Onderzoek toont aan dat softwarebeveiliging bij organisaties in de publieke sector achterblijft

• In het State of Software Security Public Sector 2023-rapport van Veracode wordt vermeld dat in 82% van overheidsapplicaties sprake is van beveiligingsfouten
• De publieke sector presteert op sommige gebieden toch nog steeds beter dan de tegenhangers in de particuliere sector

BURLINGTON, Mass.–(BUSINESS WIRE)– Veracode, een toonaangevende wereldwijde leverancier van intelligente softwarebeveiliging, heeft vandaag onderzoek vrijgegeven waaruit blijkt dat applicaties die zijn ontwikkeld door organisaties in de publieke sector doorgaans meer beveiligingsfouten bevatten dan applicaties die zijn gemaakt door de particuliere sector. De bevindingen zijn opmerkelijk omdat een groter aantal fouten en kwetsbaarheden in applicaties correleert met een verhoogd risico. Het onderzoek komt te midden van een golf van recente initiatieven van de federale overheid om de cyberbeveiliging te versterken, waaronder inspanningen om kwetsbaarheden te verminderen in applicaties die kritieke overheidsfuncties uitvoeren.

Onderzoekers ontdekten dat in iets minder dan 82 procent van de applicaties die door organisaties in de publieke sector zijn ontwikkeld, in de afgelopen 12 maanden ten minste één beveiligingslek is gedetecteerd in hun meest recente scan, vergeleken met 74 procent van de organisaties in de particuliere sector. Afhankelijk van het type getraceerde fout, hadden applicaties in de publieke sector een 7-12 procent grotere kans op een fout die in de afgelopen 12 maanden ontstaan was.

“Het verschil tussen de snelheid waarmee fouten verschijnen in applicaties in de publieke en private sector is aanzienlijk. Pogingen van de overheid om de kloof te dichten zijn noodzakelijk en moeten worden voortgezet. Als beheerders van de openbare veiligheid hebben overheidsinstanties de verantwoordelijkheid om deze kloof te dichten en de veiligheid te versterken om de natie en haar burgers te beschermen,” aldus Chris Eng, Chief Research Officer bij Veracode.

Analyse van gegevens verzameld uit meer dan 27 miljoen scans in 750.000 applicaties hielp bij het opstellen van het nieuwste jaarverslag van Veracode over de Staat van softwarebeveiliging. Dit nieuwe rapport toont de voor de publieke sector specifieke bevindingen van die scans en applicaties, inclusief resultaten van de federale, staats- en lokale overheid.

Cijfers alleen geven niet de gevolgen weer die optreden wanneer hackers misbruik maken van softwarefouten en kwetsbaarheden. Begin mei dit jaar zorgde een ransomware-aanval op de stad Dallas ervoor dat functies werden gehinderd waarop vertrouwd werd om openbare diensten te leveren, waaronder IT-systemen die worden gebruikt door openbare veiligheidsinstanties. Meer dan drie weken na de aanval waren de openbare instanties van Dallas nog steeds niet volledig hersteld.

Zeer ernstige fouten: een overwinning voor de publieke sector

Het onderzoek van Veracode toonde ook de redenen voor organisaties in de publieke sector om optimistisch te zijn over applicatiebeveiliging. De ontdekking van ‘zeer ernstige’ fouten in applicaties in de publieke sector (16,5 procent) in een periode van 12 maanden was lager dan in applicaties in de niet-publieke sector (19 procent). Dit is opmerkelijk omdat zeer ernstige fouten, wanneer misbruikt, een groter potentieel hebben om systemen nadelig te beïnvloeden.

Moderne applicatietests moedigen het gebruik van meerdere soorten beveiligingsscantools aan, zoals statische applicatiebeveiligingstests (SAST) en softwarecompositieanalyse (SCA), omdat verschillende scantypes uitblinken in het blootleggen van verschillende soorten fouten. Met behulp van SAST en SCA werden er in een kleiner percentage van de overheidsinstanties applicatiefouten geconstateerd in vergelijking met applicaties in de particuliere sector.

Het detecteren van minder fouten bij het gebruik van SCA-tools zou de eerste impact kunnen zijn van de Executive Order van mei 2021 (EO 14028), die de Amerikaanse federale instanties oriënteert om inspanningen te stimuleren teneinde de softwaretoeleveringsketen te beschermen. Deze EO roept ook op tot meer gebruik van softwaremateriaallijsten (SBOM’s), die de ingrediënten in software opsommen, waardoor het delen van informatie, transparantie en zichtbaarheid worden bevorderd. Elders standaardiseert het Federal Risk and Authorization Management Program (FedRAMP) de beveiligingsbeoordeling van cloudproducten en -diensten. Evenzo stelt StateRAMP staats- en lokale overheden in staat om het voldoen aan het cyberbeveiligingsbeleid door cloudserviceproviders te controleren.

“Naarmate moderne IT-systemen zijn geëvolueerd en complexer zijn geworden, is de taxonomie van applicatiefouten gevarieerder geworden,” stelde Eng. “Als zodanig is het gebruik van meerdere scantypes om fouten te vinden en te verhelpen een best practice geworden.”

