Minister: aansprakelijkheid fabrikanten voor softwarelekken Europees regelen
Het wettelijk vastleggen van de verantwoordelijkheid van fabrikanten voor veilige software en hun aansprakelijkheid voor de gevolgen van eventuele kwetsbaarheden zal op Europees niveau geregeld moeten worden, zo stelt minister Yesilgöz van Justitie en Veiligheid.
De minister reageerde op Kamervragen over het rapport de Onderzoeksraad voor Veiligheid OVV ‘Kwetsbaar door software – lessen naar aanleiding van beveiligingslekken door software van Citrix’ en het bijbehorende bericht van de OVV. De Onderzoeksraad stelde dat fabrikanten meer moeten investeren om de veiligheid van software voortdurend te verbeteren. Ook zou erop Europees niveau kwaliteitseisen aan software moeten worden gesteld om softwarefabrikanten te dwingen verantwoordelijkheid te nemen voor de veiligheid van hun product.
"Hoe gaat u invulling geven aan het advies om een voortrekkersrol te nemen voor Nederlandse organisaties en consumenten om gezamenlijk veiligheidseisen te formuleren en af te dwingen bij softwarefabrikanten?", vroeg Kathmann. "Er is niet één afzonderlijke maatregel die de digitale veiligheid kan realiseren. Bij de besluitvorming over de opvolging van deze aanbeveling zal het bestaande instrumentarium in volle breedte in ogenschouw moeten worden genomen", reageert de minister.
"Wat gaat u ondernemen om bij softwarefabrikanten af te dwingen dat ze meer investeren in structurele en toetsbare oplossingen voor veiligheidsproblemen in software, in plaats van dat softwarefabrikanten de softwaregebruikers overladen met patches en updates", wilde het PvdA-Kamerlid verder weten. Yesilgöz stelt dat Europese samenwerking op dit terrein van groot belang is, maar dat het kabinet de aanbevelingen op dit vlak onderzoekt en nog met een kabinetsreactie komt.
Op de vraag hoe softwarefabrikanten aansprakelijk kunnen worden gesteld voor de gevolgen van kwetsbaarheden in hun software antwoordt de minister dat dit op Europees niveau geregeld moet worden. "Vanwege het grensoverschrijdende karakter van de markt voor ict-producten en - diensten ligt het in algemene zin voor de hand om dergelijke eisen op te leggen in internationaal en Europees verband", aldus de minister.
Tegelijk hebben regeringen wel erg op hun handen gezeten als het gaat om maken van mogelijk ondersteunende wetgeving.
Het motto was veel dat software innovatie en banen creëerde. Daar deden kabinetten Balkenende en Rutte lang aan mee. Ze boden weinig tegengas om tenminste moraal in de nationale IT sector openlijk te bevorderen. Er waren diverse iniatiefnemers die een soort apk in de IT wilden lanceren die dus nauwelijks ruggesteun kregen. Onder motto van zelf “regulering”. Het had ook al op niveau van kvk’s van steden als Amsterdam, Rotterdam, Eindhoven, Antwerpen, Gent, Leuven en Brussel op de kaart gezet mogen worden waar het start-ups en gearriveerde IT reuzen betreft. Het lijkt dus alsof meerdere publieke bestuurders boter op hun hoofd hadden of gezegd was mondje dicht te houden.
Kan helemaal niet want ga er maar gerust van uit dat software van meer dan triviale omvang altijd fouten bevat. Je kan heel erg je best doen om er zoveel mogelijk uit te halen maar een goed mechanisme omnte patchen zal altijd nodig blijven. Dat neemt niet weg dat er wel veel verschillen zijn in kwaliteit van software. Iedereen is bekend met het brakke Microsoft Windows, dat ook nog eens een beroerd updatemechanisme heeft.
https://www.security.nl/posting/740860/Microsoft%3A+Windows+moet+minstens+8+uur+online+zijn+om+te+kunnen+updaten
Dat soort uitwassen kan je wel aanpakken maar denk niet dat je software kan maken die helemaal foutloos is. Dat is een digitbete fantasie.
Kan helemaal niet want ga er maar gerust van uit dat software van meer dan triviale omvang altijd fouten bevat. Je kan heel erg je best doen om er zoveel mogelijk uit te halen maar een goed mechanisme omnte patchen zal altijd nodig blijven. Dat neemt niet weg dat er wel veel verschillen zijn in kwaliteit van software. Iedereen is bekend met het brakke Microsoft Windows, dat ook nog eens een beroerd updatemechanisme heeft.
https://www.security.nl/posting/740860/Microsoft%3A+Windows+moet+minstens+8+uur+online+zijn+om+te+kunnen+updaten
Dat soort uitwassen kan je wel aanpakken maar denk niet dat je software kan maken die helemaal foutloos is. Dat is een digitbete fantasie.
