EFF: 'Niets mis met reviewen van broncode door buitenlandse overheden'

code-1839406_960_720-pixabay-pexels

Het reviewen van de broncode van software is nodig om zeker te stellen dat deze software veilig en van goede kwaliteit is. Het is dan ook niet slecht dat bedrijven buitenlandse overheden toegang geven tot de broncode van hun software. Dit stelt Electronic Frontier Foundation (EFF), een Amerikaanse stichting die digitale burgerrechten verdedigt. EFF geeft aan zelf ook de broncode van software die het gebruikt te onderzoeken.

De EFF reageert hiermee op een recent artikel gepubliceerd door persbureau Reuters. In dit artikel wijst Reuters erop dat softwarebedrijven als McAfee, SAP en Symantec de Russische overheid toestemming geven de broncode van hun software te onderzoeken. Deze werkwijze zou in potentie de veiligheid van computernetwerken van Amerikaanse overheidsinstanties in gevaar kunnen brengen.

'Reviews van broncode zijn noodzakelijk'

De stichting stelt dat in het artikel het beeld wordt geschetst dat het indienen van een verzoek voor het onderzoeken van broncode malafide gedrag is. Dit is volgens de digitale burgerrechtenorganisatie echter niet het geval. De stichting stelt juist dat het reviewen van broncodes noodzakelijk is om zeker te stellen dat software die geïnstalleerd wordt ook daadwerkelijk veilig is. EFF benadrukt hiermee niet het gevaar van buitenlandse dreigingen voor de digitale veiligheid van de Verenigde Staten (VS) te willen bagatelliseren, maar juist het gebruik van open source en het beoordelen van broncode als veiligheidsmaatregelen te willen promoten. EFF is dan ook een groot voorstander van het gebruik en de verspreiding van gratis open source software.

De digitale burgerrechtenorganisatie wijst op verschillende wetten die wereldwijd worden geïntroduceerd die de mogelijkheid broncode van software te onderzoeken aan banden legt. Zo wijst EFF op de Comprehensive and Progressive Trans-Pacific Partnership, een handelsovereenkomst tussen Australië, Brunei, Canada, Chili, Japan, Maleisië, Mexico, Nieuw-Zeerland, Peru, Singapore en Vietnam. Een ander voorbeeld is de gemoderniseerde versie van de North American Free Trade Agreement en enkele bilaterale handelsovereenkomsten in Europa. EFF uitte eerder al zijn zorgen over het aan banden leggen van het reviewen van broncodes en stelt dat het hierdoor moeilijker wordt de veiligheid en kwaliteit van onder andere VPN-software, beveiligde chatapplicaties en apparaten als routers en IP-camera's te controleren.

"De impliciete veronderstelling dat 'geheimhouding van onze code ons veiliger maakt' is extreem gevaarlijk. Beveiligingsonderzoekers en -experts hebben keer op keer expliciet aangegeven dat het uitsluitend vertrouwen op security via obscuriteit simpelweg niet werkt. Sterker nog: het geeft technici een vals gevoel van veiligheid en kan slechts security practices aanmoedigen", stelt de EFF in een blogpost. "Zelfs in tijden van politieke spanning en onzekerheid moeten we ons verstand blijven gebruiken. Het toestaan van code reviews staat niet haaks op nationale veiligheid - sterker nog: we hebben hiervan juist meer nodig."

Lees ook
Cyber Defence moet innovatie versnellen

Cyber Defence moet innovatie versnellen

Wat meer optimisme over onze weerbaarheid voor cyberaanvallen is goed voor Nederland, vindt Roel van Rijsewijk, directeur Cyber Defence bij Thales. Het is ook goed dat de Nationaal Coördinator Terrorismebestrijding en Veiligheid onlangs in het Cybersecuritybeeld Nederland 2019 opnieuw de noodklok luidde over de kwetsbaarheid van de Nederlandse...

'De Benelux loopt achter op het gebied van cybersecurity, India presteert het best'

'De Benelux loopt achter op het gebied van cybersecurity, India presteert het best'

Organisaties over de hele wereld lopen vast in hun voortgang op het gebied van cybersecurity en riskeren verlamming nu cybercriminelen steeds geavanceerder te werk gaan. Dit blijkt uit het rapport 2019 Risk:Value – ‘Destination standstill. Are you asleep at the wheel?’ van NTT Security, een gespecialiseerd beveiligingsbedrijf en expertisecentrum voor...

Cybersecurity vitale waterwerken niet waterdicht

Cybersecurity vitale waterwerken niet waterdicht

Tunnels, bruggen, sluizen en waterkeringen kunnen nog beter worden beveiligd tegen cyberaanvallen. Rijkswaterstaat heeft de afgelopen jaren veel werk verzet en noodzakelijke maatregelen in kaart gebracht om waterkeringen beter te beveiligen. Maar die veiligheidsmaatregelen zijn niet allemaal uitgevoerd. De Algemene Rekenkamer constateert dat de minister...