28 Settembre 2022

DA BUSINESS WIRE

Il settore della sanità precorre i tempi nella determinazione della percentuale di vulnerabilità della sicurezza del software

Il 77% delle app del settore presenta tuttavia delle vulnerabilità, classificate come “estremamente gravi” nel 21% dei casi

BURLINGTON, Mass.–(BUSINESS WIRE)–Veracode, fornitore globale leader nelle soluzioni dei test sulla sicurezza delle applicazioni, oggi rivela che il settore sanitario è al primo posto in termini di proporzioni delle vulnerabilità per la sicurezza del software, prefissate al 27%. Il comparto ha superato i servizi finanziari in termini di performance ottimali, dimostrando che nel corso dell’ultimo anno i fornitori di servizi sanitari hanno compiuto buoni progressi verso l’obiettivo dell’aumento della sicurezza dei loro software.

I dati sono stati pubblicati nell’edizione annuale del documento State of Software Security (SoSS) report v12 dell’azienda, frutto dell’analisi di 20 milioni di scansioni su mezzo milione di applicazioni del segmento sanitario, finanziario, tecnologico, produttivo, distributivo e governativo.

Chris Eng, responsabile della ricerca presso Veracode, ha dichiarato: “Quello della sanità è uno dei settori maggiormente regolamentati ed è considerata un’infrastruttura critica da parte del governo. È quindi incoraggiante constatare questo comportamento relativamente positivo in termini di correzione generale delle vulnerabilità. Auspichiamo che sviluppatori e personale IT del comparto sanitario lo considerino come un gradito elemento positivo nel mondo della sicurezza del software, troppo spesso poco incoraggiante. C’è ancora da fare, quindi ci auguriamo ulteriori miglioramenti nei prossimi anni”.

Nonostante il primo posto conquistato grazie alla percentuale fissa di vulnerabilità, il 77% delle applicazioni del comparto sanitario è soggetto a queste problematiche, con un livello grave nel 21% dei casi. Il settore presenta ampi margini di miglioramento anche in termini di tempo dedicato alla correzione delle vulnerabilità dopo il loro rilevamento, con l’incredibile cifra di 447 giorni per raggiungere il punto intermedio di correzione.

I costi legati alle violazioni del settore sanitario sono quelli più elevati

Dato che le aziende sanitarie sono soggette ai maggiori costi medi per violazione, che hanno raggiunto la nuova cifra record di 10,1 milioni di dollari USA*, è essenziale adottare misure proattive per ridurre al minimo il rischio di cyberattacchi. Poiché le violazioni dei dati nei settori soggetti a un livello elevato di regolamentazione tendono ad essere associate a maggiori costi a lungo termine, che si accumulano nel corso degli anni, questo segmento potrebbe trarre ulteriore vantaggio da sforzi integrati persino superiori per affrontare la sicurezza sin dalle prime fasi del ciclo di vita dello sviluppo del software.

Nell’ambito dei 6 settori analizzati, quello sanitario risulta essere il fanalino di coda in termini di proporzione delle applicazioni con vulnerabilità di qualsiasi tipo, e si trova al penultimo posto in termini di percentuale di vulnerabilità con livello elevato di gravità, valutate in base al serio rischio per l’applicazione e l’organizzazione nel caso in cui si verificassero violazioni effettive. In materia di tipologia delle violazioni rilevate dall’analisi dinamica delle applicazioni nel settore, rispetto ad altri segmenti i fornitori dei servizi sanitari ottengono una buona valutazione relativamente ai problemi di autenticazione e di dipendenze non sicure, ma sono soggetti a una maggiore incidenza dei problemi di crittografia e di configurazione della distribuzione.

Chris Eng ha commentato: “Sappiamo che nessuna applicazione sarà sicura al 100% rispetto alle vulnerabilità per la sicurezza, quindi è importante che le aziende adottino tutte le misure necessarie per ridurre i rischi il più possibile; questo comprende le attività di scansione a un ritmo rapido e regolare, con tipi diversificati di test, l’integrazione degli strumenti di test negli ambienti di sviluppo e la formazione pratica, per aiutare gli sviluppatori a comprendere l’origine delle vulnerabilità e a risolverle, oppure a evitarle del tutto. Il settore sanitario dovrebbe inoltre concentrarsi particolarmente sulla priorità da assegnare alle vulnerabilità critiche, quelle che potrebbero avere conseguenze catastrofiche se non vengono affrontate per troppo tempo”.

