A pesquisa vem em meio a iniciativas governamentais para fortalecer a segurança cibernética, que incluem esforços para reduzir vulnerabilidades em aplicativos que executam funções governamentais críticas.
O relatório State of Software Security Public Sector 2023 da Veracode encontra falhas de segurança em 82% dos aplicativos governamentais, sugerindo a necessidade de segurança cibernética
O principal provedor de segurança de software inteligente, Veracode, divulgou pesquisas indicando que os aplicativos desenvolvidos por organizações do setor público tendem a ter mais falhas de segurança do que os do setor privado. Essas descobertas demonstraram uma necessidade definitiva de continuar trabalhando em prol da igualdade entre os setores para garantir a segurança cibernética para todos.
As descobertas do Veracode State of Software Security 2023 sugerem que um número maior de falhas e vulnerabilidades em aplicativos se correlacionam com o aumento dos níveis de risco. A pesquisa vem em meio a iniciativas governamentais para fortalecer a segurança cibernética, que incluem esforços para reduzir vulnerabilidades em aplicativos que executam funções governamentais críticas.
A necessidade de fechar a lacuna entre o privado e o público
Os pesquisadores descobriram que pouco menos de 82% dos aplicativos desenvolvidos por organizações do setor público tiveram pelo menos uma falha de segurança detectada em sua verificação mais recente nos últimos 12 meses, em comparação com 74% das organizações do setor privado. Dependendo do tipo de falha rastreada, os aplicativos do setor público tiveram uma probabilidade 7–12% maior de ter uma falha introduzida nos últimos 12 meses.
"A diferença entre a taxa em que as falhas aparecem em aplicativos do setor público e privado é significativa. Os esforços do governo para fechar a lacuna são necessários e devem continuar", disse Chris Eng, diretor de pesquisa da Veracode.
“Como administradores da segurança pública, as agências têm a responsabilidade de preencher essa lacuna e fortalecer a segurança para proteger a nação e seus cidadãos.”
A análise dos dados coletados em mais de 27 milhões de varreduras em 750.000 aplicativos ajudou a produzir o último relatório anual da Veracode sobre o estado da segurança de software. Este novo relatório mostra descobertas específicas do setor público dessas varreduras e aplicativos, incluindo resultados de governos em todo o mundo.
O setor público se destaca na descoberta de "falhas de alta gravidade".
A pesquisa da Veracode também descobriu que as organizações do setor público são hábeis em detectar “falhas de alta gravidade” (16,5%) em um período de 12 meses, apesar de não descobrirem tantos aplicativos do setor não público (19%). Isso ainda é significativo porque falhas de alta gravidade, quando exploradas, têm maior potencial para impactar negativamente os sistemas.
O teste moderno de aplicativos incentiva o uso de várias ferramentas de varredura de segurança, como teste estático de segurança de aplicativos (SAST) e análise de composição de software (SCA), porque diferentes tipos de varredura se destacam na descoberta de diferentes tipos de falhas. Em última análise, de acordo com o relatório, o SAST e o SCA encontraram falhas de aplicação em uma porcentagem menor de agências do setor público em comparação com as aplicações do setor privado.
A Veracode sugere que uma diferença significativa entre os aplicativos dos setores público e privado é a taxa com que as varreduras descobrem novas falhas em softwares antigos. Após cinco anos de produção, os dois setores apresentam diferenças marcantes, já que a taxa de novas falhas introduzidas em aplicações do setor privado aumenta, em oposição à redução das taxas de agências do setor público.
De acordo com o relatório, essa tendência indica que as agências do setor público estão mais vigilantes para manter os aplicativos seguros ao longo do tempo, e não apenas durante os primeiros anos do ciclo de vida. As aplicações fora do governo, por outro lado, experimentam um aumento gradual e constante na introdução de novas falhas à medida que envelhecem.
Eng continuou afirmando: “À medida que os sistemas de TI modernos evoluíram e se tornaram mais complexos, a taxonomia das falhas de aplicativos tornou-se mais variada.
“Como tal, o uso de vários tipos de digitalização para encontrar e corrigir falhas tornou-se uma prática recomendada.”
Ele continuou: “O setor público percorreu um longo caminho para fortalecer a segurança dos aplicativos que atendem ao governo, mas ainda há mais trabalho a ser feito para que as entidades do setor público melhorem sua postura cibernética e repelam as ameaças recebidas.
“Ao concentrar os esforços de segurança na causa raiz da maioria das violações cibernéticas – a camada de aplicativos – as agências podem obter as melhorias necessárias. A verificação regular com uma variedade de tipos de teste e o tratamento da dívida de segurança – as vulnerabilidades de software acumuladas que ameaçam a segurança de um sistema – abrirão o caminho para um futuro mais seguro para as agências governamentais.”