Em uma era digital cada vez mais dependente de aplicativos e softwares, a segurança cibernética nunca foi tão essencial. No entanto, é com uma mistura de surpresa e preocupação que recebemos os mais recentes dados da Veracode, líder global em soluções de segurança de software. Segundo o relatório “State of Software Security Public Sector 2023”, surpreendentes 82% dos aplicativos desenvolvidos por organizações do setor público apresentam falhas de segurança.
Esta descoberta ressalta o fato de que, mesmo diante de esforços crescentes para fortalecer a segurança cibernética, as falhas continuam a prevalecer em uma quantidade alarmante de aplicativos governamentais. A segurança do software, especialmente aqueles que desempenham funções críticas do governo, é de suma importância para a segurança nacional e a proteção dos cidadãos. No entanto, a disparidade revelada entre o setor público e privado na gestão de segurança de software é motivo de grande preocupação.
Neste artigo, mergulharemos nas principais descobertas do relatório, discutindo suas implicações e o que pode ser feito para fechar essa lacuna de segurança, com o objetivo de fornecer um panorama detalhado e esclarecedor sobre a situação atual da segurança de software no setor público. Com a colaboração de todos os envolvidos, esperamos que estas informações possam contribuir para a construção de um futuro mais seguro no ambiente digital.
Destaque das principais descobertas do relatório
O relatório “State of Software Security Public Sector 2023” da Veracode proporciona uma visão abrangente e alarmante do estado atual da segurança de software no setor público. A descoberta mais surpreendente, já citada, é que 82% dos aplicativos desenvolvidos por governos apresentam falhas de segurança, um indicador preocupante da necessidade de melhorias significativas.
No entanto, a profundidade do relatório vai além dessa estatística chocante. Quando comparamos o setor público ao privado, percebemos uma disparidade notável: enquanto quase 82% dos aplicativos do setor público possuem pelo menos uma falha de segurança, a mesma realidade se aplica a 74% das organizações privadas. Dependendo do tipo de falha rastreada, os aplicativos do setor público apresentaram uma probabilidade 7 a 12% maior de terem uma falha introduzida nos últimos 12 meses.
O relatório também apresenta uma análise detalhada de falhas de alta gravidade. As organizações do setor público se mostraram proficientes na detecção de falhas de alta gravidade, identificando 16,5% dessas falhas em um período de 12 meses. Apesar de parecer um percentual menor se comparado aos aplicativos não governamentais, que identificam 19% dessas falhas, ainda é um dado significativo, dada a potencialidade dessas falhas de impactarem negativamente os sistemas.
As falhas de alta gravidade são uma ameaça particularmente preocupante. Estas falhas, quando exploradas, têm um potencial muito maior para impactar adversamente os sistemas, podendo levar a vazamentos de dados, interrupções de serviço e outros problemas sérios. Dada a natureza sensível e crítica das informações manipuladas pelo setor público, o impacto dessas falhas pode ser especialmente grave.
As falhas de alta gravidade são muitas vezes o resultado de problemas fundamentais na segurança do software, tais como a falta de práticas eficazes de programação segura ou a ausência de processos rigorosos de teste e verificação de segurança. Para lidar com essas falhas, é crucial que as organizações do setor público invistam em treinamento de segurança para desenvolvedores, adotem ferramentas eficazes de teste de segurança e implementem processos de verificação de segurança robustos.
Outro aspecto interessante revelado pelo relatório está relacionado ao envelhecimento do software. Segundo a Veracode, a taxa de descoberta de novas falhas em software com mais de cinco anos de produção é significativamente diferente entre os setores público e privado. Enquanto as taxas de falhas introduzidas em aplicativos do setor privado tendem a aumentar com o tempo, as taxas para agências do setor público mostram uma diminuição.
Os softwares não são entidades estáticas; eles evoluem e mudam ao longo do tempo. No entanto, essa evolução nem sempre é acompanhada por uma segurança aprimorada, especialmente quando se trata de software mais antigo. À medida que o software envelhece, torna-se mais suscetível a novas falhas de segurança – um fenômeno que pode ser agravado pela falta de suporte contínuo e atualizações regulares.
Essas diferenças destacam uma realidade importante: embora tanto o setor público quanto o privado enfrentem desafios na segurança do software, o setor público parece estar mais atrasado. Há uma variedade de possíveis razões para isso, incluindo a complexidade e a burocracia das organizações governamentais, a falta de recursos ou priorização adequada para a segurança de software, e a natureza frequentemente sensível e altamente visada dos dados manipulados por aplicativos governamentais.
Estes são apenas alguns dos principais pontos levantados pelo relatório “State of Software Security Public Sector 2023” da Veracode. A complexidade e a profundidade destas descobertas indicam a urgente necessidade de uma abordagem mais efetiva em relação à segurança de software no setor público.
A necessidade de melhorar a segurança do software
A evolução contínua da tecnologia digital em nossas vidas coloca em evidência a crescente necessidade de segurança robusta do software. À medida que dependemos cada vez mais de aplicativos para realizar tarefas diárias, armazenar dados pessoais e acessar serviços essenciais, a segurança desses aplicativos torna-se uma prioridade indiscutível.
A segurança de software fraca ou inadequada abre as portas para uma miríade de problemas, desde invasões que podem comprometer dados sensíveis até interrupções de serviços críticos que podem impactar a vida de milhões de cidadãos. Além disso, as falhas de segurança podem ter implicações de longo alcance, como danos à reputação, perda de confiança do público e custos financeiros significativos relacionados à mitigação de ataques e à recuperação de sistemas comprometidos.
Portanto, é essencial que o setor público aumente seus esforços para melhorar a segurança do software. Isso envolve investir em ferramentas e práticas eficazes de segurança, como a Veracode e sua análise estática de segurança de aplicativos (SAST) e análise de composição de software (SCA), que provaram ser eficazes na identificação de diferentes tipos de falhas. Além disso, é vital que as organizações do setor público adotem uma abordagem proativa em relação à segurança do software, priorizando a detecção e correção de falhas antes que elas possam ser exploradas.
Além disso, a segurança deve ser uma consideração central desde o início do desenvolvimento de software, e não apenas uma reflexão tardia. Ao incorporar práticas de programação segura desde o início, é possível reduzir a probabilidade de falhas de segurança surgirem.
Finalmente, é essencial que o setor público continue sua vigilância mesmo após o software ser lançado. O relatório da Veracode mostra que o setor público é bem-sucedido na manutenção da segurança de software a longo prazo, um hábito que deve ser incentivado e replicado.
Com uma postura de segurança mais forte e um compromisso contínuo com a melhoria, o setor público pode trabalhar para fechar a lacuna de segurança com o setor privado, protegendo melhor os cidadãos e os serviços que eles dependem.
Quer entender melhor como a Veracode pode ajudar no desenvolvimento seguro, tanto no setor público quanto privado? Entre em contato: https://www.m3corp.com.br/contato/
Posts recentes