Sigurnosni dug, definisan u ovom izvještaju kao nedostaci koji ostaju neispravljeni duže od godinu dana, postoji u 76% organizacija u sektoru finansijskih usluga , a 50% organizacija ima kritične sigurnosne dugove, navodi Veracode.
Aplikacije u finansijskom sektoru nagomilovaju više sigurnosnih dugova
Uz prosječnu cijenu povrede podataka u finansijskoj industriji koja se procjenjuje na 6,08 miliona dolara, istraživanje dolazi u kritičnom trenutku za jednu od najciljanijih industrija od strane sofisticiranih hakera. Prema izvještaju američkog Ministarstva finansija iz marta 2024., hakeri koriste alate zasnovane na vještačku inteligenciji da pronađu i iskoriste ranjivosti softvera . U isto vrijeme, sve veća konkurencija u industriji i očekivanja kupaca u pogledu pogodnosti zahtijevaju od organizacija da ubrzaju inovacije.
“Visoka stopa sigurnosnog duga u finansijskom sektoru predstavlja značajne rizike za organizacije i njihove klijente ako se ne riješe brzo. Kako sajber-napadi vođeni umjetnom inteligencijom nastavljaju rasti u snazi i broju, a organizacije se bore da održe korak s evoluirajućim propisima zbog postojećeg sigurnosnog duga, trenutni krajolik omogućava hakerima da iskoriste ranjivosti alarmantnom brzinom”, rekao je Chris Wysopal , šef Sigurnosni evanđelist u Veracode-u.
„Naše najnovije istraživanje o stanju softvera ističe kritičnu potrebu finansijskih institucija da se sada pozabave ranjivostima koda i prvih i trećih strana. Organizacije koje nedostatke ne otklanjaju duže od godinu dana izložene su dugotrajnim i opasnim prijetnjama”, dodao je Wysopal.
Istraživači Veracode-a su otkrili da 40% svih aplikacija u finansijskom sektoru ima sigurnosni dug, što je nešto bolje od prosjeka među industrijama od 42%. Osim toga, samo 5,5% aplikacija u finansijskom sektoru je bez grešaka, u poređenju sa 5,9% u drugim industrijama. Iako nešto manje aplikacija finansijskog sektora ima sigurnosni dug, one ga akumuliraju više.
Sigurnosni dug u kodu prve i treće strane zahtijeva pažnju
Izvještaj takođe naglašava potrebu da organizacije za finansijske usluge rješavaju sigurnosne dugove iu kodu prve i treće strane. 84% svih sigurnosnih dugova utječe na šifru prve strane, ali 78,6% kritičnog sigurnosnog duga dolazi iz zavisnosti od trećih strana. Ovo pojačava važnost napora Agencije za cyber i infrastrukturnu sigurnost da pomogne u osiguranju ekosistema otvorenog koda pomoću svoje mape sigurnosti softvera otvorenog koda i obećanja Secure by Design.
Analiza dalje istražuje rokove sanacije u sektoru finansijskih usluga. Istraživači su otkrili da finansijske organizacije popravljaju polovinu nedostataka prve strane u prvih devet mjeseci, u poređenju sa 13 mjeseci za nedostatke trećih strana. Od toga, 52% nedostataka trećih strana pretvara se u sigurnosni dug, dok se 44% nedostataka prve strane pretvara u sigurnosni dug.
Proliferacija napada na lanac snabdevanja usmerenih na industriju finansijskih usluga dovela je do sve većeg broja propisa o cyber bezbjednosti sa oštrijim fokusom na sigurnost softvera . Na primer, regulatorni okviri kao što su ISO 20022, Standard bezbjednosti podataka industrije platnih kartica ( PCI DSS ), NIS2 i Zakon o digitalnoj operativnoj otpornosti ( DORA ) zahtevaju od organizacija da spreče primenu ranjivosti u aplikacijama.
Ovo dovodi organizacije u opasnost od neusklađenosti zbog postojećeg sigurnosnog duga i zastarjelih strategija sanacije. Istraživanje otkriva da organizacije mogu riješiti ovaj rizik tako što će dati prioritet 3,3% nedostataka koji predstavljaju kritični sigurnosni dug. Otklanjanje najopasnijih nedostataka prvo znači da finansijski subjekti mogu preći na rješavanje drugih kritičnih ili nekritičnih nedostataka.
“Nikada nije bilo važnije da sektor finansijskih usluga bude ispred rastućih prijetnji cyber sigurnosti, posebno sa sve sofisticiranijim napadima vođenim vještačkom inteligencijom koji ugrožavaju sigurnost njihove imovine. Pozivam finansijske institucije da daju prioritet pravovremenom smanjenju dugova za sigurnost usvajanjem vještačke inteligencije pokrenute sanacije i ASPM alata koji mogu otkriti, odrediti prioritet i popraviti ranjivosti u roku od nekoliko sekundi,” zaključio je Wysopal.
Izvor:Help Net Security