Uit het rapport Security Navigator 2025 van Orange Cyberdefense blijkt dat veel organisaties nog steeds moeite hebben met het tijdig oplossen van beveiligingsproblemen. In 2024 is de gemiddelde oplostijd van kwetsbaarheden fors gestegen.
Kritieke kwetsbaarheden blijven nu gemiddeld 215 dagen openstaan, vergeleken met 88 dagen in 2023. Ernstige problemen blijven gemiddeld 190 dagen onopgelost. Kwetsbaarheden met een lagere ernst blijven zelfs nog langer liggen, wat wijst op een gebrekkige aanpak en prioritering van cybersecurity, vooral in sectoren zoals retail en handel.
Het rapport benadrukt dat het stapelen van onopgeloste kwetsbaarheden niet alleen de risico’s vergroot, maar ook duidt op structurele problemen binnen organisaties. In externe systemen is het gemiddelde aantal ernstige kwetsbaarheden per systeem gestegen van 3 naar 11, wat wijst op een verslechterende situatie. Interne systemen kennen minder ernstige problemen, maar kampen wel met een toename van kwetsbaarheden van gemiddelde ernst.
Daarnaast wijst het rapport op veelvoorkomende programmeerfouten in software, vooral in Windows 10. Deze fouten hangen vaak samen met onjuist geheugenbeheer, wat ernstige beveiligingsrisico’s met zich meebrengt. Via het Common Weakness Enumeration (CWE)-systeem worden deze fouten gecategoriseerd, zoals CWE-787 en CWE-416, die samen verantwoordelijk zijn voor duizenden beveiligingsproblemen. Door deze fouten systematisch aan te pakken, zouden veel kwetsbaarheden kunnen worden geëlimineerd.
Orange Cyberdefense roept op tot een fundamentele verandering in softwareontwikkeling. Defensief programmeren, het actief opsporen van fouten en het gebruik van geheugenveilige programmeertalen zoals Rust, Go en Swift zijn volgens hen cruciaal. Deze talen helpen fouten in geheugenbeheer voorkomen en kunnen de veiligheid van software aanzienlijk verbeteren. Een dergelijke cultuuromslag is volgens de organisatie noodzakelijk om structureel beveiligingsproblemen te verminderen.
