‘Quality level agreement maakt software veiliger’

Het voorkomen van cybercrime is een zaak van opdrachtgevers en – nemers. Daarom zouden partijen voortaan met elkaar een quality level agreement (QLA) moeten sluiten om samen hun software veiliger te maken.
Dit stelt de Secure Software Foundation (SSF). “Binnen die QLA moeten partners afspreken aan welke standaarden hun software moet voldoen”, zegt Wim Goes van de onlangs opgerichte SSF. Werken volgens vaste standaarden is volgens Goes dé manier om het cybercriminelen moeilijker te maken. “Hoe meer er eenduidig wordt gewerkt, hoe meer kennis we op doen voor de beveiliging. Door volgens vaste standaarden te werken, geef je hackers minder kans of kun je bij een digitale aanval bepaalde delen van je systeem met gevoelige informatie beter beschermen.”

Framework voor veilige software

De SSF heeft onlangs een framework opgeleverd dat zich richt op alle belanghebbenden in de softwareketen. Opdrachtgevers krijgen met dit framework criteria voor veilige software aangereikt die zij in hun lijst van vereisten op kunnen nemen, zonder dat ze zelf inhoudelijke experts hoeven te zijn. Zij kunnen hiermee de softwareleverancier vragen om aan te tonen dat hun software veilig is, eventueel door de software te laten certificeren.
SSF verwacht dat een QLA cybercriminaliteit flink in de weg zal zitten. “Het werk van hackers zal zeker moeilijker worden”, denkt Goes, “omdat ze eerder opgespoord kunnen worden”. Hackers zien overigens nog wel meer zwakke plekken in de keten die (nog) niet door het framework worden afgedekt, zo bleek onlangs op een event van de Secure Software Foundation.