Tientallen technologieleveranciers hebben zich aangesloten bij een door de Amerikaanse overheid gesteunde overeenkomst Secure by Design-belofte. Maar zal dit engagement een breuk betekenen met het verleden en de schijnbaar eindeloze cyclus van cyberaanvallen? Onafhankelijke deskundigen prijzen het initiatief weliswaar als waardevol, maar blijven onzeker over de waarschijnlijke impact ervan.
Waar gaat het over?
De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) probeert softwareleveranciers zover te krijgen dat ze de belofte onderschrijven als onderdeel van een bredere strategie om de nationale cyberveiligheidsveerkracht te verbeteren. Het is vrijwillig en niet juridisch bindend, maar heeft tot doel softwareleveranciers ertoe aan te zetten beveiliging tot een fundamenteel onderdeel van hun productontwikkelingslevenscyclus te maken.
De doelstellingen van de belofte vallen in zeven categorieën:
⦁ Vergroot het gebruik van meervoudige authenticatie voor alle producten
⦁ Verminder de prevalentie van standaardwachtwoorden in producten
⦁ Een significante meetbare vermindering aantonen in de prevalentie van een of meer kwetsbaarheidsklassen in producten
⦁ Verhoog de installatie van beveiligingspatches door klanten
⦁ Publiceer een beleid voor het openbaar maken van kwetsbaarheden dat openbare tests autoriseert
⦁ Demonstreer transparantie in de rapportage van kwetsbaarheden door nauwkeurige Common Weakness Enumeration (CWE) en Common Platform Enumeration (CPE) gegevens op te nemen in kwetsbaarheidsrapporten. Geef tijdig CVE-records (Common Vulnerabilities and Exposures) voor producten uit
⦁ Vergroot de mogelijkheid voor klanten om bewijs te verzamelen van inbreuken op de cyberbeveiliging die de technologieën van een fabrikant beïnvloeden
Softwareontwikkelaars, clouddiensten en SaaS-technologieën vallen allemaal binnen de reikwijdte van de belofte, maar fysieke producten zoals IoT-apparaten en consumptiegoederen niet. Een groep van 68 toonaangevende technologiebedrijven – waaronder Amazon Web Services, Cisco, Google en Microsoft – ondertekenden de belofte toen deze begin mei werd gelanceerd, en dit aantal is sindsdien gestegen tot meer dan 140 leveranciers.
CISA hoopt dat publieke toezeggingen van een groeiende lijst bedrijven de transparantie zullen bevorderen en klanten in staat zullen stellen de voortgang van leveranciers op het gebied van beveiligingsdoelstellingen te evalueren. Fabrikanten wordt gevraagd hun voortgang bij het bereiken van hun doelstellingen binnen een jaar na ondertekening van de belofte te documenteren, deels zodat de bredere industrie kan leren van hun beveiligingstraject.
Een back-up van de belofte
Leveranciers beloven al routinematig dat ze hun veiligheid zullen verbeteren in de nasleep van cyberaanvallen of inbreuken, dus het is legitiem om je af te vragen hoeveel impact een vrijwillige belofte waarschijnlijk zal hebben.
“De belofte zelf, hoewel essentieel voor het vergroten van het bewustzijn en het stellen van de noodzakelijke maatstaf voor beveiligingspraktijken, dwingt leveranciers niet af of stimuleert ze niet om deze principes volledig te integreren in hun ontwikkelingsprocessen”, zegt Patrick Tiquet, vicepresident beveiliging en compliance van Keeper Security. vertelt ISMS.online.
“Als softwareklanten er echter op aandringen dat ontwikkelaars deze belofte doen, en bevestigen dat ze zich hieraan houden, zal de belofte minder vrijwillig worden en veranderen in een basisverwachting.”
Taimur Ijlal, een technologie-expert en leider op het gebied van informatiebeveiliging bij Netify, waarschuwt ook voor voorzichtigheid.
“Toonaangevende bedrijven als Microsoft en Google moeten een voorbeeld stellen en anderen aanmoedigen om te volgen als ze willen dat de belofte significante veranderingen teweegbrengt”, vertelt hij aan ISMS.online. “Zonder marktwerking of wettelijke eisen zouden veel softwareleveranciers echter nog steeds terughoudend kunnen zijn om deel te nemen, zelfs met hun steun.”
Veel hangt af van de ethische standaard van de ondertekenaars, aldus Ijlal, die eraan toevoegt dat zelfs een oprechte inzet voor verbeteringen geen garantie is voor succes.
