Zabezpečení aplikací se musí zlepšit

Nedávný průzkum mezi 800 odborníky v oblasti IT a zabezpečení ukázal, že organizace nepovažují zabezpečením aplikací za samostatnou oblast, přestože útoky typu „SQL injection“ jsou nejčastějším místem průniku útočníků. Druhou nejčastější příčinou je zneužití zranitelného kódu v aplikacích vytvořených podle zásad Web 2 nebo spolupracujících se sociálními sítěmi.

68 procent vývojářských organizací a 47 procent organizací zaměřených na zabezpečení zaznamenalo nejméně jeden podařený průnik útočníků prostřednictvím aplikací během posledních dvou let. Oproti tomu pouze 12 procent specialistů na zabezpečení a 11 procent vývojářů prohlásilo, že aplikace vyvinuté jejich firmou splňují všechny podmínky na ochranu soukromí, ochranu dat a zabezpečené informací. 38 procent bezpečnostních odborníků a 39 procent vývojářů odpovědělo, že na zabezpečení aplikací je určeno méně než 10 procent rozpočtu.

„Rozhodli jsme se zjistit míru tolerované rizika v jednotlivých fázích zabezpečení aplikací, abychom zjistili, co je účinné a co nikoli, jakou mají podniky v této oblasti organizaci a jaké existují nedostatky,“ vysvětlil Larry Ponemon, generální ředitel agentury Ponemon Institute, která průzkum prováděla na zadání agentury Security Innovation. „Požadované výsledky jsme získali, ale během průzkumu jsme zjistili, že organizace vyvíjející aplikace mají velké nedostatky v zabezpečení IT. Hlavní příčinou je nedostatek náležitě vzdělaných a zkušených odborníků a naprosté nepochopení procesu zabezpečení vyvíjených aplikací. Tyto nedostatky následně nepříznivě ovlivňují podnikání těchto firem.“

Průzkum ukázal, že se názor na zabezpečení aplikací mezi odborníky na zabezpečení a vývojáři diametrálně liší. I když by se mohlo zdát, že „přísnější“ byla v tomto ohledu první skupina, opak je pravdou. Podle Ponemona není zabezpečení aplikací v průběhu vývoje dostatečné u 71 procent vývojářů a 49 procent odborníků na zabezpečení. 46 procent vývojářů prozradilo, že jejich podnik nemá vytvořené postupy, které by ověřovaly zabezpečení aplikací, zatímco stejný názor sdílí pouze 21 procent odborníků na zabezpečení.

„Z průzkumu vyplynulo, že společnosti nehledají základní příčinu průniku útočníka a že nejednají dostatečně rychle, aby zjištěné problémy odstranily,“ prohlásil Ed Adams, generální ředitel agentury Security Innovation. „Množství hrozeb postupně narůstá, podle názoru našich respondentů zejména se v souvislosti s nasazováním Webu 2.0 objevují nová slabá místa, například mobilní aplikace.“

Podle průzkumu téměř polovina vývojářů odpověděla, že v oblasti zabezpečení vyvíjených aplikací neexistuje žádná spolupráce vývojářských a bezpečnostních organizací. Stejný názor sdílí ovšem pouze 19 procent odborníků na zabezpečení.