Ik denk dat je dit advies moet zien in de omgeving waar die software gebruikt wordt. Het is een amerikaans bedrijf, dat dus met amerikaanse claims rekening moet houden. Zo bezien klopt het verhaal wel, want in die situatie zou een patch er altijd op moeten staan. Bij gebruik in een omgeving met fatsoenlijk beheer, is de termijn veel korter. Maar de thuisgebruiker die af en toe de mail checkt of iets opzoekt op internet, zal toch rekening moeten houden met een lange doorlooptijd. Of, waar de meesten niet aan willen of kunnen voldoen, zelf de patches ophalen en installeren via de update optie. De meeste mensen willen geen tijd aan onderhoud besteden en op eigen gekozen hardware werken. Dat levert uitdagingen op, die een Apple niet heeft, want alleen eigen hardware. Ook Linux/Unix kent dat probleem niet, want over het geheel genomen alleen zeer geïnteresseerde en ervaren gebruikers. Vergelijk dat met android/iOS. De beperkte omgeving voor iOS is makkelijk te supporten, de veel bredere android omgeving, waar iedere fabrikant ook nog eens zelf zit te knutselen, is op security gebied een puinzooi.
zo kun je rustig paketten van java en windows gebruiken, als hun uiteindelijk tog de schuld krijgen
vanwege dat hun de onderliggende code hebben geschreven.
Zou dit dan eindelijk het einde van de flash-reader zijn ?, je weet wel van dat merk dat express de software lek maakt.
En zijn die boetes ook naar verhouding van inkomen ?, of geef je microsoft weer een boete van 100 euro ?
De rechters hebben het al druk genoeg,
als er nu ook nog veel complexere software materie in de rechtbank komt past niet in de kalender.
Onwerkbaar, en komt het erop neer grote bedrijven kunnen hun lekken betalen, kleintjes moeten sluiten.
zo kun je rustig paketten van java en windows gebruiken, als hun uiteindelijk tog de schuld krijgen
vanwege dat hun de onderliggende code hebben geschreven.
Zou dit dan eindelijk het einde van de flash-reader zijn ?, je weet wel van dat merk dat express de software lek maakt.
En zijn die boetes ook naar verhouding van inkomen ?, of geef je microsoft weer een boete van 100 euro ?
De rechters hebben het al druk genoeg,
als er nu ook nog veel complexere software materie in de rechtbank komt past niet in de kalender.
Onwerkbaar, en komt het erop neer grote bedrijven kunnen hun lekken betalen, kleintjes moeten sluiten.
Als software met gebrekkige functionaliteit in de user-interface wordt gedistribueerd dan zou dat wellicht buiten dit regime vallen.
Het is de vraag wie voor dit regime aan zet zou "moeten" zijn als er fouten, ernstige tekortkomingen, verborgen gebreken in software zit.
Dat zou wellicht een aparte toezichthouder kunnen worden die een minister digitalisering adviseert.
Wellicht dat langs die weg kan worden geregeld met een bestuurlijk administratieve boete, zoals kartelwaakhond - Autoriteit Persoonsgegevens en dergelijke die ook doen. Al dan niet als zelfstandige instantie onder bestuursrecht.
Dat zou volgens mij heel wat druk bij een rechter kunnen afvangen.
Criteria zoals bekend gebrekkige software inzetten zoals flash, java, MongoDB, Windows en dergelijke zou dan naar gelang omzet en/of downloadcijfers kunnen worden meegenomen bij het oordeel. Net als de impact van de update en de mate waarin gebreken langer in de software bleek te zitten. Daar waar de gebreken op algoritmes-niveau zitten zou denk ik veel omvattende kans-risico analyse beschrijvingen vooraf extra inzicht moeten bieden.
Het lijkt mij in elk geval dat een pakket als de Ondersteunende Verkiezing Software met de tal van fouten een belangrijke leer-input moet zijn voor zo'n instantie.
Van OSV is immers al ruimere inzichten bij het publiek en fora zoals security.nl bekend en zelfs die software wil maar moeizaam minder fundamenteel kwetsbaar raken.
Daarbij denk ik onder andere aan het gebruik van kwetsbare achterhaalde xml files(ze werden t/m 2015 in de VS vernieuwd) bij de OSV.
Naast OSV zouden ook de ervaring met Hugo's qr-code projecten en databases als kritische cases mogen dienen.
Idem, de belastingdienst software projecten.
Er zijn wellicht nog andere zinnige cases bekend om voor input te dienen van waaruit een zinnig verificatie-raamwerk valt uit te werken die de nieuwe instantie op gang zou kunnen helpen.
Less is more lijkt mij daarbij ook een belangrijke toetssteen.
Met andere woorden, overal waar extra software functionaliteit is gecreerd bovenop minimale specs is belangrijk punt voor aandacht. Wil je uitgewerkte software leveren die als extra modulair en dynamisch / adaptief is en er gaat op dat punt iets fout dan is vereenvoudiging van de software architectuur op dat vlak en koppelvlakken mijn inziens een belangrijke te stellen uitgangspunt voor verantwoording af te leggen aan een nieuwe adviserende en beoordelende instantie.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
