Jen Easterly, hoofd van het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA), heeft hard uitgehaald naar producenten van onveilige software. “We hebben geen cybersecurityprobleem, we hebben een softwarekwaliteitsprobleem. We hebben niet meer securityproducten nodig, we hebben veiligere producten nodig”, stelde ze onlangs op de WISEConference in Denver en tegenover The Register.
Easterly bekritiseerde het gebruik van de term kwetsbaarheden. Volgens haar is de term productdefect beter van toepassing. De schuld zou niet bij slachtoffers gelegd moeten worden, omdat die updates niet snel genoeg installeren. In plaats daarvan zouden er hogere eisen aan softwareleveranciers gesteld moeten worden. De cybersecurity-industrie heeft een omvang van miljarden dollars. Er is echter nog steeds een veel groter probleem met de kwaliteit van software, wat tot een veel groter cybercrimeprobleem leidt.
“We zijn slachtoffer van de mythe van techno-exceptionalisme,” zei Easterly. Het CISA heeft de ‘Secure by Design plegde’ geïntroduceerd. Hiermee kunnen bedrijven laten weten dat ze maatregelen nemen om veilige producten te ontwikkelen. Deze belofte is echter vrijwillig. Easterly vindt dat dat moet veranderen. Bedrijven en organisaties zouden hun inkoopmacht moeten aanwenden om softwareleveranciers onder druk te zetten.
