Het werd de afgelopen tijd weer duidelijk dat cybersecurity bij bedrijven nog altijd niet de juiste aandacht krijgt. Door het samenwerken met externe partijen voor (managed) hosting en software development, wordt ook het maken van afspraken over de verantwoordelijkheid voor cybersecurity lastiger. En wie is verantwoordelijk als een bedrijf gehackt wordt door een kwetsbaarheid in de software; het bedrijf zelf of de supplier waarmee ze samenwerken voor software development?
Er zijn deze maand verschillende berichten in de media verschenen over hacks waarbij het onduidelijk is wie hiervoor verantwoordelijk kan worden gesteld: de opdrachtgever of de opdrachtnemer. Op NU.nl werd een artikel gepubliceerd over de rechterlijke uitspraak tussen een accountantskantoor dat gehackt was en zijn (managed) hosting partij die daar verantwoordelijk voor gesteld werd. We hebben ook allemaal kunnen lezen over de kwetsbaarheid in de website Infectieradar van het RIVM waarbij vertrouwelijke gegevens van deelnemers zijn gelekt. Om voor het gemak nog even niet te beginnen over de veelbesproken ‘Corona App’…
Waarom krijgt cybersecurity te weinig aandacht? Waarom laten bedrijven (zowel de opdrachtgevers en de opdrachtnemers) dit gebeuren met alle risico’s van dien?
Verantwoordelijkheid van een opdrachtgever
Iedere software developer ontwikkelt applicaties met de juiste bedoelingen en veel beloven een actief cybersecuritybeleid. Maar hoe controleer je als opdrachtgever hoe concreet dit beleid is? Hoe weet je of de maatregelen die getroffen worden voldoende zijn? En minstens net zo belangrijk, wat doe je er zelf aan om verantwoordelijkheid te nemen voor de cybersecurity van de dienst die voor jou wordt ontwikkeld of beheerd?
Als we het onderzoek van MongoDB mogen geloven is er nog een grote groep software developers die cybersecurity niet ziet als hun verantwoordelijkheid. Het is dus belangrijk om een potentiële supplier concrete vragen te stellen over hun cybersecuritybeleid en visie op wie er verantwoordelijk is voor de beveiliging van hun diensten of producten.
Verdiep je als opdrachtgever in cybersecurity
Door onderstaande vragen te stellen aan een beoogde IT-supplier kun je een eerste indruk krijgen van hun visie met betrekking tot cybersecurity:
- Wat doen jullie om security te borgen in jullie ontwikkelproces?
- Zijn de developers getraind op het gebied van secure development?
- Is de uitvoer van een securitytest (bijvoorbeeld een pentest of vulnerability assessment) onderdeel van het voorstel?
- Hoe worden zaken als structureel pentesten, checks bij grote wijzigingen en het monitoren van security na de livegang geregeld en welk securitybeleid wordt hierin gehanteerd?
Denk als opdrachtgever na over de kosten die hiermee gemoeid zijn wanneer je offertes of prijzen van externe partijen voor (managed) hosting en software development gaat vergelijken. Ben je bereid om extra te investeren in cybersecurity?
"Bij de oplevering van een nieuwbouwhuis is het logisch om een externe partij een onafhankelijke inspectie uit te laten voeren.
Waarom doen we deze onafhankelijke inspectie niet standaard bij software of hosting?"
Challenge de IT-suppliers waarmee je wil gaan samenwerken, leg afspraken over cybersecurity vast op papier en controleer of deze worden nageleefd. Als je de kennis niet hebt om hier kritisch naar te kijken, dan kun je het beste advies inwinnen. In the end is het jullie bedrijfsnaam en imago als het fout gaat en er een cyberincident plaatsvindt. Los van de schuldvraag, dit wil je koste wat kost voorkomen.
Geen concessies voor opdrachtgevers
Het is belangrijk om te realiseren dat software developers en hostingpartijen onder druk worden gezet door bedrijven die snel en goedkoop iets willen laten ontwikkelen of hosten. Opdrachtgevers stellen soms zeer hoge eisen aan de IT-suppliers en zien liever dat het gisteren al klaar zou zijn. Daarnaast willen ze dan ook nog voor een dubbeltje op de eerste rang zitten. Wees als opdrachtgever realistisch naar deze bedrijven en wees alert! Onder druk moet ergens op worden ingeleverd en prijs, opleverdatum en functionaliteit zijn hierbij vaak geen optie.
Doe als opdrachtgever geen concessies als het gaat om security en deadlines. De casus van de Infectieradar van het RIVM is hiervan een goed voorbeeld. De kwetsbaarheid was blijkbaar bekend en mogelijk verholpen, maar dit bleek uiteindelijk toch niet het geval. Onduidelijkheid, slechte communicatie, ergernis en de imagoschade voor zowel de software developer als het RIVM.
Afspraken tussen opdrachtgevers en IT-suppliers
Wanneer je als opdrachtgever verschillende IT-suppliers met elkaar gaat vergelijken, let dan goed op de securitymaatregelen die zij voorstellen. Kies de partij die jou adviseert om een security audit door een onafhankelijke partij op te laten nemen in het project. Dit maakt deze software developer niet twijfelachtig, maar maakt deze partij juist sterk. Ze hebben blijkbaar vertrouwen in hun werk. Natuurlijk gaat een software developer uit van hun eigen kwaliteit, maar met securitymaatregelen willen ze niets aan het toeval overlaten.
Als er besloten wordt om bijvoorbeeld een pentest uit te laten voeren, maak dan goede afspraken over de uitkomsten van deze securitytest. Welke issues moeten worden verholpen, binnen welke termijn en wie gaat de kosten hiervoor dragen? Je kunt er natuurlijk ook voor kiezen om zelf de lead te pakken en een securitypartij in te schakelen om tijdens en na oplevering te testen. Alleen rest dan nog steeds de kwestie wie de kosten betaalt voor het verhelpen van gevonden kwetsbaarheden in de software en wie er verantwoordelijk is als het onverhoopt toch fout gaat.
Een samenwerking tussen bedrijven en externe partijen voor (managed) hosting en software development draait onder andere om goede communicatie over cybersecurity en het maken en vastleggen van duidelijke afspraken over de verantwoordelijkheden en kosten. Een ding is zeker: je moet als opdrachtgever ruimte maken in je budget voor cybersecurity en dat kan al snel 10% van het totale projectbudget beslaan.
Cybersecurity is geen pré maar een must
Je kunt als opdrachtgever niet meer onder cybersecurity uit, dus kies een externe partij om mee samen te werken die dit serieus neemt en ding hier niet op af. Doe geen concessies en controleer actief op het proces. Heb je niet voldoende kennis in huis? Schakel deze dan in. Het kan je een hoop geld en problemen besparen.
Wil je meer informatie of advies, omdat je niet weet of jouw IT-supplier de juiste securitymaatregelen voorstelt? Of werk je bij een software developer of digital agency en zoek je een partij die jouw collega's kan trainen in secure development of juist de onafhankelijke securitytesten kan uitvoeren voor jullie klanten? Neem contact op met Computest Security via mail info@computest.nl of telefonisch via +31 (0)88 733 13 37.