Kwetsbaarheden in applicaties: 'Cybercriminelen zien gezondheidszorg als makkelijk doelwit'

Een op de vier applicaties in de gezondheidssector bevat een ernstige kwetsbaarheid, maar de sector handelt gemiddeld wel sneller dan andere sectoren om kwetsbaarheden te verhelpen.

Dit blijkt uit onderzoek van Veracode, de grootste internationale leverancier van application security testing (AST). Softwarebeveiliging in de gezondheidszorg is beter gepositioneerd, omdat de sector daar vaak te maken heeft met kleinere, nieuwere applicaties die minder fouten bevatten dan applicaties in sectoren als technologie, financiële dienstverlening, productie en overheid. Dit zorgt ervoor dat deze sector efficiënter fouten kan oplossen dan vrijwel iedere andere sector. Alleen de detailhandel presteert beter.

Applicaties weinig gescand op kwetsbaarheden

Toch blijft de gezondheidszorg achter waar het gaat om de frequentie waarmee applicaties worden gescand op kwetsbaarheden. Daarnaast worden open source-componenten aanzienlijk minder gescand. Beide dragen bij aan de security debt, het aantal onopgeloste kwetsbaarheden die bij een cyberaanval kunnen worden uitgebuit.

”Cybercriminelen zien ziekenhuizen en gezondheidszorgsystemen als makkelijke doelwitten, omdat ze vaak niet het budget of personeel hebben om zich tegen aanvallen te beschermen”, zegt Chris Wysopal, medeoprichter en Chief Technology Officer bij Veracode. ”De dreiging is uiteraard groter vanwege het levensreddende werk dat deze sector verricht. Bedrijven in de gezondheidszorg moeten daarom des te meer aandacht besteden aan de veiligheid van hun code.”

Datalek levert miljoenen dollar schade op

In 2020 resulteerde een datalek in de gezondheidszorg gemiddeld in $7,1 miljoen aan schade - ongeveer het dubbele van de gemiddelde kosten in alle andere sectoren. Hierbij zijn miljoenen gevoelige bestanden met persoonsgegevens openbaar geworden. Phishing, credential harvesting-aanvallen en social engineering-aanvallen waren de belangrijkste beveiligingsincidenten in het afgelopen jaar, volgens de 2020 HIMSS Cybersecurity Survey. Deze bedreigingen nemen toe door te lage investeringen in cyberbeveiliging, een gebrek aan beveiligingstraining voor werknemers en verstoring van IT-activiteiten door werk op afstand.

Uit onderzoek van Veracode blijkt dat 75% van de applicaties in de gezondheidssector ten minste één kwetsbaarheid bevat. 26% bevat zeer ernstige kwetsbaarheden. De sector verhelpt 70% van de gevonden kwetsbaarheden, waarmee het achterloopt op verschillende andere sectoren. De data suggereert dat ontwikkelaars in de gezondheidssector beter omgaan met problemen rond CRLF-injecties en cryptografie, die beide belangrijk zijn voor de bescherming van persoonsgegevens.
Een overzicht van de meest voorkomende kwetsbaarheden per programmeertaal is beschikbaar in deze interactieve infographic van Veracode (https://www.veracode.com/sites/default/files/pdf/resources/ipapers/security-flaw-heatmap/index.html).

Meer informatie over veel voorkomende kwetsbaarheden en andere onderzoeksbevindingen is beschikbaar in Veracode’s State of Software Security Volume 11 (https://info.veracode.com/report-state-of-software-security-volume-11.html) en de SOSS 11 Healthcare Infosheet (https://info.veracode.com/state-of-software-security-volume-11-healthcare-infosheet-resource.html).

Bron: Veracode (https://dutchitchannel.nl/669583/een-op-de-vier-zorgapplicaties-bevat-ernstige-kwetsbaarheid.html)

-----------------------------------------------------------------------------------------

Vind je dit interessant? Misschien is een abonnement op de gratis nieuwsbrief dan iets voor jou! GGZ Totaal verschijnt tweemaal per maand en behandelt onderwerpen over alles wat met de ggz te maken heeft, onafhankelijk en niet vooringenomen.

Abonneren kan direct via het inschrijffomulier (http://www.ggztotaal.nl/pg-29166-7-89775/pagina/abonneren.html), Opgeven van je mailadres is voldoende.
Of kijk eerst naar de artikelen in de vorige magazines (http://www.ggztotaal.nl/pg-29166-7-89779/pagina/e-magazine.html).