• The Christian Science Monitor
  • Reader
  • 2. Doen techbedrijven genoeg om ons te beschermen?

2. Doen techbedrijven genoeg om ons te beschermen?

Consumenten die het slachtoffer worden van een cyberaanval, draaien zelf op voor de gevolgen. Maar hoe zit het met de verantwoordelijkheid van de softwarefabrikant die de kwetsbare code ontwierp?

Toen autofabrikanten auto’s met ondeugdelijke remmen afleverden, legde de staat hun boetes van vele miljoenen dollars op. Bedrijven die apparaten maken, hebben forse bedragen moeten betalen voor wettelijk verplichte schikkingen wegens de verkoop van ondeugdelijke koffiepotten. En de overheid heeft een strafrechtelijke vervolging ingesteld tegen leidinggevenden van voedselbedrijven omdat ze besmette pindakaas op de markt brachten.

Maar de Amerikaanse software-industrie, die goed is voor vele miljarden dollars, is tot nog toe nooit civiel dan wel strafrechtelijk aansprakelijk gesteld voor ernstige – en toenemende – problemen die het resultaat zijn van een slechte code. Als het gaat om het beveiligen van computers tegen malware of virussen, het afweren van criminele hackers of simpelweg het updaten van ondeugdelijke programma’s, ligt de verantwoordelijkheid grotendeels bij de consumenten, zelfs als de ondersteunende technologie gebreken vertoont.

Na de recente ‘ransomware-aanval’ – die over de hele wereld naar schatting ruim 300 duizend computers aantastte en data van slachtoffers versleutelde tot ze losgeld betaalden om de files vrij te geven – vragen cyberveiligheidsexperts zich af of het geen tijd wordt om softwareontwikkelaars te verplichten zich aan bepaalde richtlijnen te houden, zoals die in andere industrieën ook bestaan. Op die manier zijn we ervan verzekerd dat hun producten beveiligd zijn tegen ernstige en kostbare computeraanvallen.

‘Wacht maar tot dit met jouw auto gebeurt, of jouw ijskast, of jouw vliegtuigelektronica, of tot jouw door internet ondersteunde slot je buitengesloten heeft’

‘De oplossing ligt in regelgeving. Die moeten we nu aanpakken,’ zegt Bruce Schneier, een bekende cryptograaf en hoofd technologie bij IBM Resilient. ‘We hebben gekozen voor snel en goedkoop. Wacht maar tot dit met jouw auto gebeurt, of jouw ijskast, of jouw vliegtuigelektronica, of tot jouw door internet ondersteunde slot je buitengesloten heeft.’

Zo is het, want hoewel de ergste veiligheidsproblemen kwaadwillende hackers de gelegenheid hebben gegeven om zakelijke en overheidssystemen lam te leggen of gevoelige persoonlijke gegevens naar buiten te brengen, kunnen cyberaanvallen binnenkort veel duurdere consequenties hebben omdat er hoe langer hoe meer software wordt gebruikt in auto’s, medische apparatuur, consumptieartikelen en andere essentiële systemen. Daarom, zeggen experts, wordt het steeds urgenter om te zorgen dat een gebrekkige code niet zo makkelijk uitgebuit of gemanipuleerd kan worden.

Natuurlijk waarschuwen softwarebedrijven hun gebruikers als ze een kwetsbare plek ontdekken in hun producten en sturen ze een software-update rond die het gat in de beveiliging repareert. Dat deed Microsoft toen het hoorde over een ernstige zwakke plek in Windows die criminelen de mogelijkheid bood om een ransomware-aanval uit te voeren.

WannaCry

Of die boodschap ook alle slachtoffers van de aanval heeft bereikt is onduidelijk. Dit speciale soort ransomware – WannaCry – lijkt zich te hebben verspreid via een kwaadaardige e-mailcampagne die het virus door middel van bijlagen op de computers van de slachtoffers installeerde.

De zwakke plek in de Windows-software waarvan WannaCry gebruikmaakte, was al eerder ontdekt door de National Security Agency (NSA), en door hen opgeslagen als mogelijk cyberwapen.

Een hackersgroep die zichzelf de Shadow Brokers noemt, dumpte de spyware eerder dit jaar op het web. In een blogpost kapittelde Microsoft-voorzitter Brad Smith de NSA over het feit dat ze de zwakke plek hadden opgeslagen en geheim hadden gehouden. Hij vergeleek het probleem met een situatie waarin er ‘een paar Tomahawkraketten waren gestolen’ van de Amerikaanse overheid.

