تقرير حالة أمن البرمجيات للقطاع العام 2024 يؤكد أن القطاع العام يواجه مستويات أعلى من الديون الأمنية مقارنة بالقطاع الخاص
برلنغتون، ماساتشوستس
أصدرت شركة Veracode، الرائدة عالميًا في إدارة مخاطر التطبيقات، اليوم بحثًا يكشف عن أن التطبيقات التي طورتها مؤسسات القطاع العام لديها ديون أمنية أكثر من تلك التي أنشأها القطاع الخاص. الديون الأمنية، التي تم تعريفها في هذا التقرير على أنها عيوب تظل غير مثبتة لمدة تزيد عن عام، موجودة في 59 بالمائة من الطلبات في القطاع العام، مقارنة بالمعدل الإجمالي البالغ 42 بالمائة. حلل البحث مؤسسات القطاع العام في أكثر من 25 دولة حول العالم.
قال Chris Eng، كبير مسؤولي الأبحاث في شركة Veracode: “إن عقودًا من الديون الأمنية المتراكمة في البرامج غير المصححة وتكوينات الأمان الضعيفة، موجودة في التطبيقات التي تخدم حكومتنا”. “من دون نهج منهجي ومستمر لإيجاد وإصلاح العيوب الأمنية، يتعرض القطاع العام بشكل خطير لهجمات المتسللين”.
تتعرض أنظمة الحكومة الفيدرالية بشكل متزايد للهجمات الإلكترونية، حيث يستهدف المجرمون الخبيثون مؤسسات القطاع العام بتقنيات أكثر ضررًا وتعطيلاً. ردًا على ذلك، تفرض الحكومة الفيدرالية سلسلة من المبادرات لتعزيز الأمن السيبراني، بما في ذلك الجهود المبذولة للحد من المخاطر في التطبيقات التي تخدم الحكومة. في مارس من عام 2024، أصدرت وكالة الأمن السيبراني وأمن البنية التحتية (CISA) ومكتب الإدارة والميزانية (OMB) نموذج شهادة تطوير البرمجيات الآمنة لمساءلة مقدمي الخدمات أمام الحكومة الفيدرالية عن البرمجيات غير الآمنة.
وجد باحثو Veracode أنه في حين أن عددًا أقل قليلاً من مؤسسات القطاع العام (68 في المئة) لديها ديون أمنية مقارنة بالصناعات الأخرى (71 في المائة)، إلا أنها تميل إلى مراكمة المزيد منها. ثلاثة في المئة فقط من التطبيقات خالية من العيوب، مقارنة بستة في المئة في الصناعات الأخرى. والأمر الأكثر إثارة للقلق هو أن 40% من كيانات القطاع العام تعاني من عيوب مستمرة شديدة الخطورة تشكل ديونًا أمنية “حرجة”، الأمر الذي من شأنه أن يعرض سرية الشركات ونزاهتها وتوافرها لخطر جسيم إذا تم استغلالها.
وقال Eng: “الخبر السار هو أن معظم المؤسسات لديها القدرة على معالجة جميع الديون الحرجة، ولكن تحديد أولويات المخاطر أمر أساسي”. “إن ثلثي العيوب في مؤسسات القطاع العام إما عمرها أقل من عام واحد أو ليست حرجة في شدتها. بالإضافة إلى ذلك، يشكل أقل من واحد في المئة من جميع العيوب ديونًا أمنية حرجة. ومن خلال إعطاء الأولوية لهذا الدين الأمني بجهد مركز، يمكن للمؤسسات تحقيق أقصى قدر من الحد من المخاطر ومن ثم الانتقال لمعالجة العيوب غير الحرجة بناءً على قدرتها على تحمل المخاطر وقدراتها.
ووفقًا للتقرير، فإن الديون الأمنية في القطاع العام تؤثر في المقام الأول على التعليمات البرمجية للطرف الأول (93 في المئة)، ولكن معظم الديون الأمنية الهامة تأتي من تبعيات الطرف الثالث (55.5 في المئة). وهذا يعزز أهمية مبادرة البرمجيات الأمنية مفتوحة المصدر (OS3I)، وهي مجموعة عمل مشتركة بين الوكالات تركز على ضمان أن البرمجيات مفتوحة المصدر “آمنة ومأمونة ومستدامة بقدر ما هي مفتوحة”. كما يؤكد أيضًا على حاجة المؤسسات إلى التركيز على التعليمات البرمجية للطرف الأول والثالث لتقليل الديون الأمنية بشكل فعال.
ويظهر التحليل كذلك أن الديون الأمنية في القطاع العام تتركز في المقام الأول في التطبيقات الأقدم والأكبر (22 في المئة). وينطبق هذا بشكل خاص على الديون الأمنية الحرجة (30 في المئة)، مما يؤكد وجود علاقة بين عمر التطبيق وتراكم الديون الأمنية. قام الباحثون أيضًا بمقارنة ملف الديون الأمنية للغات التطوير المختلفة ووجدوا أن تطبيقات Java و.NET تبرز كمصادر مهمة للديون في القطاع العام.
واختتم Eng: “إن الوضع الحالي لأمن البرمجيات في القطاع العام يعزز أهمية جعل الأمان من خلال التصميم نهجًا قياسيًا للعالم المتصل بالشبكة بالكامل”. “نحن نشيد بإعلان CISA الأخير عن تعهدها بمبدأ “الأمان من خلال التصميم” ونفخر بكوننا أحد الموقعين الأوائل. هدفنا من هذا البحث هو تقديم المزيد من الدعم لحكومتنا وشركائنا في الصناعة في تعزيز اعتماد هذه المبادئ على نطاق واسع”.