Hétpecsét Információbiztonsági Egyesület

Mobil appok veszélyei

A Ponemon Institute által a témában végzett, az IBM által szponzorált kutatás - melynek során 640, az alkalmazásfejlesztéssel és -biztonsággal foglalkozó szakembert kérdeztek meg - rávilágít arra, hogy a vállalatok miért nem fektetnek kellő hangsúlyt a mobilalkalmazások biztonságára és miért okoz nekik nehézséget az alkalmazottak kockázatos viselkedésének kezelése.

Jól szemlélteti a helyzet súlyosságát, hogy a válaszadók több mint háromnegyede (77 százaléka) értékelte nehéznek a mobilappok biztonságának megvalósítását, és csak 7 százalékuk minősítette egyszerűnek a feladatot. A legfőbb nehézségek között említették meg, hogy a sürgető ügyféligények szorításában nem jut elegendő idő a biztonságos fejlesztésre (65 százalék), valamint egyre nő a rosszindulatú programokkal fertőzött mobilalkalmazások és -eszközök száma (61 százalék).

A mobilalkalmazások biztonsági kockázatainak csökkentése komoly szakértelmet és pénzösszegeket igényel. A válaszadók 54 százaléka aggódik amiatt, hogy nő a nem biztonságos mobilappokon keresztüli rosszindulatú cross-site scripting tevékenység mértéke, ugyanakkor csupán 41 százalékuk vélekedik úgy, hogy szervezeténél megvan az appok biztonságához szükséges szaktudás. Ennél is nagyobb gond, hogy mindössze 30 százalékuk szerint képesek vállalatánál felderíteni a mobilalkalmazásokban lévő sebezhetőségeket, és csak 29 százalékuk rendelkezik megfelelő erőforrásokkal a sérülékeny vagy rosszindulatú programmal fertőzött alkalmazások használatának megakadályozására.

Alig költenek a biztonságra
A megkérdezettek munkaadói átlagosan közel 34 millió dollárt költenek évente appok fejlesztésére, azonban ennek a jelentős összegnek csupán az 5,5 százalékát (ez kevesebb mint 2 millió dollárt tesz ki) fordítják arra, hogy az alkalmazásokat biztonságossá tegyék. A biztonsági kiadások legnagyobb részét a saját fejlesztésű szoftverek sérülékenységeinek a megszüntetésére költik (36 százalék), ezt követi a nyílt forráskódú programok foltozgatása (21 százalék), s mindössze 11 százalék jut a mobilalkalmazások biztonsági réseinek felkutatására, illetve kijavítására.

Ha a szervezetek csökkenteni szeretnék a biztonsági kockázatokat, mindenképpen felügyelniük kell az alkalmazottak mobilalkalmazás-használatát. Ezzel összhangban a kutatás válaszadóinak 82 százaléka szerint a munkahelyen használt alkalmazások nagyon jelentősen (50 százalék) vagy jelentősen növelik a kiberbiztonsági fenyegetettséget. Sok vállalatnál azonban nem alakítottak még ki a mobilalkalmazások használatára vonatkozó irányelveket. A legtöbb válaszadó nagyon kiterjedtnek (32 százalék) vagy kiterjedtnek (34 százalék) minősítette az alkalmazottak apphasználatát, ugyanakkor több mint a felük (55 százalék) úgy nyilatkozott, szervezeténél nincs egyértelműen meghatározva, mit tekintenek elfogadható mértékűnek.

Ami a saját eszközök használatának szabályozását illeti, a megkérdezettek 39 százaléka számolt be arról, hogy vállalatánál engedélyezik személyes mobilappok futtatását a cég által biztosított okostelefonokon és táblagépeken, illetve 55 százalékuknál megengedett az üzleti alkalmazások használata az alkalmazottak saját tulajdonú mobileszközein.

A kibervédelem hatékonyságának növelése érdekében egyes vállalatok saját appáruházat üzemeltetnek: a felmérés válaszadóinak csupán 30 százalékánál van ilyen szolgáltatás. A válaszadók kétharmada (67 százaléka) viszont úgy véli, nem javítaná a biztonságot, ha lenne náluk is appáruház, az alkalmazottak ugyanis más forrásokból szereznék be a kívánt alkalmazásokat. Amikor arról kérdezték a kutatás résztvevőit, milyen biztonsági funkciókat használnak az appáruházban, 48 százalékuk mondta azt, hogy átvizsgálják az alkalmazásokat sérülékenységek után kutatva, 15 százalékuknál pedig alaposan ellenőrzik a programkódot, 40 százalékuknál azonban semmilyen óvintézkedést nem hajtanak végre az appok áruházba kerülésekor.

