A német Hasso-Plattner-Institut IT-biztonsági részlegének HPI-VDB portálja naponta frissülő statisztikát kínál az aktuálisan jegyzett szoftveres sebezhetőségekről, kereshető adatbázissal, diagnosztikával, az adatok vizualizációjával és a funkciók használatát segítő alkalmazásprogramozási felülettel. A HPI-VDB adatai éves összehasonlításban is megjeleníti a biztonsági kockázatok számának alakulását, amiből kiderül, hogy a sebezhetőségek száma 2017-ben több szempontból is rekord magasságokba emelkedett.

A jelenleg több mint 17 ezer gyártó 220 ezer termékében 95 ezer biztonsági hibát listázó táblázatból kiderül, hogy tavaly a HPI-VDB adatbázisába 11.172 darab sebezhetőség került, ami jóval megelőzi az egy évvel korábbi, 8.106-os csúcsot is. A sebezhetőségek veszélyességét három csoportba (alacsony, közepes és magas) sorolják; ennek alapján 2017-ben 1.015 darab alacsony, 6.815 darab közepes és 3.342 darab magas kockázatú hibát tártak fel, ami az egyes kategóriákat tekintve is minden idők legmagasabb éves eredménye.

A HPI intézet rendszere folyamatosan túrja az internetet, ahonnan a szoftvergyártók oldalain és más publikus forrásokban megjelenő szoftveres bugriportokat gyűjti és rögzíti, a hibákat pedig a Common Vulnerability Scoring System (CVSS) alapján osztályozza. Maga a portál és az üzemeltető HPI kutatási részleg is non-profit formában működik, a sebezhetőségek listáját ingyenesen teszi elérhetővé olyan más szolgáltatások mellett, mint amilyen például az ellopott identitásokat kutató Identity Leak Checker.

A kockázat akkor is egyre nagyobb lenne, ha nem növekedne a bugok száma

A HPI január végi közleménye kiemeli, hogy nem csak a sebezhetőségek mennyisége emelkedett új szintre, de súlyosságuk is egyre inkább a rossz irányba tolódik. Az alacsony kockázati besorolású hibák száma 2017-ben az ötödével emelkedett 2016-hoz képest, a legsúlyosabbak közel ugyanilyen arányban, 17 százalékkal szaporodtak, míg a közepes minősítésű sérülékenységek száma több mint másfélszeresére nőtt.

Az intézet vezetője szerint a regisztrált sérülékenységek rekordja azért is riasztó, mert a gazdasági, politikai és társadalmi élet is egyre nagyobb mértékben függ a komplex szoftvermegoldásoktól. Különösen azok a rendszerek jelentenek nagy biztonsági kockázatot, és okozhatnak nagy gazdasági és személyi károkat, amelyek már nem vagy nem megfelelő módon frissülnek. Erre jó például a Windows XP operációs rendszer, amelyhez ma már nincsen értékelhető támogatás, ennek ellenére még sok millió gépen van telepítve világszerte.

Az érintett szoftvereket futtató internetképes eszközök egyre több magánháztartásban vagy ipari létesítményben jelennek meg, ezért a HPI szerint a szabályozók feladata lenne, hogy a hardverek és szoftverek területén is az alapvető biztonsági előírásoknak való megfelelésre kötelezzék a gyártókat. A tárgyak internete (IoT) megkövetelné a termékkre vonatkozó biztonsági irányelvek egyértelmű meghatározását, hiszen a gyártókat is csak így lehet rákényszeríteni, hogy a jövőben eltávolítsák a piacról a hibás termékeket. A HPI álláspontja alapján a gyártók felelősségre vonására is módot kell találni, ha az esetleges károkat egy elmulasztott szoftverfrissítés okozta.