Veracode, провідний світовий постачальник рішень для тестування безпеки додатків, сьогодні показує, що галузь охорони здоров’я посідає перше місце за кількістю вразливостей у безпеці програмного забезпечення, націлених на 27%. Сектор випередив фінансові послуги з точки зору найвищих показників, демонструючи, що постачальники медичних послуг досягли значного прогресу в підвищенні безпеки свого програмного забезпечення за останній рік.
Дані були опубліковані в щорічному звіті компанії про стан безпеки програмного забезпечення (SoSS) версії 12, який є результатом аналізу 20 мільйонів сканувань півмільйона додатків у сферах охорони здоров’я, фінансів, технологій, виробництва, дистрибуції та уряду.
Кріс Енг, керівник відділу досліджень у Veracode, сказав: «Охорона здоров’я є одним із найбільш регульованих секторів і вважається критичною інфраструктурою для уряду. Тому приємно бачити цю відносно позитивну поведінку з точки зору загальних виправлень вразливості. Ми сподіваємося, що розробники та ІТ-спеціалісти в галузі охорони здоров’я сприймають це як бажаний позитив у світі безпеки програмного забезпечення, який дуже часто не надто обнадійливий. Ще є над чим працювати, тому ми з нетерпінням чекаємо подальших покращень у найближчі роки».
Незважаючи на перше місце, досягнуте завдяки фіксованому відсотку вразливостей, 77% додатків у секторі охорони здоров’я схильні до цих проблем, із серйозним рівнем у 21% випадків. Сектор також має достатньо можливостей для вдосконалення з точки зору часу, витраченого на виправлення вразливостей після їх виявлення, з приголомшливими 447 днями, щоб досягти середини виправлення.
Оскільки медичні компанії стикаються з найвищими середніми витратами на порушення, які досягли нового рекорду в 10,1 мільйона доларів США *, важливо вживати профілактичних заходів, щоб мінімізувати ризик кібератак. Оскільки витоки даних у суворо регульованих галузях, як правило, пов’язані з вищими довгостроковими витратами, які накопичуються з роками, цей сегмент може додатково отримати вигоду від ще більших інтегрованих зусиль щодо забезпечення безпеки з самого початку, ранніх етапах життєвого циклу розробки програмного забезпечення.
Серед 6 проаналізованих секторів сектор охорони здоров’я займає останнє місце за часткою програм із уразливістю будь-якого типу та передостаннє за відсотком уразливостей із високим рівнем серйозності, оцінених на основі серйозний ризик для програми та організації у разі фактичних порушень. Коли справа доходить до типів порушень, виявлених динамічним аналізом додатків у галузі, постачальники медичних послуг мають добрі оцінки щодо проблем автентифікації та незахищених залежностей порівняно з іншими сегментами, але вони піддаються більшій частоті проблем автентифікації.
«Ми знаємо, що жодна програма не буде на 100% захищена від вразливостей системи безпеки, тому важливо, щоб компанії вживали всіх необхідних заходів для максимального зниження ризиків; це включає сканування у швидкому та регулярному темпі з різними типами тестів, інтеграцію інструментів тестування в середовища розробки та практичне навчання, щоб допомогти розробникам зрозуміти джерело вразливостей та виправити їх або взагалі уникнути. Сектор охорони здоров’я також має зосередити особливу увагу на критичних вразливостях, які можуть мати катастрофічні наслідки, якщо їх не вирішувати занадто довго».
Ендрю МакКолл, віце-президент з розробки Azalea Health Innovations, сказав: «Найбільшою перешкодою для створення безпеки в наших робочих процесах є те, що розробники сприймають це як простий компонент, як і будь-який інший, тоді як це безперервний процес. , який завжди повинен бути пріоритет протягом усього життєвого циклу розробки програмного забезпечення. Ми вибрали Veracode, тому що це найпростіше і оптимальне рішення для інтеграції в наші існуючі процеси».
Беручи до уваги різке посилення правил, що захищають ланцюжок поставок програмного забезпечення минулого року, у звіті проаналізовано бібліотеки сторонніх розробників, щоб визначити поведінку вразливостей, виявлених за допомогою аналізу складу програмного забезпечення (SCA). Загалом близько 30% вразливих бібліотек залишаються вразливими через два роки, але ця статистика зменшується до 25% у випадку сектору охорони здоров’я. Насправді, у той час як глобальний відсоток бібліотек, які мають уразливості, виявлені за допомогою SCA, має тенденцію до постійного зниження з часом, сектор охорони здоров’я пережив короткий сплеск перед різким скороченням цього відсотка, приблизно в минулому році.
У звіті Veracode State of Software Security (SoSS) v12 проаналізовано вичерпні історичні дані від послуг і клієнтів Veracode. Загалом це понад півмільйона додатків (592.720 10.34.855), для яких використовувалися всі типи сканувань, понад мільйон динамічних аналітичних сканувань (5.137.882 18 18.473.203), понад п’ять мільйонів статичних аналітичних сканувань (42 3,5 6) і понад XNUMX мільйонів аналітичних сканувань на склад програмного забезпечення (XNUMX XNUMX XNUMX). Усі ці сканування створили XNUMX мільйони необроблених статичних результатів, XNUMX мільйона необроблених динамічних результатів і XNUMX мільйонів необроблених результатів SCA.
Дані представляють великі та малі компанії, постачальників комерційного програмного забезпечення, зовнішніх постачальників програмного забезпечення та проекти з відкритим кодом. У більшості аналізів програма враховувалась лише один раз, навіть якщо її надсилали кілька разів для усунення вразливостей і завантажували нові версії.
Veracode є провідним партнером AppSec для створення безпечного програмного забезпечення, зниження ризику порушень безпеки та підвищення продуктивності команд безпеки та розробки. Тому компанії, які покладаються на Veracode, можуть просувати свій бізнес і рухати світ вперед. Поєднуючи автоматизацію процесів, інтеграцію, швидкість і оперативність, Veracode допомагає організаціям отримувати точні й надійні результати, щоб вони могли зосередити свої зусилля на виправленні, а не просто на пошуку потенційних вразливостей.
Copyright © 2022 Veracode, Inc. Усі права захищено. Veracode є зареєстрованою торговою маркою Veracode, Inc. у Сполучених Штатах, і також може бути зареєстрована в інших юрисдикціях. Усі інші назви продуктів, товарні знаки чи абревіатури належать відповідним власникам. Усі інші торгові марки, згадані в цьому прес-релізі, є власністю відповідних власників.
Розвиток дрібної моторики за допомогою розфарбовування готує дітей до більш складних навичок, таких як письмо. Розфарбувати…
Військово-морський сектор є справжньою глобальною економічною силою, яка просунулася до 150-мільярдного ринку...
Минулого понеділка Financial Times оголосила про угоду з OpenAI. FT ліцензує свою журналістику світового рівня…
Мільйони людей оплачують потокові послуги, сплачуючи щомісячну абонентську плату. Поширена думка, що ви…
