"Straf leveranciers van onveilige producten"
Bedrijven en leveranciers die onveilige producten aanbieden zouden moeten worden gestraft. Dat stelt James Lyne, hoofd onderzoek bij het Britse anti-virusbedrijf Sophos, in een interview met Security.NL. Veel van de huidige problemen ontstaan volgens hem omdat "safe by default" niet de standaard is.
Lyne kocht onlangs een groot aantal producten via internet. "Ze hadden lekken die in 2004 gênant waren, maar nu gewoon grof nalatig zijn." Zo stond remote toegang via het internet ingeschakeld en werden er standaard inloggegevens gebruikt. Zeven van de twaalf beveiligingscamera's die Lyne kocht waren nog steeds kwetsbaar voor de Heartbleed-bug. "Het is gewoon troep", laat hij gefrustreerd weten.
Dat bedrijven wordt toegestaan om zich zo te gedragen is volgens de onderzoeker een groot falen in het juridische en vertrouwenssysteem. Er moet dan ook serieus worden overwogen om bedrijven te straffen die zich niet aan basale beveiligingsstandaarden houden merkt Lyne op. "Deze bedrijven zijn nalatig ten opzichte van hun klanten en veel gebeurt er niet."
Vrije markt
Consumenten zouden in de vrije markt bedrijven die onveilige producten aanbieden kunnen afstraffen, maar volgens Lyne werkt de vrije markt niet in het belang van de consument. "We hebben systematisch gefaald om consumenten voldoende te onderwijzen om geïnformeerde beslissingen te kunnen maken." Daardoor kiest de consument voor de goedkoopste producten en gelooft alle marketingverhalen.
Lyne kijkt ook naar de beveiligingsindustrie, die er onvoldoende in is geslaagd om consumenten voldoende te waarschuwen welke producten veilig zijn en welke niet. Daardoor kunnen nalatige bedrijven die onveilige producten aanbieden hun marktaandeel vergroten ten koste van veilige oplossingen. Om de situatie op te lossen zou een econoom eraan kunnen werken of kan het via regelgeving worden opgelost merkt hij op.
"Op dit moment doen we onvoldoende en dit soort technologie wordt overal gebruikt. De huidige markt van consumentenkeuze doet zijn werk niet." Lyne vergelijkt het aanbieden van onveilige producten met het verkopen van voedsel waar mensen voedselvergiftiging van krijgen. In dit geval treedt de gezondheidsautoriteit op en sluit het restaurant of de winkel tot het probleem is opgelost.
Wat betreft buitenlandse goederen die kwetsbaarheden bevatten zouden landen, net zoals bijvoorbeeld in het geval van een uitbraak van de gekke koeienziekte, hun grenzen moeten sluiten totdat het probleem is verholpen. De onderzoeker erkent dat het nog wel even kan duren voordat deze situatie werkelijkheid wordt. In de tussentijd pleit hij voor een "naming en shaming" aanpak, waarbij onderzoekers zoveel mogelijk apparaten als mogelijk onderzoeken en bugs verantwoord melden, om vervolgens de leveranciers die niet of onverantwoord reageren aan de schandpaal te nagelen.
M.a.w. dit zou al normaal moeten zijn, maar blijkbaar is er niemand met de relevante bevoegdheid die dit afdwingt, of ook maar af wil dwingen...
Zeg maar: KEMA keur voor veiligheid.
Geen 100% garantie, maar dat het in iedergeval voldoet aan b.v. OWASP-top 10 volgens een externe auditor.
En als er dan toch fouten inzitten ben je niet financieel aansprakelijk mits je het binnen een doe-bare periode fixed, anders wel.
Zeg ICT-jurist Arnoud Engelfriet, zou dit juridisch vandaag al kunnen?
Laten we het eerst netjes houden en beginnen met informeren door direct een vraag stellen aan James Lyne Sophos via security.nl
@ James Lyne, Sophos
Consumers appreciate safe products.
A product can be considered when it prevents users from digital harm, privacy harassment, digital evil doers and so on.
In this article we read that companies that offer unsafe products should be punished according to Sophos.
Inspired by the august 2014 blackhat presentation of CIA Dan Geer?
Code of Hammurabi paragraph, http://geer.tinho.net/geer.blackhat.6viii14.txt .
Following those consumer protecting thoughts that are more than welcome, a few questions to Sophos.
Questions to Sophos
Is Sophos offering products that consumers can consider as safe to use?
Does Sophos has a reasonable and acceptable explanation that the company is listed on these Wikileaks pages, https://wikileaks.org/The-Spyfiles-The-Map.html
Country, UK.
Where Sophos as a company is listed between many spying companies and marked as a company that is considered active on internet monitoring.
Active monitoring civillians?
Active monitoring activities by using the products offered to consumers?
In what way should consumers consider Sophos products as safe?
Could Sophos explicitly state that they are not involved with the activities as suggested on the wikileaks pages and therefor make a statement to consumers that Sophos products are safely to use and to trust?
Safe and to trust as seen from a consumer perspective.
Real trust and no consumers doubts are probably the best advertisement a security company can get.
Best Regards
a security.nl reader
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
