78% organizacija u javnom sektoru funkcioniše s ozbiljnim sigurnosnim dugom – propustima koji nisu sanirani duže od godinu dana, pokazuje istraživanje kompanije Veracode. Takođe, 55% tih organizacija nosi „kritični“ sigurnosni dug, što znači da već dugo imaju ranjivosti koje predstavljaju ozbiljan rizik.
Vremenski okvir za sanaciju nedostataka u javnom sektoru na osnovu analize preživljavanja (Izvor: Veracode)
Sigurnosni dug u javnom sektoru premašuje industrijski prosjek
Istraživanje pokazuje da je prosječno vrijeme potrebno javnim institucijama da zakrpe polovinu svojih softverskih ranjivosti 315 dana, što je znatno duže od industrijskog prosjeka od 252 dana. Ovo dodatno kašnjenje od 63 dana stvara dug period ranjivosti, koji napadači mogu iskoristiti za upade kroz aplikacijski sloj i krađe podataka.
Podaci takođe pokazuju da i nakon dvije godine, trećina sigurnosnih propusta u državnim aplikacijama ostaje neotklonjena, dok 15% propusta opstaje duže od pet godina. Ovakvo dugotrajno zanemarivanje ilustrira kako se ranjivosti akumuliraju i postaju široko rasprostranjen sigurnosni dug.
„Mnoge državne institucije imaju sve veće izazove da održe korak s otklanjanjem ranjivosti, što potencijalno ostavlja kritične sisteme i podatke izuzetno izloženim“, rekao je Chris Wysopal, glavni sigurnosni evangelist u Veracode-u.
Dug povezan s open-source kodom
Posebno zabrinjavajući dio istraživanja pokazuje da iako open-source i treće strane čine manje od 10% ukupnog sigurnosnog duga, oni predstavljaju čak 70% kritičnog sigurnosnog duga u vladinim sistemima. Štaviše, ti se propusti otklanjaju u prosjeku 50% sporije u poređenju s propustima u softveru razvijenom unutar institucija.
„Ova nesrazmjerna opasnost naglašava koliko je važno osigurati softverske lance snabdijevanja i pažljivo provjeravati open-source biblioteke. Bez proširivanja nadzora i sanacije izvan internih kodova, javni sektor ostavlja najteže ranjivosti neadresirane. Kako se sve više koristi kod generisan pomoću AI-a, detaljna analiza open-source komponenti je važnija nego ikad kako bi se spriječilo da skrivene ranjivosti promaknu“, dodaje Wysopal.
Vodeće agencije smanjuju sigurnosni dug
Uprkos zabrinjavajućim opštim trendovima, neke državne agencije postižu napredak – one rješavaju ranjivosti gotovo četiri puta brže od ostalih. Ove organizacije pokazuju da je značajno poboljšanje moguće i nude jasan smjer za druge koje žele ojačati svoj sigurnosni položaj.
Izvještaj identifikuje pet ključnih pokazatelja koji mjere zrelost organizacije u upravljanju sigurnošću aplikacija i sigurnosnim dugom, otkrivajući velike razlike između vodećih i zaostalih organizacija u javnom sektoru:
- Zastupljenost propusta: Vodeće agencije imaju propuste u manje od 33% aplikacija, dok zaostale imaju propuste u svim aplikacijama
- Kapacitet sanacije: Lideri mjesečno otklone više od 9% propusta, dok zaostali otklone samo 0.1%
- Brzina rješavanja: Najbolje agencije otklone polovinu propusta za 3.3 mjeseca, dok zaostalim treba više od 11 mjeseci
- Zastupljenost sigurnosnog duga: Manje od 26% aplikacija u vodećim agencijama ima sigurnosni dug, dok kod zaostalih ta brojka prelazi 85%
- Open-source dug: Čak i kod lidera, 84% aplikacija sadrži kritične open-source propuste, dok je kod zaostalih ta brojka 100%
„Razlika između najboljih i najslabijih državnih institucija je drastična i otvara važna pitanja o tome koji faktori zaista prave razliku u sigurnosnom statusu organizacije“, zaključio je Wysopal.
Izvor:Help Net Security
