Er zijn duidelijke parallellen tussen de moderne software-industrie en de auto-industrie van de jaren zestig, vóór de invoering van veiligheidsgordels. Zolang autofabrikanten zichzelf mochten reguleren, gaven ze geen prioriteit aan veiligheid. Bij ongevallen schoven ze de schuld vaak in de schoenen van de bestuurder, die werd neergezet als 'de gek achter het stuur', in plaats van verantwoordelijkheid te nemen voor auto's die gewoonweg slecht ontworpen waren.
Ook vandaag worden gebruikers vaak verantwoordelijk gehouden voor beveiligingsincidenten. Er wordt gesteld dat zij systemen onjuist gebruiken of onvoldoende beveiligingsmaatregelen nemen. Daarmee ontstaat het beeld dat ransomware-aanvallen en datalekken vooral het gevolg zijn van gebruikersfouten. Maar dat is een te simplistische en oneerlijke conclusie.
Lees ook: Waarschuwingen en advies van experts: dit is wat een CEO moet weten over cybersecurity
We kunnen niet blijven accepteren dat software onveilig wordt ontworpen omdat stijl, snelheid en andere prioriteiten voorop worden gesteld. Bedrijven moeten dieper graven naar de oorzaken van kwetsbaarheden en de structurele problemen aanpakken die leiden tot beveiligingsincidenten.
Een digitale proefrit
Na de grote verandering in de auto-industrie - die leidde tot de invoering van gordels, ABS en airbags - werd duidelijk hoe krachtig druk van klanten kan zijn. Ook op softwaregebied is een vergelijkbare verandering nodig. Als afnemers mogen en moeten we meer eisen stellen aan onze leveranciers.
Dat begint met het betrekken van IT-beveiligingsteams bij elke stap van het inkoopproces. Zonder hun input is de kans groot dat er software wordt aangeschaft die later veel onderhoud vraagt. Denk aan eindeloze patches, noodupdates en het voortdurend blussen van brandjes - software die een blijvende last vormt voor het securityteam.
Lees ook: Nederlandse bedrijven wapenen zich beter tegen cyberaanvallen, maar blijven kwetsbaar
Organisaties baseren hun keuzes nog te vaak op wat andere bedrijven gebruiken, op vertrouwde merknamen of op bestaande relaties - in plaats van op wat écht aansluit bij hun beveiligingsbehoeften. Het is echter de verantwoordelijkheid van de CISO en zijn team om zeker te stellen dat elke nieuwe tool past binnen het risicoprofiel en de beveiligingsstandaarden van de organisatie. Een objectief, 'blind' RFP-proces helpt om voorbij merk en marketing te kijken. Daarna is het essentieel om een proof-of-concept uit te voeren waarin de software wordt getest in de eigen omgeving, risico's worden geïdentificeerd en er beoordeeld wordt of de software daadwerkelijk geschikt is. Zie het als een soort digitale proefrit.
Samen naar een hoger niveau
Security teams zijn er niet om het aankoopproces te hinderen, maar om risico's inzichtelijk te maken. Zo kan de organisatie afwegen of ze de risico's willen accepteren of mitigeren. Uiteindelijk draait het om een heldere beeldvorming van de risico-acceptatie en hoe die zich verhoudt tot de bredere bedrijfsdoelstellingen.
Maar bovenal moeten organisaties hun verantwoordelijkheid nemen en hogere eisen stellen aan softwareleveranciers. Nieuwe oplossingen moeten 'secure-by-design' zijn - ontworpen met veiligheid als uitgangspunt.
Lees ook: Zorgwekkend: cyberweerbaarheid bedrijfsleven blijft achter bij dreigingsniveau
Tijd voor verandering in je software
De huidige dreigingen - van datalekken tot cyberaanvallen - zijn het directe gevolg van latere verwachtingen. Zolang de verantwoordelijkheid voor beveiliging vooral bij de afnemer ligt en niet bij de maker, verandert er weinig. Dat moet anders. Het is tijd om de lat hoger te leggen en leveranciers verantwoordelijk te houden. Want pas dan kunnen organisaties zich richten op hun kerntaken: betere dienstverlening, innovatie en duurzame groei.
Het veiliger maken van software is misschien niet eenvoudig of goedkoop, maar wel de enige manier om IT-systemen echt te beschermen. Net zoals de auto-industrie koos voor veiligere voertuigen, moeten wij nu kiezen voor veiligere software.
Lees ook: Spammails nog gevaarlijker dankzij AI: moeilijker te detecteren
Ontvang elke week het beste van BusinessWise in je mailbox. Schrijf je hier nu gratis in:
