Applicatierisico’s in de publieke sector stapelen zich op naarmate de beveiligingsschulden van overheidssystemen toenemen

Uit het rapport Veracode’s State of Software Security 2025 voor de publieke sector blijkt dat 78% van de overheidsorganisaties met ongeadresseerde beveiligingslekken heeft te maken en dat kritieke kwetsbaarheden jarenlang aanhouden.

BURLINGTON, Mass.–(BUSINESS WIRE)– Veracode, wereldwijd leider in applicatierisicobeheer, heeft vandaag zijn rapport ‘Public Sector State of Software Security 2025’ gepubliceerd. Hierin worden alarmerende trends op het gebied van softwarebeveiliging bij overheidsorganisaties onthuld. Op basis van een uitgebreide analyse van 1,3 miljoen unieke applicaties en 126,4 miljoen ruwe bevindingen toont het onderzoek dat 78 procent van de organisaties in de publieke sector met een significante beveiligingsachterstand kampt, waarbij gebreken al meer dan een jaar niet zijn verholpen. Bovendien heeft 55 procent te maken met een ‘kritieke’ beveiligingsachterstand, wat neerkomt op langdurige kwetsbaarheden met een ernstig risicopotentieel.

Dit persbericht bevat multimedia. Bekijk hier het volledige persbericht: https://www.businesswire.com/news/home/20250611820824/nl/

Fig 1: Public Sector Flaw Remediation Timeline Based on Survival Analysis

Beveiligingsschulden in de publieke sector overschrijden het branchegemiddelde

In een tijdperk waarin het vertrouwen van het publiek en de beveiliging van digitale infrastructuur van cruciaal belang zijn, blijft de publieke sector worstelen met het tijdig verhelpen van kwetsbaarheden. Uit het onderzoek blijkt dat overheidsinstanties gemiddeld 315 dagen nodig hebben om de helft van hun softwarekwetsbaarheden te verhelpen, wat aanmerkelijk hoger is dan het algemene gemiddelde van 252 dagen. Deze vertraging van 63 dagen creëert aanzienlijke kansen voor potentiële aanvallen op de applicatielaag en datalekken.

De gegevens laten verder zien dat zelfs na twee jaar een derde van de beveiligingsfouten in overheidsapplicaties nog steeds niet is opgelost, waarbij 15 procent al meer dan vijf jaar bestaat. Deze lange hersteltijd (weergegeven in de overlevingscurve in figuur 1) illustreert hoe onopgeloste kwetsbaarheden zich opstapelen tot een wijdverbreide beveiligingsschuld.

“Veel overheidsorganisaties hebben steeds meer moeite om kwetsbaarheden te verhelpen. Daardoor lopen kritieke systemen en gegevens die essentiële overheidsdiensten ondersteunen mogelijk gevaar,” aldus Chris Wysopal, Chief Security Evangelist bij Veracode. “Ons onderzoek laat zien dat de publieke sector dringend moet werken aan de modernisering van beveiligingspraktijken, vooral als het gaat om risicobeheer in opensource-software.”

Veracode gaat rechtstreeks in zee met overheidsinstanties om deze cyberbeveiligingsuitdagingen aan te pakken. Het Veracode-platform is gebaseerd op een analyse van bevindingen op basis van meer dan 360 biljoen regels code. Dit geeft uitgebreid inzicht in risico’s, van ontwerp tot implementatie, zodat organisaties kwetsbaarheden snel en nauwkeurig kunnen verhelpen.

Code van derden biedt onevenredig risicoprofiel

Een bijzonder zorgwekkende conclusie is dat hoewel code van derden en opensource-code minder dan 10 procent van de totale beveiligingsschuld uitmaken, ze maar liefst 70 procent van de kritieke beveiligingsschuld in overheidssystemen vertegenwoordigen. Sterker nog, het kost ongeveer 50 procent meer tijd om deze fouten te verhelpen dan fouten in intern ontwikkelde softwaretoepassingen.

Wysopal zegt: “Dit onevenredige risico benadrukt het belang van het beveiligen van softwaretoeleveringsketens en het zorgvuldig controleren van opensource-afhankelijkheden. Als overheidsinstanties hun zichtbaarheid en herstelmaatregelen niet uitbreiden tot buiten de interne code, lopen ze het risico dat de gevaarlijkste fouten niet worden opgelost. Naarmate het gebruik van door AI gegenereerde code binnen organisaties toeneemt, is een uitgebreide analyse van opensource belangrijker dan ooit om te voorkomen dat verborgen fouten over het hoofd worden gezien.”

Benchmarks voor beveiligingsvolwassenheid onthullen prestatieverschillen

Hoewel de algemene trends zorgwekkend zijn, blijkt uit het onderzoek van Veracode dat toonaangevende overheidsinstanties erin slagen hun beveiligingsachterstand terug te dringen en kwetsbaarheden bijna vier keer sneller op te lossen dan andere instanties. Deze goed presterende instanties laten zien dat er betekenisvolle verbeteringen wel degelijk haalbaar zijn en bieden een duidelijk perspectief voor collega-instanties die hun softwarebeveiliging willen versterken.

