Applicatiebeveiliging in Nederland schiet flink tekort

“Het is belangrijk om bij de onderzoeksresultaten aan te merken dat de daadwerkelijke staat van applicatiebeveiliging in de praktijk mogelijk slechter zal zijn. De organisaties die zijn meegenomen in het geanonimiseerde onderzoek hebben ons proactief gevraagd om een security-test en hebben daarmee al aandacht voor het periodiek uitvoeren hiervan”, zegt Dennis de Hoog, CEO van Computest Security.

Geen topprioriteit

In het kader van dit IT-beveiligingsonderzoek zijn een jaar lang ruim driehonded testen uitgevoerd op applicaties van verschillende organisaties. De daaruit naar voren gekomen bevindingen zijn vervat in het rapport ‘Staat van Applicatiebeveiliging 2024’ dat vandaag uitkomt. AG Connect heeft alvast een blik op de onderzoeksresultaten kunnen werpen.

Daarin valt te zien dat organisaties in Nederland nog altijd geen topprioriteit geven aan de beveiliging van (online-)applicaties die zij gebruiken. Dit ondanks de grote risico's die kwetsbaarheden in software kunnen vormen voor databescherming, voor de bedrijfsvoering en zelfs voor de bedrijfscontinuïteit. Bij 30% van de geteste applicaties is er sprake van kritieke kwetsbaarheden, die directe aandacht vereisen.

Gemiddeld 12 kwetsbaarheden

Daarnaast hebben de onderzoekers in bijna een derde van de applicaties beveiligingsproblemen gevonden in daarvoor gebruikte autorisatiemechanismes. Kwaadwillenden kunnen zich daardoor toegang verschaffen tot die applicaties. Uit de geanonimiseerde analyse blijkt dat een zakelijke applicatie in Nederland gemiddeld twaalf kwetsbaarheden bevat.

Computest noemt drie meest voorkomende oorzaken van de kwetsbaarheden. Ten eerste het gebruik van verouderde software die niet meer wordt ondersteund door de leverancier, waardoor er geen updates voor kwetsbaarheden meer uitkomen. Ten tweede het niet uitvoeren van wel beschikbare en al uitgekomen updates. En ten derde het ontbreken van multifactorauthenticatie (MFA) voor toegang tot (online-)applicaties.