"Overheid bouwt onveiligste software"
Als het gaat om softwareontwikkeling leveren overheden de onveiligste websites en applicaties af. Dat blijkt uit onderzoek van Veracode. Het bedrijf onderzocht software van verschillende Amerikaanse sectoren, waaronder de federale overheid, banken en commerciële ontwikkelaars. Zo bleek dat slechts zestien procent van de webapplicaties die de Amerikaanse overheid liet ontwikkelen veilig is. In de financiële sector ging het om 24%, terwijl 28% van de commerciële software als veilig werd bestempeld. Worden de richtlijnen van SANS gebruikt, dan worden de verschillen nog groter. Dan blijkt dat 18% van de overheidsapplicaties veilig is, tegenover 28% bij de financiële sector en 34% van de commerciële software.
Reguleren
"De overheid doet voorkomen dat veiligheid een probleem van de commerciële sector is en dat ze iedereen gaan reguleren", zegt Chris Wysopal van Veracode. "Maar als je hiernaar kijkt, loopt de private industrie voor op de overheid."
Wordt er naar het soort kwetsbaarheden gekeken, dan blijkt dat 40% van de overheidsapplicaties vatbaar voor SQL Injection is. Bij de financiële industrie is dit 29% en bij de commerciële softwareontwikkelaars 30%. Cross-site scripting (XSS) werd bij 75% van de overheidsapplicaties aangetroffen, tegenover 67% bij de financiële industrie en 55% bij commerciële software.
Sterker nog. Je wil het niet weten hoe slecht. En als ik dan die berichten van ze zie...dikke pakken boter op hun hoofd.
Daar zijn zeer reeele risico's voor de Nederlandse burger in te onderkennen.
Maar ICTérs in de commerciele sector die voor de publieke sector werkzaamheden verrichten worden monddood gemaakt met geheimhouding clausules op straffe van gevangenisstraf.
En zo is het en niet anders. Punt!
Grondig doorlichten is geen wens maar een absolute must want dit kan echt niet zo langer meer.
En tip vd sluier begin met de belangrijkste instanties hier in Nederland.
Politiek Den Haag wordt wakker.
Zo en nu het meldpunt falende overheid zoeken.
Overheden gaan vaak bezuinigen op de verkeerde kosten en huren dan ontwikkelaars in die goedkoper werken, maar een mindere kwaliteit afleveren. Veel van die ontwikkelaars gaan failliet indien ze aan het "normale" bedrijfsleven software zouden ontwikkelen omdat bedrijven veel strictere eisen hebben als het gaat om kwaliteit en beveiliging. Plus, bedrijven zijn sneller geneigd om een ontwikkelaar in gebreke te stellen indien de ontwikkelaar slecht werk aflevert.
Overheden gaan vaak bezuinigen op de verkeerde kosten en huren dan ontwikkelaars in die goedkoper werken, maar een mindere kwaliteit afleveren. Veel van die ontwikkelaars gaan failliet indien ze aan het "normale" bedrijfsleven software zouden ontwikkelen omdat bedrijven veel strictere eisen hebben als het gaat om kwaliteit en beveiliging. Plus, bedrijven zijn sneller geneigd om een ontwikkelaar in gebreke te stellen indien de ontwikkelaar slecht werk aflevert.
Pay peanuts, get monkeys ;)
Bij de aanbesteding moet vooraf bekeken worden welke sancties gepast zijn bij wanprestaties. Ook de kwalificatie "wat is een wanprestatie" en de bijbehorende sancties moeten voor de verlening van de opdracht helder zijn (dat kan een budget, dat kan een termijn, dat kan een software-versie, dat kan een "werkende koppeling" tussen applicatie A en applicatie B zijn). Deze controle op de levering moet ook verwerkt zijn in en bekend zijn bij de aanbesteding. Anders maakt de rechtbank gehakt van een claim.
Als een bedrijf ontevreden is, kan men "direct" stoppen met een ICT-leverancier en overstappen naar een ander. In het nieuwe contract zou dan meteen de ervaring "waar ging het fout" verwerkt zijn zodat een extra/nieuwe sanctie wordt bedacht als de leverancier niet dat levert wat wordt verwacht. Het claimen van een schade wordt gedaan nadat een afweging op kosten/baten is gemaakt van een gang naar de rechtbank.
Bij de overheid gaat een overstap meteen gepaard met a. een nieuwe aanbesteding of b. het benoemen van kandidaat 2 als leverancier. Helaas is bij a. de vertraging van de levering een vervelende factor (daarom wordt zo lang doorgemodderd met een gekozen leverancier). Optie b. is niet veel beter omdat in de eerder bekendgemaakte condities niet zomaar nieuwe wanprestatie-criteria kunnen worden toegevoegd. Dat kan alleen als de leverancier daarmee akkoord gaat.
Los van de kwestie overheid of bedrijfsleven, adviseer ik iedereen de voorwaarden van de ICT-leveranciers goed te lezen (die werken grotendeels in het voordeel van de leverancier). Als men het niet eens is met de voorwaarden, dan zouden bijv. artikel x/y/z ook niet van toepassing kunnen worden verklaard of men maakt eigen voorwaarden ...
De vraag is dan of een ICT-leverancier inschrijft bij een opdracht en een contract tekent als daarin hakblok+bijl genoemd worden. Het moet daarbij zakelijk en ook redelijk blijven.
Als een school met 700 ICT-gebruikers een opdracht zou geven waarin staat "binnen 1 weekend moet de migratie van de servers klaar zijn" - dan zijn opdrachtgever en ICT-bedrijf gezegend met "the force" of beiden naïef.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
