Uit onderzoek van Veracode blijkt dat overheidstoepassingen een verhoogd risico van cyberaanvallen hebben: 59% heeft fouten die al meer dan een jaar niet zijn opgelost
Rapport over de staat van softwarebeveiliging in de publieke sector 2024 bevestigt hogere niveaus van beveiligingslekken in de publieke sector vergeleken met de private sector
BURLINGTON, Mass.–(BUSINESS WIRE)– Veracode, wereldleider op gebied van Application Risk Management, heeft vandaag een onderzoek gepubliceerd waaruit blijkt dat applicaties die zijn ontwikkeld door organisaties in de publieke sector meer beveiligingslekken vertonen dan applicaties in de private sector. Beveiligingsproblemen, in dit rapport gedefinieerd als fouten die langer dan een jaar onopgelost blijven, komen voor in 59 procent van de applicaties in de publieke sector, vergeleken met 42 procent in het algemeen. Het onderzoek analyseerde organisaties in de publieke sector in meer dan 25 landen over de hele wereld.
Dit persbericht bevat multimedia. Bekijk hier het volledige persbericht: https://www.businesswire.com/news/home/20240529147979/nl/
Figure 2: Security Debt in Public Sector Applications (Graphic: Business Wire)
“Onze overheidssoftware toont al tientallen jaar ongepatche software met geaccumuleerde beveiligingslekken en slechte beveiligingsconfiguraties,” zegt Chris Eng, Chief Research Officer bij Veracode. “Zonder een systematische en continue aanpak voor het vinden en repareren van beveiligingslekken, wordt de publieke sector gevaarlijk blootgesteld aan aanvallen van hackers.”
De federale overheidssystemen worden steeds vaker aangevallen door kwaadwillende criminelen die zich richten op organisaties in de publieke sector met technieken die steeds schadelijker en ontwrichtender worden. Als reactie hierop dwingt de federale overheid een serie initiatieven af om de cyberveiligheid te verbeteren, waaronder inspanningen om de risico’s in overheidsapplicaties te verminderen. In maart 2024 brachten het Cybersecurity and Infrastructure Security Agency (CISA) en het Office of Management and Budget (OMB) het Secure Software Development Attestation Form uit om leveranciers van onveilige software voor de federale overheid verantwoordelijk te houden.
Onderzoekers van Veracode ontdekten dat, hoewel iets minder organisaties in de publieke sector (68 procent) een gebrek aan beveiliging hebben dan andere industrieën (71 procent), ze de neiging hebben om er meer van op te bouwen. Slechts drie procent van de applicaties is vrij van fouten, vergeleken met zes procent in andere sectoren. Nog zorgwekkender is dat 40 procent van de entiteiten in de publieke sector hardnekkige, zeer ernstige fouten heeft die een ‘kritiek’ beveiligingstekort vormen, waardoor de vertrouwelijkheid, integriteit en beschikbaarheid van bedrijven ernstig gevaar lopen, als dit gemanipuleerd wordt.
“Het goede nieuws is dat de meeste organisaties de capaciteit hebben om alle kritieke fouten te herstellen, maar risicoprioritering is de sleutel tot succes,” zegt Eng. “Tweederde van alle kwetsbaarheden in overheidsinstellingen is minder dan een jaar oud of niet kritiek in ernst. Daarnaast vormt minder dan één procent van alle gebreken een kritiek beveiligingstekort. Door die beveiligingslekken te prioriteren met gerichte inspanningen, kunnen organisaties maximale risicovermindering bereiken. Zij kunnen dan daarna de niet-kritieke gebreken aanpakken op basis van hun risicotolerantie en mogelijkheden.”
Volgens het rapport heeft het beveiligingstekort in de publieke sector voornamelijk betrekking op de code van de eerste partij (93 procent), maar het grootste deel van de kritieke beveiligingslekken komt van afhankelijkheden van derden (55,5 procent). Dit versterkt het belang van het Open Source Security Software Initiative (OS3I), een inter-institutionele werkgroep die zich richt op het garanderen dat open source software “net zo veilig, beveiligd en duurzaam is als dat het open is”. Het benadrukt ook de noodzaak voor organisaties om zich te richten op zowel codes van eerste als derde partijen om het beveiligingstekort effectief te verminderen.
