Una ricerca di Veracode rivela che il 59% delle applicazioni del settore pubblico contiene falle non risolte da più di un anno

MILANO--(BUSINESS WIRE)--Veracode, leader mondiale nella gestione del rischio applicativo, ha pubblicato una ricerca che rivela come le applicazioni sviluppate dalle aziende del settore pubblico registrino un debito di sicurezza - definito in questo report come l’insieme delle falle che non vengono risolte da più di un anno – pari al 59% rispetto a un tasso complessivo del 42% - maggiore rispetto a quello privato.

“Un debito di sicurezza che dura da decenni, generato da software non patchati e configurazioni inadeguate, caratterizza le applicazioni al servizio del settore pubblico”, ha dichiarato Chris Eng, Chief Research Officer di Veracode. “Senza un approccio sistematico e continuo alla ricerca e alla correzione delle falle, la pubblica amministrazione è pericolosamente esposta agli attacchi dei criminali informatici”.

Le applicazioni del settore pubblico sono sempre più spesso oggetto di attacchi da parte di malintenzionati, che adottano tecniche sempre più pericolose e dirompenti. In risposta, la pubblica amministrazione sta mettendo in atto una serie di iniziative per rafforzare la sicurezza informatica, compresa quella delle applicazioni statali.

I ricercatori hanno scoperto che le organizzazioni del settore pubblico, pur avendo un numero di debiti di sicurezza leggermente inferiore (68%) rispetto ad altri (71%), tendono ad accumularne di più. Solo il 3% delle applicazioni è privo di falle, rispetto al 6% degli altri. Ancora più significativo è il fatto che il 40% delle aziende della PA presenta vulnerabilità persistenti e di elevata gravità che costituiscono un debito di sicurezza “critico”, tale da mettere a serio rischio la loro riservatezza, integrità e stabilità se queste falle venissero sfruttate dai criminali informatici.

“La buona notizia è che la maggior parte delle aziende ha la capacità di correggere tutti i debiti critici, ma la loro prioritizzazione è fondamentale” ha spiegato Eng. “Due terzi di tutte le falle presenti nelle strutture della pubblica amministrazione risalgono a meno di un anno fa o non sono di gravità critica. Inoltre, meno dell’1% di tutte le vulnerabilità costituisce un debito di sicurezza critico. Dando la priorità al debito di sicurezza con uno sforzo mirato, è possibile ottenere la massima riduzione del rischio e passare così alle falle non critiche in base alla propria tolleranza al rischio e capacità”.

Secondo il report, il debito di sicurezza nel settore pubblico riguarda principalmente il codice di prima parte (93%), ma la maggior parte di quello di livello critico proviene da terze parti (55,5%). Questo dato rafforza l’importanza della Open Source Security Software Initiative (OS3I), un gruppo di lavoro inter-agenzie che si occupa di garantire che il software open source sia “tanto sicuro, protetto e sostenibile quanto aperto”. Inoltre, sottolinea la necessità di concentrarsi sia sul codice di origine che su quello di terze parti per ridurre efficacemente il debito di sicurezza.

Infine, l’analisi evidenzia che il debito di sicurezza nel settore pubblico si concentra principalmente nelle applicazioni più datate ed estese (22%). Ciò è particolarmente vero per quello critico (30%), confermando una correlazione tra età delle applicazioni e accumulo di debito. I ricercatori hanno anche confrontato il profilo del debito per i diversi linguaggi di sviluppo, scoprendo che le applicazioni Java e .NET si distinguono come fonti significative di debito nel settore pubblico.

“Lo stato attuale della sicurezza del software nel settore pubblico rafforza l’importanza di adottare l’approccio secure by design come standard per tutto il mondo connesso alla rete,” ha concluso Chris Eng. “Apprezziamo il recente annuncio di CISA del suo Secure by Design Pledge e siamo orgogliosi di esserne uno dei primi firmatari. Il nostro obiettivo con questa ricerca è quello di supportare ulteriormente i nostri partner del settore pubblico nel promuovere un utilizzo su larga scala di questi principi”.

Il report completo “State of Software Security Public Sector 2024” è disponibile per il download sul sito web di Veracode.

Veracode

Veracode è leader mondiale nella gestione del rischio applicativo nell’era dell’intelligenza artificiale. Alimentata da trilioni di linee di scansioni di codice e da un motore di remediation proprietario assistito da intelligenza artificiale, la piattaforma Veracode ha la fiducia di aziende di tutto il mondo per costruire e mantenere il software sicuro, dalla creazione del codice alla distribuzione nel cloud. Migliaia di team di sviluppo e sicurezza leader a livello mondiale utilizzano Veracode ogni secondo, ogni giorno, per ottenere visibilità accurata e fattibile del rischio di exploit, correzione delle vulnerabilità in tempo reale e per ridurre il debito di sicurezza su scala. Veracode è un’azienda pluripremiata che offre funzionalità per la sicurezza dell’intero ciclo di vita dello sviluppo del software, tra cui Veracode Fix, analisi statica, analisi dinamica, analisi della composizione del software, sicurezza dei container, gestione della postura di sicurezza delle applicazioni e penetration test.