كايتي جويليام
البريد الإلكتروني: kgwilliam@veracode.com
ومع ذلك، فإنّ 77 في المائة من تطبيقات الرعاية الصحية تحتوي ثغرات أمنية وتصنّف 21 في المائة منها على أنّها "شديدة الخطورة"
(بزنيس واير): كشفت اليوم شركة "فيراكود"، وهي مزوّد عالمي رائد لحلول اختبار أمن التطبيقات، أن قطاع الرعاية الصحية يحتل المرتبة الأولى من حيث نسبة عيوب أمن البرمجيات التي تم إصلاحها والبالغة 27 في المائة. وبذلك تفوّق قطاع الرعاية الصحية على قطاع الخدمات المالية باعتباره القطاع الأفضل أداءً، وهو خير دليل على التقدّم الملحوظ الذي أحرزه مزوّدو الرعاية الصحية في تعزيز أمن برمجياتهم خلال العام الماضي.
ونُشرت هذه البيانات في تقرير حالة أمن البرمجيات السنوي للشركة بنسخته الـ12، الذي حلل 20 مليون عملية مسح لنصف مليون تطبيق في قطاعات الرعاية الصحية والمالية والتكنولوجية والتصنيع والتجزئة والقطاعات الحكومية.
وقال كريس إنج، الرئيس التنفيذي لشؤون الأبحاث في شركة "فيراكود": "يُصنّف قطاع الرعاية الصحية كأحد أكثر القطاعات تنظيماً وهو من البنى التحتية الحيوية للحكومات. ولذلك، من المشجع أن نرى القطاع يحقق أداءً جيداً نسبياً من حيث معالجة العيوب بشكل عام. ونأمل أن ينظر مطورو الرعاية الصحية وموظفو تكنولوجيا المعلومات إلى هذا التحسن في الأداء على أنه بارقة أمل وسط عالم أمن البرمجيات المخيّب للآمال في معظم الأحيان. وما نزال في بداية مسيرتنا، وستشهد الأعوام المُقبلة مزيداً من التحسينات".
وعلى الرغم من اعتلائه المركز الأول من حيث معدل الإصلاح، إلا أن 77 في المائة من تطبيقات قطاع الرعاية الصحية تحتوي على ثغرات أمنية، وتحتوي 21 في المائة منها على ثغرات أمنية شديدة الخطورة. ويتمتع هذا القطاع بمجال واسع للتحسين من حيث الوقت المستغرق لإصلاح العيوب بمجرد اكتشافها، إذ يستغرق ما يصل إلى 447 يوماً للوصول إلى منتصف الطريق للمعالجة.
تعدّ تكاليف الخروقات الأمنية في قطاع الرعاية الصحية الأعلى من بين القطاعات الأخرى
مع تكبّد شركات الرعاية الصحية أعلى متوسط لتكاليف الخروقات الأمنية وتسجيله مستوى قياسياً جديداً بلغ 10.1 مليون دولار أمريكي*، بات اتخاذ خطوات استباقية لتقليل مخاطر الهجمات الإلكترونية أمراً ضرورياً. وبما أنّ عمليات اختراق البيانات في القطاعات شديدة التنظيم تميل إلى أن تكون مرتبطةً بتكاليف أكبر طويلة الأجل تتراكم على مدى الأعوام اللاحقة، فإنّ القطاع سيستفيد من بذل جهود شاملة على نطاق أوسع لمعالجة الثغرات الأمنية في ومرحلةٍ مبكرة من دورة حياة تطوير البرمجيات.
ومن بين القطاعات الستة التي شملها التحليل، يحتل مزوّدو الرعاية الصحية مرتبة متدنية من حيث نسبة التطبيقات التي تحتوي على عيوب، والمرتبة قبل الأخيرة من حيث نسبة العيوب شديدة الخطورة، وهي عيوب تشكل خطراً جسيماً على التطبيق والمؤسسة في حال استغلالها. أمّا فيما يخص أنواع العيوب التي اكتشفها التحليل الديناميكي للتطبيقات في هذا القطاع، فيعتبر أداء مزوّدي الرعاية الصحية في القطاعات الأخرى جيداً من حيث قضايا المصادقة والاعتمادات غير الآمنة، إلّا أنّهم يسجّلون نسبة أعلى في معدل حدوث مشكلات في الإعدادات المشفّرة والنشر.
وعلّق إنج على هذه البيانات قائلاً: "نُدرك استحالة خلوّ أيّ تطبيق من العيوب الأمنية بنسبة 100 في المائة. ولذلك، من المهم أن تتخذ الشركات جميع الخطوات اللازمة لتقليل المخاطر قدر الإمكان. ويتضمن ذلك إجراء عمليات مسح منتظمة وسريعة باستخدام أنواع اختبار متعددة ودمج أدوات الاختبار في بيئات المطورين وتوفير تدريب عملي لمساعدة المطورين على فهم أصل العيوب وكيفية إصلاحها أو منع ظهورها بالكامل. بالإضافة إلى ذلك، يتوجّب على على قطاع الرعاية الصحية توخي المزيد من الحذر لمنح الأولوية لإصلاح العيوب الخطيرة والثغرات الأمنية التي قد يكون لها تأثير كارثي إذا تُركت من دون معالجة لفترة طويلة".
