Brussel wil verplichte veiligheidsregels voor hardware en software invoeren
De Europese Commissie heeft vandaag een voorstel gepresenteerd dat leveranciers van hardware en software verplicht om cybersecurity-maatregelen te nemen om hun producten te beveiligen, waaronder het aanbieden van beveiligingsupdates voor een periode van vijf jaar. De Cyber Resilience Act moet gaan gelden voor producten met digitale elementen en beslaat zowel hardware als software.
Het wetsvoorstel stelt verschillende verplichtingen aan leveranciers. Zo moeten die bij de planning, ontwerp, ontwikkeling, productie, levering en beheer rekening met cybersecurity houden. Ook moeten alle cyberrisico's zijn gedocumenteerd en moeten leveranciers actief aangevallen kwetsbaarheden en beveiligingsincidenten rapporteren.
Zodra een product eenmaal op de markt wordt aangeboden moet het minstens vijf jaar van beveiligingsupdates worden voorzien. Ook moeten leveranciers duidelijke en begrijpelijke instructies geven voor het gebruik van producten met digitale elementen. Producten mogen straks alleen op de Europese markt worden aangeboden wanneer ze aan de "essentiële cybersecurity-verplichtingen" voldoen.
Volgens de Europese Commissie zal de Cyber Resilience Act voor minder cybersecurity-incidenten gaan zorgen, en daarmee de kosten van het afhandelen van incidenten en reputatieschade voor bedrijven doen afnemen. Daarnaast zullen leveranciers binnen de gehele EU aan dezelfde serie cybersecurity-regels moeten voldoen. Verder krijgen eindgebruikers meer informatie over het gebruik van het product.
Het Europees Parlement en de Europese Raad zullen zich nu over het voorstel buigen. Wanneer de Cyber Resilience Act is aangenomen zullen lidstaten twee jaar de tijd hebben om de nieuwe regels door te voeren. Onlangs vroeg de Europese Commissie al om feedback op het voorstel.
Dat impliceert dat we een heel nieuwe generatie OS technologie nodig hebben. In Unix noch haar erven heeft "cyberwatdanook" een rol gespeeld bij planning en ontwerp; om over Windows nog maar te zwijgen.
Opensourge = V
Geen backdoors = X
Programmeren op een wijze waarmee
je privacy en vrijheden terug krijgt op software en hardware
een vrije manier zonder tegenzin te moeten gaan programmeren
voor de grote techbedrijven,verlaat die bedrijven en ga opensourge
geef burgers en de samenleving hun vrijheden terug
Go texas
En ook beschermend voor de maatschappij.
Het is ook ingrijpend gebleken dat de wegen-verkeerswetten vereisen dat voertuigen aantoonbaar inherent veilig moeten zijn.
Ik ben blij met de wegen-verkeerswetten. Die maken het mij uiteindelijk mogelijk om veilig van Zuid Portugal naar Noord Zweden te rijden. En ook nog eens redelijke aankomstverwachting kan voorspellen.
Overigens kan je nog steeds je eigen auto bouwen. En de veiligheid moet je dan zelf aantonen. Zover is het in de softwarewereld nog niet. Maar toch.
Huh? Zie jij beren vliegen of zo?
(Sommige mensen schakelen helemaal in een stuip bij het zien van alleen al het logo van de EU)
Huh? Zie jij beren vliegen of zo?
(Sommige mensen schakelen helemaal in een stuip bij het zien van alleen al het logo van de EU)
Voor sommige producten is het acceptabel dat er maar 1 jaar updates bij zitten. Voor de rest moet je extra betalen bijvoorbeeld.
Ik zou blij zijn als bedrijven via een standaard hun software updates moeten communiceren. (releases.txt :D). Zodat makkelijk gecontroleerd kan worden of je de laatste versie draait. Ook voor firmware en dingen die misschien niet makkelijk updatebaar zijn of standaard geen internet hebben. Een update functie is niet voldoende. Een offline update functie verplicht stellen is misschien ook wel een goede optie.
Opensourge = V
Geen backdoors = X
Programmeren op een wijze waarmee
je privacy en vrijheden terug krijgt op software en hardware
een vrije manier zonder tegenzin te moeten gaan programmeren
voor de grote techbedrijven,verlaat die bedrijven en ga opensourge
geef burgers en de samenleving hun vrijheden terug
Go texas
Ik zou het heel graag willen, maar ik geloof het niet zo, simpelweg vanwege Amerikaanse belangen zoals MS, Oracle, Apple, Google enz.
Zelf niet zo'n zin in al dat papierwerk maar als dit er voor nodig is dan moet het maar.
De schade die dat reeds heeft aangericht is nu al groter dan wat hard- en software ooit gaat aanrichten.
Ja, dat kan een uitdaging zijn voor een commercieel bedrijf dat open source software opneemt in haar producten of diensten.
Ja, dat kan een uitdaging zijn voor een open source community.
Dan nog is de verplichting voor veiligheidsregels helpend voor de maatschappij.
Mening: ik meen dat juist de belangrijkste reden voor een community er daarin ligt dat aan veiligheidsregels invulling wordt gegeven.
Mening: en als commerciële bedrijven gebruik maken van open software inhumaan producten, dan kunnen die commerciële bedrijven direct om de goede redenen (financiële) bijdragen leveren aan die community.
Iedereen wint
Dat impliceert dat we een heel nieuwe generatie OS technologie nodig hebben. In Unix noch haar erven heeft "cyberwatdanook" een rol gespeeld bij planning en ontwerp; om over Windows nog maar te zwijgen.
Je mist de history van https://en.wikipedia.org/wiki/Dave_Cutler de security context voor objecten is wel degelijk ingezet.
Dat er bij uitrol en gebruik nog het nodige fout gaat is wat anders. Wat dat betreft is linux ool selinux achtergebleven
Volgens mij kan er een 'derde wet van Godwin' worden geïntroduceerd:
Volgens mij kan er een 'derde wet van Godwin' worden geïntroduceerd:
Voor IoT apparaten en smartphones zijn het vaak de (hardware) makers van die apparaten die in gebreke blijven.
De ontwikkelaar van de basis software levert de beveiligingsupdates die elke dag verschijnen, maar de leverancier van de hardware voert deze om verschillende redenen niet door en komt niet met updates van hun eigen (onnodige) software die je er ook niet eens kan afhalen.
Daarnaast heb je software die wel wordt ge-update gedurende een lange tijd maar elke maand kritisch lek blijkt te zijn.
Hier zou je kunnen overwegen om deze software verplicht van de markt te laten halen wegens ondeugdelijk en onveilig functioneren of in ieder geval verboden zou moeten worden te gebruiken in kritische sectoren. Voor hardware geldt dit al wel.
Wat ook een securityprobleem gebleken is, is het hebben van backdoors in gesloten software. Daarom vind ik dat software verplicht open source moet zijn om het te kunnen laten inspecteren door gespecialiseerde partijen.
Vroeger had je in de Sovjet-tijd koelkasten, die met het grootste gemak dertig jaar probleemloos draaiden.
Dit gold bevoorlijk ook voor wasmachines, maar de netstroomkabels binnenshuis was weer prut - van aluminium.
Hier ligt en lag het anders. Hier gingen kabels eerst in een zuurbad om te kijken of ze niet al te lang mee zouden gaan.
En nu moeten we weer terug vanuit de wegwerp-maatschappij naar verduurzaming?
Wie houden we eigenlijk massaal voor het lapje? De eindgebruikers natuurlijk.
#obserwator
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
