Cresce il debito di sicurezza delle app del settore pubblico

Solo il 3% delle applicazioni in questo comparto è privo di falle, rispetto al 6% degli altri.

Ransomware settore pubblico

La ricerca di Veracode rivela come buona parte delle applicazioni sviluppate nel settore pubblico registrino un debito di sicurezza maggiore rispetto a quello privato. Secondo il report “State of Software Security Public Sector 2024” debito di sicurezza è l’insieme delle falle che non vengono risolte da più di un anno.

Sale il rischio di cyberattacchi

Chris Eng, Chief Research Officer di Veracode
Un debito di sicurezza che dura da decenni, generato da software non patchati e configurazioni inadeguate, caratterizza le applicazioni al servizio del settore pubblico. Senza un approccio sistematico e continuo alla ricerca e alla correzione delle falle, la pubblica amministrazione è pericolosamente esposta agli attacchi dei criminali informatici.

Le applicazioni del settore pubblico sono sempre più spesso oggetto di attacchi da parte di malintenzionati, che adottano tecniche sempre più pericolose e dirompenti. In risposta, la pubblica amministrazione sta mettendo in atto una serie di iniziative per rafforzare la sicurezza informatica, compresa quella delle applicazioni statali.

Le conseguenze di questa situazione

I ricercatori hanno scoperto che le organizzazioni del settore pubblico, pur avendo un numero di debiti di sicurezza leggermente inferiore (68%) rispetto ad altri (71%), tendono ad accumularne di più. Solo il 3% delle applicazioni è privo di falle, rispetto al 6% degli altri. Ancora più significativo è il fatto che il 40% delle aziende della PA presenta vulnerabilità persistenti e di elevata gravità che costituiscono un debito di sicurezza “critico”. Tanto da mettere a serio rischio riservatezza, integrità e stabilità se queste falle venissero sfruttate dai criminali informatici.

Cresce il debito di sicurezza

Chris Eng, Chief Research Officer di Veracode
La buona notizia è che la maggior parte delle aziende ha la capacità di correggere tutti i debiti critici, ma la loro prioritizzazione è fondamentale. Due terzi di tutte le falle presenti nelle strutture della pubblica amministrazione risalgono a meno di un anno fa o non sono di gravità critica. Inoltre, meno dell’1% di tutte le vulnerabilità costituisce un debito di sicurezza critico. Dando la priorità al debito di sicurezza con uno sforzo mirato, è possibile ottenere la massima riduzione del rischio e passare così alle falle non critiche in base alla propria tolleranza al rischio e capacità.

Come proteggere il software open source

Secondo il report, il debito di sicurezza nel settore pubblico riguarda principalmente il codice di prima parte (93%). Tuttavia la maggior parte di quello di livello critico proviene da terze parti (55,5%). Questo dato rafforza l’importanza della Open Source Security Software Initiative (OS3I). Ovvero il gruppo di lavoro inter-agenzie che si occupa di garantire che il software open source sia “tanto sicuro, protetto e sostenibile quanto aperto”. Inoltre, sottolinea la necessità di concentrarsi sia sul codice di origine che su quello di terze parti per ridurre efficacemente il debito di sicurezza.

Età delle applicazioni e accumulo di debito

Infine, l’analisi evidenzia che il debito di sicurezza nel settore pubblico si concentra principalmente nelle applicazioni più datate ed estese (22%). Ciò è particolarmente vero per quello critico (30%), confermando una correlazione tra età delle applicazioni e accumulo di debito. I ricercatori hanno anche confrontato il profilo del debito per i diversi linguaggi di sviluppo, scoprendo che le applicazioni Java e .NET si distinguono come fonti significative di debito nel settore pubblico.

Cresce il debito di sicurezza

Chris Eng, Chief Research Officer di Veracode
Lo stato attuale della sicurezza del software nel settore pubblico rafforza l’importanza di adottare l’approccio secure by design come standard per tutto il mondo connesso alla rete. Apprezziamo il recente annuncio di CISA del suo Secure by Design Pledge e siamo orgogliosi di esserne uno dei primi firmatari. Il nostro obiettivo con questa ricerca è quello di supportare ulteriormente i nostri partner del settore pubblico nel promuovere un utilizzo su larga scala di questi principi.