Beveiligingsgoeroe wars van angstzaaierij
In de IT-beveiligingswereld lopen veel markante figuren rond. De prominente cryptograaf Bruce Schneier is een van hen. Met zijn soms tegendraadse, nuchtere verklaringen weet de oprichter van netwerkbeveiligingsbedrijf BT Counterpane zijn publiek steevast te verbazen.
Op een congres van Govcert.nl (de Nederlandse CERT) heeft de beveiligingsgoeroe vorige week zijn karakteristieke geluid laten horen. We willen je zijn opvattingen over onder meer dataopslag, softwarelekken en 'tweefactor-authenticatie' niet onthouden.
Klaag softwarebedrijven aan
Volgens Schneier is het wel degelijk mogelijk om kwaliteitssoftware te schrijven die goed werkt en niet constant hoeft te worden gepatcht. "Het probleem is dat het duur is en veel tijd vreet." Doordat de computerindustrie momenteel niet aansprakelijk wordt gesteld voor fouten, kan ze meer producten in een sneller tempo uitbrengen. Eerder heeft Schneier dit een "enorme overheidssubsidiëring van de computerindustrie" genoemd.
De softwarebedrijven moeten worden gedwongen, door ze aan te klagen. Op die manier kun je ook monopolies aanpakken, meent hij. "Er zullen altijd beveiligingsproblemen zijn. Je moet het probleem doorschuiven naar de maker. Dat is het basisprincipe achter software veiliger maken."
Het werkt ook zo in de auto-industrie, vergelijkt hij. "Als daar iets misgaat, dan wordt de fabrikant aangeklaagd. Dat is de enige manier om ervoor te zorgen dat iets vanaf het begin veilig wordt ontworpen." Overigens maakt hij voor openbronsoftwaremakers een uitzondering. "Openbronsoftware is een cadeau, dan geldt geen aansprakelijkheid."
Veel softwarebedrijven maken het klanten wel lastig om ze aan te klagen, geeft Schneier toe. Dat doen ze bijvoorbeeld door in de gebruiksovereenkomst op te nemen dat ze geen aansprakelijkheid accepteren bij software. Maar: "Bij een echt contract moeten beide partijen onderhandelingsmacht hebben. Dus er is een argument dat er geen redelijk contract is."
Tweefactor-authenticatie is geen oplossing
En wij in Nederland maar denken dat we zo veilig internetbankieren. Wij gebruiken immers tweefactor-authenticatie om in te loggen en te betalen, in plaats van een wachtwoord. Schneier maakt korte metten met deze vorm van beveiliging.
In de IT-beveiligingswereld lopen veel markante figuren rond. De prominente cryptograaf Bruce Schneier is een van hen. Met zijn soms tegendraadse, nuchtere verklaringen weet de oprichter van netwerkbeveiligingsbedrijf BT Counterpane zijn publiek steevast te verbazen.
Op een congres van Govcert.nl (de Nederlandse CERT) heeft de beveiligingsgoeroe vorige week zijn karakteristieke geluid laten horen. We willen je zijn opvattingen over onder meer dataopslag, softwarelekken en 'tweefactor-authenticatie' niet onthouden.
Klaag softwarebedrijven aan
Volgens Schneier is het wel degelijk mogelijk om kwaliteitssoftware te schrijven die goed werkt en niet constant hoeft te worden gepatcht. "Het probleem is dat het duur is en veel tijd vreet." Doordat de computerindustrie momenteel niet aansprakelijk wordt gesteld voor fouten, kan ze meer producten in een sneller tempo uitbrengen. Eerder heeft Schneier dit een "enorme overheidssubsidiëring van de computerindustrie" genoemd.
De softwarebedrijven moeten worden gedwongen, door ze aan te klagen. Op die manier kun je ook monopolies aanpakken, meent hij. "Er zullen altijd beveiligingsproblemen zijn. Je moet het probleem doorschuiven naar de maker. Dat is het basisprincipe achter software veiliger maken."
Het werkt ook zo in de auto-industrie, vergelijkt hij. "Als daar iets misgaat, dan wordt de fabrikant aangeklaagd. Dat is de enige manier om ervoor te zorgen dat iets vanaf het begin veilig wordt ontworpen." Overigens maakt hij voor openbronsoftwaremakers een uitzondering. "Openbronsoftware is een cadeau, dan geldt geen aansprakelijkheid."
Veel softwarebedrijven maken het klanten wel lastig om ze aan te klagen, geeft Schneier toe. Dat doen ze bijvoorbeeld door in de gebruiksovereenkomst op te nemen dat ze geen aansprakelijkheid accepteren bij software. Maar: "Bij een echt contract moeten beide partijen onderhandelingsmacht hebben. Dus er is een argument dat er geen redelijk contract is."
Tweefactor-authenticatie is geen oplossing
En wij in Nederland maar denken dat we zo veilig internetbankieren. Wij gebruiken immers tweefactor-authenticatie om in te loggen en te betalen, in plaats van een wachtwoord. Schneier maakt korte metten met deze vorm van beveiliging.