Nieuws

CPB: maak leveranciers aansprakelijk voor softwarefouten

woensdag 6 juli 2016, 12:16 door Redactie, 15 reacties

Om de cyberveiligheid in Nederland te vergroten kunnen softwareleveranciers aansprakelijk worden gemaakt voor de schade die ontstaat uit softwarefouten, zo stelt het Centraal Planbureau in een vandaag verschenen rapport. Volgens het Planbureau neemt het risico op financiële cybercrime toe.

Het gaat dan om ransomware, phishing en andere vormen van cybercrime gericht op financieel gewin waar zowel eindgebruikers als bedrijven het slachtoffer van worden. Om de cyberveiligheid te vergroten ziet het Centraal Planbureau verschillende kansen. "Zo is het belangrijk de verantwoordelijkheid voor veiligheid neer te leggen bij de organisaties die daarvoor toegerust zijn. Dat is effectiever dan bijvoorbeeld van consumenten te eisen dat ze hun computers beveiligen, omdat zij vaak niet weten hoe de cybercriminelen van hun computers gebruik maken", aldus de organisatie.

Daarnaast wijst het erop dat softwareleveranciers aansprakelijk kunnen worden gemaakt voor de schade die ontstaat uit softwarefouten. "Onveilige software en onveilige digitale diensten blijven kansen bieden aan criminelen. Verkopers van software en digitale diensten hebben onvoldoende prikkels om te concurreren op de veiligheid van hun producten en beperken daarom hun aansprakelijkheid voor de deugdelijkheid van hun producten. Een wettelijk vereiste minimum productaansprakelijkheid kan verkopers een prikkel geven om de veiligheid van hun producten te vergroten", aldus het Planbureau in het rapport Risicorapportage Cyberveiligheid Economie (pdf).

Ook kan de overheid volgens het Centraal Planbureau slimmer gebruikmaken van ict, bijvoorbeeld door het beter naleven van de eigen beveiligingsstandaarden. Daarnaast wordt er gepleit om opsporingsdiensten de voordelen van ict beter te laten benutten, bijvoorbeeld door het instellen van één digitaal aangifteloket waar alle signalen van cybercrime met elkaar vergeleken kunnen worden. Uit cijfers van het CBS zou blijken dat 11% van de Nederlanders slachtoffer van cybercrime is geworden. Toch ontving de politie in de periode 2005 tot en met 2014 maar 16.000 aangiftes van computervredebreuk. In dezelfde periode van tien jaar werden 130 daders vanwege computervredebreuk bestraft door een rechter.

EU en NAVO gaan samenwerking op cybergebied versterken

Gebruikers Acer Cloud kwetsbaar door lek in Android-app

Reacties (15)

06-07-2016, 12:34 door karma4

Nu nog de malware op AD ruimte door derden noemen en de aansprakelijkheid gaat richting de juiste verantwoordelijken.

06-07-2016, 12:55 door Anoniem

Dit kan er alleen maar voor zorgen dat softwareleveranciers "fouten" gaat proberen te verbergen en niet openbaar maakt.

Een boete of aansprakelijkheid vind ik alleen kunnen als er sprake zou zijn van opzettelijk falen van QA of het niet fixen van reeds bekende bugs.

06-07-2016, 13:13 door Anoniem

Gaan we niet erg ver richting wat men in USA doet?

Als iets echt onbekend is (denk aan een voortvloeisel uit een typo die een buffer overflow toelaat) gaat dit wel ver.
Als het iets is dat de ontwikkel-club had kunnen weten (b.v. niet getest met een source-code scanner) dan is het denk ik wel terecht.

Iemand moet wel noemen wat het minimum is. Anders zal een leverancier alsnog zeggen: dat wisten we niet.

Kijk je b.v. naar websites met https://internet.nl en je zou dat het minimum noemen (feit voor overheid voor zover ik weet) dan lopen een hoop sites achter.

