Ict-dienstverlener Capgemini heeft als één van de eerste ict-bedrijven in Nederland het manifest ‘Grip op Secure Software Development’ (SSD) ondertekend. Dat manifest moet zowel voor opdrachtgevers als voor ict-leveranciers een eenduidig en helder normenkader voor het ontwikkelen en onderhouden van goed beveiligde software opleveren.
Secure Software Development (SSD) is ontwikkeld onder leiding van het Centrum voor Informatiebeveiliging en Privacybescherming (CIP). Dat is een samenwerkingsplatform van overheidsorganisaties en uitvoeringsinstellingen dat invulling geeft aan informatiebeveiliging en privacy-aspecten binnen de overheid. Het moet ertoe leiden dat de opdrachtgever die softwareontwikkeling uitbesteedt de leiding houdt en ervoor zorgen dat verwachtingen rondom informatiebeveiliging en privacybescherming, die eerder onuitgesproken bleven, beter worden vastgelegd.
Uit de praktijkcases die het CIP in de afgelopen tijd heeft verzameld blijkt dat ongeveer driekwart van de security-incidenten door fouten in software wordt veroorzaakt. 'Veilige software is dan ook van groot belang voor het beschermen van persoonsgegevens van burgers en bedrijven', stellen de betrokkenen.
SSD is openbaar en wordt onderhouden en geactualiseerd door een ‘Practitioners Community’ bestaande uit een twintigtal organisaties, waaronder uitvoeringsinstanties, diverse ministeries en marktpartijen. SSD beschrijft hoe een opdrachtgever grip krijgt op het zelf ontwikkelen of uitbesteden van de ontwikkeling van veilige software en ook hoe een ict-leverancier hieraan kan voldoen.
Verwachtingen
De drie pijlers daarbij zijn standaard beveiligingseisen, contactmomenten en het inrichten van de juiste processen. Deze processen zijn onder meer het bijhouden van risico’s en het laten groeien van de organisatie naar hogere volwassenheidsniveaus. Voor de definitie van de normen is een nieuwe, fundamentele beschrijvingswijze gehanteerd. Volgens de betrokkenen heeft dat manifest zeggingskracht voor zowel managers, securityspecialisten als auditors.
In de inleiding van het manifest staat: 'Voor organisaties is het een uitdaging om als opdrachtgever van ict-projecten sturing te geven aan het ontwikkelen van veilige ict-diensten. Uitbesteding van ontwikkeling, onderhoud en beheer aan meerdere externe leveranciers maakt dit sturingsvraagstuk extra complex.'
'Over en weer zijn er onuitgesproken verwachtingen rondom informatiebeveiliging en privacybescherming. De opdrachtgever verwacht dat de leverancier deskundig is en spontaan de juiste maatregelen treft. Daarentegen verwacht de leverancier dat de opdrachtgever precies specificeert wat er moet gebeuren. Door het ontbreken van expliciete afspraken worden systemen opgeleverd met kwetsbaarheden die niet of te laat worden ontdekt.'
Volgens de deelnemers bieden bestaande best practices, handboeken en methodieken voor softwareontwikkeling van systemen in veel gevallen geen houvast voor bestuurders en managers. 'In de informatiebeveiliging ligt de nadruk op lange lijsten met passende technische en organisatorische beveiligingsmaatregelen en in de ict-beheerbibliotheken ligt de nadruk op het perfectioneren van processen. Deze documenten leveren geen praktisch toepasbare hulpmiddelen voor de bestuurder die zoekt naar kwaliteit, veiligheid en resultaat voor zijn organisatie.'
SVB en Cap-claim Equihold
Capgemini wordt achtervolgd door een aantal langslepende zaken over de geleverde kwaliteit van ontwikkelde software. De Sociale Verzekeringsbank (SVB) trok in september van 2014 definitief de stekker uit het project met Capgemini voor de bouw van het multi-regelingen-systeem (mrs). Dit systeem - begroot op 32 miljoen euro - zou eind 2013 worden opgeleverd, maar kon wegens technische mankementen niet in productie worden genomen.
Het systeem voldeed niet aan de verwachtingen en de kwaliteitseisen van de opdrachtgever. Capgemini was het op zijn beurt niet eens met een kritisch rapport over de kwaliteit van het opgeleverde systeem.
De ict-dienstverlener is in de Equiholdzaak in een soortgelijke situatie beland. Ook daar is een conflict ontstaan over de afspraken en opgeleverde software.