Andrew McCall, vicepresidente della divisione Engineering di Azalea Health Innovations, ha dichiarato: “Il maggior ostacolo alla creazione della sicurezza nei nostri flussi di lavoro è che gli sviluppatori trattino questo elemento come un semplice componente come gli altri, mentre si tratta di un processo continuo, che deve essere sempre prioritario in tutto il ciclo di vita di sviluppo del software. Abbiamo scelto Veracode perché si tratta della soluzione più semplice e ottimale per l’integrazione nei nostri processi esistenti”.

Il livello di sicurezza delle librerie di terze parti

Prendendo in considerazione il netto aumento delle normative a tutela della supply chain del software lo scorso anno, la relazione ha analizzato le librerie di terze parti per identificare il comportamento delle vulnerabilità rilevate attraverso l’analisi della composizione del software (SCA). In tutto, circa il 30% delle librerie soggette a vulnerabilità restano tali a distanza di due anni, ma la statistica si riduce al 25% nel caso del settore sanitario. In realtà, mentre la percentuale globale delle librerie soggette a vulnerabilità individuate tramite SCA tende a calare nel tempo in maniera costante, il comparto sanitario ha registrato una breve impennata prima della drastica riduzione di tale percentuale, approssimativamente nel corso dell’ultimo anno.

Una breve panoramica su Veracode State of Software Security v12 relativa al settore sanitario è disponibile per il download a questo link, mentre la relazione completa è consultabile qui.

* IBM Security and The Ponemon Institute, “Cost of a Data Breach Report 2022” (IBM Security e The Ponemon Institute, “Relazione 2022 sul costo delle violazioni dei dati): https://www.ibm.com/downloads/cas/3R8N1DZJ, luglio 2022

Informazioni sulla relazione State of Software Security

La relazione Veracode State of Software Security (SoSS) v12 ha analizzato i dati storici completi dei servizi e dei clienti di Veracode. Si tratta in totale di oltre mezzo milione di applicazioni (592.720) per cui sono stati utilizzati tutti i tipi di scansione, oltre un milione di scansioni analitiche dinamiche (10.34.855), oltre cinque milioni di scansioni analitiche statiche (5.137.882) e oltre 18 milioni di scansioni analitiche sulla composizione del software (18.473.203). Tutte queste scansioni hanno generato 42 milioni di risultati statici grezzi, 3,5 milioni di risultati dinamici grezzi e 6 milioni di risultati SCA grezzi.

I dati rappresentano aziende grandi e piccole, fornitori di software commerciali, fornitori esterni di software e progetti open-source. Nella maggior parte delle analisi, un’applicazione è stata contata una volta sola, anche se era stata inviata diverse volte per risolverne le vulnerabilità e ne erano state caricate nuove versioni.

Informazioni su Veracode

Veracode è un partner leader di AppSec per la creazione di software sicuro, la riduzione del rischio di violazioni della sicurezza e la maggior produttività dei team per la sicurezza e lo sviluppo. Le aziende che si affidano a Veracode, quindi, possono promuovere la propria attività e far progredire il mondo. Grazie alla combinazione di automazione dei processi, integrazioni, velocità e capacità di risposta, Veracode aiuta le aziende a ottenere risultati accurati e affidabili per concentrare i propri sforzi sulla correzione, non solo sulla ricerca, di potenziali vulnerabilità. Per ulteriori informazioni visitare il sito www.veracode.com, il blog di Veracode e seguire l’azienda su Twitter.

Copyright © 2022 Veracode, Inc. Tutti i diritti riservati. Veracode è un marchio depositato di Veracode, Inc. negli Stati Uniti e può essere depositato anche in altre giurisdizioni. Tutti gli altri nomi di prodotti, marchi o sigle appartengono ai rispettivi titolari. Tutti gli altri marchi di fabbrica menzionati nel presente comunicato stampa sono di proprietà dei rispettivi titolari.

Il testo originale del presente annuncio, redatto nella lingua di partenza, è la versione ufficiale che fa fede. Le traduzioni sono offerte unicamente per comodità del lettore e devono rinviare al testo in lingua originale, che è l’unico giuridicamente valido.

Contacts

Katy Gwilliam

kgwilliam@veracode.com