Maar sommige experts zijn niet zo voor het straffen van veiligheidsdiensten die profiteren van zwakke plekken in besturingssystemen en mobiele telefoons. ‘Het is oneerlijk om de NSA eruit te pikken,’ zegt Patrick Wardle, een computerexpert die bij de NSA heeft gewerkt en nu beveiligingsonderzoeker is bij de firma Synack. ‘Waarom geven we Microsoft niet de schuld? Ze hebben een gebrekkige code ontwikkeld en toegepast. Ze zouden een deel van de schuld op zich moeten nemen.’

© Studio Vonq
© Studio Vonq

In tegenstelling tot in veel andere industrieën, zoals de gezondheidszorg en de elektronische sector, worden aan softwareontwikkelaars geen juridische eisen gesteld als het op productveiligheid aankomt. In een serie artikelen uit 2013 in New Republic over het debat wie aansprakelijk is voor software, zegt Jane Chong van het Hoover Institution dat softwarebedrijven altijd aansprakelijkheidsclaims over ondeugdelijke codes hebben ontweken met een beroep op de gebruikersovereenkomst.

‘Softwareleveranciers schuiven met die licentieovereenkomst, die door rechters meestal als een afdwingbaar contract wordt gezien, alle risico’s van hun producten af op de gebruikers,’ schreef mevrouw Chong, docent rechten en nationale veiligheid aan het instituut.

De keren dat gebruikers hebben geprobeerd om softwarebedrijven gerechtelijk te vervolgen wegens het lekken van data, werden de zaken vaak onontvankelijk verklaard, merkte ze op. Een gerechtshof in Californië verwierp een groepsgeding van LinkedIn-gebruikers, die aanvoerden dat het sociale-mediabedrijf slachtoffer was geworden van een serieuze hack, omdat LinkedIn zelf niet de veiligheidsmaatregelen had getroffen die gangbaar waren in de industrie. Om te zorgen dat gerechtshoven softwarebedrijven verantwoordelijk gaan houden voor nalatigheid op het gebied van cyberveiligheid, moeten er strengere federale regels komen wat betreft de kwaliteit van de code. Het vergt ook rechters die begrip hebben voor de ingewikkelde kwesties rondom de kwetsbaarheid van software en hoe die kan leiden tot cyberaanvallen.
In dit geval waren sommige van de getroffen Microsoft Windows-systemen oude versies die niet waren geüpdatet of gecorrigeerd, zei Ross Schulman, mededirecteur van het Cybersecurity Initiative en beleidsadviseur aan het New America’s Open Technology Institute. Microsoft heeft die systemen ‘al een heel lange tijd ondersteund; ze hebben iedereen ruim op tijd gewaarschuwd dat ze daarmee zouden ophouden’.

Verantwoordelijk gehandeld

Volgens veel experts heeft Microsoft in deze zaak verantwoordelijk gehandeld en zijn klanten gewaarschuwd voor de zwakke plekken. In plaats van Microsoft de schuld te geven, zegt Tom Cross, hoofd technologie bij het cyberveiligheidsbedrijf OPAQ, ‘zouden toezichthouders zich moeten afvragen waarom bepaalde organisaties niet waren voorbereid, in het bijzonder als dat organisaties zijn in essentiële sectoren van de infrastructuur.’

Experts trachten te achterhalen wie er achter de aanval zat, maar het zou voor de industrie en de overheid ook een moment kunnen zijn om nogmaals te evalueren of er een manier bestaat om softwarebedrijven aan te moedigen producten uit te rusten met een code die bij dit soort aanvallen betrouwbaarder en veerkrachtiger is, zegt Joshua Corman, directeur van het Cyber Statecraft Initiative van Atlantic Council, een denktank in Washington.

‘Ik denk zeker dat het een keerpunt is,’ zegt Mr Corman. ‘Het is nu veel makkelijker om te pleiten voor een bepaalde vorm van verantwoordelijkheid voor software. Ik hoop heel erg dat dit aanleiding is voor een correctieve actie.’

Auteur: Jack Detsch

The Christian Science Monitor
Verenigde Staten | csmonitor.com

Na meer dan een eeuw is deze krant uit Boston in 2009 gestopt met de printversie en verdergegaan op internet. Heeft nog wel een wekelijkse printeditie. Niet religieus, dankt zijn naam aan de financier: de Christian Science Church.

Dit artikel van Jack Detsch verscheen eerder in The Christian Science Monitor.
Recent verschenen
Een remedie tegen navelstaren?
Schrijf je in voor onze nieuwsbrief.
Onze nieuwsbrief wordt wekelijks verzonden.
inschrijven

360 heeft 1000 nieuwe leden nodig

Deze maand bieden wij daarom een deel van onze artikelen gratis aan. Zo kunt u vast kennismaken met ons aanbod. Leden blijven toegang houden tot onze maandelijkse digitale editie en het archief.