“Kwetsbaarheden glippen nog steeds door, zelfs in software die door gerenommeerde leveranciers is geproduceerd”, stelt hij. “Hoewel de belofte vooruitgang aanmoedigt, ontbreekt het aan handhavingsmechanismen om ervoor te zorgen dat bedrijven hun verplichtingen volledig nakomen.”
Maria Opre, een cybersecurity-expert en senior analist bij EarthWeb, stelt dat leveranciers economische voordelen kunnen halen uit het verbeteren van de beveiliging van hun producten.
“Voor ondernemingen kunnen inbreuken op de beveiliging verwoestende gevolgen hebben – boetes van toezichthouders, reputatieschade, kostbare downtime, om er maar een paar te noemen”, vertelt ze aan ISMS.online. “Door vanaf het begin veilige codeerpraktijken te volgen, worden de technische schulden en dure patches achteraf verminderd. Het is een verstandige investering.”
Kat en muis
Er bestaat ook het gevaar dat elke vooruitgang die door de belofte wordt geboekt, wordt ondermijnd door veranderingen in de tactieken van de dreigingsactoren.
John Allison, directeur publieke sector bij Checkmarx, zegt dat er een evolutie in de dreigingen te verwachten is, en dat het doel daarom moet zijn om de beveiliging voortdurend te verbeteren en kosten op te leggen aan aanvallers.
“Tegenstanders evolueren altijd, maar het doel hier is om hen te dwingen zich aan te passen en tijd en moeite te investeren in het vinden van gaten in een fundamenteel gezonde beveiligingsarchitectuur”, vertelt hij aan ISMS.online. “Ik verwacht dat de ‘secure-by-design’-doelen in de loop van de tijd zullen evolueren naarmate de bedreigingen zich ook ontwikkelen.”
Netify's Ijlal betoogt dat Secure by Design een “doorlopende praktijk” moet worden in plaats van een eenmalige afvink-aanpak.
“Ontwikkelaars moeten voortdurend nieuwe risico’s beoordelen en hun praktijken dienovereenkomstig aanpassen. Statische beveiliging zal uiteindelijk altijd worden omzeild”, voegt hij eraan toe. “Het is goed om ontwikkelaars te leren hoe ze veilige code kunnen ontwerpen, risicobeoordelingen kunnen uitvoeren en bedreigingsmodellering kunnen toepassen. Terwijl we procedures stroomlijnen, moeten we ook in mensen investeren.”
Shift naar links
De bevordering van DevSecOps-praktijken, die softwareontwikkelaars aanmoedigen om “naar links te verschuiven” door zich vanaf het begin bezig te houden met veilige codeerpraktijken, sluit aan bij de doelstellingen van de Secure by Design-belofte van de CISA.
Het stelt ontwikkelaars in staat risico's te beperken voordat ze exploiteerbare kwetsbaarheden worden. Om dit te bereiken is echter meer nodig dan alleen toezeggingen; het vereist een alomvattende integratie van best practices op het gebied van beveiliging gedurende de gehele levenscyclus van softwareontwikkeling.
“Het bouwen van een goed doordachte en effectieve beveiligingsarchitectuur vereist heel andere vaardigheden dan de meeste softwareontwikkelaars”, aldus Allison van Checkmarx. “In de haast om nieuwe producten op de markt te brengen, wordt de beveiliging vaak volledig genegeerd of minimaal gedaan, net voldoende om een certificering te behalen.”
Normen rijden
Certificeringen kunnen de veiligheid door ontwerp helpen bevorderen door de lat hoger te leggen voor wat betreft de controles die moeten worden uitgevoerd en hoe de auditors het bedrijf moeten beoordelen voor de certificering. En experts beweren dat beveiligingsstandaarden zoals ISO 27001 ook kunnen helpen bij het bevorderen van een security-by-design-cultuur. ISO 27001 biedt bijvoorbeeld een raamwerk voor het beheren van informatiebeveiliging dat organisaties helpt bij het systematisch aanpakken van beveiligingsrisico's.
“Normen als ISO 27001 spelen een cruciale rol bij het bevorderen van een security-by-design-cultuur. Door zich aan dergelijke normen te houden, kunnen bedrijven ervoor zorgen dat beveiliging geen bijzaak is, maar een fundamenteel onderdeel van hun activiteiten”, besluit Tiquet van Keeper Security.
“Deze standaardisatie kan de acceptatie van veilige ontwikkelpraktijken stimuleren en een veerkrachtiger softwareomgeving bevorderen.”
