68 procent Nederlandse grote ondernemingen nog steeds blootgesteld aan risico’s Heartbleed bug
- Bedrijfsnieuws van
- Venafi
- geplaatst op
- 8 april 2015 10:18 uur
Venafi, de toonaangevende onderneming op het gebied van Next-Generation Trust Protection, maakt vandaag nieuwe onderzoeksresultaten bekend waaruit blijkt dat de meerderheid van de ondernemingen uit de Forbes Global 2000 nog steeds kwetsbaar is voor cyberaanvallers die gebruikmaken van de Heartbleed bug.
Heartbleed is een kwetsbaarheid in de programmeerbibliotheek OpenSSL. Een aanvaller kan geheime sleutels en certificaten achterhalen van een kwetsbare server of ander apparaat. Ook andere gevoelige informatie zoals wachtwoorden en klantgegevens kan worden achterhaald.
Venafi TrustNet is een door Venafi ontwikkelde clouddienst die ondernemingen beschermt tegen het groeiend aantal cyberaanvallen waarbij aanvallers misbruik maken van cryptografische sleutels en digitale certificaten. De dienst staat garant voor de betrouwbaarheid van de certificaten. Met behulp van Venafi TrustNet tonen de onderzoekers van Venafi Labs nu aan dat 85 procent van de externe servers bij de Global 2000 ondernemingen nog steeds kwetsbaar is voor cyberaanvallen die gebruikmaken van Heartbleed. Ondernemingen die de Heartbleed bug niet hebben gepatcht, zijn niet beschermd tegen cybercriminelen en lopen levensgrote risico’s, zoals reputatieschade van hun merken en het verlies van intellectuele eigendommen.
Toen de Heartbleed-kwetsbaarheid in april 2014 werd ontdekt, haastten veel ondernemingen zich om de bug te repareren en het lek te dichten. Ondanks deze voortvarendheid verzuimde de overgrote meerderheid van de systeembeheerders om echt alle noodzakelijke maatregelen te nemen om hun totale serverpark en netwerken te vrijwaren van de Heartbleed bug. Uit een tussenrapportage van Venafi Labs in augustus 2014 bleek dat 76 procent van de Global 2000 ondernemingen met openbare systemen en websites voor het grote publiek nog steeds kwetsbaar was. Zij hadden ondanks waarschuwingen en richtlijnen van Gartner en andere experts op het gebied van informatiebeveiliging nog geen afdoende maatregelen getroffen tegen Heartbleed. Inmiddels is het april 2015 en is er slechts sprake van een marginale verbetering: 74 procent van de onderzochte ondernemingen is nog steeds onbeschermd.
“Het is een jaar geleden dat Heartbleed werd ontdekt. Hoewel toen grote kwetsbaarheden massaal aan het licht kwamen en het vertrouwen in het digitale zakendoen een forse deuk opliep, moeten we nu opnieuw de noodklok luiden, omdat blijkt dat de meerderheid van de grote ondernemingen nog steeds aangevallen kan worden door cybercriminelen. De datalek bij Community Health Systems toont dit onder meer aan”, zegt Jeff Hudson, CEO van Venafi. “Gelet op de grote risico’s die ondernemingen lopen, zou het veiligstellen en beschermen van encryptiesleutels en digitale certificaten een topprioriteit moeten zijn, niet alleen voor het IT-team, maar ook voor de CEO, de raad van bestuur en de chief information security officer.”
Ook Nederland nog steeds kwetsbaar
Volgens het recente 2015 Cost of Failed Trust Report van Ponemon research zijn de geschatte kosten waarmee de Global 5000 ondernemingen kunnen worden geconfronteerd als gevolg van aanvallen op gecompromitteerde encryptiesleutels en certificaten binnen twee jaar opgelopen tot 53 miljoen dollar. Dit betekent een stijging van 51 procent ten opzichte van 2013. TrustNet heeft de blootstelling aan Heartbleed en de maatregelen die al dan niet zijn getroffen in verschillende landen onderzocht. Van die onderzochte landen scoort Australië ronduit het slechtst als het gaat om het repareren van de Heartbleed bug, zeker in vergelijking met Frankrijk, Nederland, Engeland, de Verenigde Staten en Duitsland. Van de onderzochte Nederlandse ondernemingen is 68 procent nog steeds kwetsbaar voor de Heartbleed bug. Nederlands scoort hiermee relatief beter dan Australië en Frankrijk, maar slechter dan Engeland, de Verenigde Staten en Duitsland.
Johan Straten, Regional Sales Director en verantwoordelijk voor Venafi Northern Europe, verwacht dat de discussie over de Heartbleed bug nog lange tijd zal naijlen: “Nadat vorig jaar bekend werd dat Heartbleed een groot risico vormt voor de beveiliging van het netwerkverkeer zijn veel grote ondernemingen direct aan de slag gegaan. Ze begonnen met het inventariseren welke servers en andere apparaten een kwetsbare versie van OpenSSL bevatten en welke geheime sleutels van certificaten werden gebruikt. De impact bleek groot. Na dit schrikeffect was het bij veel ondernemingen weer snel business as usual: andere prioriteiten kregen voorrang. Bovendien is er fors bezuinigd op IT-afdelingen. Dit verklaart waarom veel ondernemingen nooit meer aan de noodzakelijke vervolgstappen, zoals het upgraden van systemen, het aanvragen van nieuwe certificaten en het intrekken van oude certificaten, zijn toegekomen. Het is echter cruciaal dat ondernemingen niet langer vertrouwen op geheime sleutels en certificaten die mogelijk gecompromitteerd zijn. Venafi helpt ondernemingen bij die verdere sanering.”
Het meest spraakmakende voorbeeld van een datalek door gebruik te maken van de Heartbleed bug komt uit Amerika. Zo slaagden cybercriminelen erin de encryptiesleutels en certificaten van de Community Health Systems te bemachtigen. In totaal stal APT 18, een bekende groep van Chinese cyberspionnen, in totaal 4,5 miljoen medische dossiers met patiëntengegevens.
Opmerkelijk tot slot is dat alle 2.300 ondervraagde informatiebeveiligings-professionals in het 2015 Cost of Failed Trust onderzoek unaniem aangeven dat ze de afgelopen twee jaar zijn geconfronteerd met minimaal één aanval op hun encryptiesleutels en certificaten waarop ze moesten reageren. 60 procent van de respondenten geeft volmondig toe dat hun organisatie meer zou moeten doen om kwetsbaarheden, zoals de Heartbleed bug, te verhelpen en te voorkomen.
Download de Venafi Heartbleed +1 Year Analyse (PDF) via https://www.venafi.com/HeartsBleed/