Több mint félezer, jellemzően nagyvállalati környezetben dolgozó vezetőt, fejlesztőt, informatikai szakembert kérdezett meg a Ponemon Institute azzal a céllal, hogy feltérképezzék a vállalati környezetben használt mobil alkalmazások biztonsági helyzetét. Az IBM megbízásból készült kutatás eredményei rettenetesen rossz állapotokról tanúskodnak.

Tesztelés? Az meg mi?

A válaszadók munkahelyén átlagosan több mint 10 ezer dolgozót foglalkoztatnak, így nem csoda, hogy 30 százaléknál saját alkalmazásbolt is üzemel, ahonnan a munkatársak a vállalat igényeire szabott megoldásokat letölthetik. A szervezetek közel kétharmada részben vagy teljesen saját hatáskörben fejleszti a mobil appokat. Ehhez képest viszont kőkorszaki állapotokat mutatnak a biztonsággal összefüggő tevékenységek.

A válaszadók 38 százaléka arról számolt be, hogy nem használnak semmilyen megoldást a programok sérülékenységének feltárására. 55 százalék szerint egyáltalán nem tesztelik vagy legalábbis nincs tudomása arról, hogy tesztelnék a mobil alkalmazásokat. Ráadásul azoknál ahol mégis, ott sem kellően rendszeres ez az ellenőrzési forma, amely sokszor csak a fejlesztési időszakra korlátozódik.

Ezek fényében már nem lehet meglepődni azon, hogy az összes fejlesztési költség töredéke jut a biztonsági problémák megoldására. A vállalatoknál éves szinten átlagosan 34 millió dolláros költségvetés alig 5,5 százaléka megy dedikáltan ilyen folyamatokra. A dolgot csak feketébbre festi, hogy ezt az átlagot néhány kiemelkedően sokat költő cég húzta ennyire fel, hiszen a válaszadók fele szerint konkrétan semmit nem allokálnak erre a területre.

Se szakember, se idő

A mobil alkalmazások biztonságának témája tehát igazi mostohagyerek a nagyvállalati környezetben. És ez annak ellenére így van, hogy a válaszadók többsége szerint a terület kritikus fontosságú és a közeljövőben csak erősödni fognak a kockázatok. De akkor mégis miért alakult ki ez az ellentmondásos helyzet?

A felmérés igyekezett erre a kérdésre is választ kapni. Két fő tényező rajzolódott ki, amelyek alapvetően befolyásolják a biztonsági intézkedések minőségét. Az egyik az állandóan jelen lévő időprés. Mivel a technológia mellett az üzleti lehetőségek is gyors ütemben változnak, a fejlesztőket folyamatosan hajtják a vezetők és a vállalatok más részlegei. A legyen kész, de tegnapra típusú hozzáállás pedig természetszerűleg megágyaz a nem megfelelően kiadott alkalmazásoknak.

A másik felhozott indok, hogy a szervezeteknél nincs megfelelő minőségű és számú biztonsági szakember, akik akár a belső folyamatokat, akár a külső fejlesztőktől érkező alkalmazásokat tudnák ellenőrizni. A válaszadók harmada szerint egyáltalán nincs meg házon belül a szükséges szaktudás, további egynegyedük pedig bizonytalan abban, hogy cégüknél elégséges a rendelkezésre álló biztonsági szakértelem.