Vier van de vijf softwareleveranciers afgelopen jaar getroffen door cyberaanval
72 procent pleit voor meer overheidstoezicht op open source software om de cyberveiligheid te verbeteren
7 november 2022 -
BlackBerry heeft vandaag tijdens de negende editie van de jaarlijkse BlackBerry Security Summit een nieuw onderzoek onthuld waarin de omvang van kwetsbaarheden op het gebied van cybersecurity in de softwareketen van organisaties wordt belicht. Vier op de vijf (80 procent) IT-beslissers verklaarden dat hun organisatie in de afgelopen twaalf maanden melding had gemaakt van een aanval of kwetsbaarheid in de softwareketen, waarbij het besturingssysteem en de webbrowser de grootste impact hadden. Na een aanval op de softwareketen meldden de respondenten aanzienlijke operationele verstoringen (59 procent), dataverlies (58 procent) en effect op de reputatie (52 procent). Negen van de tien organisaties (90 procent) hadden tot een maand nodig om te herstellen.
Onvoldoende cyberweerbaar
Uit het onderzoek blijkt dat het een grote uitdaging is om softwaretoeleveringsketens te beveiligen tegen cyberaanvallen, zelfs bij strikt gebruik van aanbevolen maatregelen zoals data-encryptie, Identity Access Management (IAM) en Secure Privileged Access Management (PAM) frameworks. Ondanks het feit dat deze maatregelen bij alle partners worden toegepast, heeft ruim driekwart (77 procent) van de respondenten in de afgelopen twaalf maanden onbekende actoren in hun softwaretoeleveringsketen ontdekt waarvan zij niet op de hoogte waren en die zij niet hadden gecontroleerd op de naleving van essentiële beveiligingsnormen.
"Hoewel de meeste mensen erop vertrouwen dat hun partners in de softwareleveringsketen een beleid voeren dat ten minste even streng is als hun eigen beleid, is het juist het gebrek aan deze details waardoor cybercriminelen kwetsbaarheden kunnen uitbuiten," aldus Christine Gadsby, VP Product Security bij BlackBerry. "Onbekende componenten en een gebrek aan zichtbaarheid van de softwareleveringsketen zorgen voor blinde vlekken met potentiële kwetsbaarheden die niet alleen in één onderneming, maar in meerdere ondernemingen schade kunnen aanrichten door verlies van gegevens en intellectueel eigendom, operationele downtime en financiële en reputatiegevolgen. Hoe bedrijven cybersecurity in hun software supply chain bewaken en beheren moet op meer dan alleen vertrouwen gebaseerd zijn."
Uit de resultaten bleek ook dat organisaties gemiddeld weliswaar elk kwartaal hun eigen softwareomgeving inventariseren, maar dat zij frequentere monitoring soms niet mogelijk is door bijvoorbeeld een gebrek aan deskundigheid (54 procent) en zichtbaarheid (44 procent). In feite zei 71 procent dat zij blij zouden zijn met hulpmiddelen om de inventarisatie van softwarebibliotheken binnen hun toeleveringsketen te verbeteren en meer zichtbaarheid te bieden van software die door een kwetsbaarheid is getroffen. Ook was 72 procent voorstander van meer overheidstoezicht op open source-software om deze beter te beveiligen tegen cyberdreigingen.