Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord
abonneren

Overheid programmeert onveilig

Uit onderzoek van beveiligingstester Veracode blijkt dat overheidssoftware beduidend slechter beveiligd is dan die van private partijen. Mede-oprichter Chris Wysopal presenteert de resultaten deze week op de Black Hat Europe-conferentie in Amsterdam.

Het veilig programmeren van computersoftware is al een kluif als er geen risico’s bestaan voor hacks, laat staan als het gevoelige systemen van de overheid zijn. Veracode presenteert een eigen onderzoek waaruit blijkt dat staatssoftware vaak een stuk minder veilig is. Het bedrijf onderzocht van midden 2010 tot eind 2011 bijna tienduizend applicaties van zowel de overheid als private partijen, waarbij maar liefst 80 procent vatbaar bleek voor aanvallen. Bij het uitsplitsen naar opdrachtgever bleek dat percentage voor overheidssoftware zelfs op 84 procent te liggen, tegen 76 procent bij financiële dienstverleners en 72 procent bij commerciële software.

40 procent van de overheidsapplicaties was vatbaar voor SQL-injectie, een hacktechniek waarbij databases aangevallen worden om toegang te krijgen tot klant- en logingegevens. Cross-site scriptingaanvallen bleken in 75 procent van de gevallen te werken. Het veiligheidsinstituut SANS zegt in een reactie op het onderzoek dat de fouten mogelijk te wijten zijn aan het systeem van outsourcing. In de private sector worden bedrijven zelf afgerekend op veiligheidsfouten, terwijl ontwikkelaars voor de overheid simpelweg minder moeite doen en later indien nodig meer uren kunnen schrijven.

Bij het onderzoek zijn wel enige kanttekeningen te plaatsen. Zo baseert het Amerikaanse Veracode zich slechts op Amerikaanse overheidsapplicaties. Daarnaast is het bedrijf zelf actief in de beveiligingsindustrie, wat nog wel eens wil leiden tot overdrijving van risico’s. Toch blijft het verschil tussen beveiligingsniveaus van private en publieke applicaties opvallend, een probleem dat vorige maand uitgebreid aandacht kreeg toen bleek dat ook sluizen, bruggen en gemalen gehackt kunnen worden.

Bron: Forbes

Geschreven door: Abram Wagenaar op

Category: Nieuws, Security

Tags: beveiliging, Overheid

Nieuws headlines

Laatste reactie