W zeszłym miesiącu podczas konferencji „RSA Conference 2018” poświęconej bezpieczeństwu, przeprowadzono ankietę[1], z której wynika, że aż 26% firm ignoruje błędy bezpieczeństwa ze względu na brak czasu na załatanie ich. Co gorsza, 16% ankietowanych organizacji przyznało, że nie łata luk, ponieważ nie posiada odpowiednich umiejętności do ich załatania. Poniżej przedstawiam najważniejsze statystyki:
- Jedynie 47% organizacji łata podatności tak szybko, jak tylko się o nich dowiedzą
- 16% ankietowanych wskazało, że czeka miesiąc zanim wprowadzi poprawki
- Analogicznie do powyższego, 8% wprowadza łatki raz lub dwa w roku
- Około 26% badanych firm ignoruje krytyczne błędy, ze względu na brak czasu
- 16% ankietowanych wskazało, że ignorowanie krytycznych błędów spowodowane jest brakiem umiejętności niezbędnych do stworzenia łatki
- Część badanych osób przyznało, że zdaje sobie sprawę z błędów bezpieczeństwa występujących w ich organizacjach, z czego 71% powiedziało, że byliby w stanie wykorzystać podatności i zaatakować własną firmę
- Odnośnie powyższej statystyki, 34% ankietowanych użyłoby do ataku socjotechniki (phishing), 23% wykorzystałoby błąd aplikacji webowej, 21% za cel obrałoby urządzenia mobilne pracowników
- Jedynie 17% firm zatrudniło kiedykolwiek pentestera, a 34% odpowiedziało, że jest przekonanych, że nawet po zleceniu testów penetracyjnych, nie wykażą one żadnych nowych zagrożeń
[1] https://www.bleepingcomputer.com/news/security/26-percent-of-companies-ignore-security-bugs-because-they-don-t-have-the-time-to-fix-them/