Er is een groeiend stigma over het gebrek aan een sterke data-infrastructuur van de Amerikaanse regering om zichzelf te beschermen tegen cyberaanvallen, vooral omdat het nieuws over een aanval op het Office of Personnel Management nog vers is.
De OPM-hack dient als bevestiging van de voortdurende strijd die overheidsinstanties hebben als het gaat om de bestrijding van cybercriminelen en het beveiligen van hun computersystemen. De aanval op OPM is in feite slechts de laatste in een reeks van soortgelijke gebeurtenissen waarvan we in het verleden getuige zijn geweest en die bij verschillende overheidsinstanties hebben plaatsgevonden.
De drijvende kracht achter deze trend is het feit dat een overgrote meerderheid van de applicaties die door overheidsinstanties in de Verenigde Staten worden gebruikt, niet voldoen aan de voorgeschreven softwarebeveiligingsnormen en dat instanties traag zijn met het dichten van mazen in de beveiliging zodra ze zijn gevonden. Dit blijkt uit een onderzoek van Veracode, een in de VS gevestigd bedrijf voor applicatiebeveiliging.
Veracode merkte op dat de overheid bij veel scorende benchmarks voor beveiligingspraktijken consequent achterblijft bij de particuliere sector. Om een paar redenen. Ten eerste gebruiken overheidsinstanties nog steeds legacy programmeertalen en scripts die moeten worden bijgewerkt.
Sommige van deze programmeertalen dateren uit de jaren 90, zoals ColdFusion, dat al heel oud is. Moderne talen zijn onder andere Java en .NET.
Er is ook het probleem van slechte zelfregulering en een gebrek aan implementatie van veiligheidsbeleid. Waarom is dit zo? In tegenstelling tot de particuliere sector is er binnen de publieke sector weinig concurrentiegevoel, wat niet stimuleert tot veel inspanningen om softwarebronnen te moderniseren.
Maar het zou best gaaf zijn geweest, zelfs als de oude programmeertalen in gebruik blijven zolang de beveiligingsproblemen direct na detectie worden verholpen. Het probleem met overheidsinstanties is het slakkentempo van het verhelpen van beveiligingsfouten, wat leidt tot meer kwetsbaarheden.
Ook de overdreven aandacht van de overheid voor compliance draagt bij aan slechte beveiligingspraktijken. In plaats van zich te baseren op risicofactoren, hebben ze het te druk met het naleven van de regelgeving die ze beweren na te leven, ook al zijn die soms onnodig en door de omstandigheden niet vereist.
Apps van derden zijn ook deels de schuldige. De afhankelijkheid van de overheid van uitbestede diensten leidt vaak tot een zwakke staat van softwarebeveiliging, omdat er geen vaste norm is voor softwareleveranciers om hun product te testen op naleving van het beveiligingsbeleid.
Dan is er het gebrek aan beveiligingsexperts die gekwalificeerd zijn om applicaties en software te beoordelen voordat ze worden ingezet bij overheidsinstanties.
Wat moet worden gedaan om de voortdurende cyberproblemen waarmee overheidsinstanties worden geconfronteerd, aan te pakken, is de toeleveringsketen te beoordelen, leveranciers verantwoordelijk te houden en te investeren in training voor beveiligingsexperts.
