‘Nalatigheid beveiligen softwareontwikkeling moet gevolgen krijgen’

15 september 2021

Venafi, gespe­ci­a­li­seerd in het beschermen van machine-iden­ti­teiten, heeft de resul­taten bekend­ge­maakt van een onderzoek onder ruim 1.000 IT-ers en ontwik­ke­laars, naar de uitda­gingen bij het bevei­ligen van soft­wa­re­ont­wik­ke­ling. Bij de onder­vraagden behoorden ook 193 managers die zowel verant­woor­de­lijk zijn voor het ontwik­kelen als bevei­ligen van software. 94% van die managers is van mening dat er duide­lijke gevolgen moeten zijn voor soft­wa­re­le­ve­ran­ciers die er niet in slagen de inte­gri­teit van hun software te beschermen (boetes en een grotere wette­lijke aansprakelijkheid). 

Tege­lij­ker­tijd besteden de meeste respon­denten echter nog te weinig aandacht aan de wijze waarop zij de veilig­heid van gekochte software evalueren en de garanties die zij van soft­wa­re­le­ve­ran­ciers verlangen.

Toename aanvallen op software supply chain

Volgens ENISA vervier­vou­digt het aantal cyber­aan­vallen op software supply chains dit jaar, verge­lijk­baar met die op Solar­Winds, Codecov en Kaseya. Hoewel managers zich meer zorgen maken over de kwets­baar­heid van hun software supply chains en beseffen dat de behoefte aan actie dringend is, onder­nemen ze die nog onvol­doende. Samen­gevat zijn de belang­rijkste onderzoeksresultaten:

  • 97% van de onder­vraagde managers is van mening dat soft­wa­re­le­ve­ran­ciers de veilig­heid van hun processen voor het ontwik­kelen van software en het onder­te­kenen van codes moeten verbeteren.
  • 96% van hen vindt dat soft­wa­re­le­ve­ran­ciers verplicht moeten worden de inte­gri­teit van de code in software-updates te garanderen.
  • Tege­lij­ker­tijd vindt 55% dat de Solar­Winds hack amper invloed heeft gehad op de over­we­gingen die zij maken bij de aanschaf van soft­wa­re­pro­ducten voor hun bedrijf.
  • 69% zegt dat zij niet meer vragen zijn gaan stellen aan soft­wa­re­le­ve­ran­ciers over de processen die worden gebruikt om de veilig­heid van software te garan­deren en code te verifiëren. 
  • Er is verdeeld­heid over wie verant­woor­de­lijk is voor het verbe­teren van de bevei­li­ging van soft­wa­re­ont­wik­ke­ling, 48% zegt dat IT-security verant­woor­de­lijk is en 46% zegt dat ontwik­ke­lings­teams zelf verant­woor­de­lijk zijn.

Kloof tussen bezorgdheid en verbeteracties

“Er is een kloof tussen de bezorgd­heid over aanvallen op de software supply chain en het verbe­teren van veilig­heids­con­troles en ‑processen om dit risico te verkleinen”, zegt Kevin Bocek, vice-president security strategy & threat intel­li­gence bij Venafi. “Managers zijn terecht bezorgd over de impact van aanvallen op hun software supply chain. Deze aanvallen vormen namelijk een groot risico voor elke orga­ni­satie die commer­ciële software gebruikt en zijn moeilijk te bestrijden. Om dit probleem adequaat aan te pakken, moet de hele sector de manier veran­deren waarop we software bouwen en kopen. Managers kunnen dit niet behan­delen als de volgende tech­ni­sche uitdaging – het is een exis­ten­tiële bedrei­ging. Direc­tie­leden horen te eisen dat soft­wa­re­le­ve­ran­ciers duide­lijke garanties geven over de bevei­li­ging van hun software.”

Lees meer over dit onderzoek in de Venafi blog

Robbert Hoeffnagel

Editor @ Belgium Cloud

Pin It on Pinterest

Share This