Hvis du hører om en sårbarhed hos din it-leverandør, så skal du ikke nødvendigvis regne med, at den bliver fikset i den næste opdatering.
Det viser en opgørelse, som sikkerhedsfirmaet NCC Group har lavet. Her har man undersøgt de 1108 sårbarheder, man har fundet siden 2009.
På baggrund af undersøgelsen har NCC Group fundet ud af, at kun 26 procent af sårbarheder er blevet udbedret af leverandøren.
“Jeg synes, at det er alarmerende, og det viser bare, at de kriminelle får lettere ved at arbejde, hvis ikke der bliver taget hånd om det her på en ordentlig måde,” siger Michael Moltke, der er chef for teknisk sikkerhedsrådgivning hos FortConsults, der er NCC Groups danske datterselskab.
De manglende udbedringer betyder, at selvom der er blevet påvist en sårbarhed, der giver hackerne adgang til systemet, så er det kun i 26 procent af tilfældene at leverandøren selv lukker for adgangen igen.
“Der hviler et ansvar på leverandørerne”
Ifølge undersøgelsen er 94 af de undersøgte sårbarheder kategoriseret som ’kritiske’ i forhold til sikkerheden, mens 457 af sårbarhederne har en ’høj’ risikovurdering.
Det er afgjort et resultat man ikke skal acceptere som kunde hos leverandørerne, mener Michael Moltke.
“Jeg synes der hviler et ansvar på leverandørerne for at sikre, at det de sender ud også er i orden.”
Derfor lyder anbefalingen også, at man som kunde bør stille krav til leverandørerne på det her område.
“Normalt anbefaler jeg, at hvis man skal købe et nyt produkt, så er det altid godt at bede leverandøren om de penetrationstestrapporter der er og hvordan de har håndteret de sårbarheder der er blevet identificeret,” siger Michael Moltke.
Sårbarhederne er fundet blandt 354 forskellige leverandører inden for OS, hardware, netværks-, cloud- og webservices.
74 dage om at lukke for kritiske sårbarheder
Men undersøgelsen har flere dystre konklusioner.
Ikke nok med at det kun er 26 procent af sårbarhederne, der bliver fikset, så bruger leverandørerne også langt mere end de 30 dage, der anses for at være rimeligt i sikkerhedsbranchen på at få fikset de sårbarheder, de rent faktisk ordner.
Læs også: Her er KMD's komplette redegørelse til Roskilde Kommune: Derfor mistede vi 82.500 borger-filer
For de 94 kritiske sårbarheder NCC Group har undersøgt, er der i gennemsnit gået 74 dage, før leverandøren har lukket for sårbarheden.
“Jeg synes det er enormt alvorligt. Hastigheden hvormed de her sårbarheder bliver udbedret er alarmerende lav. Så det har en alvorlig konsekvens fordi angrebsfladen bare bliver større,” siger Michael Moltke.
Løsningen kommer dog i samarbejde med alle parter, mener Michael Moltke.
“Der skal være et større fokus fra alle parter for at få et større fokus på det her. Jeg tror at et af problemerne er at der historisk set har været et tabu omkring når en virksomhed er blevet hacket eller har nogle sårbarheder.”
Læs også: Fem gode råd: Undgå it-sikkerhedsproblemer, når din virksomhed går i clouden
Han forstår ikke, hvorfor flere leverandører ikke ser muligheden for at være lidt mere offensive og proaktive på det her område.
Hvis du kan bevise, at du tager sikkerhed seriøst, og de patcher de sårbarheder, der er, så giver det jo et stærkt konkurrenceparameter,” siger Michael Moltke.
Nogle er værre end andre
Michael Moltke vil ikke pege på nogle konkrete sektorer eller leverandører, der er særligt slemme, men han vil ikke udelukke at der kan være enkeltebrådne kar.
“Internationalt set, så er det rimelig gennemsnitligt. Men der er nogle segmenter eller områder, hvor vi ser, at den samme type fejl opstår igen og igen,” siger han og fortsætter:
“Hvis man eksempelvis har outsourcet sin udviklingen og får lavet et framework, som du så selv kan bygge ovenpå, og der er en lille fejl i det, så hver eneste gang, du laver en ny lille feature, så tager du den fejl med ud,” forklarer han.
Du kan læse hele rapporten fra NCC Group her.