Utvrđeno je da sektori finansija i osiguranja imaju najveći broj kritičnih
ranjivosti , navodi Black Duck.
Industrija finansija i osiguranja suočava se sa najvećim ranjivostima
Izvještaj, koji analizira podatke iz preko 200.000 dinamičkih testiranja sigurnosti aplikacija (DAST) koje je Black Duck proveo na približno 1.300 aplikacija u 19 sektora industrije od juna 2023. do juna 2024. godine, pronašao je varijacije u vrstama ranjivosti i praksama sanacije.
Od ukupno 96.917 identificiranih ranjivosti, dvije najkritičnije kategorije bile su kriptografske greške (slabosti u načinu na koji aplikacija osigurava osjetljive informacije), s preko 30.000 instanci, i ranjivosti ubrizgavanja (kada maliciozni kod navede aplikaciju da izvrši nenamjerne radnje ili pristup podacima bez autorizacija), sa nešto više od 4.800 slučajeva.
I jedno i drugo predstavlja prijetnju podacima u svim industrijama, a potencijalna kršenja mogu dovesti do krađe ličnih podataka (PII), finansijskih podataka i medicinske dokumentacije, što rezultuje ozbiljnim finansijskim gubicima i oštećenjem reputacije.
Industrija finansija i osiguranja (FSI) imala je najveći broj kritičnih ranjivosti u svim kompleksnostima lokacija, sa 565 kritičnih ranjivosti identifikovanih za male lokacije FSI, 580 za srednje lokacije i 154 za velike lokacije. Sledeća najveća industrija bila je zdravstvena zaštita i socijalna pomoć, sa 367, 486 i 139 kritičnih ranjivosti za male, srednje i velike lokacije.
Osim toga, u izvještaju je utvrđeno da ne postoji vremenski okvir koji bi odgovarao svima za pristupe sanacije. Zapravo, postoji varijacija kada je u pitanju srednje vrijeme za sanaciju (MTTR) u različitim industrijama, sa strogim propisima koji prisiljavaju finansije i osiguranje da se kreću brže (28 dana za manju/složeniju web imovinu), u poređenju sa sektorom komunalnih usluga, koji je imao najduže vrijeme za zatvaranje (107 dana za manje/niže složene web materijale). Ovo je vjerovatno zbog toga što sektor radi na naslijeđenim sistemima koje je teško zakrpiti i ažurirati.
Poremećaji u radu predstavljaju veliki poslovni rizik
Operativni poremećaji predstavljaju veliki poslovni rizik, bez obzira na industriju. Istraživanje je pokazalo da široko rasprostranjene sigurnosne pogrešne konfiguracije (98% pogođenih aplikacija) ugrožavaju kontinuitet poslovanja i dostupnost usluga.
Izloženost osjetljivih podataka i ranjivosti ubrizgavanja predstavljaju prijetnju osjetljivim podacima u svim industrijama, što potencijalno dovodi do curenja podataka, novčanih kazni, finansijskih gubitaka i oštećenja reputacije. Osetljivi podaci koji su pod rizikom uključuju lične podatke kao što su brojevi socijalnog osiguranja, bankovni podaci, krendicijala za prijavu, brojevi kreditnih kartica, medicinski kartoni i poslovne tajne.
U sektoru obrazovnih usluga, nerješena ranjivost u studentskom informacionom sistemu može dovesti do izlaganja osetljivih podataka o studentima, uključujući lične podatke, akademske podatke i finansijske detalje. Takvo kršenje može dovesti do krađe identiteta, akademske prevare i kršenja zakona o privatnosti kao što je FERPA, što može dovesti do pravnih posljedica i gubitka povjerenja u instituciju.
“Veliki broj ranjivosti pronađenih u protekloj godini jasan je poziv na buđenje da preduzeća ne mogu ostati stagniraju prilikom primjene novih sigurnosnih mjera,” rekao je Jason Schmitt , izvršni direktor, Black Duck. „Što je duže potrebno organizaciji da zakrpi ranjivost, veće su šanse za eksploataciju. Rizik od softvera je jednak poslovnom riziku, a s obzirom da su današnji maliciozni hakeri sofisticiraniji nego ikad, sve je važnije da kompanije u svim sektorima izgrade povjerenje u svoj softver primjenom sveobuhvatnog i integrisanog pristupa.”
Izvor:Help Net Security