من جانبه، قال أندرو ماكول، نائب رئيس قسم الهندسة في شركة "أزاليا هيلث إنوفايشنز": "إنّ تعامل المطوّرين مع الأمن على أنه مجرد قائمة اختيارات هو أكبر عقبة أمام توفير الأمن لسير العمل لدينا. ولأنّ الأمن هو عملية مستمرة ويجب أن تكون على رأس أولويات دورة حياة تطوير البرمجيات، فقد وقع اختيارنا على ’فيراكود‘ باعتبارها الحل الأسهل والأفضل من حيث التكامل مع إجراءاتنا الحالية".
أمن المكتبات البرمجية من الطرف الثالث
بالنظر إلى الزيادة الحادة في قوانين تأمين سلسلة توريد البرمجيات خلال العام الماضي، حلل التقرير المكتبات البرمجية من الطرف الثالث لتحديد طريقة عمل الثغرات الأمنية المكتشفة من خلال تحليل تكوين البرمجيات. وبشكل عام، تبقى حوالى 30 في المائة من المكتبات المعرضة للخطر من دون حل بعد عامين. ومع ذلك، فإن هذه النسبة تنخفض إلى 25 في المائة بالنسبة لقطاع الرعاية الصحية. فبينما انخفضت النسبة الإجمالية للمكتبات المعرّضة للخطر التي وجدتها توجّهات تحليل تكوين البرمجيات بشكل مطرد بمرور الوقت، حيث شهد قطاع الرعاية الصحية ارتفاعاً ضئيلاً قبل خفض المعدلات بشكل كبير خلال العام الماضي أو ما سبقه.
ويمكنكم تنزيل عرض قطاع الرعاية الصحية بتقرير حالة أمن البرمجيات من "فيراكود" بنسخته الـ12 هنا، والتقرير الكامل هنا.
* "آي بي إم سيكيوريتي" ومعهد "بونيمون"، تقرير "تكلفة اختراق البيانات لعام 2022": https://www.ibm.com/downloads/cas/3R8N1DZJ، يوليو 2022
لمحة عن تقرير حالة أمن البرمجيات
حلّل تقرير حالة أمن البرمجيات من "فيراكود" بنسخته الـ12 البيانات التاريخية الكاملة من خدمات وعملاء "فيراكود". وتمثل هذه البيانات إجمالي أكثر من نصف مليون تطبيق (592,720) استخدم جميع أنواع المسح، وأكثر من مليون عملية مسح للتحليل الديناميكي (1,034,855)، وأكثر من خمسة ملايين عملية مسح للتحليل الثابت (5,137,882) وأكثر من 18 مليون مسح لتحليل تكوين البرمجيات (18,473,203). وأنتجت كل عمليات المسح 42 مليون نتيجة ثابتة أولية، و3.5 مليون نتيجة ديناميكية أولية، وستة ملايين نتيجة تحليل تكوين برمجيات أولية.
وتمثل البيانات الشركات الكبيرة والصغيرة وموردي البرمجيات التجارية ومتعاقدي البرمجيات الخارجيين والمشاريع مفتوحة المصدر. وفي معظم التحليلات، تم احتساب التطبيق مرة واحدة فقط، حتى لو تم إرساله عدة مرات إلى المكان الذي تمت فيه معالجة الثغرات الأمنية وتحميل إصدارات جديدة.
لمحة عن "فيراكود"
تعدّ "فيراكود" شركة رائدة في مجال أمن التطبيقات، تتمثل مهمتها في ابتكار برمجيات آمنة، وخفض المخاطر الناجمة عن الخروقات الأمنية، وزيادة إنتاجية فرق التطوير والأمن. نتيجة لذلك، أصبحت الشركات التي تستخدم "فيراكود" قادرة على تطوير أعمالها والعالم أجمع. ومن خلال مزيج خدماتها، من أتمتة العمليات وعمليات التكامل والسرعة والاستجابة، تساعد "فيراكود" الشركات في الحصول على نتائج دقيقة وموثوقة لتركيز جهودها على إصلاح الثغرات المحتملة وليس العثور عليها فحسب. للمزيد من المعلومات، يُرجى زيارة الموقع الإلكتروني التالي: www.veracode.com، ومدوّنة "فيراكود"، ومتابعتنا على "تويتر".
حقوق الطبع محفوظة لـشركة "فيراكود" 2022. جميع الحقوق محفوظة. إنّ "فيراكود" علامة تجارية مسجلة لـشركة "فيراكود" في الولايات المتحدة وغيرها من الولايات القضائية. إنّ جميع أسماء المنتجات أو العلامات التجارية أو الشعارات الأخرى مملوكة لأصحابها. وإنّ جميع العلامات التجارية الأخرى المذكورة هنا هي ملك لأصحابها المعنيين.
يمكنكم الاطلاع على النسخة الأصلية من هذا البيان الصحفي على موقع (businesswire.com) عبر الرابط الإلكتروني التالي:
https://www.businesswire.com/news/home/20220922005100/en/
إن نص اللغة الأصلية لهذا البيان هو النسخة الرسمية المعتمدة. أما الترجمة فقد قدمت للمساعدة فقط، ويجب الرجوع لنص اللغة الأصلية الذي يمثل النسخة الوحيدة ذات التأثير القانوني.
كايتي جويليام
البريد الإلكتروني: kgwilliam@veracode.com