Hanyag ellenőrzés
A szervezetek mobilalkalmazásaiknak átlagosan csak kevesebb mint a felét (46 százalékát) tesztelik, és a vizsgált appok 30 százaléka tartalmaz sebezhetőségeket. A felmérés eredményei szerint a vállalatoknál átlagosan 105 mobilalkalmazást használnak, amelyeknek csupán a 36 százaléka kritikus fontosságú az üzletmenet szempontjából. Ez más szóval azt jelenti, hogy az alkalmazottaknak a telepített appok nagy részére nincs szükségük a munkájukhoz.

Sajnálatos módon a válaszadók 33 százaléka arról számolt be, hogy náluk egyáltalán nem tesztelik az appokat. A leggyakrabban telepítéskor (22 százalék) vagy a fejlesztés során (21 százalék) vizsgálják meg azokat biztonsági szempontból. A saját fejlesztésű appokra vonatkozó kérdésnél a válaszadóknak csupán a 11 százaléka nyilatkozott úgy, hogy a tesztelést a kód minden megváltoztatásakor elvégzik, 14 százalékuk vállalatánál pedig a teszteléshez nem készül előzetes ütemezés.

Sok vállalatnál (38 százalék) egyáltalán nem foglalkoznak az alkalmazásokban lévő sérülékenységek felkutatásával. Amelyeknél végeznek hibaszkennelést, a műveletet a leggyakrabban saját fejlesztésű (25 százalék) vagy nyílt forráskódú (14 százalék) szoftverrel, illetve eszközzel végzik.

Egyértelműen a szervezetek rossz gyakorlatának és elégtelen szabályozásának a számlájára írható, hogy a mobilalkalmazások sebezhető kódot tartalmaznak. A válaszadók 77 százaléka szerint a fejlesztők azért adják ki a kezükből megfelelő tesztelés nélkül az appokat, mert szorítják őket a határidők. A második fő ok (73 százalékuk vélekedett így) a biztonságos kódolási módszerek ismeretének hiánya, míg a harmadik legnagyobb hiányosság, hogy nem rendelkeznek a megfelelő minőségbiztosítási és tesztelési eljárásokkal. Ugyancsak negatívan befolyásolja az appok minőségét, hogy nem alakítanak ki olyan szabályozást, amely egyértelműen előírja az azokkal szemben támasztott biztonsági követelményeket.

Az alkalmazásfejlesztési folyamat és az appok használata során alkalmazható biztonsági intézkedésekről is megkérdezték a résztvevőket. Mivel az adatok kiszivárgásától mindenhol nagyon tartanak, nem meglepő, hogy a válaszadók szerint vállalatuknál a jogosulatlan felhasználók bizalmas adatokhoz való hozzáférésének megakadályozását tekintik az adatszivárgás elkerülése érdekében tett legfontosabb intézkedésnek (55 százalékuk jelölte be ezt a lehetőséget). Közel ugyanilyen arányban (53 százalék) nyilatkoztak úgy, hogy szervezetüknél automatikus szkennelőeszközöket használnak az alkalmazásokban lévő sérülékenységek felkutatására mind a fejlesztés során, mind a program kiadását követően.

Több tesztelés, megfelelő szabályozás
Mindent egybevetve több tényező miatt is nehézséget okoz a vállalatoknak mobilalkalmazásaik biztonságának javítása. A kutatás megállapításai szerint gyakrabban kéne tesztelniük a mobilalkalmazásokat, különösen annak fényében, hogy sok szervezetnél biztonsági szempontból egyáltalán nem ellenőrzik ezeket a programokat. Nagyon fontos továbbá, hogy az alkalmazások minél gyorsabb elkészítése iránti igény ne legyen negatív hatással a programozás minőségére. Jó szolgálatot tehetnek ennek érdekében a vállalaton belüli tréningek és oktatási programok, melyek keretében a fejlesztők megismerhetik a biztonságos alkalmazások készítésének legjobb gyakorlatait. A helyzet javításához növelni kell a vállalatoknál a mobilalkalmazások biztonságának megvalósítására fordított összegeket. A jelenleg erre a célra átlagosan költött pénz nem elegendő a feladat megfelelő színvonalú elvégzéséhez szükséges technológiák és szakemberek finanszírozására.

Végül gondoskodni kell az alkalmazottak kockázatos viselkedésének káros következményeit kiküszöbölő szabályozás és eljárások létrehozásáról. A kutatás megállapítása szerint sok munkavállaló intenzíven használja a mobilalkalmazásokat, miközben a vállalatoknál gyakran nincs előírás arra, mi tekinthető elfogadható mértékű mobilalkalmazás-használatnak a munkahelyen.

Mészáros Csaba,

Ponemon mobilapp

Megtekintés: 925