image

PvdA wil dat kabinet leveranciers gaat aanspreken op onveilige software

maandag 20 december 2021, 13:44 door Redactie, 24 reacties

Het kabinet moet softwareleveranciers aanspreken op de veiligheid van hun producten en ervoor zorgen dat ze gebruikers niet meer overladen met beveiligingsupdates, zo wil de PvdA. Ook moet er worden gekeken hoe leveranciers aansprakelijk kunnen worden gesteld voor de gevolgen van kwetsbare software.

Deze week kwam de Onderzoeksraad voor Veiligheid met een rapport over de kwetsbaarheid van de Nederlandse samenleving voor beveiligingslekken in software. De Onderzoeksraad stelde dat fabrikanten meer moeten investeren om de veiligheid van software voortdurend te verbeteren. Ook zou erop Europees niveau kwaliteitseisen aan software moeten worden gesteld om softwarefabrikanten te dwingen verantwoordelijkheid te nemen voor de veiligheid van hun product.

Het rapport is aanleiding voor PvdA-Kamerlid Kathmann om opheldering aan demissionair ministers Grapperhaus van Justitie en Veiligheid en Blok van Economische Zaken te vragen. "Hoe gaat u invulling geven aan het advies om een voortrekkersrol te nemen voor Nederlandse organisaties en consumenten om gezamenlijk veiligheidseisen te formuleren en af te dwingen bij softwarefabrikanten?", vraagt Kathmann.

Ze wil ook van de ministers weten wat die gaan doen om bij softwarefabrikanten af te dwingen dat ze meer investeren in structurele en toetsbare oplossingen voor veiligheidsproblemen in software, in plaats van dat leveranciers gebruikers "overladen" met beveiligingsupdates. "Hoe gaat u opvolging geven aan het advies om softwarefabrikanten aansprakelijk te stellen voor de gevolgen van softwarekwetsbaarheden?", vraagt het PvdA-Kamerlid verder.

Blok en Grapperhaus moeten ook duidelijk maken wat ze gaan doen om ervoor te zorgen dat de verantwoordelijkheid voor veilige software in de praktijk ook daadwerkelijk bij softwarefabrikanten komt te liggen. Als laatste wil Kathmann weten hoe de bewindslieden het advies willen uitvoeren om op Europees niveau kwaliteitseisen aan software te stellen. De Kamervragen moeten binnen drie weken zijn beantwoord.

Reacties (24)
20-12-2021, 14:38 door Anoniem
prima! fabrikanten verdienen ook immers er aan door die meuk op de markt te brengen...
20-12-2021, 15:22 door Anoniem
Da's wel een behoorlijke bedreiging voor de opensource gemeenschap, welke individuele hacker wil het risico lopen aansprakelijk te worden gesteld indien er in projecten waaraan hij/zij bijdraagt een lek of probleem wordt gevonden? De kwestie lijkt me minder gemakkelijk op te lossen als hier wordt geschetst, wellicht logisch omdat de meeste politici van toeten nog blazen weten als het om software(ontwikkeling) gaat.
20-12-2021, 15:48 door Piscatorius
Het kabinet moet softwareleveranciers aanspreken op de veiligheid van hun producten en ervoor zorgen dat ze gebruikers niet meer overladen met beveiligingsupdates, zo wil de PvdA.
Dit zijn twee onverenigbare verlangens, zo lijkt mij.
20-12-2021, 16:23 door Anoniem
Veel kritiek op software en de velen beveiligings updates van fabrikanten ?? LOL (lokaal eigen beheer)
wetende dat software nooit 100 procent veilig is te krijgen

Het wordt haast gemaakt om iedereen in de cloud te krijgen (niet lokaal,geen eigen beheer,geen gedoe met updates)

Controle

"Het is gewoon de gang naar de cloud,wat de europese unie wilt
met de europese cloud EUCISP Europese Cloud INTERNET SERVICE PROVIDER

The Matrix
20-12-2021, 17:04 door Anoniem
"Da's wel een behoorlijke bedreiging voor de opensource gemeenschap, welke individuele hacker wil het risico lopen aansprakelijk te worden gesteld indien er in projecten waaraan hij/zij bijdraagt een lek of probleem wordt gevonden?"

