Secure coding, waarbij je een bepaalde methodologie volgt, is onontbeerlijk voor de ontwikkeling van veilige applicaties. Maar als slechts enkele ontwikkelaars dit toepassen dan blijven de veiligheidsrisico’s voor bedrijven, overheden en particulieren even groot. De oplossing: het definiëren en, binnen overheidsinstanties, reglementeren van kwaliteitsnormen in secure coding; het opzetten van een ‘veiligheidscertificaat’ alsook het inbakken […]

Secure coding, waarbij je een bepaalde methodologie volgt, is onontbeerlijk voor de ontwikkeling van veilige applicaties. Maar als slechts enkele ontwikkelaars dit toepassen dan blijven de veiligheidsrisico’s voor bedrijven, overheden en particulieren even groot. De oplossing: het definiëren en, binnen overheidsinstanties, reglementeren van kwaliteitsnormen in secure coding; het opzetten van een ‘veiligheidscertificaat’ alsook het inbakken van de betreffende normen in het leerplan voor student-ontwikkelaars.

Hoger niveau
De voordelen zijn legio wanneer men de bovenstaande elementen opzet. Het belangrijkste voordeel is de grotere robuustheid van applicaties tegen manipulaties door malafide personen, waardoor gegevens van bedrijven, overheden, klanten en burgers beter beschermd worden. Daarnaast zullen particuliere en overheidsbedrijven die dit kwaliteitsniveau vereisen hun eigen professioneel imago versterken en beschouwd worden als een aantrekkelijkere zakenpartner.

Ontwikkelaars en hun werkgevers zullen zich verplicht voelen dit te integreren in hun werkwijze. Zo niet dan wordt het voor hen moeilijker hun producten aan de man te brengen. Integreren ze deze elementen wel in hun applicatie-aanbod dan zal hun expertiseniveau groeien en bijgevolg ook hun marktreputatie.

Kwaliteit verplicht
Zoals vermeld in mijn vorige blog is er een grote concurrentiedruk tussen bedrijven, waardoor de beschikbare ontwikkelingstijd voor applicaties heel kort is en de veiligheid vaak achterwege gelaten wordt. De gevolgen hiervan zijn bijkomende kosten achteraf om het geheel naar behoren te laten draaien en/of een kwetsbare toepassing. Door het vereisen van bepaalde kwaliteitsnormen verplicht men ontwikkelaars de veiligheid te integreren in hun oplossingen. De voordelen hier zijn realistischere offertes qua ontwikkelingstijd, prijs en inspanningen met een vergelijkbaar niveau van veiligheid.

Door die concurrentiedruk wordt momenteel ook veel applicatieontwikkeling door buitenlandse bedrijven uitgevoerd (offshoring). Het gevolg is een dalende marktprijs voor ontwikkelaars en dus een inkrimping van de lokale expertise. Een certificering verplicht offshorebedrijven de vereiste methodologie toe te passen, de (erkende) kennis in huis te hebben en certificatie door erkende controlemechanismen te laten uitvoeren.

Enerzijds blijft zo het veiligheidsniveau van de door hen ontwikkelde applicaties verzekerd. Anderzijds zal er geen ontwikkelingswerk meer offshore vloeien, zolang de offshorelanden niet volgen in dezelfde reglementering. Landen die het voortouw nemen in het opzetten van een dergelijk certificatieproces en de bijhorende controle-organismen zullen hun lokale expertise en de vraag naar hun lokale ontwikkelaars (en ontwikkelde software) gestaag zien groeien. 

Dit is dan ook een opportuniteit voor België om lokale hooggeschoolde ontwikkelaars te revaloriseren en de offshoringdruk te verlagen. Overheden en bedrijven zullen bij de budgetinschatting voor offerteaanvragen niet langer een door offshoring gedreven lage marktprijs kunnen hanteren. Zij zullen rekening moeten houden met realistische tarieven voor kwalitatieve, erkende ontwikkelaars

Onze eerste stapjes
De overheid speelt een essentiële rol in de verspreiding van standaardisatie en certificatie in applicatie-ontwikkeling. In Amerika – een land dat het hoog op heeft met de fysieke én virtuele ‘nationale veiligheid’ – bestaan er overheidsorganen zoals het National Security Agency (NSA). Deze kennen veiligheids-kwaliteitscertificaten voor applicatie-ontwikkeling toe binnen het kader van de internationaal erkende Common Criteria-standaarden.

Kijken we in eigen boezem, dan moet ik vaststellen dat België op dit vlak wat achterloopt. België maakt geen deel uit van de CCRA-landen (Common Criteria Recognition Arrangement). De laatste jaren hebben we echter stappen in de goede richting genomen. Ons land kent nu namelijk, ook in de praktijk, een lokale maar veel beperktere versie van de Amerikaanse NSA, de Nationale Veiligheidsoverheid (NVO) .

Een van de functies vervuld door onze NVO is juist het optreden als certificatie- en homologatie-overheid voor informatietechnologie waarvan het gebruik binnen een geclassificeerde context bedoeld is. De middelen van onze NVO zijn op dit moment echter veel te beperkt om de scope uit te breiden naar niet geclassificeerde software. Daar vormen we wel geen uitzondering, gezien dit in andere landen ook het geval is.

Omdat de binnen onze nationale kritische infrastructuur gebruikte IT-oplossingen vaak geen geclassificeerde oplossingen zijn, zou het misschien logisch zijn om de bevoegdheden (en middelen) van de NVO hiervoor uit te breiden. Al is het maar als controle-organisme op auditbedrijven die het veiligheidskwaliteitslabel zouden toekennen.