image

FBI: kies voor softwareleveranciers die security prioriteit maken

woensdag 7 augustus 2024, 15:37 door Redactie, 5 reacties

De FBI roept bedrijven en organisaties op die een product of dienst zoeken om voor softwareleveranciers te kiezen die security vanaf het begin bij de ontwikkeling een prioriteit maakt, aangezien dit voor een veiliger softwarelandschap kan zorgen. Om organisaties hierbij te helpen heeft de Amerikaanse opsporingsdienst samen met het cyberagentschap CISA de 'Secure by Demand Guide' gepubliceerd.

"Softwareleveranciers willen graag de features leveren die klanten vragen, dus is het essentieel dat klanten als onderdeel van het aanbestedingsproces security eisen", zo stellen de diensten. Volgens de FBI en het CISA richten bedrijven bij de keuze voor een softwareleverancier zich vaak op de zakelijke beveiligingsmaatregelen van de leverancier, bijvoorbeeld het voldoen aan compliancestandaarden. "Hoewel enterprise security belangrijk is, moeten klanten ook kijken naar hoe een leverancier product security benadert", merken de diensten op.

Enterprise security gaat over de manieren waarop een bedrijf de eigen infrastructuur en operaties beschermt. Product security gaat over het leveren van veilige software die bestand tegen aanvallen is. "Er zijn veel compliancestandaarden die organisaties tijdens het aanbestedingsproces gebruiken die zich richten op enterprise security, andersom zijn er weinig die naar product security kijken", gaan de diensten verder.

Met het nu gepubliceerde adviesdocument willen de FBI en het CISA organisaties helpen zodat ze ook kunnen zien hoe een softwareleverancier met product security omgaat en 'secure by design' principes volgt. Tijdens verschillende fases van de aanbesteding zouden organisaties product security moeten meenemen, zowel voor, tijdens als na de aanbesteding.

Concreet kunnen bedrijven vragen stellen zoals of de softwareleverancier het eenvoudig maakt om updates te installeren, standaard multifactorauthenticatie biedt, niet met standaard wachtwoorden werkt, standaard logbestanden biedt en beleid heeft waarin staat hoe het met meldingen over kwetsbaarheden omgaat.

Reacties (5)
07-08-2024, 16:42 door Anoniem
"Softwareleveranciers willen graag de features leveren die klanten vragen, dus is het essentieel dat klanten als onderdeel van het aanbestedingsproces security eisen"
Ja dat kun je wel doen, maar het is zo moeilijk meetbaar. Dus als de leverancier komt met "security, ja meneer, dat hebben wij heel goed voor elkaar!" en met wat van die standaard dooddoeners komt zoals daar onderaan in dat artikel staan, dan weet je nog steeds niet of hun programmeursteam bestaat uit security professionals of beginnende prutsers.
Pas als het fout gaat weet je dat het kennelijk niet zo veilig was.
Als het bedrijf iedere maand met een dik pakket updates komt om kritieke kwetsbaarheden te fixen, zeg je dan "het bedrijf brengt updates uit dus prima!" of "het product zit kennelijk zo vol problemen dat je wel aan de gang kunt blijven"?
07-08-2024, 19:49 door Anoniem
Je moet je gebruikers en klanten niet uitlachen en als gratis testomgeving misbruiken. En dan ook nog eens onbereikbaar zijn. Voor een paar lullige domeinnamen moet ik alles in orde hebben. ICANN. Voor als er misschien wat zou zijn. Ik zou niet weten wat, maar goed, ik date het up. Als ik zou niet weten wat zou spelen antwoord ik ook en persoonlijk. Maakt me niet zoveel uit.

Grote software bedrijven maken het internet kapot. Heb ik regelmatig gezeik van want mij vertrouwt men dan ook gelijk al niet. Terwijl ik helemaal niet bezig ben met bejaardenbeleggingspotjes te vullen. Als er wat is ben ik thuis. Het is zo erg dat mensen zelfs dat niet kunnen geloven. Dus het verstandigst is dan eerst zo snel mogelijk geld terug geven. Daarna pas kijken wat er nou aan de hand was.

Dat is allemaal verkloot door die hoeraAmerikanen en hun beurskoersen. Ik kom wel door de hongerwinter hoor, maar bevrijden hoeft niet meer. Dat gaan ze thuis maar doen als die vent met dat petje weer wint in November. Ook leuker voor de FBI. Dan hebben ze weer wat te doen. Want die heeft nog een ander oor dat hij toch nooit gebruikt. Er worden daar meer scheve fietsen gereden dan bij ons, en ik heb overlast van die mensen. Je wordt niet meer vertouwd. Terwijl je er helemaal niet woont. Ik heb niet eens een pistool in mijn nachtkastje. Ik zou daar ook echt niet aan moeten denken. Groetjes aan de FBI en merry Christmas. Maak je manke moeder maar great again. Maar bedankt voor de tips.
07-08-2024, 20:33 door Anoniem
Door Anoniem:
"Softwareleveranciers willen graag de features leveren die klanten vragen, dus is het essentieel dat klanten als onderdeel van het aanbestedingsproces security eisen"
Ja dat kun je wel doen, maar het is zo moeilijk meetbaar. Dus als de leverancier komt met "security, ja meneer, dat hebben wij heel goed voor elkaar!" en met wat van die standaard dooddoeners komt zoals daar onderaan in dat artikel staan, dan weet je nog steeds niet of hun programmeursteam bestaat uit security professionals of beginnende prutsers.
Pas als het fout gaat weet je dat het kennelijk niet zo veilig was.
Als het bedrijf iedere maand met een dik pakket updates komt om kritieke kwetsbaarheden te fixen, zeg je dan "het bedrijf brengt updates uit dus prima!" of "het product zit kennelijk zo vol problemen dat je wel aan de gang kunt blijven"?

Ja dit dus. Zelfs certificeringen zoals ISO27001, SOC2 zijn leuk op papier, maar de werkelijkheid is vaak anders.
08-08-2024, 09:12 door Anoniem
Ja dit dus. Zelfs certificeringen zoals ISO27001, SOC2 zijn leuk op papier, maar de werkelijkheid is vaak anders.

Dit is het verschil tussen Compliance en Security, tegenwoordig wil elk bedrijf (of in ieder geval de aandeelhouders/ C-level) Compliance, dus ISO27001, SOC2, etc.
Het hebben van deze certificeringen zegt niets over de daadwerkelijke security die geboden wordt.
Dit is het probleem.
08-08-2024, 18:49 door Anoniem
Hier hebben wij in NL tijdens de verwerving van software en andere IT middelen ook al in voorzien. Voor en tijdens het aanbestedingsproces zijn er verschillende hulpmiddelen die er vanuit de overheid beschikbaar zijn gesteld om te voorzien in eisen rondom secure by design en secure by default.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.