Veliki problemi

Devet od deset kompanija otkrilo značajne rizike u lancu nabave softvera

Devet od deset kompanija otkrilo značajne rizike u lancu nabave softvera
Depositphotos / Ilustracija

Gotovo 90 posto tehnoloških stručnjaka otkrilo je značajne rizike u svom lancu nabave softvera u proteklih godinu dana, a više od 70 posto ih smatra da trenutačna rješenja za sigurnost aplikacija ne pružaju potrebnu zaštitu. Pokazalo je to nedavno globalno istraživanje Dimensional Researcha koje je naručio ReversingLabs. Dimensional Research je ispitao više od 300 globalnih rukovoditelja te tehnoloških i sigurnosnih stručnjaka odgovornih za softver u većim tvrtkama.

Cilj je bio identificirati izvore sigurnosnih problema u lancu nabave, i to u interno razvijenom softveru, open sourceu, softveru trećih strana te komercijalnom softveru, kao i učestalost tih problema. Ispitivalo se i zrelost programa sigurnosti u organizacijama, alate koji se koriste i percipiranu vrijednost tih alata.

Gotovo svi ispitanici (98 posto) prepoznaju probleme s lancem opskrbe softvera kao značajan poslovni rizik. Osim ranjivog koda, brine ih curenje tajni, neovlašteno mijenjanje softvera i pogrešne konfiguracije certifikata.

Više od polovice tehnoloških stručnjaka, njih 55 posto, označilo je tajne koje su procurile kroz izvorni kod kao ozbiljan poslovni rizik. Slijedi ih zlonamjerni kod (52 posto) i sumnjivi kod (46 posto). Neovlašteno mijenjanje softvera je kao ozbiljan poslovni rizik navelo 38 posto ispitanih. Nedavno otkriveni napad na američku tvrtku 3CX putem lanca opskrbe mogao bi privući više pozornosti na to pitanje.

Iako se open source softver dugo smatrao glavnim krivcem za sigurnosne probleme u lancu nabave softvera, istraživanje otkriva da je interno razvijen softver (47 posto) gotovo izjednačen s otvorenim kodom (49 posto) kao vodeći izvor problema sa softverom, a slijedi ga komercijalni softver (30 posto).

“Sve je veća svijest među organizacijama da su opasnosti u lancu softvera neosporan rizik za poslovanje. Praznine u trenutnim alatima za sigurnost aplikacija znače da tvrtke moraju tražiti opcije za sigurnost lanca opskrbe softvera, koje će im omogućiti sigurno izdavanje aplikacija, sigurnu nabavu softvera te brzu identifikaciju i odgovor na prijetnje“, rekao je Mario Vuksan, predsjednik uprave i suosnivač ReversingLabsa.

Iako su rizici lanca nabave softvera rasprostranjeni, većina poduzeća je loše opremljena za njihovo prepoznavanje i ublažavanje. Ispitanici su velikom većinom (88 posto) prepoznali da je sigurnost lanca opskrbe softvera rizik za čitavu tvrtku, ali samo šest od 10 smatra da je njihova obrana lanca opskrbe dorasla zadatku. Čak 80 posto ispitanih je izjavilo da su njihova poduzeća izravno fokusirana na jačanje sigurnosti lanca nabave softvera.

Više od polovice kompanija koje razvijaju softver, a koje su odgovorile na anketu, reklo je da u procesu razvoja softvera koriste vanjske tvrtke i izvođače. A upravo oslanjanje na treće strane povećava kibernetički rizik. Po Globalnom pregledu kibernetičke sigurnosti Svjetskog ekonomskog foruma za 2022., neizravni kibernetički napadi – uspješni prodori u tvrtke preko trećih strana – porasli su s 44 na 61 posto u posljednjih nekoliko godina.

Moguće je da nedostatak odgovarajućih alata pogoršava rizike u lancu nabave softvera. Gotovo tri četvrtine (74 posto) ispitanih složilo se da tradicionalna rješenja za sigurnost aplikacija, uključujući analizu sastava softvera (SCA) te statičko i dinamičko testiranje sigurnosti aplikacija (SAST i DAST) kompanijama ne pružaju učinkovitu zaštitu od današnjih opasnosti u lancu nabave softvera.

Testiranje sigurnosti aplikacija i analiza sastava softvera važne su komponente sigurnosti lanca nabave. Međutim, one adresiraju samo neke rizike (primjerice ranjivost softvera), i za sobom ostavljaju praznine. Tvrtke prepoznaju da ova rješenja sama, pa čak i u kombinaciji, nisu dovoljna. Gotovo se sve slažu (96 posto) da je namjensko rješenje za sigurnost lanca nabave softvera (SSCS) vrlo važno za sigurno, kontrolirano izdavanje softvera. Namjensko rješenje otkrivalo bi prijetnje u lancu nabave, malware, zlonamjerna ponašanja softvera, njegovo neovlašteno mijenjanje te curenje tajnih podataka.

"Sigurnost lanca nabave softvera treba prepoznati kao zasebnu disciplinu unutar ekosustava sigurnosti aplikacija", rekao je Mario Vuksan. “Postoje dokazi da se tržište slaže. Zapravo, više od polovice ispitanika navelo je da već izdvajaju poseban budžet za alate za sigurnost lanca nabave softvera, što sugerira da prepoznaju opasnost i vide je kao jedinstveno definiranu kategoriju. Očekujemo da će se ovaj trend nastaviti i još više rasti u nadolazećim mjesecima“, zaključuje Vuksan.