Gezondheidszorgsector loopt voorop wat betreft verhelpen van fouten in softwarebeveiliging
Vooralsnog bevat 77 procent van de gezondheidszorg-apps kwetsbaarheden en 21 procent hiervan wordt gecategoriseerd als ‘zeer ernstig’
BURLINGTON, Mass.–(BUSINESS WIRE)– Veracode, een toonaangevende wereldwijde leverancier van oplossingen voor het testen van applicatiebeveiliging, heeft vandaag onthuld dat de gezondheidszorgsector de eerste plaats inneemt voor het aandeel softwarebeveiligingsfouten dat wordt verholpen, namelijk 27 procent. De sector heeft de financiële dienstverlening ingehaald als de best presterende sector, wat aantoont dat zorgaanbieders het afgelopen jaar goede vorderingen hebben gemaakt wat betreft het doel om hun software veiliger te maken.
De gegevens werden gepubliceerd in het jaarlijkse State of Software Security (SoSS)-rapport v12 van het bedrijf, waarin 20 miljoen scans werden geanalyseerd in een half miljoen applicaties in de sectoren gezondheidszorg, financiën, technologie, productie, detailhandel en overheid.
Chris Eng, Chief Research Officer bij Veracode, verklaarde: “De gezondheidszorg is een van de strenger gereguleerde sectoren en wordt door de overheid als kritieke infrastructuur beschouwd, dus het is bemoedigend om te zien dat de sector relatief goed presteert op het gebied van het verhelpen van fouten. We hopen dat ontwikkelaars en IT-medewerkers in de gezondheidszorg dit als een welkome bron van hoop zien te midden van het maar al te vaak sombere gebied van softwarebeveiliging. Er is nog werk aan de winkel, dus we moeten in de komende jaren naar nog meer verbeteringen blijven streven.”
Ondanks dat ze de beste positie innemen voor het oplossen van problemen, bevat 77 procent van de applicaties in de gezondheidszorg kwetsbaarheden, terwijl 21 procent van de applicaties zeer ernstige kwetsbaarheden bevat. De sector moet ook flink verbeterd worden als het gaat om de tijd die wordt besteed aan het herstellen van fouten zodra ze zijn ontdekt: het duurt maar liefst 447 dagen om op de helft van het hersteltraject te geraken.
Kosten van inbreuken op het gebied van gezondheidszorg zijn het duurst
Nu bedrijven in de gezondheidszorg de hoogste gemiddelde kosten van een inbreuk oplopen, met een nieuw record van $ 10,1 miljoen*, is het absoluut noodzakelijk om proactieve stappen te nemen om het risico op een cyberaanval te minimaliseren. Aangezien datalekken in sterk gereguleerde industrieën vaak gepaard gaan met hogere langetermijnkosten die zich in de daaropvolgende jaren voordoen, zou de industrie profiteren van nog grotere uitgebreide inspanningen om de beveiliging eerder in de levenscyclus van softwareontwikkeling aan te pakken.
Van de zes geanalyseerde sectoren staan de zorgaanbieders onderaan als het gaat om het aandeel applicaties met gebreken, en op de laatste plaats wat betreft het percentage voor zeer ernstige tekortkomingen, gedefinieerd als die welke een ernstig risico vormen voor de applicatie en de organisatie als ze zouden worden uitgebuit. Als het gaat om de soorten fouten die zijn ontdekt door dynamische analyse van applicaties in de sector, presteren zorgaanbieders in vergelijking met andere industrieën goed op het gebied van authenticatieproblemen en onveilige afhankelijkheden, maar hebben ze een hogere incidentie van cryptografische en implementatieconfiguratieproblemen.
Eng stelde: “We weten dat geen enkele applicatie ooit 100 procent vrij zal zijn van beveiligingsfouten, dus het is belangrijk dat bedrijven alle nodige stappen nemen om risico’s zo veel mogelijk te minimaliseren. Dit omvat het scannen in een regelmatig, snel tempo met behulp van meerdere testtypes, het integreren van testtools in ontwikkelaarsomgevingen en het bieden van praktische training om ontwikkelaars te helpen de oorsprong van fouten te begrijpen en hoe ze deze volledig kunnen oplossen of voorkomen. De zorgsector moet ook extra aandacht besteden aan het prioriteren van kritieke gebreken – die kwetsbaarheden die een catastrofale impact kunnen hebben als ze te lang niet worden aangepakt.”