Het rapport brengt vijf belangrijke maatstaven in kaart voor het meten van de volwassenheid van een organisatie op het gebied van applicatiebeveiliging en debiteurenbeheer. Het laat de duidelijke prestatieverschillen zien tussen organisaties die koploper zijn in de publieke sector en organisaties die achterblijven:

• Prevalentie van fouten: Leidende agentschappen hebben fouten in minder dan 33 procent van de applicaties, terwijl de toepassingen van achterblijvende agentschappen 100% fouten laten zien.
• Herstelcapaciteit: Leiders pakken maandelijks meer dan negen procent van de gebreken aan, vergeleken met slechts 0,1 procent voor achterblijvers.
• Oplossingssnelheid: Toppresteerders lossen de helft van hun fouten binnen 3,3 maanden op, terwijl de minste presteerders meer dan 11 maanden nodig hebben voor vergelijkbare resultaten.
• Prevalentie veiligheidsschulden: Minder dan 26 procent van de applicaties bij toonaangevende bureaus heeft een beveiligingsschuld, vergeleken met meer dan 85 procent bij achterblijvende organisaties.
• Opensource-schuld: Zelfs onder leiders bevat 84 procent van de applicaties kritieke opensource-schulden, een percentage dat oploopt tot 100 procent bij achterblijvende collega’s.

“Het verschil tussen de best en slechtst presterende overheidsorganisaties is opvallend en roept belangrijke vragen op over de factoren die een wezenlijk verschil maken in de beveiligingsaanpak,” voegde Wysopal toe. “Deze gegevens bieden beveiligingsteams in de publieke sector een duidelijk kader om hun volwassenheid te beoordelen, hiaten in kaart te brengen en hun prestaties te verbeteren op basis van de praktijken van de best presterende organisaties.”

Een duidelijke oproep tot actie

Nu organisaties in de publieke sector te maken krijgen met toenemende cyberbedreigingen en steeds strengere wettelijke nalevingseisen, beveelt Veracode twee strategische verschuivingen aan:

1. Op risico gebaseerde prioritering implementeren: Contextgestuurde beveiligingsbeheerfuncties die bevindingen uit meerdere beveiligingstools en gegevensbronnen met elkaar in verband brengen. Geavanceerde oplossingen zoals Veracode Risk Manager brengen de meest bruikbare en urgente kwetsbaarheden aan het licht en bieden automatische oplossingen.
2. Uitgebreide zichtbaarheid verbeteren: Continu scannen en ondersteuning van ontwikkelaars gedurende de volledige levenscyclus van softwareontwikkeling. Het proactief opsporen van fouten vóór implementatie blijft de meest kosteneffectieve en impactvolle investering in AppSec.

Wysopal concludeert: “In het huidige bedreigingslandschap is een beveiligingsschuld niet langer een aanvaardbaar risico. Met de juiste focus, meetgegevens en automatisering kunnen overheidsinstellingen hun softwarerisico’s onder controle krijgen waarbij elke release risicobestendig wordt.”

Nu applicatierisico’s zich opstapelen in overheidssystemen, moeten federale, staats- en lokale instanties een evenwicht vinden tussen het leveren van missiekritieke diensten en effectief cyberbeveiligingsrisicobeheer. Het uitgebreide platform voor applicatierisicobeheer van Veracode helpt instanties om deze tegenstrijdige eisen het hoofd te bieden door middel van versnelde risicobeheersing, datagestuurde prioritering van kwetsbaarheden en geautomatiseerde risicobeoordelingsmogelijkheden waarmee organisaties weerbaarder worden tegen steeds veranderende bedreigingen. Dit is vooral belangrijk nu met AI-gegenereerde code en opensource-afhankelijkheden de softwareontwikkelingsprocessen steeds complexer worden.

Het volledige rapport ‘Public Sector State of Software Security 2025’ kan worden gedownload op de website van Veracode.

Over Veracode

Veracode is een wereldleider op het gebied van het beheer van toepassingsrisico’s voor het AI-tijdperk. Het Veracode-platform, aangedreven door biljoenen lijnen codescans en een eigen AI-ondersteunende herstelengine, wordt vertrouwd door organisaties overal ter wereld om beveiligde software te bouwen en behouden, van de creatie van code tot implementatie via de cloud. Duizenden van ‘s werelds toonaangevende ontwikkelings- en beveiligingsteams gebruiken heel de dag door Veracode om nauwkeurige, praktische zichtbaarheid te krijgen in exploiteerbare risico’s, herstel van fouten in realtime te krijgen en hun beveiligingsschuld op grote schaal te verminderen. Veracode is een met meerdere prijzen bekroond bedrijf dat mogelijkheden biedt om de volledige levenscyclus van softwareontwikkeling te beveiligen, waaronder Veracode-herstel, statische analyse, dynamische analyse, analyse van softwaresamenstelling, beveiliging van containers, beheer van softwarebeveiligingshouding, detectie van kwaadaardige pakketten en testen van penetratie.

Meer informatie op www.veracode.com, op het Veracode blog en op LinkedIn en X.

Copyright © 2025 Veracode, Inc. Alle rechten voorbehouden. Veracode is een geregistreerd handelsmerk van Veracode, Inc. in de Verenigde Staten en kan in bepaalde andere rechtsgebieden mogelijk geregistreerd zijn. Alle andere namen, merken of logo’s van producten horen toe aan hun respectievelijke houders. Alle andere handelsmerken die hierin worden vermeld, zijn eigendom van hun respectievelijke eigenaren.

Deze bekendmaking is officieel geldend in de originele brontaal. Vertalingen zijn slechts als leeshulp bedoeld en moeten worden vergeleken met de tekst in de brontaal, die als enige rechtsgeldig is.

Bekijk het oorspronkelijke bericht op businesswire.com: https://www.businesswire.com/news/home/20250611820824/nl/

Contacts

Pers en media:
Katy Gwilliam

Hoofd Global Communications, Veracode

kgwilliam@veracode.com