Toepassingen van financiële instellingen onveilig door slecht programmeerwerk

Security
Toepassingen van financiële instellingen onveilig door slecht programmeerwerk

Slecht programmeerwerk stelt banken en financiële instellingen bloot aan hoge risico’s. Nieuw onderzoek concludeert dat veel van het programmeerwerk niet heel goed in elkaar zit, waardoor er mogelijk grote kwetsbaarheden in de software zitten.

CAST, een bedrijf dat software analyseert, bekeek 278 miljoen regels aan code van meer dan 1380 apps die steunen op Java EE en .NET en ontdekte meer dan 1,3 miljoen kwetsbaarheden door fouten en slordig programmeerwerk. Die fouten werden vooral ontdekt bij financiële instellingen, IT-consultants en aanbieders van telecomdiensten.

Gevaarlijke uitzonderingen

“We kwamen erachter dat over het geheel genomen,, organisaties de veiligheid van hun apps heel serieus nemen,” aldus hoofdwetenschapper Bill Curtis van CAST in een statement. “Maar er zijn duidelijk uitzonderingen, die niet alleen hun eigen bedrijven maar ook hun klanten blootstellen aan grote risico’s. Bedrijven zonder bewustzijn van de bestaande kwetsbaarheden, pakken de grootste softwarematige risico’s die hun systemen kwetsbaar laten voor bedreigingen niet aan.”

Interessant is dat uit de analyse blijkt dat het outsourcen van programmeerwerk nauwelijks invloed had op de kwaliteit van de code. Het aantal kwetsbaarheden is ongeveer even groot als in situaties waarbij bedrijven hun eigen applicaties geprogrammeerd hebben. Ook bleek het formaat van het programmeerwerk relatief weinig invloed te hebben op de kwetsbaarheden.

De belangrijkste indicator voor problemen blijkt te liggen in de leeftijd van een toepassing. De meeste kwetsbaarheden werden gedetecteerd bij applicaties die tussen de vijf en tien jaar oud waren. Ook bleken de apps die ontwikkeld zijn op basis van de .NET-programmeertaal de meeste kwetsbaarheden te hebben.