06-07-2016, 15:00 door Anoniem

Komt vanzelf als er meer doden vallen vanwege software bugs.

06-07-2016, 16:14 door Anoniem

Serieus? Is dit het beste wat het CPB kan verzinnen? Dat krijg je never nooit voor elkaar. Kijk naar de bergen met security updates die jaar in, jaar uit blijven uitkomen voor softwareproducten die al tien jaar mee draaien. Programmeer- en ontwerpfouten zijn ontzettend moeilijk om allemaal af te vangen. Dan zou Microsoft opeens 10x zoveel ontwikkelaars en 50x zoveel testers in dienst moeten nemen. Security is per definitie zwemmen tegen de stroom in, en privacy ook. Informatie delen zit ingebakken in het universum. Ik zou dan liever zeggen: wees voorzichtig met alles wat je digitaliseert. Geen electronisch patienten dossier bijvoorbeeld. Dat lost het niet op, maar maakt het wel lastiger. Voor de rest is het denk ik een zowat onoplosbaar probleem. We werken met van alles digitaal dat waarde heeft - informatie, betalingen, noem maar op - en er zijn altijd eikels die daar misbruik van proberen te maken.

06-07-2016, 16:24 door Anoniem

Ik vind het een goed plan : dan kan microsoft en adobe sluiten.
Zonder alernatief vind ik dit gebrul van niets.

06-07-2016, 16:50 door Anoniem

Door Anoniem: Dit kan er alleen maar voor zorgen dat softwareleveranciers "fouten" gaat proberen te verbergen en niet openbaar maakt.

Tegenwoordig heb je het internet, dingen "onder de pet houden" dat werkt niet zo goed meer.

06-07-2016, 17:16 door Anoniem

Door Anoniem: Ik vind het een goed plan : dan kan microsoft en adobe sluiten.
Zonder alernatief vind ik dit gebrul van niets.

Ieder softwarebedrijf kan sluiten, en wat denk je van hardware.
Geeft weer aan hoeveel verstand ze hebben van soft en hardware.

06-07-2016, 17:35 door karma4

Door Anoniem: Ik vind het een goed plan : dan kan microsoft en adobe sluiten.
Zonder alernatief vind ik dit gebrul van niets.

En open software blijft buiten Schot want er is geen levenancier? Dan wordt dat prijsschieten op je eigen voet.

06-07-2016, 17:42 door Rolfieo

Door Anoniem: Ik vind het een goed plan : dan kan microsoft en adobe sluiten.

Mee eens....

Als we dan alleen al eens nadenken over heartbleed.
Of dat iedereen die eens iets doet in OpenSource, zou dan aansprakelijk gesteld kunnen worden voor fouten in zijn code.

[/quote]Zonder alernatief vind ik dit gebrul van niets.[/quote]Helemaal mee eens. Dit valt volgens mij gewoon onder kijk mij eens hard schreeuwen zonder eigenlijk na te denken over waar ze werkelijk over praten.
Legacy code, welke nog steeds heel veel gebruikt wordt, waar soms niemand meer iets van weet. En er aan zitten, eigenlijk zeer lasten en kostbaar is + if it ain't broke, don't fix it. Maar wat als er ergens toch een foutje in zit.

Software bevat altijd fouten... klaar..... Je kunt en moet de fouten natuurlijk tot een minimum houden. En je zou de leverancier eigenlijk wel verantwoordelijk moeten houden om updates uit te brengen. Dat zou een betere oplossing zijn naar mijn gevoel. Maar dan komt ook de zelfde vraag weer terug..... Mag je van een leverancier verwachten dat die software van 10-14 jaar geleden ondersteund? Commercieel is dat eigenlijk weer niet te doen. Aan de andere kant, als klant kun je je software weer upgraden naar ondersteunde versies, welke wel weer door de leverancier ondersteund wordt.

Lastig puntje.....

