Veracode’a göre kamu sektörü kuruluşları tarafından geliştirilen uygulamalar, özel sektör tarafından geliştirilen uygulamalara göre daha fazla güvenlik borcuna sahip.
Bu rapor için bir yıldan uzun süre sabit kalan kusurlar olarak tanımlanan güvenlik borcu, kamu sektöründeki başvuruların %59’unda mevcutken, genel oran %42’dir. Araştırma dünya çapında 25’ten fazla ülkedeki kamu sektörü kuruluşlarını analiz etti.
Veracode Baş Araştırma Görevlisi Chris Eng, “On yıllardır birikmiş güvenlik borcu, yama yapılmamış yazılımlar ve zayıf güvenlik yapılandırmaları, hükümetimize hizmet eden uygulamalarda mevcut” dedi. “Güvenlik açıklarını bulma ve düzeltmeye yönelik sistematik ve sürekli bir yaklaşım olmadığında, kamu sektörü tehlikeli bir şekilde bilgisayar korsanlarının saldırılarına açık hale gelir.”
Federal hükümet sistemleri artan siber saldırı tehditleriyle karşı karşıya
Kötü niyetli suçlular kamu sektörü kuruluşlarını daha zarar verici ve yıkıcı tekniklerle hedef aldığından, federal hükümet sistemleri giderek daha fazla siber saldırı altındadır. Buna cevaben federal hükümet, hükümete hizmet eden uygulamalardaki riski azaltma çabaları da dahil olmak üzere siber güvenliği güçlendirmek için bir dizi girişimde bulunuyor.
Mart 2024’te Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve Yönetim ve Bütçe Ofisi (OMB), sağlayıcıları güvenli olmayan yazılımlardan federal hükümete sorumlu tutmak için Güvenli Yazılım Geliştirme Onay Formunu yayınladı.
Veracode araştırmacıları, diğer sektörlere göre biraz daha az sayıda kamu sektörü kuruluşunun (%68) güvenlik borcuna sahip olmasına rağmen, daha fazla borç biriktirme eğiliminde olduklarını buldu. Diğer sektörlerdeki %6’ya kıyasla uygulamaların yalnızca %3’ü kusursuzdur.
Daha da endişe verici olanı, kamu sektörü kuruluşlarının %40’ının, ‘kritik’ güvenlik borcunu oluşturan ve kötüye kullanılması halinde işletmelerin gizliliğini, bütünlüğünü ve kullanılabilirliğini ciddi riske atabilecek kalıcı, yüksek önem derecesine sahip kusurlara sahip olmasıdır.
Eng, “İyi haber şu ki çoğu kuruluş tüm kritik borçları telafi etme kapasitesine sahip ancak risk önceliklendirmesi çok önemli” dedi. “Kamu sektörü kuruluşlarındaki tüm kusurların üçte ikisi ya bir yıldan daha eskidir ya da ciddiyet açısından kritik değildir. Ayrıca tüm kusurların %1’inden azı kritik güvenlik borcunu oluşturmaktadır. Kuruluşlar, odaklanmış bir çabayla güvenlik borcuna öncelik vererek maksimum risk azaltmayı başarabilir ve ardından risk toleransları ve yeteneklerine dayalı olarak kritik olmayan kusurları ele almaya yönelebilirler.”
Kamu sektöründeki güvenlik borcu esas olarak eski uygulamalarda yoğunlaşmıştır
Rapora göre, kamu sektöründeki güvenlik borcu öncelikle birinci taraf kodunu (%93) etkiliyor ancak kritik güvenlik borcunun çoğu üçüncü taraf bağımlılıklarından (%55,5) geliyor.
Bu, açık kaynaklı yazılımın “açık olduğu kadar emniyetli, emniyetli ve sürdürülebilir” olmasını sağlamaya odaklanan kurumlar arası bir çalışma grubu olan Açık Kaynak Güvenlik Yazılımı Girişimi’nin (OS3I) önemini pekiştiriyor. Ayrıca kuruluşların güvenlik borcunu etkili bir şekilde azaltmak için hem birinci hem de üçüncü taraf kodlara odaklanması gerektiğini vurguluyor.
Analiz ayrıca kamu sektöründeki güvenlik borcunun öncelikle eski, daha büyük uygulamalarda (%22) yoğunlaştığını gösteriyor. Bu durum özellikle kritik menkul kıymet borçları (%30) için geçerli olup, başvuru yaşı ile menkul kıymet borcu birikimi arasındaki ilişkiyi doğrulamaktadır.
Araştırmacılar ayrıca farklı geliştirme dilleri için güvenlik borcu profilini karşılaştırdılar ve Java ve .NET uygulamalarının kamu sektöründe önemli borç kaynakları olarak öne çıktığını buldular.
“Kamu sektöründeki yazılım güvenliğinin mevcut durumu, tüm ağ bağlantılı dünya için tasarım yoluyla güvenliği standart bir yaklaşım haline getirmenin önemini güçlendiriyor” diye kapattı Eng. “CISA’nın son zamanlarda Tasarım Yoluyla Güvence Taahhüdü duyurusunu alkışlıyoruz ve ilk imzacılardan biri olmaktan gurur duyuyoruz. Bu araştırmayla amacımız, hükümet ve sektör ortaklarımıza bu ilkelerin yaygın şekilde benimsenmesini teşvik etmek konusunda daha fazla destek olmaktır.”