Andrew McCall, Vice President Engineering, Azalea Health Innovations, merkte op: “Het grootste obstakel voor het inbouwen van beveiliging in onze workflows is dat ontwikkelaars beveiliging als slechts nog een selectievakje beschouwen. Maar beveiliging is een continu proces en moet gedurende de hele levenscyclus van softwareontwikkeling centraal staan. We hebben voor Veracode gekozen omdat het bedrijf de gemakkelijkste en beste oplossing was als het gaat om integratie in onze bestaande processen.”
Beveiliging van bibliotheken van derden
Gezien de sterke toename van regelgeving het afgelopen jaar om de softwaretoeleveringsketen te beveiligen, analyseerde het rapport bibliotheken van derden om te identificeren hoe kwetsbaarheden die door middel van softwarecompositieanalyse (SCA) werden ontdekt, zich gedragen. In totaal blijft ongeveer 30 procent van de kwetsbare bibliotheken na twee jaar onopgelost; die statistiek daalt echter tot 25 procent voor de gezondheidszorgsector. Sterker nog, hoewel de algemene ratio van kwetsbare bibliotheken die door SCA werden gevonden, in de loop van de tijd gestaag daalde, ondervond de gezondheidszorg een korte opwaartse piek voordat de percentages het afgelopen jaar dramatisch daalden.
De Veracode State of Software Security v12-momentopname voor de gezondheidszorg kan hier worden gedownload en het volledige rapport is hier beschikbaar.
* IBM Security en The Ponemon Institute, ‘Cost of a Data Breach Report 2022’: https://www.ibm.com/downloads/cas/3R8N1DZJ, juli 2022
Over het State of Software Security-rapport
De Veracode State of Software Security (SoSS) v12 analyseerde de volledige historische gegevens van Veracode-services en -klanten. Dit is goed voor in totaal meer dan een half miljoen applicaties (592.720) die alle scantypes gebruikten, meer dan een miljoen dynamische analysescans (1.034.855), meer dan vijf miljoen statische analysescans (5.137.882) en meer dan 18 miljoen softwarecompositieanalysescans (18.473.203). Al die scans leverden 42 miljoen onbewerkte statische bevindingen, 3,5 miljoen onbewerkte dynamische bevindingen en zes miljoen onbewerkte SCA-bevindingen op.
De gegevens vertegenwoordigen grote en kleine bedrijven, commerciële softwareleveranciers, software-outsourcers en open-sourceprojecten. In de meeste analyses werd een applicatie slechts één keer geteld, zelfs als deze meerdere keren werd ingediend terwijl er kwetsbaarheden werden verholpen en nieuwe versies werden geüpload.
Over Veracode
Veracode is een toonaangevende AppSec-partner voor het maken van veilige software, het verminderen van het risico op inbreuken op de beveiliging en het verhogen van de productiviteit van beveiligings- en ontwikkelingsteams. Hierdoor kunnen bedrijven die Veracode gebruiken hun bedrijf en de wereld vooruithelpen. Met zijn combinatie van procesautomatisering, integraties, snelheid en reactievermogen helpt Veracode bedrijven om nauwkeurige en betrouwbare resultaten te krijgen om hun inspanningen te richten op het oplossen van potentiële kwetsbaarheden, en niet alleen op het vinden daarvan. Lees meer op www.veracode.com, op de Veracode-blog en op Twitter.
Copyright © 2022 Veracode, Inc. Alle rechten voorbehouden. Veracode is een gedeponeerd handelsmerk van Veracode, Inc. in de Verenigde Staten en is mogelijk gedeponeerd in bepaalde andere rechtsgebieden. Alle andere productnamen, merken of logo’s behoren toe aan hun respectievelijke houders. Alle andere handelsmerken die hierin worden genoemd, zijn eigendom van hun respectievelijke eigenaren.
Deze bekendmaking is officieel geldend in de originele brontaal. Vertalingen zijn slechts als leeshulp bedoeld en moeten worden vergeleken met de tekst in de brontaal, die als enige rechtsgeldig is.
Bekijk het oorspronkelijke bericht op businesswire.com: https://www.businesswire.com/news/home/20220922005103/nl/
Contacts
Katy Gwilliam