Sinds de ontdekking van Heartbleed, een jaar geleden, is 68 procent van de grote Nederlandse ondernemingen nog steeds kwetsbaar voor de Heartbleed-bug. Dit blijkt uit onderzoek van Venafi, een onderneming op het gebied van next-generation trust protection. Dit komt onder andere doordat organisaties snel na de ontdekking van Heartbleed weer voorrang gaven aan andere prioriteiten.
Hoewel het percentage kwetsbare Nederlandse ondernemingen hoog is, ligt het wereldwijde gemiddelde nog hoger. In april 2014 werd Heartbleed, een kwetsbaarheid in de programmeerbibliotheek OpenSSL, ontdekt en uit een tussenrapportage van Venafi Labs in augustus 2014 bleek dat 76 procent van de Global 2000-ondernemingen met openbare systemen en websites voor het grote publiek nog steeds kwetsbaar was.
Ondertussen is het april 2015 en is het aantal kwetsbare ondernemingen niet veel afgenomen. Op dit moment is 74 procent van de onderzochte ondernemingen nog steeds onbeschermd en is 85 procent van de externe servers bij de Global 2000-ondernemingen nog steeds kwetsbaar voor cyberaanvallen die gebruikmaken van Heartbleed. In vergelijking met andere landen ligt het percentage kwetsbare Nederlandse ondernemingen lager dan bedrijven in Australië en Frankrijk, maar ons land scoort wel slechter dan Engeland, de Verenigde Staten en Duitsland.
Meer doen tegen Heartbleed
‘Nadat vorig jaar bekend werd dat Heartbleed een groot risico vormt voor de beveiliging van het netwerkverkeer zijn veel grote ondernemingen direct aan de slag gegaan’, zegt Johan Straten, regional sales director en verantwoordelijk voor Venafi Northern Europe. ‘Ze begonnen met het inventariseren welke servers en andere apparaten een kwetsbare versie van OpenSSL bevatten en welke geheime sleutels van certificaten werden gebruikt. De impact bleek groot.’ Maar na dit schrikeffect was het volgens Straten bij veel ondernemingen weer snel business as usual. ‘Andere prioriteiten kregen voorrang. Bovendien is er fors bezuinigd op it-afdelingen. Dit verklaart waarom veel ondernemingen nooit meer aan de noodzakelijke vervolgstappen zijn toegekomen.’
60 procent van de respondenten uit het onderzoek geeft volmondig toe dat hun organisatie meer zou moeten doen om kwetsbaarheden, zoals de Heartbleed-bug, te verhelpen en te voorkomen. Volgens Straten is het dan ook cruciaal dat ondernemingen niet langer vertrouwen op geheime sleutels en certificaten die mogelijk gecompromitteerd zijn. Ook Jeff Hudson, ceo van Venafi, vindt dat het veiligstellen en beschermen van encryptiesleutels en digitale certificaten een topprioriteit zou moeten zijn. ‘Niet alleen voor het it-team, maar ook voor de ceo, de raad van bestuur en de chief information security officer.’
