FBI: kies voor softwareleveranciers die security prioriteit maken
De FBI roept bedrijven en organisaties op die een product of dienst zoeken om voor softwareleveranciers te kiezen die security vanaf het begin bij de ontwikkeling een prioriteit maakt, aangezien dit voor een veiliger softwarelandschap kan zorgen. Om organisaties hierbij te helpen heeft de Amerikaanse opsporingsdienst samen met het cyberagentschap CISA de 'Secure by Demand Guide' gepubliceerd.
"Softwareleveranciers willen graag de features leveren die klanten vragen, dus is het essentieel dat klanten als onderdeel van het aanbestedingsproces security eisen", zo stellen de diensten. Volgens de FBI en het CISA richten bedrijven bij de keuze voor een softwareleverancier zich vaak op de zakelijke beveiligingsmaatregelen van de leverancier, bijvoorbeeld het voldoen aan compliancestandaarden. "Hoewel enterprise security belangrijk is, moeten klanten ook kijken naar hoe een leverancier product security benadert", merken de diensten op.
Enterprise security gaat over de manieren waarop een bedrijf de eigen infrastructuur en operaties beschermt. Product security gaat over het leveren van veilige software die bestand tegen aanvallen is. "Er zijn veel compliancestandaarden die organisaties tijdens het aanbestedingsproces gebruiken die zich richten op enterprise security, andersom zijn er weinig die naar product security kijken", gaan de diensten verder.
Met het nu gepubliceerde adviesdocument willen de FBI en het CISA organisaties helpen zodat ze ook kunnen zien hoe een softwareleverancier met product security omgaat en 'secure by design' principes volgt. Tijdens verschillende fases van de aanbesteding zouden organisaties product security moeten meenemen, zowel voor, tijdens als na de aanbesteding.
Concreet kunnen bedrijven vragen stellen zoals of de softwareleverancier het eenvoudig maakt om updates te installeren, standaard multifactorauthenticatie biedt, niet met standaard wachtwoorden werkt, standaard logbestanden biedt en beleid heeft waarin staat hoe het met meldingen over kwetsbaarheden omgaat.
Pas als het fout gaat weet je dat het kennelijk niet zo veilig was.
Als het bedrijf iedere maand met een dik pakket updates komt om kritieke kwetsbaarheden te fixen, zeg je dan "het bedrijf brengt updates uit dus prima!" of "het product zit kennelijk zo vol problemen dat je wel aan de gang kunt blijven"?
Grote software bedrijven maken het internet kapot. Heb ik regelmatig gezeik van want mij vertrouwt men dan ook gelijk al niet. Terwijl ik helemaal niet bezig ben met bejaardenbeleggingspotjes te vullen. Als er wat is ben ik thuis. Het is zo erg dat mensen zelfs dat niet kunnen geloven. Dus het verstandigst is dan eerst zo snel mogelijk geld terug geven. Daarna pas kijken wat er nou aan de hand was.
Dat is allemaal verkloot door die hoeraAmerikanen en hun beurskoersen. Ik kom wel door de hongerwinter hoor, maar bevrijden hoeft niet meer. Dat gaan ze thuis maar doen als die vent met dat petje weer wint in November. Ook leuker voor de FBI. Dan hebben ze weer wat te doen. Want die heeft nog een ander oor dat hij toch nooit gebruikt. Er worden daar meer scheve fietsen gereden dan bij ons, en ik heb overlast van die mensen. Je wordt niet meer vertouwd. Terwijl je er helemaal niet woont. Ik heb niet eens een pistool in mijn nachtkastje. Ik zou daar ook echt niet aan moeten denken. Groetjes aan de FBI en merry Christmas. Maak je manke moeder maar great again. Maar bedankt voor de tips.
Pas als het fout gaat weet je dat het kennelijk niet zo veilig was.
Als het bedrijf iedere maand met een dik pakket updates komt om kritieke kwetsbaarheden te fixen, zeg je dan "het bedrijf brengt updates uit dus prima!" of "het product zit kennelijk zo vol problemen dat je wel aan de gang kunt blijven"?
Ja dit dus. Zelfs certificeringen zoals ISO27001, SOC2 zijn leuk op papier, maar de werkelijkheid is vaak anders.
Dit is het verschil tussen Compliance en Security, tegenwoordig wil elk bedrijf (of in ieder geval de aandeelhouders/ C-level) Compliance, dus ISO27001, SOC2, etc.
Het hebben van deze certificeringen zegt niets over de daadwerkelijke security die geboden wordt.
Dit is het probleem.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Information Security Officer
Ben jij de Information Security Officer met hart voor de zorg? Wil je een bijdrage leveren aan Informatiebeveiliging binnen het Erasmus MC? Word onderdeel van ons team! Samen met de CISO en een team van Information Security Officers zorg je ervoor dat informatiebeveiliging en gegevens-bescherming binnen Erasmus MC de benodigde aandacht krijgt.
GRC Officer
Als digitaal knooppunt hebben wij te maken met veel verschillende opdrachtgevers en klanten in het zorgveld. Deze opdrachtgevers en klanten vertrouwen erop dat de onze dienstverlening veilig is en continu voldoet aan alle (voortdurende wijzigende) relevante wet- en regelgeving. Als GRC Officer ben jij op de hoogte van die wet- en regelgeving en weet je de vertaalslag te maken naar de praktijk van VECOZO.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.