'Softwarebedrijven moeten boeten voor beveiligingslekken'
National Academy of Sciences wil nieuwe wetgeving die aansprakelijkheid regelt
24 januari 2002 | Jamie Biesemans
De Amerikaanse National Academy of Sciences (NAS) vindt dat softwarebedrijven aansprakelijk gesteld moeten kunnen worden als hun producten beveiligingslekken bevatten. Het standpunt is een reactie op het aanzienlijke aantal kwetsbaarheden dat de afgelopen maanden in veelgebruikte software boven water is gekomen. Tot nu toe is het verhalen van schade nagenoeg onmogelijk, omdat softwaremakers zich juridisch indekken via zorgvuldig opgestelde verkoop- en licentieovereenkomsten.
Microsoft is een van de bedrijven die verschillende kere het nieuws haalde met beveiligingsproblemen. Het gloednieuwe en onneembaar geachte Windows XP bleek een achterdeur te bevatten. Eerder was de webserversoftware Internet Information Server (IIS) op grote schaal doelwit van de wormen Code Red en Nimda.
In het rapport, dat de waarschuwende titel "Cybersecurity Today and Tomorrow: Pay Now or Pay Later" heeft meegekregen, zegt de NAS dat de overheid wetgeving moet opstellen die "software- en systeemverkopers evenals systeembeheerders aansprakelijk stelt voor computerinbraken." Opvallend is daarbij dat NAS meent dat ook beheerders van computersystemen niet buiten beschouwing mogen blijven.
Onderzoek wijst immers uit dat netwerkbeheerders vaak te laat zijn met het installeren van patches en oplossingen voor lekken, waardoor bepaalde veiligheidsproblemen langer gevaar blijven opleveren. Illustratief was bijvoorbeeld Nimda, een internetworm dezelfde kwetsbaarheid misbruikte als Code Red. Zelfs na alle aandacht die Code Red had gekregen, bleken vele systemen maanden later nog altijd niet beveiligd te zijn. Het probleem wordt bovendien in de hand gewerkt door het veelvuldig verschijnen van nieuwe patches en de soms gebrekkige communicatie daarover.
NAS wil softwarebedrijven verplichten om ontdekte lekken kenbaar te maken. Dat is zeer tegen de zin van bepaalde producenten, met Microsoft voorop, die vinden dat de buitenwereld pas geïnformeerd mag worden over een veiligheidsprobleem als er een oplossing voorhanden is.
Veiligheid blijft een heet hangijzer. Begin deze week stuurde Microsoft-topman Bill Gates een e-mail naar alle werknemers waarin hij een nieuwe bedrijfsstrategie aankondigde die de nadruk moet verleggen van features naar veiligheid. Zich bewust van de imagoproblemen die zijn bedrijf op dat gebied heeft, zei Gates dat Microsofts software "zo fundamenteel veilig zou moeten worden, dat klanten zich er geen zorgen meer over hoeven te maken."
Lees meer artikels over :
microsoft, iis, nas
bron: ZDNet
