VS slaat alarm over gebrek aan kennis hoe software precies werkt
De Amerikaanse geheime dienst NSA, cyberagentschap CISA en DARPA, het onderzoeksinstituut van het Amerikaanse leger, slaan alarm over een gebrek aan kennis bij de overheid en vitale infrastructuur over hoe gebruikte software precies werkt, wat gevolgen voor vitale systemen en de nationale veiligheid van de VS kan hebben. De overheidsdiensten noemen dit de 'software understanding gap' en roepen de Amerikaanse overheid op om in actie te komen.
Volgens de NSA, CISA en DARPA beschikken overheidsdiensten en vitale sectoren die software afnemen vaak niet over adequate mogelijkheden om te begrijpen hoe de gebruikte software precies werkt, omdat softwareleveranciers software ontwikkelen die voor deze partijen niet te begrijpen is. "Onvoldoende inzicht leidt tot misbruikte software, omdat leveranciers software maken die niet secure by design is", aldus DARPA.
De drie Amerikaanse overheidsdiensten stellen dat de kloof is ontstaan doordat er de afgelopen decennia veel meer is geïnvesteerd in het ontwikkelen van software dan in het begrijpen van de werking van software. De 'software understanding gap' heeft tot gevolg dat software kwetsbaarheden bevat, die niet worden verholpen en software kwetsbaar voor aanvallen is. Als oplossing wordt gepleit voor nationale beleidsmaatregelen en technische innovatie om de capaciteit te ontwikkelen voor het beter begrijpen van software. Dit moet er onder andere voor zorgen dat overheden en vitale bedrijven software kunnen beoordelen voordat ze die inzetten.
Quote "... a software understanding gap. This gap leads to an inabbility to create software that is secure by design, ..."
CISA artikel:
Software understanding refers to assessing software-controlled systems across all conditions. Mission owners and operators often lack adequate capabilities for software understanding because technology manufacturers build software that greatly outstrips the ability to understand it. This gap, along with the lack of secure by design software being created by technology manufacturers, can lead to the exploitation of software vulnerabilities.
Snap wat er bedoeld wordt, maar het staat er niet in dit artikel + Quote, wel in het originele CISA artikel.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?