Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Критические уязвимости в госПО растут

2 мин
изображение: recraft Компания Veracode опубликовала исследование, посвящённое технической задолженности в сфере безопасности программного обеспечения, используемого государственным сектором. По данным отчёта, 78% правительственных организаций накопили значительный объём нерешённых уязвимостей, большая часть которых остаётся без исправлений более года. Более половины из них (55%) несут в себе высокий риск и входят в категорию критических. Средний срок устранения половины уязвимостей в программных продуктах, применяемых в госсекторе, составляет 315 дней. Это на 63 дня больше, чем в коммерческих компаниях, где такой же объём проблем устраняется за 252 дня. Такая задержка создаёт длительные промежутки, в течение которых приложения остаются уязвимыми для атак и утечек данных. Статистика подчёркивает, что треть всех уязвимостей продолжает существовать даже через два года после выявления. Около 15% остаются неустранёнными свыше пяти лет. Это говорит о системной проблеме, где незакрытые уязвим

изображение: recraft

Компания Veracode опубликовала исследование, посвящённое технической задолженности в сфере безопасности программного обеспечения, используемого государственным сектором. По данным отчёта, 78% правительственных организаций накопили значительный объём нерешённых уязвимостей, большая часть которых остаётся без исправлений более года. Более половины из них (55%) несут в себе высокий риск и входят в категорию критических.

Средний срок устранения половины уязвимостей в программных продуктах, применяемых в госсекторе, составляет 315 дней. Это на 63 дня больше, чем в коммерческих компаниях, где такой же объём проблем устраняется за 252 дня. Такая задержка создаёт длительные промежутки, в течение которых приложения остаются уязвимыми для атак и утечек данных.

Статистика подчёркивает, что треть всех уязвимостей продолжает существовать даже через два года после выявления. Около 15% остаются неустранёнными свыше пяти лет. Это говорит о системной проблеме, где незакрытые уязвимости превращаются в устойчивый и широко распространённый технический долг, влияющий на безопасность критически важных государственных функций.

Особую тревогу вызывает ситуация с открытым и сторонним кодом. Хотя его доля в общем объёме безопасности невелика — менее 10%, на него приходится около 70% критически опасных проблем. Более того, такие уязвимости устраняются значительно дольше — на 50% медленнее по сравнению с внутренними компонентами.

Крис Уайсопал, представитель Veracode, отметил, что многие госструктуры не успевают справляться с нарастающим объёмом задач по устранению уязвимостей. Это приводит к рискам для базовых сервисов, от которых зависит работа инфраструктуры и цифровых платформ государственного управления.

Исследование подчёркивает необходимость переосмысления практик обеспечения безопасности в разработке и обслуживании программного обеспечения на уровне ведомств. Проблема требует системного подхода, постоянного мониторинга и отказа от реактивной модели, при которой устранение происходит только по факту обнаружения инцидента.

Оригинал публикации на сайте CISOCLUB: "Veracode: уязвимости в государственных приложениях не устраняются годами и создают долгосрочные угрозы безопасности".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.