06-07-2016, 19:43 door Anoniem

Beetje ondoordacht. Men kan beter uitgaan van dat als er een kwetsbaarheid in de software zit, de softwareleverancier een vastgestelde termijn de tijd krijgt om een patch aan te bieden. Gaat dit niet binnen de vastgestelde termijn, dán pas kan men actie ondernemen tegen de leverancier.

Het gaat wat ver om van huis uit te gaan dat softwarefouten en kwetsbaarheden op die manier afgestraft worden. Foutloze software maken is onmogelijk, laat staan waterdichte software. En hoe ga je gesloten software auditten dan als je geen toegang hebt tot de broncode? Wordt lastig. Maar repareren hoort een standaard onderdeel te worden van de serviceverlening. Binnen een vastgestelde tijdspanne worden de patches kosteloos geleverd, na een bepaalde periode betaal je voor extra ondersteuning. Inderdaad: zoals het nu gaat met garantiebepalingen.

Zo moeilijk hoeft het toch allemaal niet te zijn?

06-07-2016, 20:01 door Anoniem

Typisch een idee van een stel dwazen die nog geen flauw idee hebben van hoe het allemaal werkt...
Voor één op zichzelf staand apparaatje met niet teveel functies zal het nog wel lukken, maar de meeste computersytemen
zijn "door de mens geschapen wondertjes" die net als mensen hun gebreken hebben of kunnen krijgen.

07-07-2016, 14:25 door Anoniem

Als je iets anders dan software koopt en er staat in de gebruiksvoorwaarden dat de leverancier niet kan garanderen dat het gekochte juist werkt en ook kosteloos herstel van het gekochte bij fabricagefouten of vergoedingen van ontstane schade op voorhand afwijst, dan zou je nog wel een keer achter je oor krabben voor je dat koopt. Bij software lijkt dit echter de "normale" gang van zaken.
Als je vandaag de dag software oplevert die kwetsbaar is voor bv. SQL-injection of Cross Site Scripting, dan ben je prutser. En geen gewone prutser, maar een enorme prutser! Dit soort fouten en de oplossingen daarvoor zijn al zo lang bekend, dat iedere programmeur zijn ogen uit zijn kop moet schamen als hij/zij dit soort fouten maakt. Het zijn geen vergissingen meer, maar blunders. De programmeur heeft dan op meerdere plaatsen gefaald (in ieder geval gebrekkige input validation en output sanitation).
En ja, het is lastig om de verantwoordelijkheid bij één leverancier te leggen als de fout in de software van een service of library ligt die door een derde is geleverd. Maar toch is dat geen reden om dan maar onveilige software op te leveren. In vind dat leveranciers best wat meer aandacht mogen geven aan de veiligheid van hun software. Ik denk niet dat het haalbaar is om foutloze software te eisen, maar de veiligheid moet veel hoger kunnen dan nu vaak het geval is.
Tenslotte, dat hoeft helemaal niet te leiden tot duurdere code. Sterker, ik verwacht dat de code veelal goedkoper wordt. Immers, voor veilige code moet je eerst denken en dan pas coderen. Door validatie uit te voeren met standaard functies en routines, hoef je maar één keer na te denken en te coderen en die functies dan hergebruiken. Dat is niet zo'n nieuw en origineel idee, want in de jaren 80 van de vorige eeuw was dit de "mode".

07-07-2016, 16:31 door ph-cofi

Ik denk dat dit juridisch niet gaat werken als de software producten door leveranciers zijn gemaakt van buiten de EU? Het gaat dus alleen maar werken als de gebruikers uitsluitend binnen de EU gemaakte software gebruiken? Wat vinden de gebruikers daarvan?

08-07-2016, 09:24 door Anoniem

@ph-cofi: bij auto's van buiten de EU werkt het juridisch ook. En bij smartphones en medicijnen en gloeilampen en kleding en ... waarom dan niet bij software?

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer