Informatiebeveiligers maken tropenjaren door. Het ene grote lek volgt op het andere en we kijken inmiddels bijna nergens meer van op. Er lijkt bijna geen kruid gewassen tegen al die security breaches. Langzaam maar zeker dringt het door dat we het probleem bij de wortel moeten aanpakken: bij de brakke software. Die moeten we opsporen en vervangen. De grote vraag is alleen: hoe maak je software safe?
De kieren in onze digitale muren worden kwetsbaarheden genoemd. In persoonlijke relaties is kwetsbaarheid juist een kwaliteit. Alleen is er in de wereld van de code niks aaibaars aan kwetsbaarheid. Het is een eufemisme. Hoog tijd dus dat we dit beestje bij zijn ware naam noemen: een programmeerfout. De kwetsbaarheid van de software (en daarmee van de organisatie) is het gevolg van een fout.
Een voorbeeld zijn de antwoordformulieren op veel websites, met onderaan een vrij veld voor opmerkingen. Prima, want dat geeft de bezoeker die nog iets extra’s kwijt wil de ruimte. Zo’n veld dient echter wel beschermd te worden door het aantal in te typen karakters in de code van de website aan een maximum te binden. Doe je dat niet dan kan een kwaadwillende de website platleggen door miljoenen regels tekst op dit veld af te vuren. Of neem de manier waarop de Troonrede van 2012 werd gehackt. Simpelweg door achter de url van de Troonrede van een jaar eerder het jaar 2012 in te typen. In de software van de site had daartegen een beveiliging ingebouwd moeten zijn, maar die ontbrak.
Maar liefst driekwart van alle beveiligingslekken is terug te voeren op programmeerfouten. Dat zijn snoeiharde feiten en het illustreert hoe enorm belangrijk het is om dit probleem aan de bron aan te pakken. Hoe? Door ervoor te zorgen dat nieuwe software veel minder fouten bevat dat en bestaande software over een breed front wordt ‘opgeschoond’.
Eén van de koplopers in de toepassing van Secure Software Development is het UWV, dat ook de ontwikkeling van deze beveiligingsmethodiek betrokken was. Bij het UWV is het kwartje gevallen. De verantwoordelijken daar beseffen dat de beste afweer tegen cybercrime hoogwaardige software is. Dat is software waar geen speld tussen te krijgen is. Die uit en te na is getest, zowel door de leverancier als door de afnemer. Die goed gedocumenteerd is en regelmatig een opfrisbeurt krijgt. Het slechte nieuws is dat nog maar heel weinig van dergelijke hoogwaardige software is. Hackers leven daarom nog altijd in een luilekkerland. Het goede nieuws is dat er snel verbeteringen mogelijk zijn als softwareleveranciers en bedrijven zich samen sterk maken en investeren in software van hoge kwaliteit.
Fred Teunissen schetst in ICT/Magazine de kwetsbaarheden en wat je er aan kunt doen. Lees het online of in ICT/Magazine van november.
