, middels verzekeringen. De verzekeringen zullen hierop inspelen,
en zullen op hun beurt eisen stellen welke controleerbaar zijn via audits.
Deze combinatie kan produkten veiliger maken, zelfs overigens wat
bijvoorbeeld op gebied van financiele verantwoording gedaan is in de VS
via de Sarbanes-Oxley act, en wat aanzienlijke gevolgen heeft voor de
bedrijfsvoering.
software moeten gaan betalen, maar die programma's zouden dan minder
buggy zijn. "Op dit moment voelen mensen niet de sociale kosten van
onveilige software. Dat probeert mijn voorstel te veranderen", aldus Rice."
Zolang je dit soort kosten direct kun afwenden op de consument door
middel van een simpele prijsverhoging, dan gaat dit natuurlijk nooit
werken. Dat wil zeggen niet voor de veiligheid van het product, de
staatskas heeft er wel baat bij.
uiterste is zeker zo ridicuul.
Ik vind dat er ook slechtweerbelasting ingevoerd moet worden. En extra
heffing op spaarlampen die minder uren meegaan dan de verpakking zeg.
Milieiheffing op verf die te snel verkleurd. Terrorismebelasting lijkt mij ook
wat, om de kosten van anti-terrorisme te betalen. En spitsheffing op auto's
van mensen die op tijd op hun werk moeten zijn. En vallendblad belasting,
om de bladblazers van de gemeentereiniging te bekostigen....
Wat is het nieuws, waarde redactie? Dat er een minder begaafde persoon
in de VS een boek heeft geschreven? Die hebben we hier ook, maar ik
geef toe, die worden hier zelden daadwerkelijk gedrukt.....
We betalen best al meer dan een beetje.
En iedereen hier weet hoe de overheid met
automatiseringbudgetten omgaat.
Men zou ook kunnen kiezen voor een kleine
belastingcompensatie voor het gebruik van veilig(gekeurd)e
soft- en hardware.
Of korting op de verzekeringspremie.
Maar hoe wordt dan bepaald welke hard- en software 'uit de
doos' veilig is?
is?"
Daartoe is de overheid nauwelijks in staat. Daarnaast is dit ondoenlijk,
omdat er niet objectief vast te stellen is welke software en hardware er
wordt gebruikt, immers is dit geen constante, maar is dit continu aan
verandering onderhevig.
Wie gaat dag na dag controleren wat voor software en hardware mensen
gebruiken, om vervolgens steeds maar weer de belastinggegevens aan te
passen ?
Of het nou gaat om belonen of om straffen, dit is een gebied waarin de
belastingdienst helemaal niets te zoeken heeft, en waarin die organisatie
ook niet de benodigde competenties heeft.
XTC. I hope to high heaven that I'm not an idiot, either.
I apologize for writing in English since my Dutch is rather poor (or more
accurately non-existent). Wow. The translation for this did not come out
correctly so I understand why everyone on the list is so upset. The
translation I received was "insecure developers must pay taxes." This isn't
entirely accurate.
The idea behind a "vulnerability tax" is the same idea behind carbon taxes.
Pollution is an inevitable part of manufacturing. It is almost impossible to
produce an item without creating some form of pollution. The answer is not
to stop manufacturing as this makes everyone worse off. So what nations
around the world have done, including Europe, is to tax pollution.
Vulnerabilities are treated in the same manner. Since perfect software is
not possible, and vulnerabilites are in fact inevitable, we simply treat
vulnerabilities like we treat pollution: inevitable, but actionable. We can do
something to positively affect climate change and we can do something to
combat insecure software.
Not only would software manufacturers be taxed for producing "pollution"
but so too would consumers who chose to purchase insecure software.
This promotes (and rewards) software manufacturers that make better
software instead of what the market does now, which is reward defect-
laden software. Those software manufacturers that create less
vulnerabilites pass on less tax to the consumer.
WIll this make software more expensive at time of purchase? Absolutely.
But software is enormously expensive after the fact. Why complain about
Vista costing 1000EUR when it costs you an extraordinary amount to
protect it from exploitation? The problem with software is not that it is
expensvie...it is that it is not expensive enough.
The same reason is applied to carbon emitting vehicles. The problem with
cars is not that they are expensive, but that they are not expensive enough
to drive. So people drive and fill the atmosphere with carbon, "taxing" us all.
A carbon tax simply lets people feel the social cost of driving as well as off-
setting the expense of environmental damage. Does it fix everything? Of
course not. But it helps.
I hope my response comes out correctly in translation. My apologies if it
does not. I appreciate your discussion on this list am glad you feel strongly
about this.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer
Grijp deze unieke kans voor carrière-ontwikkeling in informatiebeveiliging! Bij Esri bouw je vertrouwensrelaties op en help je zowel ons als onze klanten veiligere technologie te gebruiken. Ben jij de ervaren Security Officer die energie krijgt van werken in 'twee werelden'? Solliciteer dan nu!
Security Specialist Malware
NCSC
Zit cybersecurity diep in je DNA? Heb jij het in je om op het moment dat het er echt toe doet samen met je collega’s tot de juiste (technische) oplossing te komen? Als security specialist malware bij het Nationaal Cyber Security Centrum (NCSC) doe jij er alles aan om de impact van digitale dreigingen te verminderen en incidenten tegen te gaan.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!