Nalatigheid beveiligen softwareontwikkeling moet gevolgen krijgen

Venafi Survey Media Alert Blog

Venafi, gespecialiseerd in het beschermen van machine-identiteiten, heeft de resultaten bekendgemaakt van een onderzoek onder ruim 1.000 IT-ers en ontwikkelaars, naar de uitdagingen bij het beveiligen van softwareontwikkeling. Bij de ondervraagden behoorden ook 193 managers die zowel verantwoordelijk zijn voor het ontwikkelen als beveiligen van software. 94% van die managers is van mening dat er duidelijke gevolgen moeten zijn voor softwareleveranciers die er niet in slagen de integriteit van hun software te beschermen (boetes en een grotere wettelijke aansprakelijkheid). Tegelijkertijd besteden de meeste respondenten echter nog te weinig aandacht aan de wijze waarop zij de veiligheid van gekochte software evalueren en de garanties die zij van softwareleveranciers verlangen.

Toename aanvallen op software supply chain

Volgens ENISA verviervoudigt het aantal cyberaanvallen op software supply chains dit jaar, vergelijkbaar met die op SolarWinds, Codecov en Kaseya. Hoewel managers zich meer zorgen maken over de kwetsbaarheid van hun software supply chains en beseffen dat de behoefte aan actie dringend is, ondernemen ze die nog onvoldoende. Samengevat zijn de belangrijkste onderzoeksresultaten:

  • 97% van de ondervraagde managers is van mening dat softwareleveranciers de veiligheid van hun processen voor het ontwikkelen van software en het ondertekenen van codes moeten verbeteren.
  • 96% van hen vindt dat softwareleveranciers verplicht moeten worden de integriteit van de code in software-updates te garanderen.
  • Tegelijkertijd vindt 55% dat de SolarWinds hack amper invloed heeft gehad op de overwegingen die zij maken bij de aanschaf van softwareproducten voor hun bedrijf.
  • 69% zegt dat zij niet meer vragen zijn gaan stellen aan softwareleveranciers over de processen die worden gebruikt om de veiligheid van software te garanderen en code te verifiëren.
  • Er is verdeeldheid over wie verantwoordelijk is voor het verbeteren van de beveiliging van softwareontwikkeling, 48% zegt dat IT-security verantwoordelijk is en 46% zegt dat ontwikkelingsteams zelf verantwoordelijk zijn.

Kloof tussen bezorgdheid en verbeteracties

"Er is een kloof tussen de bezorgdheid over aanvallen op de software supply chain en het verbeteren van veiligheidscontroles en -processen om dit risico te verkleinen", zegt Kevin Bocek, vice-president security strategy & threat intelligence bij Venafi. “Managers zijn terecht bezorgd over de impact van aanvallen op hun software supply chain. Deze aanvallen vormen namelijk een groot risico voor elke organisatie die commerciële software gebruikt en zijn moeilijk te bestrijden. Om dit probleem adequaat aan te pakken, moet de hele sector de manier veranderen waarop we software bouwen en kopen. Managers kunnen dit niet behandelen als de volgende technische uitdaging - het is een existentiële bedreiging. Directieleden horen te eisen dat softwareleveranciers duidelijke garanties geven over de beveiliging van hun software."

Lees meer over dit onderzoek in de Venafi blog

Over Venafi
Venafi is marktleider in het beschermen van de identiteiten van apparatuur en machines en het beveiligen van de communicatie en verbindingen daartussen. Ze beschermen alle typen identiteiten door het orkestreren van cryptografische sleutels en digitale certificaten voor SSL/TLS, SSH, code signing, mobiel en IoT. Venafi maakt zowel identiteiten als daaraan gerelateerde risico’s wereldwijd inzichtelijk, binnen het eigen bedrijfsnetwerk en alle mobiele, virtuele, cloud- en IoT-apparatuur. Gebaseerd op intelligentie en een geautomatiseerde aanpak van risico’s op het gebied van beveiliging en beschikbaarheid, door zwakke of gecompromitteerde apparatuur. Tevens wordt de communicatie tussen betrouwbare apparatuur effectief beschermd en met onbetrouwbare apparatuur voorkomen.  

Met ruim 30 patenten levert Venafi innovatieve oplossingen voor 's werelds meest veeleisende, veiligheidsbewuste Global 5000 organisaties. Tot hun klantenkring behoren de top vijf ziektekostenverzekeraars in de Verenigde Staten, de top vijf luchtvaartmaatschappijen in de VS, de vier grootste creditcardbedrijven, drie van de vier grootste accountancybedrijven, vier van de top vijf retailers in de VS en de grootste banken in de Verenigde Staten, het Verenigd Koninkrijk, Australië en Zuid-Afrika. Lees meer informatie op: http://venafi.com.

Lees ook
Terugblik met Remco Geerts van Tesorion

Terugblik met Remco Geerts van Tesorion

InfosecurityMagazine bestaat tien jaar. Wat is er in die tijd veranderd? Die vraag is voorgelegd aan Remco Geerts. Remco is bij Tesorion verantwoordelijk voor strategie en innovatie. Hij zit ruim 25 jaar in de sector. Hierdoor is hij niet alleen de juiste persoon voor die functie, maar ook voor dit interview.

Orange Cyberdefense: deze 7 veelgemaakte fouten maken OT-omgevingen kwetsbaar

Orange Cyberdefense: deze 7 veelgemaakte fouten maken OT-omgevingen kwetsbaar

Volgens onderzoek van Orange Cyberdefense was de maakindustrie het afgelopen jaar het grootste doelwit van cyberaanvallen: bijna 33 procent trof deze sector. Al jaren is deze industrie het vaakst getroffen. Jeroen Wijnands, Head of OT Security bij Orange Cyberdefense, ziet bij het gros van deze bedrijven dezelfde misstappen. Dit zijn volgens hem d1

Fortinet: 80% fabrikanten kreeg te maken met onbevoegde toegang tot data na inbreuk

Fortinet: 80% fabrikanten kreeg te maken met onbevoegde toegang tot data na inbreuk

Fortinet heeft samen met Manufacturers Alliance een onderzoek uitgevoerd naar beveiligingsrisico’s bij productiebedrijven. Daarbij werd onder andere gevraagd naar beveiligingsincidenten, de stand van zaken rond de samenwerking tussen IT-teams en operationele technologie (OT)-teams en audits op OT-beveiliging. Uit het onderzoek bleek onder andere d1