Uit de analyse blijkt verder dat beveiligingstekorten in de publieke sector vooral geconcentreerd zijn in oudere, grotere aanvragen (22 procent). Dit geldt vooral voor kritieke beveiligingslekken (30 procent) en bevestigt dat er een verband bestaat tussen de leeftijd van applicaties en de accumulatie van beveiligingstekorten. Onderzoekers vergeleken ook het profiel van de beveiligingstekorten voor verschillende ontwikkelingstalen en ontdekten dat Java- en NET-toepassingen eruit springen als belangrijke bronnen van tekortschietende beveiliging in de overheidssector.
“De huidige staat van softwarebeveiliging in de publieke sector versterkt het belang om van secure by design een standaardaanpak te maken voor de hele netwerkverbonden wereld,” sluit Eng af. “We juichen de recente aankondiging van CISA van haar Secure by Design Pledge toe en zijn er trots op een van de eerste ondertekenaars te zijn. Ons doel met dit onderzoek is om onze partners in de overheid en industrie verder te ondersteunen bij het promoten van een wijdverspreide toepassing van deze principes.”
Het volledige rapport State of Software Security Public Sector 2024 kan worden gedownload van de Veracode-website.
Over het State of Software Security-rapport
Het Veracode State of Software Security-rapport van 2024 analyseerde gegevens van grote en kleine bedrijven, commerciële softwareleveranciers, software-outsourcers en open-sourceprojecten. Het onderzoek is gebaseerd op meer dan een miljoen (1.007.133) applicaties voor alle scantypen, 1.553.022 dynamische analysescans en 11.429.365 statische analysescans. Al deze scans leverden 96 miljoen onbewerkte statische bevindingen, 4 miljoen onbewerkte dynamische bevindingen en 12,2 miljoen onbewerkte analyseresultaten van de softwaresamenstelling op.
Over Veracode
Veracode is een wereldleider op gebied van Application Risk Management voor het AI-tijdperk. Op basis van biljoenen regels met codescans en een eigen, via AI geassisteerde herstelmachine, vertrouwen organisaties van over de hele wereld op het platform van Veracode om veilige software te maken en te onderhouden, van de creatie van code tot cloudontplooiing. Duizenden toonaangevende ontwikkelings- en securityteams van over de hele wereld gebruiken Veracode elke seconde van elke dag om nauwkeurige, bruikbare zichtbaarheid te krijgen op exploiteerbaar risico, realtime herstel van kwetsbaarheden te verwezenlijken en hun securitydebt op schaal te verminderen. Veracode is een bedrijf dat vele awards werd toegekend en dat capaciteiten biedt om de hele levenscyclus van softwareontwikkeling te beveiligen, waaronder Veracode Fix, Static Analysis, Dynamic Analysis, Software Composition Analysis, Container Security, Application Security Posture Management, en Penetration Testing.
Meer informatie op www.veracode.com, op het Veracode blog en op LinkedIn en X.
Copyright © 2024 Veracode, Inc. Alle rechten voorbehouden. Veracode is een geregistreerd handelsmerk van Veracode, Inc. in de Verenigde Staten en is mogelijk geregistreerd in bepaalde andere rechtsgebieden. Alle andere productnamen, merken of logo’s behoren toe aan hun respectieve houders. Alle andere hierin genoemde handelsmerken zijn eigendom van hun respectievelijke eigenaren.
Deze bekendmaking is officieel geldend in de originele brontaal. Vertalingen zijn slechts als leeshulp bedoeld en moeten worden vergeleken met de tekst in de brontaal, die als enige rechtsgeldig is.
Bekijk het oorspronkelijke bericht op businesswire.com: https://www.businesswire.com/news/home/20240529147979/nl/
Contacts
Neem voor meer informatie contact op met:
Katy Gwilliam
kgwilliam@veracode.com