Was ook mijn eerste gedachte, maar ik denk dat het wel mee valt; je hoeft het natuurlijk niet te gebruiken:) Iedereen wordt maandelijks overspoeld met Windows, Mac, Linux, en applicatie updates. Nooit een probleem geweest en zal het ook niet worden. Als je meer zekerheid wilt dan gaan of de kosten omhoog of er komt gewoon nooit meer iets echt af. Je moet beginnen met accepteren dat software niet "gratis" is en het proces (van tekentafel tot product) geld kost. Onder de streep heeft open source nog steeds een voordeel tov veel closed source software. Meeste open source projecten kun je niet code aanvullen zonder dat er een ander naar heeft gekeken.
20-12-2021, 17:04 door Anoniem
Door Anoniem: Da's wel een behoorlijke bedreiging voor de opensource gemeenschap, welke individuele hacker wil het risico lopen aansprakelijk te worden gesteld indien er in projecten waaraan hij/zij bijdraagt een lek of probleem wordt gevonden? De kwestie lijkt me minder gemakkelijk op te lossen als hier wordt geschetst, wellicht logisch omdat de meeste politici van toeten nog blazen weten als het om software(ontwikkeling) gaat.
Iedere opensource ontwikkelaar die een beetje nadenkt zet zijn software onder een licentie, zoals BSD, MIT of GPL, waarin duidelijk staat dat diegene niet aansprakelijk is voor de software.
20-12-2021, 17:05 door karma4
Door Anoniem: Veel kritiek op software en de velen beveiligings updates van fabrikanten ?? LOL (lokaal eigen beheer) wetende dat software nooit 100 procent veilig is te krijgen ....
Eens dat betekent een gedegen ontwerpen in segmenten.
Het sprookje van open source is vanzelf wel veilig en iemand anders lost de problemen wel gratis en voor niets op, dat is duidelijk de verkeerde weg. Ben benieuwd of ze aantoonbare veilige werking via keurmerken gaan eisen.
20-12-2021, 19:07 door Anoniem
Door Anoniem: Veel kritiek op software en de velen beveiligings updates van fabrikanten ?? LOL (lokaal eigen beheer)
wetende dat software nooit 100 procent veilig is te krijgen

Het wordt haast gemaakt om iedereen in de cloud te krijgen (niet lokaal,geen eigen beheer,geen gedoe met updates)

Controle

"Het is gewoon de gang naar de cloud,wat de europese unie wilt
met de europese cloud EUCISP Europese Cloud INTERNET SERVICE PROVIDER

The Matrix
Cloud zal dit probleem zeker niet oplossen, wellicht wel met SAAS maar zeker niet met de rest en kom niet met het verhaal dat je in de Cloud niet gehackt wordt of niet kunt worden.

Voor eigen systemen geldt nog steeds dat je er zelf verantwoordelijk bent, zowel in de Cloud of on-premise.
20-12-2021, 20:35 door Briolet
Door Piscatorius:
Het kabinet moet softwareleveranciers aanspreken op de veiligheid van hun producten en ervoor zorgen dat ze gebruikers niet meer overladen met beveiligingsupdates, zo wil de PvdA.
Dit zijn twee onverenigbare verlangens, zo lijkt mij.

Ik viel ook over de tegenstrijdigheid van deze politicus.

Hij eist maximale veiligheid, maar je mag niet vaker dan x maal per jaar een update doen. Tja, dan zul je net op het eind van het jaar op het quotum aan updates zitten en dan komt er in december nog het broertje van log4j voorbij.
20-12-2021, 20:37 door Anoniem
Door Anoniem: Da's wel een behoorlijke bedreiging voor de opensource gemeenschap, welke individuele hacker wil het risico lopen aansprakelijk te worden gesteld indien er in projecten waaraan hij/zij bijdraagt een lek of probleem wordt gevonden? De kwestie lijkt me minder gemakkelijk op te lossen als hier wordt geschetst, wellicht logisch omdat de meeste politici van toeten nog blazen weten als het om software(ontwikkeling) gaat.

Lijkt me juist niet als alle fabrikanten openwrt gaan supporten en gebruiken heb je een beter eco systeem dan dat gekut nu. Bedrijven als qnap moeten gewoon gedwongen worden openwrt te implementeren.
20-12-2021, 20:41 door Anoniem
20-12-2021, 20:47 door Anoniem
Door Briolet:
Door Piscatorius:
Het kabinet moet softwareleveranciers aanspreken op de veiligheid van hun producten en ervoor zorgen dat ze gebruikers niet meer overladen met beveiligingsupdates, zo wil de PvdA.
Dit zijn twee onverenigbare verlangens, zo lijkt mij.

