Overheid programmeert onveilig

Uit onderzoek van beveiligingstester Veracode blijkt dat overheidssoftware beduidend slechter beveiligd is dan die van private partijen. Mede-oprichter Chris Wysopal presenteert de resultaten deze week op de Black Hat Europe-conferentie in Amsterdam.

Het veilig programmeren van computersoftware is al een kluif als er geen risico’s bestaan voor hacks, laat staan als het gevoelige systemen van de overheid zijn. Veracode presenteert een eigen onderzoek waaruit blijkt dat staatssoftware vaak een stuk minder veilig is. Het bedrijf onderzocht van midden 2010 tot eind 2011 bijna tienduizend applicaties van zowel de overheid als private partijen, waarbij maar liefst 80 procent vatbaar bleek voor aanvallen. Bij het uitsplitsen naar opdrachtgever bleek dat percentage voor overheidssoftware zelfs op 84 procent te liggen, tegen 76 procent bij financiële dienstverleners en 72 procent bij commerciële software.

40 procent van de overheidsapplicaties was vatbaar voor SQL-injectie, een hacktechniek waarbij databases aangevallen worden om toegang te krijgen tot klant- en logingegevens. Cross-site scriptingaanvallen bleken in 75 procent van de gevallen te werken. Het veiligheidsinstituut SANS zegt in een reactie op het onderzoek dat de fouten mogelijk te wijten zijn aan het systeem van outsourcing. In de private sector worden bedrijven zelf afgerekend op veiligheidsfouten, terwijl ontwikkelaars voor de overheid simpelweg minder moeite doen en later indien nodig meer uren kunnen schrijven.

Bij het onderzoek zijn wel enige kanttekeningen te plaatsen. Zo baseert het Amerikaanse Veracode zich slechts op Amerikaanse overheidsapplicaties. Daarnaast is het bedrijf zelf actief in de beveiligingsindustrie, wat nog wel eens wil leiden tot overdrijving van risico’s. Toch blijft het verschil tussen beveiligingsniveaus van private en publieke applicaties opvallend, een probleem dat vorige maand uitgebreid aandacht kreeg toen bleek dat ook sluizen, bruggen en gemalen gehackt kunnen worden.

Deel dit artikel
Voeg toe aan favorieten