14-04-2021

Sundhedssektoren hurtig til at rette softwarefejl

Veracodes medstifter og CTO Chris Wysopal.

Veracode, en af verdens største udbydere af applikationssikkerhedstestløsninger (AST), meddeler, at en ud af fire applikationer i sundhedsindustrien indeholder alvorlige fejl, men at industrien er hurtigere end de fleste til at handle på og løse sikkerhedsproblemer.

Sundhedsindustrien er bedre rustet i forhold til softwaresikkerhed, fordi den ofte beskæftiger sig med applikationer, der fylder mindre, er nyere og har en lavere fejltæthed end applikationer i sektorer inden for teknologi, finans, industri og det offentlige. Dette bidrager til industriens evne til at rette fejl hurtigere end alle andre brancher dog bortset detailbranchen.

Samtidig har sundhedsindustrien en tendens til at være bagud i forhold til, hvor ofte applikationer scannes for fejl, og samtidig er den mindst tilbøjelig til at finde fejl i open source-komponenter. Disse faktorer bidrager til varige fejl, der ikke løses, hvilket også er kendt som sikkerhedsgæld. Problemet med dette er, at disse kan udnyttes i cyberangreb.

- Hospitaler og sundhedssystemer betragtes som bløde mål af cyberkriminelle, fordi de ofte hverken har budget eller personale til at beskytte sig mod angreb, siger Chris Wysopal, medstifter og Chief Technology Officer hos Veracode og fortsætter:

- Truslen er naturligvis større på grund af det livreddende arbejde, der finder sted i denne branche. Sundhedsinstanser må derfor være dobbelt så gode i forhold til at sikre deres koder.

I 2020 var de gennemsnitlige omkostninger ved et databrud inden for sundhedsområdet 7,1 millioner dollars, hvilket er omkring det dobbelte af omkostningerne på tværs af alle sektorer. Desuden er flere millioner dokumenter med personfølsomme oplysninger potentielt mål for phishing.

Tyveri af identifikationsoplysninger og social engineering-angreb (phishing) var de mest markante sikkerhedshændelser i det forgangne år ifølge 2020 HIMSS Cybersecurity Survey. Disse trusler er forstærket af lave investeringer i cybersikkerhed, manglende oplæring af medarbejdere i håndtering af sikkerhed og afbrydelse af it-operationer grundet hjemmearbejde.

Veracodes research viser, at 75 procent af sundhedsapplikationerne indeholder mindst én fejl, og at 26 procent af disse er meget alvorlige fejl. Sundhedsområdet løser 70 procent af de fejl, der findes, hvilket placerer sektoren efter adskillige andre sektorer i forhold til mængden af rettede fejl. Dataene antyder, at udviklere i sundhedsorganisationer er bedre til at håndtere problemer relateret til CRLF-injektion og kryptografi, som begge er vigtige for at beskytte personfølsomme oplysninger.