Voorkomen is beter dan genezen

Een groot verschil tussen applicaties in de publieke en private sector is de snelheid waarmee scans nieuwe fouten in verouderde software ontdekken. Tegen de tijd dat software vijf jaar in productie is, lopen de twee sectoren sterk uiteen: het aantal nieuwe fouten dat ontstaat in applicaties in de particuliere sector neemt toe, terwijl het aantal voor instanties in de publieke sector afneemt.

Deze trend suggereert dat overheidsinstanties waakzamer zijn over het veilig houden van applicaties in de loop van de tijd, en niet alleen tijdens de eerste paar jaar van de levenscyclus. Applicaties buiten de overheid ondervinden daarentegen een geleidelijke en gestage toename van de introductie van nieuwe fouten naarmate ze ouder worden.

Het State of Software Security Public Sector 2023-rapport beveelt vier maatregelen aan die instanties kunnen nemen om hun cyberbeveiligingspositie te verbeteren.

• Achterstand wegwerken: haal de achterstand van bekende fouten in
• Regelmatig scannen: inconsistent scannen maakt het moeilijker om fouten te herstellen, wat leidt tot meer achterstand
• Automatiseren: automatiseren van tests via API’s vermindert de introductie van fouten in applicaties
• DAST toevoegen aan de stack: gebruik dynamisch scannen om fouten te ontdekken die door andere scantypes over het hoofd worden gezien

“De publieke sector heeft een lange weg afgelegd in het versterken van de beveiliging van applicaties die onze overheid dienen, maar er is nog meer werk aan de winkel voor instanties om hun cyberpositie te verbeteren en binnenkomende dreigingen af te weren. Door beveiligingsinspanningen te richten op de hoofdoorzaak van de meeste cyberinbreuken – de applicatielaag – kunnen instanties de nodige verbeteringen realiseren. Regelmatig scannen met een verscheidenheid aan testtypes en aanpakken van de beveiligingsschuld – de opeengehoopte softwarekwetsbaarheden die de veiligheid van een systeem bedreigen – zullen de weg vrijmaken voor een veiligere toekomst voor overheidsinstanties,” concludeerde Eng.

Het volledige onderzoek naar de publieke sector uit het Veracode State of Software Security-rapport is beschikbaar en biedt essentiële vergelijkende statistieken tussen overheidsinstanties.

De volledige Veracode State of Software Security 2023 kan worden gedownload.

Over het State of Software Security-rapport

Het 13e deel van Veracode’s jaarverslag over de Staat van softwarebeveiliging onderzoekt historische trends die het softwarelandschap vormgeven en hoe beveiligingspraktijken mee evolueren met die trends. De bevindingen van dit jaar zijn gebaseerd op de volledige historische gegevens die beschikbaar zijn van de diensten en klanten van Veracode en vertegenwoordigen een dwarsdoorsnede van grote en kleine bedrijven, commerciële softwareleveranciers, software-outsourcers en open-sourceprojecten. Het rapport bevat bevindingen over applicaties die werden onderworpen aan statische analyse, dynamische analyse, softwaresamenstellingsanalyse en/of handmatige penetratietests via het cloudgebaseerde platform van Veracode. Het rapport houdt rekening met gegevens die zijn verstrekt door de klanten van Veracode en informatie die werd berekend of afgeleid in de loop van de analyse van Veracode.

Over Veracode

Veracode is intelligente softwarebeveiliging. Het Veracode Software Security Platform detecteert voortdurend fouten en kwetsbaarheden in elke fase van de moderne levenscyclus van softwareontwikkeling. Aangespoord door krachtige AI getraind door biljoenen regels code, lossen Veracode-klanten fouten sneller en met hoge nauwkeurigheid op. Vertrouwd door beveiligingsteams, ontwikkelaars en bedrijfsleiders van duizenden van ‘s werelds toonaangevende organisaties, is Veracode de pionier die doorgaat met het herdefiniëren van wat intelligente softwarebeveiliging betekent. Veracode is geaccrediteerd voor het FedRAMP en StateRAMP Risk and Authorization Management Program.

Copyright © 2023 Veracode, Inc. Alle rechten voorbehouden. Veracode is een gedeponeerd handelsmerk van Veracode, Inc. in de Verenigde Staten en is mogelijk gedeponeerd in bepaalde andere rechtsgebieden. Alle andere productnamen, merken of logo’s behoren toe aan hun respectieve houders. Alle andere hierin genoemde handelsmerken zijn eigendom van hun respectieve eigenaars.

Deze bekendmaking is officieel geldend in de originele brontaal. Vertalingen zijn slechts als leeshulp bedoeld en moeten worden vergeleken met de tekst in de brontaal, die als enige rechtsgeldig is.

Bekijk het oorspronkelijke bericht op businesswire.com: https://www.businesswire.com/news/home/20230605005103/nl/

Contacts

Katy Gwilliam

kgwilliam@veracode.com