Ik viel ook over de tegenstrijdigheid van deze politicus.

Hij eist maximale veiligheid, maar je mag niet vaker dan x maal per jaar een update doen. Tja, dan zul je net op het eind van het jaar op het quotum aan updates zitten en dan komt er in december nog het broertje van log4j voorbij.

Minder digitaliseren?
Als je iets niet digitaliseert, hoef je het ook niet te onderhouden met een veelvoud aan beveiligings-updates. :-)

Q.E.D.
20-12-2021, 20:55 door Anoniem
Door Anoniem: Da's wel een behoorlijke bedreiging voor de opensource gemeenschap, welke individuele hacker wil het risico lopen aansprakelijk te worden gesteld indien er in projecten waaraan hij/zij bijdraagt een lek of probleem wordt gevonden? De kwestie lijkt me minder gemakkelijk op te lossen als hier wordt geschetst, wellicht logisch omdat de meeste politici van toeten nog blazen weten als het om software(ontwikkeling) gaat.
Blijkbaar heb je nog nooit een licentie gelezen, en zeker geen BSD licenties. Daarin staat expliciet opgenomen dat er geen sprake is van enige vorm van garantie en/of aansprakelijkheid. Komt nog bij dat je 0 euro betaalt voor de software, dus hoeveel zou je dan willen claimen?

Stel dat bedrijven aansprakelijk worden gesteld, dan zijn de closed source licenties juist een bedreiging voor deze bedrijven. Want dan worden ze afgerekend op fouten, daar waar dat nu niet of nauwelijks gebeurd. Je kunt de grootst mogelijke bagger leveren aan de overheid, en toch gewoon je facturen indienen en betaald krijgen. Maar nu kan het zo zijn, dat je 2 jaar later ineens vol aan de bak mag om je fouten te gaan herstellen... Wie gaat dat betalen? Precies, de leverancier. En daar gaat de winst.

Dit kon wel eens goed uitpakken voor open source licenties.
20-12-2021, 23:16 door Anoniem
Door karma4:
Door Anoniem: Veel kritiek op software en de velen beveiligings updates van fabrikanten ?? LOL (lokaal eigen beheer) wetende dat software nooit 100 procent veilig is te krijgen ....
Eens dat betekent een gedegen ontwerpen in segmenten.
Het sprookje van open source is vanzelf wel veilig en iemand anders lost de problemen wel gratis en voor niets op, dat is duidelijk de verkeerde weg. Ben benieuwd of ze aantoonbare veilige werking via keurmerken gaan eisen.

Serieuze open source ontwikkelaars werken samen in of vanuit academische instellingen, stichtingen en coöperaties, vaak in nauwe samenwerking met het bedrijfsleven. Daarin gaat veel geld om. De belangen zijn enorm, omdat zowel de academia als de big tech sector er van afhankelijk zijn. Er zijn dus genoeg rechtspersonen, fondsen en gekwalifiseerde mensen te vinden die kunnen instaan voor audits en de kwaliteit van of een vignet voor de programmatuur.
20-12-2021, 23:56 door Briolet
Door Anoniem:
Door Anoniem: Da's wel een behoorlijke bedreiging voor de opensource gemeenschap, …
Blijkbaar heb je nog nooit een licentie gelezen, en zeker geen BSD licenties. Daarin staat expliciet opgenomen dat er geen sprake is van enige vorm van garantie en/of aansprakelijkheid. …
…Komt nog bij dat je 0 euro betaalt voor de software, dus hoeveel zou je dan willen claimen?

Er zijn wel meer bedrijven die in de kleine lettertjes zetten dat ze niet aansprakelijk zijn, maar het toch echt wel zijn. Je kunt je niet, tegen de wet in, onttrekken van aansprakelijkheid, door dit alleen in een clausule op te nemen.

