Hoe houden we hackers op afstand? Het is dé vraag voor organisaties die inzien wat ze te verliezen hebben als ze slachtoffer worden van cybercrime. Voorbeelden zijn er te over. Internationale financiële instellingen als HSBC, Credit Suisse en UBS gingen recentelijk voor enorme bedragen het schip in, omdat hackers in hun systemen konden komen. Software is niet zelden de zwakke plek in de beveiliging. Jaarlijks leidt de Nederlandse economie voor 1,6 miljard euro schade in de vorm van verlies van productiviteit en omzetderving door softwarefouten.

Een bedrijf kan zich dit soort fouten niet veroorloven, want steeds meer bedrijfswaarde zit in de software”, zegt bestuurslid Wim Goes, van de onlangs opgerichte Secure Software Foundation. De stichting werkt onder meer samen met het Nationaal Cyber Security Centre aan de ontwikkeling van veilige software ter bestrijding van digitale criminaliteit. De stichting heeft daarom een Framework Secure Software ontwikkeld, waarbinnen veiligere software kan worden gemaakt.

Software vaak te snel ontwikkeld.

Probleem is dat onveilige software moeilijk te herkennen is voor gebruikers. “Bovendien kan het vaak helemaal geen kwaad om onveilige software te gebruiken, totdat er natuurlijk een moment komt dat het misgaat. Maar daar kan best een hele tijd overheen gaan”, aldus Koen Sandbrink van het National Cyber Security Centre.

Waarom is software vaak de zwakke plek in de beveiliging? Nieuwe software wordt vaak in té grote haast ontwikkeld, de ontwikkelkosten worden laag gehouden, omdat budgeten niet overschreden mogen worden, de leveranciers niet altijd aansprakelijk zijn voor fouten en programmeurs niet goed genoeg zijn opgeleid. Bovendien is er niet altijd toezicht op de omgeving van gebruikers.

Goes: “Hackers zijn er op uit om software te laten crashen, bijvoorbeeld door de applicatie iets te laten doen wat het systeem niet wil. Op die manier krijgen ze informatie om te kunnen inbreken in systemen. Een standaard, zoals wij de hebben ontwikkeld, gaat daarom zeker helpen in de strijd tegen hackers. Hoe meer er eenduidig wordt gewerkt, hoe meer kennis we op doen voor de beveiliging.”

Hackers zien overigens nog wel meer zwakke plekken in de keten, zo bleek onlangs op een event van de Secure Software Foundation. De eindtest bij oplevering wordt vaak gezien als een bewijs van veiligheid en betrouwbaarheid. Maar volgens hackers is het slechts een momentopname. Ook werken er vaak tijdelijke programmeurs aan applicatie en die zijn niet altijd op de hoogte van standaards voor veilige software of ze zijn door de opdrachtgever niet goed gescreend.

Code moet stabiel blijven

Een ander probleem zijn de hoge gebruikseisen die aan software worden gesteld. Consumenten zijn veeleisend. Van een zorgverzekeraar wordt bijvoorbeeld verwacht dat het systeem net zo gebruiksvriendelijk is als van een webwinkel. “De code van software moet stabiel blijven. Als er te veel eisen aan software worden gesteld, dan vormt dit een risico”, zegt Goes.

Hij pleit daarom voor invoering van een quality level agreement (QLA), waarbij opdrachtgevers en –nemers met elkaar afspraken aan welke standaarden de producten meten voldoen. Bijvoorbeeld dat een product het stempel van de Secure Software Foundation krijgt.

Hackers lijken nog niet helemaal overtuigd. “De SFF-standaard en eventueel een QLA gaat hun werk wel moeilijker maken”, schat risk-analist Martijn Hazelzet. “Ze kunnen eerder opgespoord worden. Daarom denk ik dat ze meer gebruik gaan maken van tor-browsers, waardoor ze anoniem blijven.”

100 % veilige software bestaat niet”, zegt Goes, “want je kunt nooit alle bedreigingen voorzien. Ons framework biedt wel de mogelijkheid om vast te stellen of er voldoende security is geïmplementeerd.”

Voorlopig is er nog werk genoeg te doen, want door de opkomst van het Internet of Things komen er alleen maar meer data beschikbaar. Onderzoeksbureau Gartner gaf onlangs een schot voor de boeg door te stellen dat de beveiliging van het totale netwerk nog lang niet optimaal is. De ‘dingen’ van the Internet of Things zijn gewone apparaten die op dit moment nog niet los worden beveiligd’, stelt Gartner.