Rządowe oprogramowanie gorsze od prywatnego
Każde oprogramowanie zawiera błędy, ale jak mogliśmy się dowiedzieć podczas konferencji Black Hat Europe, najwięcej błędów zawiera oprogramowanie tworzone przez instytucje państwowe lub na ich potrzeby.
Chris Wysopal z firmy Veracode, która specjalizuje się w wyszukiwaniu dziur w programach, poinformował o wynikach badań przeprowadzonych pomiędzy drugą połową roku 2010 a końcem roku 2011.
W tym czasie jego firma przeanalizowała 9910 różnych aplikacji. Eksperci stwierdzili, że 80% programów nie spełnia wymagań bezpieczeństwa firmy Veracode. Oprogramowanie tworzone dla instytucji państwowych wypadło znacznie gorzej, niż programy komercyjne. Okazało się bowiem, że jedynie 16% stworzonych przez rząd i dla rządu aplikacji sieciowych można było uznać za bezpieczne z punktu widzenia standardów OWASP (Open Web Application Security Project). Dla sektora finansowego odsetek ten wynosił 24%, a dla innego komercyjnego oprogramowania - 28%.
Z kolei do wyników badań innych programów niż programy sieciowe posłużono się kryteriami opracowanymi przez SANS Institute. Za bezpieczne uznano 18% oprogramowania rządowego, 28% oprogramowania finansowego i 34% innego oprogramowania komercyjnego.
Rząd zachowuje się tak, jakby bezpieczeństwo było problemem sektora prywatnego i próbuje go ściśle regulować. Jeśli jednak bliżej się temu przyjrzymy to okazuje się, że sektor prywatny jest zdecydowanie bardziej bezpieczny niż sektor rządowy - mówi Wysopal.
Aż 40% aplikacji sieciowych wytworzonych dla agend rządowych było podatnych na ataki SQL injection. Dla sektora finansowego odsetek ten wynosił 29%, a dla oprogramowania komercyjnego 30%. Na ataki typu XSS (cross-site scripting) narażonych było 75% rządowych aplikacji sieciowych, 67% aplikacji wytworzonych przez sektor finansowy oraz 55% aplikacji komercyjnych.
Alan Paller, dyrektor ds. badań w SANS Institute mówi, że przyczyną takiego stanu rzeczy jest to, iż sektor prywatny karze firmy za błędy, a sektor rządowy je nagradza. Jeśli przedsiębiorstwo stworzy komercyjne oprogramowanie zawierające błędy, to ryzykuje utratę klientów oraz dobrego imienia, co wpłynie na jego wyniki finansowe w przyszłości. Jeśli zaś napisze wadliwe oprogramowanie dla sektora rządowego, to zostanie nagrodzone kolejnym kontraktem na poprawienie tego oprogramowania. Nie twierdzę, że nie próbują wykonać swojej pracy właściwie. Ale w ten sposób działa system nagród i zachęt - mówi Paller. To powoduje, że błędy w oprogramowaniu rządowym istnieją nawet wówczas, gdy zanikają w oprogramowaniu komercyjnym. Specjaliści od dwóch lat obserwują spadek odsetka dziur typu SQL injection i XSS w oprogramowaniu komercyjnym. W programach rządowych nic się w tym zakresie nie zmieniło.
Wszystkie powyższe dane dotyczą USA.
Komentarze (4)
grzegorz, 12 kwietnia 2012, 10:36
Jak się czyta takie rzeczy, to się człowiekowi robi słabo ;p Instytucje rządowe z tak bardzo wadliwym oprogramowaniem? Przecież w takim przypadku bezpieczeństwo danych jest kluczowe, na rządowych serwerach są dane, których ochrona powinna być na najwyższym poziomie... Ech, ciekawe jak to wygląda w Polsce... Pracuję w śląskim 3Services Factory i współpracujemy przede wszystkim z klientami biznesowymi i zapewnianie im bezpiecznego przechowywania danych to priorytet, wszystko jest pod ciągłą kontrolą itd. Skoro prywatne firmy decydują się na taką współpracę, to robią to przede wszystkim ze względów bezpieczeństwa i mimo wszystko trochę nie mieści mi się w głowie, że instytucje rządowe nie potrafią tego prawidłowo zorganizować.
Mariusz Błoński, 12 kwietnia 2012, 13:38
Prywatnę firmę do odpowiedzialności za błędy pociągnie rynek. I ew. inne firmy, które wystąpią na drogę sądową.
A kto pociągnie do odpowiedzialności urząd?
Jajcenty, 12 kwietnia 2012, 14:07
To kwestia kosztów. Admin adminuje ale ma trochę luzu więc w ramach etatu coś tam wyrzeźbi na szybko, albo Franek z księgowości był na kursie PHP więc w dwa wieczory przygotuje formularz do zbierania danych od publiki. Bezpieczeństwo kosztuje ale pieniądze na to znajdują się dopiero po wtopie.
Dawno temu miałem okazję obcować z oprogramowaniem MEN do zbierania różnych rzeczy od gmin i byłem zaskoczony niskim poziomem rozwiązań proponowanych przez, jakby nie było, rządowych informatyków.
grzegorz, 17 kwietnia 2012, 17:31
No właśnie, po szkodzie każdy jest mądry, a po takiej wtopie trzeba zwykle znaleźć dużo więcej pieniędzy, niż trzeba by wydać wcześniej na porządne zabezpieczenia. Bo już nie mówię o innych szkodach i całym bałaganie, który mamy przez taki sposób myślenia.