Overheid moet onveilige ontwikkelaars financieel aanpakken
Veel van de problemen op beveiligingsgebied worden veroorzaakt door beveiligingslekken in populaire software programma's. Neem bijvoorbeeld Apple dat dit jaar 243 kwetsbaarheden verhielp. Terwijl bedrijven complete automatiseringsafdelingen moeten inhuren om het netwerk veilig te houden, kunnen ontwikkelaars rustig achterover leunen. En dat is een van de problemen waarom de huidige beveiligingsproblemen niet verdwijnen. Ontwikkelaars voelen niet de "pijn" van hun slechte producten en nemen hiervoor ook geen verantwoordelijkheid.
En daar kan de overheid een belangrijke rol in spelen. Tegenwoordig probeert men op alle vlakken positief gedrag te bemoedigen. Denk aan subsidies voor groene producenten, keurmerken en stickers die de consument bewust van hun aankoop moeten maken. Net zoals een fabrikant ondeugdelijke producten terugroept of klanten een vergoeding geeft, moeten ook software ontwikkelaars dit doen.
Als onveilige ontwikkelaars extra heffingen moeten betalen, terwijl veilige programmeurs juist uit dit potje een flinke subsidie en andere voordelen krijgen, loont het voor de markt om betere software af te leveren. Zo kan men regels voorstellen voor audit processen, of hoeveel beveiligingslekken een programma maximaal mag hebben. Alleen als het de ontwikkelaars iets oplevert of kost zullen ze de lang gewenste verantwoordelijkheid tonen. Onze stelling luidt derhalve: Overheid moet onveilige ontwikkelaars financieel aanpakken
duurder, doordat er extra beveiligingsmaatregelen nodig
zijn. Ik zie niet in waarom de markt zichzelf niet zou
kunnen regelen, zonder dat de politiek z'n daadkracht weer
publiekelijk moet bewijzen.
En zo is men weer een stap dichterbij om OSS ontwikkelaars
af te schrikken en de OSS gemeenschap de nek kan omdraaien.
TT
Dit gaat echt nooit lukken.
Zoizo moeten dan alle les programma's op scholen worden
aangepakt (moet sowieso). Bedrijven moeten security cussesen
gaan geven.
Dit zou echt de IT wereld op z'n kop zetten.
Maar een keurmerk zie ik wel zitten, zowel voor bedrijven als zelfstandigen. Die kun je dan weer wel beboeten als blijkt dat men zich niet aan de regels van het keurmerk heeft gehouden.
aanpakken
worden ze vanzelf ontslagen . .zo niet, dan heeft hij een
slechte baas. Welke debiel bedenkt al jullie stellingen ??
Software heeft dezelfde marktwerking als alle andere
goederen/diensten. Rotzooi leveren betekent vanzelf je
ondergang.
Als de stelling zou kloppen, waarom ontslaan jullie je
designer niet ?? Die heeft nog steeds niet begrepen dat als
ik hier inlog, ik niet naar mijn persoonlijke instellingen
wil gaan, maar alleen maar wil inloggen.
te denken dat de overheid beter dan wie ook eender welk
probleem kan aanpakken ?
willen laten kloppen terwijl er voor 20 euro werk aan zit....
producten wel afstraft door gewoonweg dergelijke producten
niet te gebruiken: de praktijk wijst anders uit.
Je zou zeggen dat de consument c.q. de markt matige
producten wel afstraft door gewoonweg dergelijke producten
niet te gebruiken: de praktijk wijst anders uit.
Er moet wel een alternatief zijn voor de werzaamheden die je uitvoert.
De vorige stelling geeft een beter pad naar marktwerking, gebruik/eis open
standaarden zodat je kunt switchen wanneer je dat mogelijk acht. Dit moet
voornamelijk uit de markt zelf komen.
Bij ons is het ondertussen een standaard eis bij nieuwe specifieke
software, helaas is het niet altijd mogelijk om hieraan te voldoen. maar
blijven vragen, ook na de aanschaf van niet 'open' oplossingen.
wetsvoorstel wat ik kan goedkeuren in dit kabinet. :-)
http://www.officeprograms.nl/glb_wat_is_backend_frontend.htm
Hamelen
Werkt wel en racf is duur maar je kunt ook alles dicht zetten.
En de databases zijn dus ook racf beveiligd als je dat wil ;)
Kost wat maar dan hedde ok wat
Gelijk maar elke ontwikkelaar beboeten die een foutje maakt
vind ik wat ver gaan. Zo draai je ook de
"onafhankelijke" ontwikkelaar de nek om. Niemand
durft meer wat te maken.
Maar een keurmerk zie ik wel zitten, zowel voor bedrijven
als zelfstandigen. Die kun je dan weer wel beboeten als
blijkt dat men zich niet aan de regels van het keurmerk
heeft gehouden.
In een ideale wereld ben ik het volledig met je eens.
ik heb echter gesproken met een ontwikkelaar in logistieke
software, en die gaf aan dat zij alleen functionaliteit
testen, om de time-to-market zo kort mogeijk te houden.
Security was een non issue. Gevolg: Alle gegevens van
transportbedrijven worden onversleuteld verstuurd.
In dit geval zie ik het als een bewust genomen risico van
een organisatie, en mogen ze ook betalen voor de slechte
beveiliging van hun product.
of dit een overheidstaak is? Ik weet het niet...
Vervolgens krijg ik ineens 1000000 euro boete omdat er ergens een bedrijf is, wat mijn programma'tje heeft gebruikt en ze zijn gehackt omdat mijn programma'tje niet helemaal zuiver was.... Wat klopt er niet?
Waar komt het idee vandaan dat de overheid meer kennis zou hebben
van IT security dan het bedrijfsleven, en dus capabel zou zijn om alle bugs
e.d. op te sporen die zich in software bevinden ?
Wanneer de overheid dit soort test goden zou hebben, dan zou het
bedrijfsleven deze mensen per direct daar wegkopen, om vervolgens
100% foutloze produkten te gaan leveren.
Daarnaast geven dit soort voorstellen, wanneer ze zouden worden
doorgevoerd, ontwikkelaars alleen maar redenen om eventuele fouten
niet op te lossen, maar te verhullen.
Immers kunnen ze voor een niet gevonden fout financieel niet worden
aangepakt, dus dan is het wel zo makkelijk om fouten te ontkennen en
te negeren.
detecteren/blokkeren.
Voor niet-compileerbare programmeertalen zou ik gaan voor een seperate
programma die deze code controleert.
Webservers hebben tegenwoordig al een eigen filter voor php bijv. Deze
moet wel apart geinstalleert en afgestelt worden.
denk ik.
Zonder enige overheidsbemoeienis is internet datgene
geworden dat bijna iedereen liever in huis heeft dan een tv
(vermoed ik maar).
Maar de overheid kan wel zorgen voor algemeen bekende
richtlijnen voor veiligheid op de digitale (hele) wereld. En
zorgen voor mogelijkheden om zelf te kiezen met welk vehicel
je die digitale snelweg berijdt.
Een overheid kan zorgen dat de burger neutrale en heldere
informatie ter beschikking heeft.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
