Cum poate fi compromisă securitatea aplicației tale de elementul uman
Este important să îți protejezi munca ta de factori externi, dar de multe ori cei peste care sărim sau nu îi luăm în considerare suntcei care pot reprezenta cel mai mare pericol când vine vorba de securitate. Și aici vorbesc de orice persoană care a lucrat la un proiect software vreodată.
Fie că nu a fost atentă sau că avea intenții rele de la început, aceasta ne poate afecta siguranța produsului în cel mai ușor mod posibil, prin crearea unei „portițe” de acces la panoul din spate, oricui are nevoie. Astfel, când spargi o întreagă rețea de calculatoare nu trebuie să descifrezi coduri ca în filmele de la cinema cu „hackeri” sau să ai accesul fizic la serverele din clădirea companiei.
Greșeala umană
Majoritatea breșelor de securitate din istoria produselor din IT provin din erori umane, un lucru care e deseori aproape imposibil de evitat, nimeni fiind perfect. Atacatorii din ziua de azi se bazează din ce în ce mai mult pe o penetrare directă a aplicației versus să stea și să se chinuie cu sistemele moderne de securitate. Chiar și breșele de securitate la scară largă au un punct de origine, acesta deseori fiind un link pe care s-a dat click de curiozitate, un atașament la e-mail ce părea la o primă impresie de încredere sau pur și simplu părăsirea stației fără a-i da un simplu “lock”.
Angajaţii cu intenţii rele
Sunt instalate aproape 0 sisteme de siguranță între un angajat pus pe treabă să fure sau sădistrugă codul unei aplicații sau informațiile senzitive ale unei companii. Odată ce un astfel de incident apare la o companie ea își poate pierde increderea clienților săi într-un mod alarmant de rapid, din cauza faptului că sunt puține lucruri ce garantează că un astfel de incident nu se mai întâmplă pe viitor cu angajații deja existenți sau cu cei care o să facă parte din echipă.
Abundența de informații gratuite
În secolul 21 rețelele de socializare online, ne cer, stocheazăși chiar oferă publicului informații care pot cu ușurință fi folosite împotrivă noastră, totul pornind de la numele nostru, unde locuim și cu cine împărțim acoperișul, pe facebook, până la istoria noastră profesională; unde am lucrat sau chiar când suntem în căutare unui job nou, pe linkedin. Ceea ce înseamnă că un atacator poate compune un “phishing” e-mail personalizat la un detaliu incredibil, încât nici nu îți trece prin cap că odată ce l-ai accesat poți deja să îți iei rămas bun de la informația de pe stația locală sau chiar întreagărețea de la muncă.
Creșterea în complexitate a ariei de IT
Pe măsură ce tehnologia cu care ne putem proteja produsul/compania/aplicația avansează din ce în ce mai mult, oamenii încep să pună accentul pe metode de a o ocoli în întregime. Unul din aspectele alarmante a acestui subiect este timpul de răspuns și de reacție al unui om când a descoperit o înfiltrare în sistem versus când o aplicație a descoperit așa ceva. Aplicația acționează rapid prin închiderea ușițelor necesare și bagarea elementul străin în carantină, iar toate aceste lucruri se întâmplă la nivelul milisecundelor. În același timp la un om este nevoie săfie notificat de sistem la un astfel de pericol că să înceapă săacționeze, deoarece dacă este o breșă găsită pe cont propriu pe un dispozitiv sau un program care este deja pus în funcțiune, șansele sunt că cineva deja a profitat de ocazie și este prea târziu să oprești atacul.
Responsabilitatea corporaţiilor
Dacă înainte trebuia să îți educi departamentul intern de securitate sau să angajezi consultați de securitate cu peste zece ani de experiență în spate, în ziua de astăzi trebuie educata întreagă companie.
Asta cuprinde totul, de la management-ul superior până la juniorii proaspăt angajați de pe băncile facultății, deoarece fiecare persoană are acces la o bucată importantăsau chiar întreaga aplicație. Și nu numai atât, multe incidente apar de la aruncarea la gunoi/vinderea dispozitivelor fără ștergerea lor, dispozitive care pot contine sute de informații sensitive sau doar o simplă combinație de nume și parolă la mail.
Există pe piață o multitudine de aplicații și protocoale pentru simularea atacurilor de securitate, lucru ce nu poate decât să îți arate unde există crăpături, urmând ca ulterior oamenii să fie instruiți în combaterea acelor scenarii. Iar în timp aceleași proceduri pot oferi o vizualizare a progresului făcut pentru a-ți da seama dacă mai există așa zisele breșe in securitate sau nu.
Paradoxul lantului
Chiar dacă elementul uman este cea mai slabă verigă a lanțului pe care îl numim securitate, acesta este în același timp și cea mai puternică. Fiecare verigă din lanț este creată de noi, fie ea un simplu firewall, o analiză de prevenire a atacurilor sau chiar un sistem complex de scanare biometrică – toate acestea au fost aduse la viață de noi pentru a ne proteja de posibile atacuri asupra lucrurilor importante nouă.