تتخلف الحكومة عن تطبيق الأمن

تكافح المؤسسات الحكومية عندما يتعلق الأمر بتأمين برامج الكمبيوتر التي تستخدمها ، مما قد يفسر جزئيًا خروقات البيانات الكبيرة التي تم الإبلاغ عنها في هذا القطاع على مدار السنوات القليلة الماضية.

ثلاثة من بين أربعة تطبيقات تستخدمها المؤسسات الحكومية لا تتوافق مع واحدة من السياسات الأمنية الأساسية للبرمجيات ومعظم الثغرات الموجودة فيها لا يتم إصلاحها أبداً ، وفقاً لتقرير صدر يوم الثلاثاء عن شركة الأمن التطبيقية الأمريكية "فيراكيود".

يستند التقرير إلى تحليل المزيد أكثر من 200000 طلب خلال الـ 18 شهرًا الماضية التي تستخدمها المنظمات في مختلف الصناعات. تم إجراء الاختبارات باستخدام منصة اختبار أمان التطبيقات المستندة إلى السحابة من Veracode والتي تستخدم التحليل الثابت والتحليل الديناميكي وتقنيات اختبار الاختراق اليدوي.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows]

وجدت الشركة ذلك فقط كانت 24 في المائة من الطلبات المقدمة للمراجعة من قبل العملاء الحكوميين متوافقة مع أعلى 10 من OWASP ، وهي قائمة من أهم 10 أنواع من نقاط الضعف الشائعة لتطبيقات الويب ، مع استكمال التفسيرات للمخاطر التي تشكلها ، وأمثلة التعليمات البرمجية والتوجيهات بشأن كيفية تجنب معهم. تتم الإشارة إلى OWASP Top 10 من خلال العديد من المعايير الأخرى ، بما في ذلك معيار أمان بيانات صناعة بطاقات الدفع (PCI DSS).

وعلى النقيض ، فإن التطبيقات من قطاع الخدمات المالية لديها معدل امتثال أعلى 10 في OWASP بنسبة 42 بالمائة ، قطاع الصناعات التحويلية ، 35 ٪ ، وتلك المستخدمة من قبل شركات التكنولوجيا ، 32 في المئة. وبلغت نسبة الاستخدام في قطاعي الرعاية الصحية والتجزئة والضيافة 31 في المائة و 30 في المائة ، على التوالي ، وقد عانت كلتا هاتين المنطقتين من خروقات كبيرة في البيانات في السنوات الأخيرة.

هناك عدة أسباب تجعل الحكومة سجل بشكل سيء على أمن التطبيقات ، وفقا لكريس Wysopal ، رئيس قسم التكنولوجيا في Veracode. يشمل ذلك استخدام الحكومة للكتابة القديمة ولغات البرمجة ، وفشلها في التنظيم الذاتي وفشلها في فرض متطلبات الأمان على موردي البرمجيات.

لا يزال القطاع الحكومي يستخدم الكثير من التعليمات البرمجية القديمة المكتوبة بلغات مثل ColdFusion أو Classic ASP التي كانت شعبية في 1990s ، قال Wysopal. وقد ابتعدت صناعات أخرى عن تلك ، وتركز الآن إلى حد كبير على لغات مثل .NET أو Java أسرع ، وحيث يصعب ارتكاب أخطاء معينة ، يقول

في قطاعات صناعية أخرى مثل الخدمات المالية ، هناك منافسة قوية بين الشركات وهو ما يدفعهم إلى تحديث أنظمتهم وتطبيقاتهم ، لكن الضغط التنافسي غير موجود داخل الحكومة ، حسبما قال ويسبال.

استخدام لغات البرمجة القديمة لن يكون مشكلة كبيرة إذا قامت الحكومة بإصلاح العيوب المحددة بشكل روتيني . للأسف ، تظهر بيانات Veracode أن معدل الإصلاح الحكومي للعيوب الموجودة في تطبيقاتها لا يتجاوز 27 بالمائة فقط.

شهدت الشركة مستوى مرتفعًا من استخدام التعليمات البرمجية القديمة في قطاع التصنيع أيضًا ، ولكن بالمقارنة ، صقلت تلك الشركات 80 بالمائة من عيوب تطبيقها. كان معدل معاناة الهشاشة أعلى من تلك الخاصة بشركات الخدمات المالية ، والتي تعد هدفًا أساسيًا للقراصنة وهي أكثر إجتهادًا في العادة.

