‘Bedrijven doen weinig aan beveiligen van de software supply chain’

Abonneer je gratis op Techzine!

Bedrijven doen weinig moeite voor het regelen van een goede beveiliging van hun hele onderliggende softwareketen. Dit blijkt uit onderzoek van machine indentityspecialist Venafi. Vaak is het niet duidelijk wie voor het beveiligen van deze keten verantwoordelijk is.

De SolarWinds-aanvallen eind vorig jaar maakten goed duidelijk dat hackers makkelijk hele softwareketens kunnen aanvallen, met alle gevolgen van dien. Verwacht wordt dat dit soort aanvallen in de nabije toekomst nog meer plaats zullen vinden. Bedrijven moeten hierop dus goed voorbereid zijn en weten wie zij voor een adequate beveiliging verantwoordelijk moeten houden.

Verantwoordelijkheid niet duidelijk

Uit het recente onderzoek van Venafi blijkt echter dat dit vaak nog niet het geval is. Veel bedrijven hebben nog niet goed gekeken wie zij verantwoordelijk moeten houden wanneer zij door een software supply chain-aanval getroffen worden.

Vaak leggen zij de verantwoordelijkheid bij de softwareleveranciers. Een absolute meerderheid van de ondervraagde bedrijven is ervan overtuigd dat softwareleveranciers aansprakelijk zijn wanneer zij er niet in slagen de integriteit van hun software build pipelines te beschermen.

Ook vindt de absolute meerderheid dat softwareleveranciers verplicht de integriteit van hun code moeten garanderen met updates. De meeste bedrijven leggen dus de verantwoordelijkheid bij hun leveranciers, concludeert Venafi in zijn onderzoek.

Situatie bij bedrijven teleurstellend

Toch, zo geven de onderzoekers aan, moeten bedrijven ook maar eens flink naar zichzelf kijken in plaats van dat alle verantwoordelijkheid bij de softwareleveranciers wordt gelegd. Vaak kijken zij zelf te weinig naar de beveiliging van de aangeschafte software. De SolarWinds-aanval heeft dit voor iets meer dan de helft niet veranderd.

Binnen bedrijven is het zelf vaak ook niet duidelijk wie naar de security van de gebruikte software moet kijken. Hierbij zijn de meningen vrijwel evenredig verdeeld. De ene helft geeft aan dat dit de verantwoordelijkheid van de IT-afdeling is, de andere helft geeft aan dat dit de verantwoordelijkheid is van de ontwikkelteams.

Meer aandacht noodzakelijk

Het onderzoek concludeert daarom dat het hoog tijd wordt dat de techindustrie een nieuwe manier van het bouwen van software moet ontwikkelen, maar ook hoe deze wordt aangeschaft. Voor bedrijven moet de security van software niet een technisch probleem zijn, maar een onderdeel van hun hele assurance-beleid.