بورلينغتون، ماساتشوستس — كشفت اليوم شركة "فيراكود"، وهي مزوّد عالمي رائد لحلول اختبار أمن التطبيقات، أن قطاع الرعاية الصحية يحتل المرتبة الأولى من حيث نسبة عيوب أمن البرمجيات التي تم إصلاحها والبالغة 27 في المائة. وبذلك تفوّق قطاع الرعاية الصحية على قطاع الخدمات المالية باعتباره القطاع الأفضل أداءً، وهو خير دليل على التقدّم الملحوظ الذي أحرزه مزوّدو الرعاية الصحية في تعزيز أمن برمجياتهم خلال العام الماضي.
ونُشرت هذه البيانات في تقرير حالة أمن البرمجيات السنوي للشركة بنسخته الـ12، الذي حلل 20 مليون عملية مسح لنصف مليون تطبيق في قطاعات الرعاية الصحية والمالية والتكنولوجية والتصنيع والتجزئة والقطاعات الحكومية.
وقال كريس إنج، الرئيس التنفيذي لشؤون الأبحاث في شركة "فيراكود": "يُصنّف قطاع الرعاية الصحية كأحد أكثر القطاعات تنظيماً وهو من البنى التحتية الحيوية للحكومات. ولذلك، من المشجع أن نرى القطاع يحقق أداءً جيداً نسبياً من حيث معالجة العيوب بشكل عام. ونأمل أن ينظر مطورو الرعاية الصحية وموظفو تكنولوجيا المعلومات إلى هذا التحسن في الأداء على أنه بارقة أمل وسط عالم أمن البرمجيات المخيّب للآمال في معظم الأحيان. وما نزال في بداية مسيرتنا، وستشهد الأعوام المُقبلة مزيداً من التحسينات".
وعلى الرغم من اعتلائه المركز الأول من حيث معدل الإصلاح، إلا أن 77 في المائة من تطبيقات قطاع الرعاية الصحية تحتوي على ثغرات أمنية، وتحتوي 21 في المائة منها على ثغرات أمنية شديدة الخطورة. ويتمتع هذا القطاع بمجال واسع للتحسين من حيث الوقت المستغرق لإصلاح العيوب بمجرد اكتشافها، إذ يستغرق ما يصل إلى 447 يوماً للوصول إلى منتصف الطريق للمعالجة.
تعدّ تكاليف الخروقات الأمنية في قطاع الرعاية الصحية الأعلى من بين القطاعات الأخرى
مع تكبّد شركات الرعاية الصحية أعلى متوسط لتكاليف الخروقات الأمنية وتسجيله مستوى قياسياً جديداً بلغ 10.1 مليون دولار أمريكي*، بات اتخاذ خطوات استباقية لتقليل مخاطر الهجمات الإلكترونية أمراً ضرورياً. وبما أنّ عمليات اختراق البيانات في القطاعات شديدة التنظيم تميل إلى أن تكون مرتبطةً بتكاليف أكبر طويلة الأجل تتراكم على مدى الأعوام اللاحقة، فإنّ القطاع سيستفيد من بذل جهود شاملة على نطاق أوسع لمعالجة الثغرات الأمنية في ومرحلةٍ مبكرة من دورة حياة تطوير البرمجيات.
ومن بين القطاعات الستة التي شملها التحليل، يحتل مزوّدو الرعاية الصحية مرتبة متدنية من حيث نسبة التطبيقات التي تحتوي على عيوب، والمرتبة قبل الأخيرة من حيث نسبة العيوب شديدة الخطورة، وهي عيوب تشكل خطراً جسيماً على التطبيق والمؤسسة في حال استغلالها. أمّا فيما يخص أنواع العيوب التي اكتشفها التحليل الديناميكي للتطبيقات في هذا القطاع، فيعتبر أداء مزوّدي الرعاية الصحية في القطاعات الأخرى جيداً من حيث قضايا المصادقة والاعتمادات غير الآمنة، إلّا أنّهم يسجّلون نسبة أعلى في معدل حدوث مشكلات في الإعدادات المشفّرة والنشر.
وعلّق إنج على هذه البيانات قائلاً: "نُدرك استحالة خلوّ أيّ تطبيق من العيوب الأمنية بنسبة 100 في المائة. ولذلك، من المهم أن تتخذ الشركات جميع الخطوات اللازمة لتقليل المخاطر قدر الإمكان. ويتضمن ذلك إجراء عمليات مسح منتظمة وسريعة باستخدام أنواع اختبار متعددة ودمج أدوات الاختبار في بيئات المطورين وتوفير تدريب عملي لمساعدة المطورين على فهم أصل العيوب وكيفية إصلاحها أو منع ظهورها بالكامل. بالإضافة إلى ذلك، يتوجّب على على قطاع الرعاية الصحية توخي المزيد من الحذر لمنح الأولوية لإصلاح العيوب الخطيرة والثغرات الأمنية التي قد يكون لها تأثير كارثي إذا تُركت من دون معالجة لفترة طويلة".
من جانبه، قال أندرو ماكول، نائب رئيس قسم الهندسة في شركة "أزاليا هيلث إنوفايشنز": "إنّ تعامل المطوّرين مع الأمن على أنه مجرد قائمة اختيارات هو أكبر عقبة أمام توفير الأمن لسير العمل لدينا. ولأنّ الأمن هو عملية مستمرة ويجب أن تكون على رأس أولويات دورة حياة تطوير البرمجيات، فقد وقع اختيارنا على ’فيراكود‘ باعتبارها الحل الأسهل والأفضل من حيث التكامل مع إجراءاتنا الحالية".
أمن المكتبات البرمجية من الطرف الثالث
بالنظر إلى الزيادة الحادة في قوانين تأمين سلسلة توريد البرمجيات خلال العام الماضي، حلل التقرير المكتبات البرمجية من الطرف الثالث لتحديد طريقة عمل الثغرات الأمنية المكتشفة من خلال تحليل تكوين البرمجيات. وبشكل عام، تبقى حوالى 30 في المائة من المكتبات المعرضة للخطر من دون حل بعد عامين. ومع ذلك، فإن هذه النسبة تنخفض إلى 25 في المائة بالنسبة لقطاع الرعاية الصحية. فبينما انخفضت النسبة الإجمالية للمكتبات المعرّضة للخطر التي وجدتها توجّهات تحليل تكوين البرمجيات بشكل مطرد بمرور الوقت، حيث شهد قطاع الرعاية الصحية ارتفاعاً ضئيلاً قبل خفض المعدلات بشكل كبير خلال العام الماضي أو ما سبقه.