Verder klopt het niet altijd dat je 0 euro betaalt voor open source. Vaak zit het gebundeld in producten waar je wel voor betaalt. Ook is er genoeg open source dat niet gratis te gebruiken is. Open source houdt alleen in dat de code door iedereen bekeken kan worden.
21-12-2021, 00:00 door Anoniem
Door Briolet: Open source houdt alleen in dat de code door iedereen bekeken kan worden.
Helaas doet niemand dat, tenzij er door iemand een probleem gevonden wordt!
21-12-2021, 09:03 door Anoniem
Door Briolet:
Door Piscatorius:
Het kabinet moet softwareleveranciers aanspreken op de veiligheid van hun producten en ervoor zorgen dat ze gebruikers niet meer overladen met beveiligingsupdates, zo wil de PvdA.
Dit zijn twee onverenigbare verlangens, zo lijkt mij.

Ik viel ook over de tegenstrijdigheid van deze politicus.

Hij eist maximale veiligheid, maar je mag niet vaker dan x maal per jaar een update doen. Tja, dan zul je net op het eind van het jaar op het quotum aan updates zitten en dan komt er in december nog het broertje van log4j voorbij.

het zit em in het DOEN. wat deze politicus wilt is dat dit zonder verdere actie van gebruiker geupdate kan worden zoals er wel zonder verdere actie van de gebruiker facturen en rekeningen geint kunnen worden.
21-12-2021, 10:07 door Anoniem

En een jaar later had hij een zwaarwichtig gesprek met B. Gates over automatisering.
21-12-2021, 12:52 door walmare
PvdA bedoelt voornamelijk Microsoft omdat deze firma al die ransomware aanslagen faciliteert. Probleem is alleen dat deze firma in de EULA vermeldt dat ze niet aansprakelijk kan worden gesteld. Als je dat niet onderkent mag je hun software niet gebruiken. Ze leveren geen product, zodat je nooit eigenaar wordt.
Anders zou dit inferieure systeem in de jaren 90 al van de markt zijn gehaald door het vele crashen op 1 dag.
21-12-2021, 14:24 door Anoniem
Door walmare: PvdA bedoelt voornamelijk Microsoft omdat deze firma al die ransomware aanslagen faciliteert. Probleem is alleen dat deze firma in de EULA vermeldt dat ze niet aansprakelijk kan worden gesteld. Als je dat niet onderkent mag je hun software niet gebruiken. Ze leveren geen product, zodat je nooit eigenaar wordt.
Anders zou dit inferieure systeem in de jaren 90 al van de markt zijn gehaald door het vele crashen op 1 dag.
Stop nu eens met dat stomme bashen!
21-12-2021, 16:18 door Anoniem
Kan walmare niet gewoon een ban krijgen of zo? Ben wel klaar met zijn geroeptoeter over MS, blijkbaar weet hij precies wat PvdA precies wil met dit gebeuren. Wat een ongefundeerde onzin komt er weer uit zeg.

Log4J waar de hele wereld nu last van heeft (miljoenen en miljoenen schade en uren etc.) is volgens hem waarschijnlijk ook via een omweg de schuld van MS. Of hij begint er expres niet over omdat hij zich eindelijk eens ingelezen heeft.

Dank voor u bijdrage, verwijder aub uw account.
21-12-2021, 17:10 door Anoniem
Schep een probleem, propageer een oplossing en zie met welk gewenste eindoplossing men akkoord wenst te gaan.

Waar men aanvankelijk op wilde inzetten, kan zo worden gerealisseerd.
22-12-2021, 00:45 door Anoniem
Door Anoniem: Kan walmare niet gewoon een ban krijgen of zo? Ben wel klaar met zijn geroeptoeter over MS, blijkbaar weet hij precies wat PvdA precies wil met dit gebeuren. Wat een ongefundeerde onzin komt er weer uit zeg.

Log4J waar de hele wereld nu last van heeft (miljoenen en miljoenen schade en uren etc.) is volgens hem waarschijnlijk ook via een omweg de schuld van MS. Of hij begint er expres niet over omdat hij zich eindelijk eens ingelezen heeft.

Dank voor u bijdrage, verwijder aub uw account.
Hij heeft zeker een punt. Het gaat over leveranciers aanspreken op onveilige software en Microsoft en er zijn er meer is niet aanspreekbaar.
22-12-2021, 10:15 door Anoniem
De aanleiding voor deze kamervragen waren de beveiligingslekken door software van Citrix en Microsoft
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.