A mobil alkalmazások rendkívül sérülékenyek, ami a BYOD (Bring Your Own Device) általánossá válása miatt egyre nagyobb probléma. Hogy mennyire, arra most egy az IBM biztonsági részlegének megbízásából készített felmérés mutatott rá. A felmérés során – melyet a Ponemon Institute készített – 400 nagyobb szervezet illetékeseit kérdezték meg, köztük 160 olyan vállalatot, amely szerepel a Fortune 500-as listán.
A felmérés meglehetősen gyászos képet mutat a vállalatok mobil biztonsághoz való hozzáállásáról – írja a kutatásról összefoglalót közlő Biztonságportál.
Nem foglalkoznak a biztonságos fejlesztéssel
A kutatók azt próbálták feltárni, hogy milyen körülmények vezetnek ahhoz, hogy a mobil alkalmazások kódjai sérülékenyek. A legfőbb ok az, hogy a mobil alkalmazásokat bevezető szervezetek nem foglalkoznak a biztonsági kérdésekkel. A válaszadók 40 százaléka elismerte, hogy nem végeznek semmiféle biztonsági ellenőrzést a mobil alkalmazások kódján, így aztán a sebezhetőségek csak akkor derülnek ki, ha már baj van.
A problémát pénzügyi oldalról is kimutatta a Ponemon: a felmérésben részt vevő szervezetek átlagosan 34 millió dollárt költenek mobil appok fejlesztésére, ám ennek az összegnek csupán 5,5 százalékát, átlagosan mintegy 2,2 millió dollárt költenek arra, hogy az alkalmazások biztonságosak is legyenek. Hangsúlyozandó, hogy ez a 400 megkérdezett szervezet átlaga, miközben a felmérésben részt vevő szervezetek felénél nincs is keret a fejlesztési büdzsében a biztonságra!
Tegyük hozzá mindehhez, hogy felmérésben pénzügyi szolgáltatók, közszférában tevékenykedő szervezetek, egészségügyi intézmények, kiskereskedelmi hálózatok is szerepeltek, melyek sok érzékeny ügyféladatot kezelnek.
A Ponemon Institute elnöke, Larry Ponemon szerint ennek hátterében az áll, hogy a szervezeteknél mindent felülír az ügyfélélmény és az alkalmazások minél gyorsabb piacra dobása. Olyannyira elsődlegesek az üzleti igények, hogy aközben nem foglalkoznak az alkalmazások ellenőrzésével. A probléma méretét jól jelzi az IBM egy másik elemzése, amely az összes kiszivárgott személyes jellegű adat növekedésére ad becslést az elmúlt három évre: 2014-ben mintegy 1 milliárd kiszivárgott adattal számoltak.
Ezzel egyébként a válaszadó szervezetek is tisztában vannak többé-kevésbé. 65 százaléka elismerte, hogy a biztonságos gyakran feláldozzák az ügyféligény oltárán, 77 százalékuk pedig azt, hogy a rohamtempóban készülő kiadások miatt sebezhetőek maradhatnak az alkalmazásaik. Sok szervezet viszont még addig sem jutott el, hogy szabályozza az alkalmazásfejlesztést, és megfogalmazza a biztonsági elvárásait.
De mit mond erről maga a fejlesztő? Természetesen azt, hogy biztonságos appot fejleszteni nehéz. A kutatásban megkérdezett fejlesztőknek több mint háromnegyede egyértelműen úgy nyilatkozott, hogy biztonságos alkalmazást létrehozni nagyon nehéz feladat. Mindössze a 7 százalékuk vélte úgy, hogy a mobil appokat nem nagy truváj megfelelően védetté tenni. Egyébként még azoknak a szervezeteknek is csak a 15 százaléka végez módszeres teszteket, melyeknél legalább a sebezhetőségek keresését elvégzik a piacra dobás előtt.
A BYOD szabályozása sem sokkal jobb
Miközben nagyon nagy hiányosságok vannak a fejlesztési oldalon, a felhasználás szabályozása sincs sokkal jobb állapotban. A válaszadók 55 százaléka mondta, hogy szervezeténél nem szabályozzák azt, hogy az alkalmazottak milyen alkalmazásokat tölthetnek le és használhatnak saját mobil eszközeiken a munkahelyükön. Még nagyobb azoknak a cégeknek az aránya, melyeknél nem világítják át a letöltött appokat biztonsági szempontból.
Ez már csak azért is növeli a kockázatokat, mert sok legális, ártalmatlan alkalmazásnak vannak olyan klónjai, melyek kártékony kódokat tartalmaznak. Ennek kezelésére pedig csupán a válaszadók 29 százalékának van megfelelő kapacitása.
A Ponemon teljes tanulmánya egy kattintásnyira tölthető le.
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak