Bu rapor için bir yıldan uzun süre düzeltilmeyen kusurlar olarak tanımlanan güvenlik borcu, şirketlerin %59’unda mevcuttur. Kamu sektöründeki uygulamalar genel oran ise %42’dir. Araştırma dünya çapında 25’ten fazla ülkedeki kamu sektörü kuruluşlarını analiz etti.
“On yıllardır birikmiş güvenlik borcu, yama yapılmamış yazılımlar ve zayıf güvenlik yapılandırmaları, hükümetimize hizmet eden uygulamalardadır” dedi Chris Müh, Veracode’da Baş Araştırma Görevlisi. “Güvenlik açıklarını bulma ve düzeltmeye yönelik sistematik ve sürekli bir yaklaşım olmadığında, kamu sektörü tehlikeli bir şekilde bilgisayar korsanlarının saldırılarına açık hale gelir.”
Federal hükümet sistemleri artan siber saldırı tehditleriyle karşı karşıya
Kötü niyetli suçlular kamu sektörü kuruluşlarını daha zarar verici ve yıkıcı tekniklerle hedef aldığından, federal hükümet sistemleri giderek daha fazla siber saldırı altındadır. Buna cevaben federal hükümet, hükümete hizmet eden uygulamalardaki riski azaltma çabaları da dahil olmak üzere siber güvenliği güçlendirmek için bir dizi girişimde bulunuyor.
Mart 2024’te Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve Yönetim ve Bütçe Ofisi (OMB), sağlayıcıları güvenli olmayan yazılımlardan federal hükümete sorumlu tutmak için Güvenli Yazılım Geliştirme Onay Formunu yayınladı.
Veracode araştırmacıları, biraz daha az sayıda kamu sektörü kuruluşunun (%68) diğer sektörlere göre güvenlik borcu var, daha fazlasını biriktirme eğilimindedirler. Diğer sektörlerdeki %6’ya kıyasla uygulamaların yalnızca %3’ü kusursuzdur.
Daha da endişe verici olan, kamu sektörü kuruluşlarının %40’ının kalıcı, Bu, kötüye kullanılması durumunda işletmelerin gizliliğini, bütünlüğünü ve kullanılabilirliğini ciddi risk altına sokacak ‘kritik’ güvenlik borcu teşkil eder.
Eng, “İyi haber şu ki çoğu kuruluş tüm kritik borçları telafi etme kapasitesine sahip ancak risk önceliklendirmesi çok önemli” dedi. “Kamu sektörü kuruluşlarındaki tüm kusurların üçte ikisi ya bir yıldan daha eskidir ya da ciddiyet açısından kritik değildir. Ayrıca tüm kusurların %1’inden azı kritik güvenlik borcunu oluşturmaktadır. Kuruluşlar, odaklanmış bir çabayla güvenlik borcuna öncelik vererek maksimum risk azaltmayı başarabilir ve ardından risk toleransları ve yeteneklerine dayalı olarak kritik olmayan kusurları ele almaya yönelebilir.”
Kamu sektöründeki güvenlik borcu esas olarak eski uygulamalarda yoğunlaşmıştır
Rapora göre, kamu sektöründeki güvenlik borcu öncelikle birinci taraf kodunu (%93) etkiliyor ancak kritik güvenlik borcunun çoğu üçüncü taraf bağımlılıklarından (%55,5) geliyor.
Bu, açık kaynaklı yazılımın “açık olduğu kadar emniyetli, emniyetli ve sürdürülebilir” olmasını sağlamaya odaklanan kurumlar arası bir çalışma grubu olan Açık Kaynak Güvenlik Yazılımı Girişimi’nin (OS3I) önemini pekiştiriyor. Ayrıca kuruluşların güvenlik borcunu etkili bir şekilde azaltmak için hem birinci hem de üçüncü taraf kodlara odaklanması gerektiğini vurguluyor.
Analiz ayrıca kamu sektöründeki güvenlik borcunun öncelikle eski, daha büyük uygulamalarda (%22) yoğunlaştığını gösteriyor. Bu durum özellikle kritik menkul kıymet borçları (%30) için geçerli olup, başvuru yaşı ile menkul kıymet borcu birikimi arasındaki ilişkiyi doğrulamaktadır.
Araştırmacılar ayrıca farklı geliştirme dilleri için güvenlik borcu profilini karşılaştırdılar ve Java ve .NET uygulamalarının kamu sektöründe önemli borç kaynakları olarak öne çıktığını buldular.
“Kamu sektöründeki yazılım güvenliğinin mevcut durumu, tüm ağ bağlantılı dünya için tasarım yoluyla güvenliği standart bir yaklaşım haline getirmenin önemini güçlendiriyor” diye kapattı Eng. “CISA’nın son zamanlarda Tasarım Yoluyla Güvence Taahhüdü duyurusunu alkışlıyoruz ve ilk imzacılardan biri olmaktan gurur duyuyoruz. Bu araştırmayla amacımız, bu ilkelerin yaygın şekilde benimsenmesini teşvik etme konusunda hükümet ve sektör ortaklarımıza daha fazla destek olmaktır.”
0 Yorumlar