Venafi: Softwareleveranciers moeten garanties geven over beveiliging

Venafi heeft de resultaten bekendgemaakt van een onderzoek onder ruim 1.000 IT-ers en ontwikkelaars, naar de uitdagingen bij het beveiligen van softwareontwikkeling. Venafi is aanbieder in het beschermen van de identiteiten van apparatuur en machines en het beveiligen van de communicatie en verbindingen daartussen.

Bij de ondervraagden behoorden ook 193 managers die zowel verantwoordelijk zijn voor het ontwikkelen als beveiligen van software. Van de managers is 94 procent van mening dat er duidelijke gevolgen moeten zijn voor softwareleveranciers die er niet in slagen de integriteit van hun software te beschermen (boetes en een grotere wettelijke aansprakelijkheid). Tegelijkertijd besteden de meeste respondenten echter nog te weinig aandacht aan de wijze waarop zij de veiligheid van gekochte software evalueren en de garanties die zij van softwareleveranciers verlangen.

Toename aanvallen op software supply chain
Volgens ENISA verviervoudigt het aantal cyberaanvallen op software supply chains dit jaar, vergelijkbaar met die op SolarWinds, Codecov en Kaseya. Hoewel managers zich meer zorgen maken over de kwetsbaarheid van hun software supply chains en beseffen dat de behoefte aan actie dringend is, ondernemen ze die nog onvoldoende. Samengevat zijn de belangrijkste onderzoeksresultaten:
• 97 procent van de ondervraagde managers is van mening dat softwareleveranciers de veiligheid van hun processen voor het ontwikkelen van software en het ondertekenen van codes moeten verbeteren.
• 96 procent van hen vindt dat softwareleveranciers verplicht moeten worden de integriteit van de code in software-updates te garanderen.
• Tegelijkertijd vindt 55 procent dat de SolarWinds hack amper invloed heeft gehad op de overwegingen die zij maken bij de aanschaf van softwareproducten voor hun bedrijf.
• 69 procent zegt dat zij niet meer vragen zijn gaan stellen aan softwareleveranciers over de processen die worden gebruikt om de veiligheid van software te garanderen en code te verifiëren.
• Er is verdeeldheid over wie verantwoordelijk is voor het verbeteren van de beveiliging van softwareontwikkeling, 48 procent zegt dat IT-security verantwoordelijk is en 46 procent zegt dat ontwikkelingsteams zelf verantwoordelijk zijn.

Kloof tussen bezorgdheid en verbeteracties
"Er is een kloof tussen de bezorgdheid over aanvallen op de software supply chain en het verbeteren van veiligheidscontroles en -processen om dit risico te verkleinen", zegt Kevin Bocek, vice-president security strategy & threat intelligence bij Venafi. “Managers zijn terecht bezorgd over de impact van aanvallen op hun software supply chain. Deze aanvallen vormen namelijk een groot risico voor elke organisatie die commerciële software gebruikt en zijn moeilijk te bestrijden. Om dit probleem adequaat aan te pakken, moet de hele sector de manier veranderen waarop we software bouwen en kopen. Managers kunnen dit niet behandelen als de volgende technische uitdaging - het is een existentiële bedreiging. Directieleden horen te eisen dat softwareleveranciers duidelijke garanties geven over de beveiliging van hun software."