Ein Viertel der Apps im Gesundheitswesen enthält hochgradig schwerwiegende Bugs

Cyber Security News

Ein Viertel (25 %) der Apps im Gesundheitswesen enthalten Fehler mit hohem Schweregrad, aber Gesundheitsorganisationen (HCOs) sind relativ schnell dabei, diese zu beheben, so neue Daten von Veracode.

Der Sicherheitsanbieter hat branchenspezifische Daten ausgewertet, die für seinen State of Software Security Report gesammelt wurden, und behauptet, dass drei Viertel (75%) der Anwendungen im Gesundheitswesen irgendeine Art von Schwachstelle enthalten.

Dies entspricht in etwa dem branchenübergreifenden Durchschnitt, der bei 76 % liegt.

Die Branche behebt 70 % der gefundenen Fehler, womit sie in Bezug auf das Gesamtvolumen der behobenen Fehler hinter mehreren anderen Branchen liegt. Diejenigen, die sie in Angriff nimmt, werden jedoch schneller behoben als in jeder anderen Branche im Durchschnitt, außer im Einzelhandel.

Veracode behauptet, dass dies daran liegt, dass Anwendungen im Gesundheitswesen oft kleiner und relativ neu sind und eine geringere Fehlerdichte aufweisen als Software in Branchen wie Tech, Finanzdienstleistungen, Fertigung und Regierung.

HCOs machen einen besseren Job als die meisten bei der Handhabung von CRLF-Injektion und Kryptographie-bezogenen Bugs, die beide wichtig sind, um den Schutz von persönlich identifizierbaren Informationen (PII) zu unterstützen.

Allerdings scannt die Branche noch immer nicht regelmäßig genug nach Problemen in Apps und sucht am seltensten nach Fehlern in Open-Source-Komponenten. Diese sind eine wichtige Quelle für Cyberrisiken: Eine Sonatype-Studie aus dem letzten Jahr ergab, dass ein Fünftel (21 %) der gemeldeten Sicherheitsverletzungen in den letzten 12 Monaten mit der Verwendung dieser Komponenten von Drittanbietern in Verbindung gebracht wurden.

Veracode argumentiert, dass das Versäumnis, häufig nach Schwachstellen zu suchen, bedeutet, dass viele davon nicht behoben werden und daher in zukünftigen Angriffen ausgenutzt werden könnten.

Dies ist eine schlechte Nachricht, wenn man bedenkt, dass Datenschutzverletzungen im Gesundheitswesen mehr kosten als in jedem anderen Sektor. Laut IBM werden sie auf über 7,1 Millionen Dollar pro Vorfall geschätzt.

“Krankenhäuser und Gesundheitssysteme gelten als weiche Ziele für Cyber-Kriminelle, weil sie oft nicht das Budget oder das Personal haben, um sich vor Angriffen zu schützen”, sagt Chris Wysopal, Mitbegründer und Chief Technology Officer bei Veracode.

“Die Bedrohung ist aufgrund der lebensrettenden Arbeit in dieser Branche offensichtlich größer. Unternehmen des Gesundheitswesens müssen die Sicherung ihres Codes verdoppeln.”

Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com