Leverancier moet beveiligingskosten dragen

Beveiligingslekken worden sneller gedicht als de ict-leveranciers er verantwoordelijk voor zouden worden gesteld. Dat zegt beveiligingsexpert Bruce Schneier.

Beveiligingslekken worden sneller gedicht als de ict-leveranciers er verantwoordelijk voor zouden worden gesteld. Dat zegt beveiligingsexpert Bruce Schneier.

Zolang softwareleveranciers de financiële consequenties van slecht beveiligde software niet hoeven te dragen, hebben ze geen prikkel om hun software inherent veiliger te maken. De wetgeving moet daar rekening mee houden en de aansprakelijkheid leggen waar hij hoort: bij de leverancier. Dat zei beveiligingsexpert Bruce Schneier tijdens een lezing op de InfoSecurity-beurs in Brussel.

Volgens de chief security technology officer van BT zijn economische factoren van essentiële invloed op de beveiliging van ict. Leveranciers laten hun beveiligingsinvesteringen afhangen van een financiële risicobeoordeling: is het goedkoper om beveiligingsproblemen aan te pakken, of om niets te doen?

Hoe belangrijk aansprakelijkheid is, toonde Schneier met een vergelijking tussen de manier waarop banken in Amerika en Engeland zijn omgegaan met bankautomaatfraude. Wanneer een klant zegt een bepaalde geldopname niet te hebben gedaan, moeten Amerikaanse banken het geld altijd terugstorten, tenzij ze kunnen bewijzen dat de klant het geld wel degelijk zelf heeft opgenomen. In Engeland ligt de bewijslast andersom. Daar moet de klant bewijzen dat de bank een fout heeft gemaakt. Dat heeft er volgens de beveiligingsexpert toe geleid dat in de VS banken veel meer hebben geïnvesteerd in maatregelen om bankautomaatfraude te voorkomen.

Meer informatie over dit thema vindt u de recentste Security Guide. Een uitgebreid gesprek met Bruce Schneier leest u volgende maand in Data News.

In samenwerking met Computable