A Storyblok új kutatása szerint a világ legnagyobb üzleti weboldalainak közel egyharmada (32%) minden egyes héten biztonsági és/vagy adatvédelmi incidenst szenved el a tartalomkezelő rendszerük (CMS) miatt. A kutatásban több mint 500, személyesen CMS-t használó szakembert kérdeztek meg az Egyesült Államokban, az Egyesült Királyságban, Németországban, Svédországban és Hollandiában - írja a Security magazin.
(A Storyblok kutatása nem tekinthető függetlennek, mert maga is CMS-fejlesztéssel foglalkozik. Olyan - úgynevezett fej nélküli - tartalomkezelő rendszereken dolgozik, amelyekben a háttérben dolgozó motor és adatbázis teljesen elkülönül a megjelenő tartalomtól, így a tartalom bármilyen felületen megjeleníthető az okosórától az asztali monitorig.)
A felmérés a következőket tárta fel:
- Az Egyesült Királyságban a szakemberek 69 százaléka aggódik a CMS biztonsága miatt, míg a globális átlag 64,3 százalék.
- A megkérdezettek 80 százaléka szerint a biztonság rendkívül fontos vagy nagyon fontos a CMS kiválasztásakor.
- A 32 százalék azt közölte, hogy CMS-ük hetente legalább egyszer új biztonsági problémákkal küzd, 7 százalékuknál pedig ez napi rendszerességgel fordul elő.
- A CMS biztonsági problémája a válaszolók 46,4 százaléka szerint hatással volt a tartalomra.
- Biztonsági frissítéseket 21,7 százalék havonta 5-9 alkalommal végez.
A CMS biztonsági problémák katasztrófát jelentenek, és magas költségekkel járnak a vállalkozások számára. A Forrester szerint "az adatok elvesztése egy SaaS-alkalmazásban a nem megfelelő adatvédelem miatt minden CISO és megfelelőségi tisztviselő rémálma". A kárenyhítési költségek meghaladhatják a 3-3,5 millió dollárt incidensenként, és ez egy óvatos becslés".
Mivel a CMS-ek olyan szoftvercsomagok, amelyek lehetővé teszik a webhelyek adminisztrátorai számára, hogy minimális technikai szakértelemmel, egyszerűen kezeljék a webhelyek kialakítását, funkcionalitását és működését, a CMS-t a bűnözők egyre gyakrabban használják kibertámadások, például elosztott szolgáltatásmegtagadási támadások végrehajtására - állítja az amerikai Kiberbiztonsági és Infrastruktúra Ügynökség (CISA).
A webhelyek rendszergazdáinak és a biztonsági csapatoknak általában törekedniük kell a biztonsági gyakorlatok követésére, amelyeket gyakran az olyan közösségi erőfeszítések tesznek elérhetővé, mint az Open Web Application Security Project (OWASP).
