Accumulazione di vulnerabilità del software individuate nelle istituzioni governative, secondo lo studio
In un recente rapporto pubblicato da Veracode, è stato rivelato che una consistente parte delle agenzie governative a livello mondiale sta lottando con difetti software a lungo termine, mettendole maggiormente a rischio. Il rapporto, pubblicato il mercoledì, rivela che circa l'80% di queste agenzie ha vulnerabilità software non risolte che sono rimaste senza risposta per almeno un anno.
Il rapporto solleva preoccupazioni sul calcolo del rischio delle tecnologie governative, con gli stakeholder aziendali che si chiedono se le loro organizzazioni sono potenziali obiettivi. I risultati suggeriscono che le agenzie governative sono effettivamente potenziali obiettivi, data la diffusione delle vulnerabilità software non risolte.
Una delle scoperte principali è l'ampio utilizzo di software di terze parti e open source nelle reti governative. Questi programmi rappresentano il 70% del debito di sicurezza critico nelle reti governative, secondo il rapporto. Questa dipendenza dai software di terze parti rappresenta un rischio significativo, poiché può essere difficile garantire la sicurezza dei software sviluppati da entità esterne.
Il rapporto evidenzia anche il problema della tecnologia IT governativa obsoleta. I vecchi sistemi governativi spesso si basano su software obsoleti, vulnerabilità non corrette e configurazioni insicure, che influiscono direttamente sulla sicurezza complessiva. La tecnologia IT governativa obsoleta spesso manca di una visibilità e integrazione completa, ostacolando l'identificazione e la correzione tempestiva delle vulnerabilità.
Il rapporto rileva che questi programmi rappresentano solo il 10% del debito di sicurezza complessivo nelle reti governative. Ciò indica che il debito di sicurezza accumulato nelle agenzie governative deriva dall'uso di vecchi applicativi costruiti su vecchi framework. Georgianna Shea, chief technologist del Center on Cyber and Technology Innovation alla FDD, afferma che ogni codice sorgente porta un debito di sicurezza dalla sua creazione.
Il rapporto getta anche luce su una recente violazione presso il Dipartimento del Tesoro. La violazione è stata lanciata su più clienti del fornitore IT del Tesoro BeyondTrust utilizzando una chiave rubata progettata per il supporto tecnico basato sul cloud. Questo incidente sottolinea l'importanza della sicurezza dei software di terze parti e dei rapporti con i fornitori.
Chris Wysopal, chief security evangelist di Veracode, rileva che le organizzazioni mancano di un processo con una capacità di ingegneria sufficiente per correggere i problemi di sicurezza. Questa mancanza di capacità e competenze rappresenta un ostacolo significativo nell'affrontare le diffuse vulnerabilità software nelle agenzie governative.
Il Center on Cyber and Technology Innovation alla FDD suggerisce di prioritizzare le vulnerabilità critiche per impedire che diventino minacce per la sicurezza. Questo approccio potrebbe aiutare le agenzie governative a gestire il loro debito di sicurezza in modo più efficace e mitigare i rischi associati alla loro infrastruttura tecnologica.
Nonostante questi ostacoli, è importante notare che non tutte le agenzie governative sono ugualmente colpite. Il rapporto non fornisce informazioni specifiche su quali agenzie governative tedesche abbiano la più alta quota di vulnerabilità software non risolte o quali regioni siano maggiormente colpite. Queste informazioni potrebbero aiutare le agenzie a priorizzare i loro sforzi e allocare le risorse in modo più efficace.
In alcuni casi, questi vecchi applicativi sono così obsoleti che i loro sviluppatori non li supportano più. Questa mancanza di supporto aggrava i problemi di sicurezza affrontati dalle agenzie governative, poiché sono costrette a gestire questi applicativi senza gli aggiornamenti e le patch necessari.
Le agenzie governative spesso si trovano ad affrontare vincoli di bilancio e personale limitato, sollevando preoccupazioni sulle conseguenze per la sicurezza dei tagli al bilancio e dei licenziamenti. Questi fattori possono ostacolare la capacità delle agenzie di affrontare le vulnerabilità software in modo tempestivo, aumentando il rischio complessivo per i loro sistemi.
In conclusione, il rapporto di Veracode sottolinea l'urgenza per le agenzie governative di affrontare le loro vulnerabilità software. Priorizzando le vulnerabilità critiche, investendo nella modernizzazione della loro infrastruttura IT e migliorando la loro capacità di ingegneria, le agenzie governative possono mitigare i rischi associati ai loro stack tecnologici e proteggere i loro sistemi dalle possibili violazioni.
Leggi anche:
- "Il governatore Hochul sostiene che le aziende di New York hanno inviato illegalmente prodotti per lo svapo, con particolare attenzione ai bambini"
- Esplorare il nesso: Le infanzie traumatiche alimentano gli antagonisti cinematografici?
- Esplorazione dei regolamenti relativi alle scommesse e al mantenimento del fair play nella scena sportiva contemporanea
- Info: Imminente uscita di EA SPORTS FC 26 con un'espansione delle squadre e delle leghe di calcio disponibili
