Но прежде чем принимать решение об этом, следует задать службам маркетинга и ИТ восемь вопросов, советует Джон Диксон, директор по безопасности из Denim Group.
Компании спешат с созданием приложений для iPhone, iPad, Android и BlackBerry, стремясь расширить возможности своих клиентов и предоставить новые способы совершения покупок. Но, к сожалению, с мобильными приложениями, в отличие от типичного корпоративного ПО, связаны дополнительные риски. Следует учесть также, что в мире мобильных приложений вопросам обеспечения безопасности традиционно уделяется меньшее внимание.
Менеджерам бизнес-подразделений нужно убедиться в том, что ИТ-руководители и руководители служб маркетинга, занимающиеся проектированием мобильных приложений, принимают все необходимые меры для защиты клиентских данных и не оставляют в системе безопасности брешей. Вот восемь вопросов, которые следует задать, прежде чем приступать к разработке.
1. Как соотносятся риски использования программ для мобильных устройств и корпоративного ПО?
Главная особенность мобильного ПО заключается в том, что оно работает на устройствах вне вашей корпоративной среды —
на телефонах или планшетных компьютерах сотрудников или клиентов, находящихся за пределами компании. Возможно, устройства подвергнутся взлому, а исходный код ваших программ — изучению методом обратного проектирования. Кроме того, у вас практически нет шансов отследить, копался ли кто-нибудь в вашем мобильном приложении. Поэтому большая часть мер по обнаружению и профилактике атак должна быть основана на изучении характера взаимодействия мобильных устройств с внутренними серверами.
2. Каким образом мобильные приложения поддерживают взаимодействие с нашими внутренними серверами?
Освещая вопросы мобильной безопасности, средства массовой информации уделяют основное внимание безопасности устройств. На практике основной риск возникает, когда мобильные устройства подключаются к серверам, доступным извне. Процедуры моделирования и проверки угроз в организации должны отражать существующие реалии. Если устройство можно взломать, а код программ изучить с использованием методов обратного проектирования, даже не обладающий глубокими знаниями кибервзломщик способен определить, какой сервер обрабатывает запросы от мобильных устройств. Таким образом, сервер должен быть готов к запуску самых разнообразных приложений и к отражению многочисленных сетевых атак.
3. Позволяет ли наш уровень квалификации эффективно управлять этими рисками?
С учетом стремительного роста популярности приложений для iPhone, iPad, Android и BlackBerry даже те разработчики, которые обладают весьма скромным опытом, пользуются на предприятиях высоким спросом. Постарайтесь оценить уровень своей квалификации в области разработки мобильных приложений, и если он недостаточно высок, обратитесь к специалистам по безопасности мобильного ПО с просьбой ограничить возможности мобильных приложений исключительно легитимными функциями.
4. Насколько хорошо разработчики мобильных приложений понимают концепции безопасности?
К сожалению, часто разработчики мобильных приложений уступают в этом отношении другим своим коллегам, но с учетом важности, которую приобретает мобильный код, ситуация может измениться. Многие разработчики приходят на этот рынок из сферы интерактивных и творческих приложений или из области проектирования устройств с закрытыми системами. Ни те, ни другие не занимались разработкой корпоративного ПО «повышенной устойчивости», способного эффективно противостоять интернет-атакам. Более того, незнание такими разработчиками особенностей мобильных сред может привести к возникновению дополнительных брешей в системе безопасности.
5. Уверены ли вы в том, что конфиденциальная клиентская информация не останется на клиентском устройстве после завершения сеанса?
Разработчикам ПО следует учитывать уязвимую природу мобильных устройств и писать код, не позволяющий конфиденциальным данным оставаться на устройстве после завершения сеанса браузера. Организации нужно ответственно подойти к выбору и обновлению браузеров и операционных систем. В обязательном порядке должен осуществляться контроль за уязвимостями мобильных браузеров и операционных систем.
6. Какие процедуры должны выполняться в случае потери клиентских данных или при обнаружении брешей, связанных с мобильными приложениями?
Процедуры, предусмотренные на предприятии в случае возникновения инцидентов, должны распространяться и на мобильный мир, причем по отношению как к внутренним, так и внешним игрокам. Посмотрите, как это реализовано у других, и попробуйте смоделировать потерю клиентской информации. Проделав это и пообщавшись с людьми, занимающимися разработкой мобильных технологий на предприятии, можно узнать немало интересного. Готовы ли вы перекрыть кислород всем пользователям мобильных телефонов, если в результате проведенных мероприятий будет выявлена серьезная уязвимость?
7. Кто несет ответственность за безопасность (ваша организация, производители устройств или поставщики мобильных операционных систем)?
С учетом ключевых архитектурных зависимостей возникает вопрос, кто и за что отвечает в случае обнаружения брешей? Виновато ли в возникновении уязвимости устройство, операционная система или приложение? Понимание взаимосвязей внутри экосистемы поможет вам справиться с инцидентами, касающимися безопасности мобильных приложений.
8. Каких подходов к разработке следует придерживаться для повышения безопасности мобильных приложений?
Изменился ли подход к созданию мобильных приложений с учетом слабостей, присущих мобильной среде? Какие стандарты программирования используются при написании мобильных приложений? Как эти стандарты проводятся в жизнь? Часто ли осуществляется контроль? Проводятся ли проверки только при выпуске важных версий? Современные средства разработки мобильных приложений должны соответствовать принятым в организации стандартам проектирования безопасного ПО, а эти стандарты, в свою очередь, необходимо совершенствовать, с тем чтобы эффективно противостоять растущим угрозам.
В процессе проектирования мобильных приложений менеджеры по безопасности рано или поздно обязаны задать себе эти вопросы. Программы для мобильных устройств получают все более широкое распространение. В этих условиях организации, сумевшие быстро выработать стратегии обеспечения мобильной безопасности, повышают свою конкурентоспособность, открывая перед бизнес-пользователями дополнительные возможности, которые предоставляются мобильными приложениями.
John Dickson. 8 security questions to ask before building mobile applications. CSO Magazine. April 18, 2011