Segundo Veracode, os aplicativos desenvolvidos por organizações do setor público têm mais dívidas de segurança do que os criados pelo setor privado.
Neste relatório, as responsabilidades de segurança, definidas como defeitos que não são corrigidos há mais de um ano, existem em 59% das aplicações do setor público (em comparação com 42% no total). O estudo analisou organizações do setor público em mais de 25 países ao redor do mundo.
“Existe dívida de segurança acumulada ao longo de décadas de software não corrigido e configurações de segurança inadequadas em aplicativos de serviço governamental”, disse Chris Eng, diretor de pesquisa da Veracode. “Sem uma abordagem sistemática e contínua para descobrir e remediar falhas de segurança, o setor público continuará em risco de ataques de hackers.”
Sistemas do governo federal enfrentam ameaça crescente de ataques cibernéticos
Os sistemas federais estão cada vez mais expostos a ataques cibernéticos, à medida que criminosos mal-intencionados atacam organizações do setor público com métodos cada vez mais prejudiciais e destrutivos. Em resposta, o governo federal está a intensificar uma série de esforços para reforçar a segurança cibernética, incluindo esforços para reduzir o risco em aplicações que servem o governo.
Em março de 2024, a Agência de Segurança Cibernética e de Infraestrutura (CISA) e o Escritório de Gestão e Orçamento (OMB) lançaram o Formulário de Certificação de Desenvolvimento de Software Seguro para responsabilizar os fornecedores federalmente por software inseguro.
Os investigadores da Veracode descobriram que, embora um número ligeiramente inferior de organizações do sector público (68%) tenham dívidas de segurança do que outras indústrias, elas tendem a acumular mais dívidas. Apenas 3% das aplicações estão livres de defeitos, em comparação com 6% em outras indústrias.
Ainda mais preocupante, 40% das organizações do setor público têm falhas de alta gravidade que constituem uma responsabilidade de segurança “crítica”, que, se explorada, pode comprometer a confidencialidade, integridade e disponibilidade dos negócios e ficar exposta a riscos significativos.
“Felizmente, a maioria das organizações tem a capacidade de salvar todas as dívidas significativas, mas a priorização de riscos é fundamental”, disse Enzi. Gravidade. Além disso, menos de 1% de todos os defeitos constituem uma responsabilidade material de segurança. Ao priorizar as responsabilidades de segurança com um esforço concentrado, as organizações podem alcançar a redução máxima de riscos e resolver deficiências não críticas com base em sua tolerância a riscos e capacidades. ”
A dívida de segurança do setor público está amplamente concentrada em aplicativos mais antigos
De acordo com o relatório, a dívida de títulos do setor público afeta principalmente o código primário (93%), enquanto a dívida de títulos mais significativa vem de dependências de terceiros (55,5%).
Faz parte da Open Source Security Software Initiative (OS3I), um grupo de trabalho interagências focado em garantir que o software de código aberto seja “tão seguro e sustentável quanto é aberto”. Ele também destaca a necessidade de as organizações se concentrarem em códigos próprios e de terceiros para reduzir efetivamente a responsabilidade pela segurança.
Além disso, a análise mostra que a dívida de títulos do sector público está principalmente concentrada em aplicações mais antigas e maiores (22%). Isto é especialmente verdadeiro para a dívida de títulos significativa (30%), confirmando a correlação entre a idade da aplicação e a acumulação de dívida de títulos.
Os pesquisadores também compararam os perfis de dívidas de segurança de diferentes linguagens de desenvolvimento e descobriram que as aplicações Java e .NET se destacaram como importantes fontes de dívida no setor público.
“O estado atual da segurança de software no setor público destaca a importância de tornar a segurança desde a conceção a abordagem padrão em todo o mundo conectado. Aplaudimos o compromisso e estamos orgulhosos dele”, disse um dos primeiros signatários. Nosso objetivo com esta pesquisa é ajudar ainda mais os parceiros governamentais e industriais a promover a adoção generalizada desses princípios. ”
