Cyberbezpieczeństwo – pomagamy w nierównej walce z hakerami

Wybych supernowej

Aktualności z zakresu cyberbezpieczeństwa. Nie jest właściwym pytaniem czy, ale kiedy nastąpi cyberatak. Należy się właściwie przygotować do jego wczesnej identyfikacji i właściwej reakcji.

Autor: Michał Kurek, Partner, Zespół ds. Cyberbezpieczeństwa

Zbliżenie na serwer

Trwają gorączkowe przygotowania do zgodności z wymaganiami ogólnego rozporządzenia Unii Europejskiej w zakresie ochrony danych osobowych (RODO).

Między innymi dzięki bardzo wysokim karom, które będą mogły być nakładane na przedsiębiorstwa po 25 maja 2018 roku, temat cyberbezpieczeństwa powszechnie trafił na agendy zarządów. Czy jednak obserwowane ogólne poruszenie zaowocuje rzeczywistym wzrostem bezpieczeństwa informacji?

RODO wymaga od przedsiębiorstw szeregu zmian, od kwestii prawnych przez organizacyjno-procesowe do stricte technicznych. Warto pochylić się nad zagadnieniem, które często jest pomijane w trakcie przygotowań, a mającym niezwykle istotne znaczenie dla bezpieczeństwa przetwarzanych danych osobowych. Chodzi o bezpieczeństwo aplikacji, ich odporność na ataki hakerskie i podatność na wycieki danych osobowych. Czyli spełnienie podstawowej zasady RODO – integralności i poufności.

Zagadnienie jest szczególnie istotne z tego względu, że luki w bezpieczeństwie aplikacji pojawiają się niezwykle często. Praktyczne doświadczenia pentesterów KPMG wskazują, że aż 83% przebadanych przez nich aplikacji zawierało podatności pozwalające hakerom na naruszenie poufności i integralności przetwarzanych danych. Co jest powodem tak dużej skali problemu?

Podatności powstają najczęściej w trakcie implementacji. Brakuje powszechnie wiedzy na temat bezpieczeństwa aplikacji wśród programistów. Dodatkowo, a może nawet przede wszystkim, zapewnienie bezpieczeństwa nie jest wcale lub we właściwy sposób wymagane przy wdrożeniach. Liczy się funkcjonalność i czas wdrożenia, które spychają na dalszy plan lub całkowicie eliminują bezpieczeństwo. Przeprowadzone w grudniu 2017 roku przez KPMG badanie „Barometr cyberbezpieczeństwa” wskazuje, że polskie firmy najniżej oceniają dojrzałość procesów wbudowywania bezpieczeństwa w rozwój oprogramowania, co potwierdza obserwacje z realizowanych przez KPMG audytów bezpieczeństwa. Najbardziej niepokoi jednak to, że w tym samym badaniu organizacje wymieniają ten obszar jako zagadnienie, w które praktycznie nie będą inwestowały. Do czego to może prowadzić? Czy znów skończy się gorzką nauką zgodnie z przysłowiem „Polak mądry po szkodzie”?

W środowisku firm pentesterskich stale pojawia się pytanie, dlaczego przedsiębiorstwa ograniczają swoje działania w zakresie bezpieczeństwa aplikacji do testów bezpieczeństwa przed ich produkcyjnym wdrożeniem, zamiast położenia odpowiedniego nacisku na wbudowywanie bezpieczeństwa w proces wytwarzania oprogramowania? Dlaczego efektem raportów z testów identyfikujących krytyczne podatności jest tylko ich eliminacja a nie refleksja, z jakiego powodu się pojawiły? Refleksja prowadząca do odpowiedniej reorganizacji procesu skutkującej długofalową poprawą bezpieczeństwa?
Wbudowywanie bezpieczeństwa w procesy wytwarzania oprogramowania nie jest zagadnieniem trudnym. Istnieją publicznie dostępne publikacje (jak OWASP SAMM, Microsoft SDL, czy BSIMM), stanowiące zestaw najlepszych praktyk w tym zakresie. Zakres wdrażanych zabezpieczeń powinien być indywidualnie dostosowany do profilu firmy oraz do wrażliwości wytwarzanych aplikacji. Takie podejście jest w pełni zgodne z duchem RODO, zakładającym analizę ryzyka, jako podstawowe narzędzie uzasadniające zakres wdrażanych mechanizmów kontrolnych.

RODO to ogromny impuls do inwestycji w cyberbezpieczeństwo. Jego wymagania wymuszają również zmiany w procesach wytwarzania aplikacji. Oby zmiany te nie prowadziły wyłącznie do uzyskania prowizorycznej zgodności z wymogami prawa, ale do faktycznego podniesienia bezpieczeństwa przetwarzanych informacji.
 

Bądź z nami w kontakcie