Jak zadbać o bezpieczeństwo aplikacji?

bezpieczeństwo aplikacji

●    Ryzyko cyberataków może wyprzedzić konflikty zbrojne w rankingu najważniejszych zagrożeń Światowego Forum Ekonomicznego.
●    Analitycy Gartner przewidują, że wydatki niepubliczne na cyberbezpieczeństwo wzrosną w tym roku o 15,1%.
●    O bezpieczeństwo aplikacji można zadbać już na etapie pisania kodu.
●    Uruchomione aplikacje należy regularnie testować pod kątem nowych zagrożeń.

 

Cyberbezpieczeństwo - to jedno z najważniejszych wyzwań stojących zarówno przed firmami, jak i instytucjami publicznymi. Jego wagę podkreśla m.in. raport Światowego Forum Ekonomicznego (Global Risks 2024), według którego ryzyko cyberataku znajduje się na 5. miejscu największych zagrożeń. Co więcej, prognozuje, że w ciągu dwóch lat znajdzie się o pozycję wyżej, wyprzedzając m.in. konflikty zbrojne. Dlatego wydatki prywatne i publiczne w zakresie cyberbezpieczeństwa rosną. W październiku Minister Cyfryzacji zapowiedział, że w latach 2025 - 2026 Polska przeznaczy blisko 10 mld zł na cyberbezpieczeństwo i cyfryzację. Wgląd w wydatki niepubliczne daje z kolei międzynarodowe przedsiębiorstwo analityczno-badawcze Gartner, które przewiduje, że nakłady na cyberbezpieczeństwo i bezpieczeństwo danych wzrosną w 2025 r. o 15,1% w porównaniu rok do roku.

 

– Kluczowym pytaniem jest, na co wydać te środki? Częściową podpowiedzią są np. nowe wymogi unijnej dyrektywy NIS 2. Dotyczy ona jednak wyłącznie przedsiębiorstw o wysokim stopniu krytyczności, czyli np. firm z sektora energetyki, zdrowia czy finansów. A co z pozostałymi? W końcu „zbroić” musi się niestety każdy. Hakerzy równie chętnie atakują handel czy edukację, ponieważ w przypadku większości ataków najważniejszy dla przestępców jest zysk, czyli kradzież danych, które mogą sprzedać lub wyłudzenie okupu. Dlatego praktycznie każda firma powinna zadbać o zwiększenie swojego bezpieczeństwa. A można o to zadbać już na etapie pisania kodu – mówi Michał Matłoka, CTO SoftwareMill z VirtusLab Group.

 

Jak dbać o bezpieczeństwo kodu?

Odpowiedzialność za zabezpieczenia spoczywa tu na programistach, których wspierają odpowiednie narzędzia. Ważną podpowiedzią jest lista OWASP Top 10. To zbiór najbardziej popularnych luk i problemów security, wspierający budowanie bezpiecznych aplikacji. Jej stałe monitorowanie pozwala zapobiegać wprowadzaniu ryzykownych fragmentów kodu przez mniej doświadczonych programistów i unikać nieświadomego tworzenia luk w zabezpieczeniach. Na późniejszych etapach ważne jest również sprawdzenie bezpieczeństwa chmury i infrastruktury oraz zaangażowanie zespołów QA, koncentrując się na prawidłowej autoryzacji i uwierzytelnianiu. Zamawiający powinni weryfikować, czy te standardy zostały spełnione przed produkcyjnym uruchomieniem zakupionego systemu czy aplikacji.

 

– Z perspektywy dostawcy usług IT wiemy jak ważne jest dopilnowanie, żeby aplikacje były testowane pod kątem podatności związanych z logiką biznesową i eskalacją uprawnień, aby zminimalizować potencjalne szkody. Zaopiekowanie się tą kwestią na bardzo wczesnym etapie tworzenia oprogramowania jest znacznie skuteczniejsze i bardziej opłacalne niż rozwiązywanie problemów związanych z bezpieczeństwem w aplikacjach wdrożonych produkcyjnie. Ważne jest, by uprościć proces wyszukiwania i naprawiania błędów w kodzie, zanim wpłyną one na działania biznesu. To istotne nie tylko dla samych programistów, ale także dla inżynierów DevOps, zespołów ds. bezpieczeństwa, jak i menedżerów wyższego szczebla. Na przykład, aktualizacja nawet jednej aplikacji w systemie może otworzyć nowe drzwi dla cyberprzestępców. Regularne testowanie gwarantuje, że wszystkie nowe zmiany są bezpieczne – dodaje Michał Matłoka z SoftwareMill.

 

Zagrożenia nieustannie się zmieniają

Część podatności i luk możemy poznać już na etapie tworzenia i uruchamiania systemów. Jednak biorąc pod uwagę dynamikę zmian jakie zachodzą w obszarze cyberbezpieczeństwa, nie wolno tracić czujności. Każdy system trzeba systematycznie aktualizować i sprawdzać pod kątem pojawiania się nowych luk i furtek, z których korzystają cyberprzestępcy. Przykładowo, głośnym incydentem z tego obszaru jest wyciek danych ponad 150 mln osób z Equifax, gdy hakerzy wykorzystali znaną i naprawioną od 2 miesięcy lukę by dostać się, do podatnego, nieaktualnego systemu. Zastosowanie narzędzi, które dbają o aktualność bibliotek systemu, pozwala przynajmniej częściowo zautomatyzować proces wytwarzania oprogramowania, i uniknąć zagrożeń walczenia z potencjalnymi lukami w kodzie na produkcji.

Zobacz również

System monitorowania ciśnienia w oponach teraz w każdej ciężarówce

Phillips Europe- System monitorowania ciśnienia w oponach teraz w każdej ciężarówce

Popularny w samochodach osobowych system kontroli ciśnienia w oponach, teraz wkracza na rynek pojazdów ciężarowych i przyczep. Do stosowania tego rozwiązania obligują producentów tych pojazdów nowe przepisy prawne.

AI może nie zabrać Polakom pracy, ale ukraść PESEL

AI może nie zabrać Polakom pracy,

38 proc. Polaków, którzy mają doświadczenia z wykorzystaniem sztucznej inteligencji (AI), obawia się, że w przyszłości mogą zostać zastąpieni przez nią w pracy. Jeszcze większy odsetek, bo aż 43 proc., jest przekonany, że ta technologia zawsze udziela odpowiedzi zgodnych z prawdą. Ten fakt coraz częściej wykorzystują cyberprzestępcy. Używają oni AI m.in. do wyłudzania danych osobowych czy loginów i haseł do różnych kont oraz aplikacji, w tym bankowych. Oszuści podszywają się też np. pod członków najbliższej rodziny przy pomocy fałszywego głosu, stworzonego w oparciu o sztuczną inteligencję. Metody różne, cel ten sam – wyłudzenie pieniędzy.