Witte Huis: softwaresector verantwoordelijk voor beveiliging

De Amerikaanse regering werkt aan een regeling voor aansprakelijkheid van de softwaresector, die moet verantwoordelijk gehouden kunnen worden. De eerste documentatie daarover is vrijgegeven door het Office of the National Cyber Director. Op dit moment zijn het de gebruikers van software die overal verantwoordelijk voor zijn en de makers hebben met vuistdikke contracten elke aansprakelijkheid buiten de deur gehouden.

Excessen

De excessen waartoe dat leidt zijn algemeen bekend. Het Witte Huis wil die situatie omdraaien, in de eerste instantie zijn de makers verantwoordelijk. Daarmee volgt Amerika de lijn die in de EU al is ingezet. Bij de Amerikaanse plannen is genoemd dat het niet de bedoeling is met een framework de deur naar rechtszaken tegen de softwaremakers te openen. Dat klinkt als een vreemd zwaktebod of poging de krachtige lobby van tegenstanders mild te stemmen. Maar zelfs de verklaring die wel wordt gehanteerd zal sommigen minder aangenaam overkomen. Washington wil dat er meer investeringen voor veilige softwareontwikkeling komen. Dat is niets anders dan een ongekend harde sneer naar Microsoft dat aantoonbaar marketing belangrijker vindt dan security met als gevolg een gehackte overheid.

“beveiligingsbelofte”

In een poging de wetgeving om te buigen hebben 68 technologie- en beveiligingsbedrijven nu een beveiligingsbelofte van het Cybersecurity and Infrastructure Security Agency ondertekend. Daarin staat dat ze zich verplichten tot het mogelijk maken van veilige praktijken zoals MFA, het voorkomen van standaardwachtwoorden en het bieden van meer transparantie over het openbaar maken van kwetsbaarheden. Klinkt mooi, maar CISA kan naleving daarvan niet controleren. Deze actie van de softwaremakers kan ook zijn ingegeven omdat, in het verlengde van de Microsoft affaire, de FBI zich gemeld heeft. Het hoeft verder geen uitleg dat softwaremaker dat soort bezoek willen voorkomen.

Situatie in EU

In de EU is de aansprakelijkheid van softwaremakers iets anders geregeld. Natuurlijk zullen de makers zich vaak beroepen op Amerikaanse contracten of andere manieren verzinnen om onder EU recht uit te komen. De kans op succes daarvan wordt steeds kleiner. ITchannelPRO heeft al een paar keer geschreven over de aansprakelijkheid van makers, importeurs en distributeurs van bepaalde IT goederen. Over die as kan de softwaresector al verantwoordelijk gehouden worden voor beveiliging.