Javni sektor još uvijek brojčano nadmašuje privatni sektor u nekim oblastima
Veracode, vodeći dobavljač inteligentnih softverskih sigurnosnih rješenja, danas je objavio studiju koja je pokazala da aplikacije koje su razvile organizacije javnog sektora obično imaju više sigurnosnih nedostataka od aplikacija kreiranih u privatnom sektoru. Ovo su značajni nalazi jer više slabosti primjene korelira s višim nivoima rizika. Studija je jedna od bezbroj nedavnih inicijativa federalne vlade usmjerene na jačanje kibernetičke sigurnosti, uključujući napore da se smanje ranjivosti u aplikacijama koje obavljaju kritične vladine funkcije.
Istraživači su otkrili da je skoro 82% aplikacija koje su razvile organizacije javnog sektora imalo najmanje jednu sigurnosnu grešku otkrivenu u svom posljednjem skeniranju u posljednjih 12 mjeseci u poređenju sa 74% organizacija u privatnom sektoru. Prema vrsti identifikovane greške, aplikacije javnog sektora su imale veću verovatnoću da unesu grešku u poslednjih 12 meseci od 7-12%.
"Razlika između indeksa ispoljavanja grešaka u aplikacijama javnog i privatnog sektora je značajna. Vlada treba da nastavi sa smanjivanjem jaza. Kao zaštitnici javne sigurnosti, vladine agencije su odgovorne za zatvaranje ovog jaza i jačanje sigurnosti kako bi zaštitili naciju i njene građane”, rekao je Chris Eng, direktor istraživanja u Veracodeu.
Analize podataka prikupljenih iz više od 27 miliona skeniranja u 750.000 aplikacija pomogle su izradi Veracode-ovog najnovijeg godišnjeg izvještaja o stanju sigurnosti softvera. Ovaj novi izvještaj opisuje nalaze specifične za javni sektor iz tih skeniranja i aplikacija, uključujući nalaze federalnih, državnih i lokalnih vlasti.
Brojke same po sebi ne izražavaju posljedice hakerskih akcija kada iskorištavaju softverske greške i ranjivosti. Početkom maja ove godine, napad ransomware-a na grad Dalas uzdrmao je osnovnu funkcionalnost javnih usluga, uključujući kompjuterske sisteme koje koriste agencije za javnu sigurnost. Više od tri sedmice nakon napada, javne agencije u Dalasu još uvijek se nisu oporavile.
Veracode studija je također naglasila zašto su organizacije javnog sektora optimistične po pitanju sigurnosti aplikacija. Otkrivanje “veoma ozbiljnih” grešaka u aplikacijama javnog sektora (16,5%) u periodu od 12 mjeseci bilo je manje nego u aplikacijama nejavnog sektora (19%). Ovo je značajno, jer vrlo ozbiljne greške, ako se iskoriste, mogu imati veći negativan uticaj na sisteme.
Moderno testiranje aplikacija podstiče upotrebu različitih alata za sigurnosno skeniranje, kao što su statičko testiranje sigurnosti (SAST) i analiza sastava softvera (SCA), jer su različite vrste skeniranja odlične za otkrivanje različitih vrsta grešaka. SAST i SCA su pronašli greške u aplikacijama kod manjeg procenta subjekata u javnom sektoru nego kod prijava u privatnom sektoru.
Identificiranje manjeg broja grešaka pri korištenju SCA alata moglo bi signalizirati početni utjecaj Izvršne naredbe iz maja 2021. (EO 14028), koja nalaže federalnim agencijama SAD-a da pojačaju napore u zaštiti lanca nabavke softvera. Ovaj EO takođe poziva na veću upotrebu softverskih opisa materijala (SBOM), spiskova supstanci koje se koriste u softveru, čime se promoviše deljenje, transparentnost i vidljivost. Na drugim mjestima, Federalni program upravljanja rizicima i ovlaštenjima (FedRAMP) standardizira procjenu sigurnosti proizvoda i usluga u oblaku. Slično tome, StateRAMP omogućava državnim i lokalnim vlastima da provjere usklađenost pružatelja usluga u oblaku sa politikama kibernetičke sigurnosti.
Oštra razlika između aplikacija javnog i privatnog sektora je koliko brzo skeniranja otkrivaju nove greške u zastarjelom softveru. Kada je softver u proizvodnji pet godina, ove dvije industrije značajno se razlikuju: stopa novih grešaka unesenih u aplikacije privatnog sektora raste, dok se stopa smanjuje u agencijama javnog sektora.
Ovaj trend ukazuje da agencije javnog sektora posvećuju više pažnje održavanju sigurnosti aplikacija tokom vremena, a ne samo tokom prvih nekoliko godina njihovog korisnog vijeka trajanja. Nasuprot tome, aplikacije izvan vlade pokazuju postepen i stalan porast uvođenja novih grešaka kako zastarevaju.
“Javni sektor je prešao dug put u jačanju sigurnosti aplikacija koje služe našoj vladi, ali agencije još uvijek moraju preći dug put kako bi poboljšale svoj cyber položaj i odbranile se od dolazećih prijetnji. Usmjeravanjem sigurnosnih napora na korijenski uzrok većine cyber kršenja – sloj aplikacija – agencije mogu postići neophodna poboljšanja. Periodično skeniranje raznim vrstama testova i rješavanje sigurnosnih dugova – akumuliranih ranjivosti u softveru koje prijete sigurnosti sistema – otvorit će put sigurnijoj budućnosti za vladine agencije”, zaključio je inž.
Puna verzija studije javnog sektora iz Veracode-ovog izvještaja o stanju softverske sigurnosti je dostupna i nudi uporedne metrike u svim vladinim agencijama.
Tom 13 Veracode-ovog godišnjeg izveštaja o stanju softverske bezbednosti ispituje istorijske trendove koji oblikuju softverski pejzaž i kako se bezbednosne prakse menjaju sa ovim trendovima. Ovogodišnji rezultati su zasnovani na svim istorijskim podacima koje pružaju Veracode servisi i klijenti i predstavljaju presek velikih i malih kompanija, komercijalnih dobavljača softvera, autsorsera softvera i projekata otvorenog koda. Izvještaj sadrži rezultate o aplikacijama podvrgnutim statičkoj analizi, dinamičkoj analizi, analizi sastava softvera i/ili ručnom testiranju penetracije putem Veracode-ove platforme zasnovane na oblaku. Izvještaj uzima u obzir podatke koje su dostavili Veracode korisnici i informacije izračunate ili izvedene tokom Veracodeove analize.
BlogInnovazione.it
Operacija oftalmoplastike komercijalnim preglednikom Apple Vision Pro obavljena je u Poliklinici Catania…
Razvijanje finih motoričkih sposobnosti kroz bojenje priprema djecu za složenije vještine poput pisanja. Za bojenje…
Pomorski sektor je prava globalna ekonomska sila, koja je krenula ka tržištu od 150 milijardi...
Prošlog ponedjeljka Financial Times je objavio dogovor sa OpenAI. FT licencira svoje novinarstvo svjetske klase…
