Kwetsbaar door software

English

Voorval

Software

Organisaties

Incident-
bestrijding

Leren van
voorvallen

Beleid

SCROLL

Aanleiding

De Onderzoeksraad heeft onderzoek gedaan naar beveiligingslekken als gevolg van kwetsbaarheden in software van Citrix. De Raad verrichtte ook onderzoek naar andere, vergelijkbare voorvallen.

SCROLL

Voorval

Bedrijfsnetwerk

Citrix-server

Kwetsbaarheden in Citrix- en andere software hebben geleid tot onveiligheid voor organisaties die deze software gebruiken en voor hen die van deze organisaties afhankelijk zijn.

SCROLL

Software

Softwareproducten zijn altijd kwetsbaar. Fabrikanten voegen nieuwe functies toe aan bestaande producten, hergebruiken bestaande componenten of bouwen lagen in de architectuur.

SCROLL

Organisaties

Organisaties hebben niet altijd de expertise en capaciteit om risico's te analyseren, deze af te wegen en maatregelen te nemen, of zien de urgentie daar niet van in.

SCROLL

Incidentbestrijding

Bestrijding in Nederland van digitale incidenten kent geen nationale structuur, die het mogelijk maakt om alle potentiële slachtoffers tijdig te waarschuwen.

SCROLL

Beleid

Wereldwijd afspraken maken over veilige software en cyberaanvallen is moeilijk vanwege onderlinge verschillen en eigen inlichtingen- en opsporingsactiviteiten.

SCROLL

Leren van voorvallen

Betrokken partijen in het digitale domein kunnen beter leren van voorvallen. Ook moeten lessen uit voorvallen zo breed mogelijk worden verspreid.

SCROLL

Aanbevelingen

Aan de Europese commissie: Zorg voor Europese wetgeving voor veiligere software, en leg vast dat fabrikanten aansprakelijk zijn voor gevolgen van softwarekwetsbaarheden.

Aan softwarefabrikanten: Ontwikkel met andere fabrikanten good practices om software veiliger te maken.

Aan softwarefabrikanten: Waarschuw en help zo snel en doeltreffend mogelijk bij signalering van kwetsbaarheden in software.

Aan de ministeries van BZK en EZK: Bevorder dat organisaties en consumenten gezamenlijk veiligheidseisen formuleren en afdwingen bij softwarefabrikanten.

Aan het kabinet: Creëer een wettelijke basis voor de beheersing van digitale veiligheid.

Aan het kabinet: Verplicht alle organisaties om verantwoording af te leggen hoe zij digitale veiligheidsrisico's beheersen.

Aan het Nederlandse kabinet en organisaties die software gebruiken: Zorg dat alle potentiële slachtoffers van cyberaanvallen tijdig worden gewaarschuwd.

Digitale afhankelijkheid en dreiging van beveiligingslekken worden steeds groter. Snel en fundamenteel ingrijpen is noodzakelijk om te voorkomen dat de maatschappij ontwricht raakt.

Aan de Europese commissie:
Zorg voor Europese wetgeving voor veiligere software, en leg vast dat fabrikanten aansprakelijk zijn voor gevolgen van softwarekwetsbaarheden.

Aan softwarefabrikanten:
Ontwikkel met andere fabrikanten good practices om software veiliger te maken.

Aan softwarefabrikanten:
Waarschuw en help zo snel en doeltreffend mogelijk bij signalering van kwetsbaarheden in software.

Aan het Nederlandse kabinet en organisaties die software gebruiken:
Zorg dat alle potentiële slachtoffers van cyberaanvallen tijdig worden gewaarschuwd.

Aan het kabinet:
Verplicht alle organisaties om verantwoording af te leggen hoe zij digitale veiligheidsrisico's beheersen.

Aan de ministeries van BZK en EZK:
Bevorder dat organisaties en consumenten gezamenlijk veiligheidseisen formuleren en afdwingen bij softwarefabrikanten.

Aan het kabinet:
Creëer een wettelijke basis voor de beheersing van digitale veiligheid.