● Ryzyko cyberataków może wyprzedzić konflikty zbrojne w rankingu najważniejszych zagrożeń Światowego Forum Ekonomicznego.
● Analitycy Gartner przewidują, że wydatki niepubliczne na cyberbezpieczeństwo wzrosną w tym roku o 15,1%.
● O bezpieczeństwo aplikacji można zadbać już na etapie pisania kodu.
● Uruchomione aplikacje należy regularnie testować pod kątem nowych zagrożeń.
Cyberbezpieczeństwo - to jedno z najważniejszych wyzwań stojących zarówno przed firmami, jak i instytucjami publicznymi. Jego wagę podkreśla m.in. raport Światowego Forum Ekonomicznego (Global Risks 2024), według którego ryzyko cyberataku znajduje się na 5. miejscu największych zagrożeń. Co więcej, prognozuje, że w ciągu dwóch lat znajdzie się o pozycję wyżej, wyprzedzając m.in. konflikty zbrojne. Dlatego wydatki prywatne i publiczne w zakresie cyberbezpieczeństwa rosną. W październiku Minister Cyfryzacji zapowiedział, że w latach 2025 - 2026 Polska przeznaczy blisko 10 mld zł na cyberbezpieczeństwo i cyfryzację. Wgląd w wydatki niepubliczne daje z kolei międzynarodowe przedsiębiorstwo analityczno-badawcze Gartner, które przewiduje, że nakłady na cyberbezpieczeństwo i bezpieczeństwo danych wzrosną w 2025 r. o 15,1% w porównaniu rok do roku.
– Kluczowym pytaniem jest, na co wydać te środki? Częściową podpowiedzią są np. nowe wymogi unijnej dyrektywy NIS 2. Dotyczy ona jednak wyłącznie przedsiębiorstw o wysokim stopniu krytyczności, czyli np. firm z sektora energetyki, zdrowia czy finansów. A co z pozostałymi? W końcu „zbroić” musi się niestety każdy. Hakerzy równie chętnie atakują handel czy edukację, ponieważ w przypadku większości ataków najważniejszy dla przestępców jest zysk, czyli kradzież danych, które mogą sprzedać lub wyłudzenie okupu. Dlatego praktycznie każda firma powinna zadbać o zwiększenie swojego bezpieczeństwa. A można o to zadbać już na etapie pisania kodu – mówi Michał Matłoka, CTO SoftwareMill z VirtusLab Group.
Jak dbać o bezpieczeństwo kodu?
Odpowiedzialność za zabezpieczenia spoczywa tu na programistach, których wspierają odpowiednie narzędzia. Ważną podpowiedzią jest lista OWASP Top 10. To zbiór najbardziej popularnych luk i problemów security, wspierający budowanie bezpiecznych aplikacji. Jej stałe monitorowanie pozwala zapobiegać wprowadzaniu ryzykownych fragmentów kodu przez mniej doświadczonych programistów i unikać nieświadomego tworzenia luk w zabezpieczeniach. Na późniejszych etapach ważne jest również sprawdzenie bezpieczeństwa chmury i infrastruktury oraz zaangażowanie zespołów QA, koncentrując się na prawidłowej autoryzacji i uwierzytelnianiu. Zamawiający powinni weryfikować, czy te standardy zostały spełnione przed produkcyjnym uruchomieniem zakupionego systemu czy aplikacji.
– Z perspektywy dostawcy usług IT wiemy jak ważne jest dopilnowanie, żeby aplikacje były testowane pod kątem podatności związanych z logiką biznesową i eskalacją uprawnień, aby zminimalizować potencjalne szkody. Zaopiekowanie się tą kwestią na bardzo wczesnym etapie tworzenia oprogramowania jest znacznie skuteczniejsze i bardziej opłacalne niż rozwiązywanie problemów związanych z bezpieczeństwem w aplikacjach wdrożonych produkcyjnie. Ważne jest, by uprościć proces wyszukiwania i naprawiania błędów w kodzie, zanim wpłyną one na działania biznesu. To istotne nie tylko dla samych programistów, ale także dla inżynierów DevOps, zespołów ds. bezpieczeństwa, jak i menedżerów wyższego szczebla. Na przykład, aktualizacja nawet jednej aplikacji w systemie może otworzyć nowe drzwi dla cyberprzestępców. Regularne testowanie gwarantuje, że wszystkie nowe zmiany są bezpieczne – dodaje Michał Matłoka z SoftwareMill.
Zagrożenia nieustannie się zmieniają
Część podatności i luk możemy poznać już na etapie tworzenia i uruchamiania systemów. Jednak biorąc pod uwagę dynamikę zmian jakie zachodzą w obszarze cyberbezpieczeństwa, nie wolno tracić czujności. Każdy system trzeba systematycznie aktualizować i sprawdzać pod kątem pojawiania się nowych luk i furtek, z których korzystają cyberprzestępcy. Przykładowo, głośnym incydentem z tego obszaru jest wyciek danych ponad 150 mln osób z Equifax, gdy hakerzy wykorzystali znaną i naprawioną od 2 miesięcy lukę by dostać się, do podatnego, nieaktualnego systemu. Zastosowanie narzędzi, które dbają o aktualność bibliotek systemu, pozwala przynajmniej częściowo zautomatyzować proces wytwarzania oprogramowania, i uniknąć zagrożeń walczenia z potencjalnymi lukami w kodzie na produkcji.
