Bezpečnostní hrozby přibývají a stávající se komplikovanějšími

S tím jak společnosti rostou stává se jejich IT systém komplikovanějším. S pokrokem je také běžné připojovat se prostřednictvím API na další služby, čímž částečně ztrácí kontrolu nad tím, co se vlastně děje s daty. Doba, kdy vám někdo posílal peníze složenkami je už dávno pryč. Dnes už se běžně připojíte k bance a stáhnete si seznam plateb, které spárujete s vyřízenými objednávkami v účetním programu. Co z toho všeho ale vlastně opravdu firma kontroluje? Řešení na míru jsou dnes spíše skládačkami už existujících jiných řešení, které se jen rozšiřují podle aktuálních potřeb. V případě bezpečnostního průniku do systému tak nemusí být vůbec jednoduché dohledat, co se vlastně stalo a ještě složitější zajistit v dostatečné době náležitou nápravu.

Situace je o to horší, že se hacking posunul do profesionálních rovin. O narušení bezpečnosti se už nesnaží jen „neškodní“ studenti, kteří nahrají do systému svou oblíbenou znělku a všem změní pozadí na ploch na pracovních stanicích, či provedou jiný vtípek. Dnešní hackeři nechtějí být vidět, protože z toho co dělají mají osobní prospěch. Nejen data o zákaznících ale i technologie byla vždy žádaným artiklem. V době internetu, kdy je boj o zákazníka velice rychlou záležitostí a společnosti si musí hlídat i své dobré jméno, tak nejsou výjimkou velké investice do zabezpečení. Což v konečném důsledku může vést k dalšímu rozšiřování a předělávání celého systému. V dnešní době je běžné, že finální IT řešení používané už ve středních firmách, tak vlastně nikdo vlastně ani nechápe. Nenajdete člověka, který bude umět vždy zasáhnout a opravit co je třeba.

Framework, API, kníhovny a spousty dalších rozšíření, které jsou vytvářeny často ve spěchu, protože někdo potřeboval něco rychle vedou k zvyšování bezpečnostního rizika. Vše se akumuluje až dokud nedojde k incidentu. Pak následují audity a hledání chyb.

Podle expertů Aspect Security má průměrný firemní webová aplikace 22,4 bezpečnostních děr, které mohou narušit její bezpečnost. Ve většině případů jsou velice těžko dokladatelné, protože se jedná o řešení na míru, takže nikdy nedojde ani k jejich objevení. Ovšem čím cennější jsou v dané webové aplikaci data, tím lákavější může být pro zkušenějšího hackera.

V dřívějších dobách bylo běžné, že se prováděly revize kódu a penetrační testy. Nešlo jen o objevení slabostí, ale také vývojáři mohli s ohledem na další budoucnost aplikací upravit své řešení před vypuštěním finální verze. Ovšem dnes už to tak jednoduché není. Jde o především o rychlost a využívání moderních metod vývoje aplikací. Komplexní frameworky a předpřipravené knihovny nás často vydávají na pospas kódu o kterém nemáme zcela přesnou představu jak funguje. Snadno se tak dopustíme nějakého „přehlédnutí“. Rychlost a komplexnost vývoje software rozhodně udělala za poslední roky velký krok kupředu, ovšem bezpečnost? Ta spíše stagnovala.

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *