Nieuwe standaard helpt bedrijven veilige software af te dwingen
De Secure Software Foundation lanceert een nieuwe standaard voor veilige software. De standaard helpt ontwikkelaars veilige software te ontwikkelen. Daarnaast biedt de standaard de mogelijkheid de veiligheid van bestaande softwareoplossingen te toetsen.
De Secure Software Foundation heeft tot doel de ontwikkeling van veilige software te bevorderen. Dit doet de stichting onder andere door het beheren en ontwikkelen van het Framework Secure Software. Daarnaast is de Secure Software Foundation uitgever en kwaliteitsbewaker van het Secure Software Certificate. Met dit certificaat kunnen software-ontwikkelorganisaties aan gebruikers en klanten aantonen dat hun software betrouwbaar ontwikkeld is.
Belangrijke stap in strijd tegen cybercrime
Met de nieuwe standaard voor veilige software hoopt de Software Secure Foundation een belangrijke stap te zetten in de strijd tegen cybercrime. Hierbij wordt gekozen voor een vorm van preventie, die volgens de stichting beter is als genezing. "Een standaard gaat zeker helpen in de strijd tegen cybercrime", zegt interim bestuurslid Wim Goes van de foundation in oprichting. "Hoe meer er eenduidig wordt gewerkt, hoe meer kennis we op doen voor de beveiliging." Goes, behalve bestuurslid ook quality director bij SQS, denkt dat het goed is dat de vrijheid van software ontwikkelaars wat wordt terug gedrongen. "Dat is in het belang van de veiligheid. Je kunt je als bedrijf geen software incidenten veroorloven." Steeds meer bedrijfswaarde bevindt zich in software en de komende jaren neemt dit alleen maar toe.
Goes: "Hackers zijn er op uit om software te laten crashen. Op die manier krijgen ze informatie om te kunnen inbreken in systemen. Door volgens de standaard te werken, geef je ze gewoon minder kans. Of kun je bij een digitale aanval, bepaalde delen van je systeem met gevoelige informatie beter beschermen."
Betrouwbare software
Aantoonbaar betrouwbare software speelt een steeds belangrijkere rol. Zowel in de Digitale Agenda als de Nationale Cyber Security Strategie van de overheid is de ontwikkeling van veilige software ter bestrijding van cybercriminaliteit één van de belangrijkste onderwerpen. De nieuwe standaard is bedoeld als leidraad voor de hele softwareketen, waaronder opdrachtgevers.
Onveilige software is echter moeilijk te herkennen. Je kunt als gebruiker dan ook niet weten of je veilige of onveilige software gebruikt. "Bovendien kan het ?vaak helemaal geen kwaad om onveilige software te gebruiken, totdat er natuurlijk een moment komt dat het misgaat. Maar daar kan best een hele tijd over heen gaan", aldus Koen Sandbrink van het National Cyber Security Centre. Sandbrink trekt de vergelijking met het bouwen van een kantoor. "Daar weet je van tevoren hoeveel vierkante meter je nodig hebt, wat de architectonische kenmerken moeten zijn, hoe vluchtwegen lopen, noem maar op. Voor software security bestaan zulke eisen niet." Fred Hendriks van iComply, initiatiefnemer van de Secure Software Foundation, noemt het probleem een witte vlek in ICT-land. "Ontwikkelde software wordt pas bij oplevering getest op zwakke plekken en lekken."
Strijd is nog lang niet gestreden
De Secure Software Foundation benadrukt dat de strijd tegen cybercrime nog lang niet is gestreden. Een wereldwijde standaard is namelijk nog niet beschikbaar. "We willen wel voorop lopen. Daarom hebben we het kader in het Engels ontwikkeld." Volgens Goes is het belangrijk om nu snel door te pakken. "SQS is nauw bij de ontwikkeling van de standaard betrokken. Medewerkers zijn opgeleid om bij bedrijven te helpen het framework te implementeren en om de certificerings audits te doen. We lopen voorop en zijn een grote, internationale speler op het gebied van software quality en testen. Wij kunnen zorgen voor de afstemming tussen bedrijven."
De afgelopen periode is het ‘Framework Secure Software’ als pilot met succes getest bij diverse software- ontwikkelorganisaties. De standaard is bijna volledig gericht op het veilig produceren van het product, de applicatie, inclusief code, en is daarom aanvullend op bestaande (proces)normen zoals de ISO normen. De Secure Software Foundation neemt de uitgifte, verdere ontwikkeling en bewaking van de open standaard voor haar rekening.
WH