هناك جانب مهم آخر يساهم في المشكلة يتمثل في أن نهج الحكومة تجاه الأمن هو التزام بالامتثال للغاية على أساس تقييم المخاطر.

تنتظر المؤسسات الحكومية صدور أوامر من مكتب المحاسبة الحكومي أو تقوم بتنفيذ معايير من المعهد الوطني للمعايير والتكنولوجيا ، وهذا يعني أن أمنها يتحرك ببطء شديد لأن هذه الأنظمة تستغرق عدة سنوات التغيير ، وقال Wysopal.

وفي الوقت نفسه ، نما مجال أمن التطبيقات بسرعة في السنوات الخمس الماضية مع ظهور تطبيقات الويب والتطبيقات النقالة. وتتيح هذه التطبيقات للمنظمات تقديم خدمات جديدة قيمة ، ولكنها في الوقت نفسه تضيف الكثير من المخاطر وتحتاج إلى أن تغطيها برامجها الأمنية ، كما يقول.

وهناك أيضاً نقص في العقوبات المفروضة على المنظمات الحكومية ، وفقاً لـ Wysopal. وبالمقارنة ، يجب على مؤسسات الرعاية الصحية أو المؤسسات المالية اتباع قواعد صارمة لحماية البيانات والمخاطرة بغرامات خطيرة إذا تم اختراق معلومات العملاء الحساسة الخاصة بهم.

"من يحصل على غرامات بسبب الانتهاك الأخير في مكتب إدارة شؤون الموظفين الذي كشف معلومات عن الملايين من التيار والموظفين الفيدراليين السابقين؟ ”وقال Wysopal. "لا أحد ، لأن الحكومة لا تحمل نفسها للمساءلة مثلما تحمل الآخرين."

وهناك جانب آخر يلعب في الحالة السيئة لأمن التطبيقات داخل المؤسسات الحكومية ، وهو أن معظم التطبيقات التي يستخدمونها إما تم شراؤها من المرتبة الثالثة. الأطراف أو يتم تطويرها من قبل الشركات الاستعانة بمصادر خارجية. تُظهر بيانات Veracode أن أقل من واحد من كل ثلاثة تطبيقات تجارية تم شراؤها من قبل شركات من موردي البرامج التابعين لجهات خارجية كانت متوافقة مع OWASP Top 10 عند اختبارها لأول مرة.

تطوير البرمجيات الخارجية ليس مشكلة في حد ذاتها ، مثل الخدمات المالية أو شركات التصنيع تعتمد بشكل كبير على هذه الممارسة أيضا ، وقال Wysopal. ومع ذلك ، فإن هذه الشركات تتمتع بأمان أفضل على التطبيقات نظرًا لوجود متطلبات مطبقة لموردي برامجها ، مثل اختبار أمان طرف ثالث إلزامي أو الامتثال لمعايير أمان معينة. قال: "لا نرى ذلك داخل الحكومة". [

] هذا يجب أن يكون بمثابة دعوة للاستيقاظ للجميع. وقال إنه يجب على المنظمات أن تبحث في سلاسل توريد البرمجيات الخاصة بها ، وتضع متطلبات الأمان في عقودها ، وتختبر التطبيقات التي تحصل عليها حتى تتمكن من تحميل الموردين المسؤولية.

عندما يتعلق الأمر بمعالجة الضعف ، وجدت Veracode أن العديد من الشركات لا إصلاح بعض العيوب الموجودة في طلباتهم لأنهم يفتقرون إلى الأشخاص ذوي الخبرة الأمنية التطبيقية. وبسبب ذلك ، تستمر تقارير الضعف في التكدس ولا يتم إصلاحها أبدًا.

لقد أدركت الشركات أنها بحاجة إلى إجراء المزيد من اختبارات أمن التطبيقات ، ولكنها تواجه مشكلات في حل المشكلات التي تعثر عليها ، حسب ما قاله فيسوبال. يجب على الشركات أن تستثمر بكل تأكيد في التدريب الأمني ​​للتطبيقات لمطوريها ، لكن في الوقت نفسه ، يمكنهم أيضًا النظر خارجياً إلى الشركات الأمنية التي يمكنها تقديم المساعدة في إصلاح عيوب التطبيقات كخدمة ، على حد قول