Le applicazioni sviluppate dal settore pubblico presentano più problemi di sicurezza rispetto a quelle del settore privato, secondo un rapporto di Veracode. Il rapporto definisce il debito di sicurezza come vulnerabilità che rimangono non risolte per più di un anno.
Il rapporto ha analizzato le organizzazioni del settore pubblico in più di 25 paesi in tutto il mondo e ha scoperto che il 59% delle applicazioni presenta debiti di sicurezza, rispetto al tasso complessivo del 42%.
“Decenni di debiti di sicurezza accumulati in software non aggiornato e configurazioni di sicurezza scadenti si trovano nelle applicazioni che servono il nostro governo”, ha affermato Chris Eng, Chief Research Officer di Veracode. “Senza un approccio sistematico e continuo alla ricerca e alla correzione delle vulnerabilità di sicurezza, il settore pubblico è esposto in modo pericoloso agli attacchi degli hacker”.
Sistemi governativi sotto minaccia di crescenti attacchi informatici
I sistemi governativi federali sono sempre più sotto attacco informatico, con criminali malintenzionati che prendono di mira le organizzazioni del settore pubblico con tecniche più dannose e disruptive. In risposta, il governo federale sta implementando una serie di iniziative per rafforzare la sicurezza informatica, tra cui sforzi per ridurre il rischio nelle applicazioni che servono il governo.
Nel marzo del 2024, l’Agenzia per la sicurezza infrastrutturale e la sicurezza cibernetica (CISA) e l’Ufficio di gestione e budget (OMB) hanno rilasciato il Modulo di attestazione per lo sviluppo software sicuro per tenere i fornitori del governo federale responsabili per i software insicuri.
I ricercatori di Veracode hanno scoperto che mentre leggermente meno organizzazioni del settore pubblico (68%) hanno debiti di sicurezza rispetto ad altri settori, tendono ad accumularne di più. Solo il 3% delle applicazioni è privo di vulnerabilità, rispetto al 6% in altri settori.
Ancor più preoccupante, il 40% delle entità pubbliche ha vulnerabilità persistenti e ad alta severità che costituiscono “debiti di sicurezza critici”, che metterebbero a rischio la riservatezza, l’integrità e la disponibilità delle attività se sfruttate.
“La buona notizia è che la maggior parte delle organizzazioni ha la capacità di rimediare a tutti i debiti di sicurezza critici, ma la prioritizzazione del rischio è fondamentale”, ha affermato Eng. “Due terzi di tutte le vulnerabilità nelle organizzazioni del settore pubblico hanno meno di un anno o non sono critiche in severità. Inoltre, meno dell’1% di tutte le vulnerabilità costituisce debiti di sicurezza critici. Concentrandosi su quella sicurezza debito con sforzo mirato, le organizzazioni possono raggiungere una riduzione massima del rischio e quindi affrontare i difetti non critici in base alla loro tolleranza al rischio e alle capacità”.
I debiti di sicurezza nel settore pubblico sono concentrati principalmente in app più vecchie
Secondo il rapporto, i debiti di sicurezza nel settore pubblico colpiscono principalmente il codice di prima parte (93%), ma la maggior parte del debito di sicurezza critico proviene da dipendenze di terze parti (55,5%).
Questo rafforza l’importanza dell’Iniziativa per la sicurezza del software open source (OS3I), un gruppo di lavoro interagenzia incentrato sulla garanzia che il software open source sia “sicuro, sicuro e sostenibile come è aperto”. Sottolinea anche la necessità per le organizzazioni di concentrarsi sia sul codice di prima parte che su quello di terze parti per ridurre efficacemente il debito di sicurezza.
L’analisi mostra inoltre che i debiti di sicurezza nel settore pubblico sono concentrati principalmente in applicazioni più vecchie e più grandi (22%). Questo è particolarmente vero per il debito di sicurezza critico (30%), confermando una correlazione tra l’età dell’applicazione e l’accumulo di debiti di sicurezza.
I ricercatori hanno anche confrontato il profilo dei debiti di sicurezza per diversi linguaggi di sviluppo e hanno scoperto che le applicazioni Java e .NET sono significative fonti di debiti di sicurezza nel settore pubblico.
“Lo stato attuale della sicurezza del software nel settore pubblico sottolinea l’importanza di rendere la progettazione sicura un approccio standard per l’intero mondo connesso in rete”, ha affermato Eng. “Accogliamo con favore l’annuncio recente di CISA del suo impegno per la progettazione sicura e siamo orgogliosi di essere uno dei firmatari inaugurali. Il nostro obiettivo con questa ricerca è supportare i nostri partner governativi e industriali nella promozione dell’adozione diffusa di questi principi”.
Per affrontare il problema dei debiti di sicurezza nel settore pubblico, raccomandiamo quanto segue:
- Adottare un approccio sistematico e continuo alla ricerca e alla correzione delle vulnerabilità di sicurezza: il settore pubblico deve adottare un approccio proattivo alla sicurezza delle applicazioni, che include la ricerca e la correzione delle vulnerabilità di sicurezza in modo continuo e sistematico.
- Prioritizzare il debito di sicurezza critico: le organizzazioni devono concentrarsi sulla correzione delle vulnerabilità critiche che mettono a rischio la riservatezza, l’integrità e la disponibilità delle attività.
- Concentrarsi su codice di prima parte e di terze parti: le organizzazioni devono concentrarsi sia sul codice di prima parte che su quello di terze parti per ridurre efficacemente il debito di sicurezza.
- Considerare l’età dell’applicazione: le organizzazioni devono considerare l’età delle applicazioni quando si pianificano gli sforzi di riduzione del debito di sicurezza, poiché le applicazioni più vecchie tendono ad avere un debito di sicurezza più elevato.
- Partecipare all’Iniziativa per la sicurezza del software open source (OS3I): le organizzazioni devono partecipare all’OS3I per garantire che il software open source sia sicuro, sicuro e sostenibile.
- Adottare un approccio di progettazione sicura: le organizzazioni devono adottare un approccio di progettazione sicura per ridurre al minimo il debito di sicurezza nelle nuove applicazioni.
- Monitorare e valutare regolarmente la sicurezza delle applicazioni: le organizzazioni devono monitorare e valutare regolarmente la sicurezza delle applicazioni per garantire che le vulnerabilità siano identificate e corrette in modo tempestivo.
- Promuovere la collaborazione e la condivisione delle informazioni sulla sicurezza: le organizzazioni devono promuovere la collaborazione e la condivisione delle informazioni sulla sicurezza con altri enti pubblici e l’industria per migliorare la sicurezza delle applicazioni nel settore pubblico.
Fonte: https://www.helpnetsecurity.com/2024/05/30/public-sector-applications-security-debt/
