8 HVERNIG HAFA MÁLIN VERIÐ? Lengi vel var ekkert hugsað um upplýsingaöryggi þegar verið var að þróa hugbúnað, mörg kerfi höfðu ekki einu sinni aðgangsstýringar. Allt frá því að vefsíða CIA var afskræmd 1996 þá hefur vitund forritara og almennings fyrir öryggi hægt og rólega aukist. Á þessum tíma voru hakkarar fyrst og fremst bara áhugasamir fiktarar. Fljótlega eftir fyrstu stóru þjónusturofs árásirnar (Denial of Service - DoS) voru framkvæmdar á mörgum stærstu vefsíðum síns tíma árið 2000, meðal annars gegn Yahoo!, eBay, CNN og Amazon, var Open Web Application Security Project (OWASP ) stofnað sem hagsmunasamtök með það að markmiði að auka öryggisvitund í hugbúnaðarþróun. Á þessum tíma verða hakkarar að eins konar popp- ímynd með reglulegum hlutverkum í bíómyndum og sjónvarpsþáttaröðum, þar sem um var að ræða spennandi og vaxandi völd. Í kjölfarið vex ákveðnum hóp hakkara ásmegin og fundu leiðir til þess að græða peninga á því að brjótast inn í tölvukerfi, og þá fóru glæpasamtök og ríkisstjórnir að koma inn í myndina. HVER ER STAÐAN NÚNA? Ástand tölvuöryggis í dag er slæmt. Daglega fáum við fréttir af því að hökkurum eða svo ég noti meira viðeigandi orð, tölvuglæpamönnum hefur tekist að brjótast inn á stofnanir, afskræmt vefsíður, stolið gögnum eða peningum, lekið gögnum eða álíka. Í dag er alþjóðlegur markaður fyrir glæpsamlega starfssemi með tölvuinnbrotum orðinn gríðalega stór og enginn er undanskilin. Tölvuglæpamenn einblína ekki lengur á fyrirtæki og stofnanir heldur hafa einstaklingar einnig orðið að skotmörkum. Með þeim tækninýjungum sem hafa komið á markað með snjallsímum og nettengingum alls kyns tækja eins og fyrir heimilið eða heilbrigðiskerfið opnast nýjar og nýjar leiðir fyrir árásaraðila til þess að græða pening. EN HVAÐ ER Í GANGI Á ÍSLANDI? Staðan hérlendis er sú að aðeins fáeinir þróunaraðilar leggja áherslu á öryggi í þróunarferlinu, og þá helst vegna kröfu viðskiptavina. Í þeim tilfellum þarf jafnframt að vera hægt að sýna fram á að öryggi hafi verið tekið með í reikninginn. Reynslan segir okkur hins vegar það að þekking þróunaraðila hér á landi á viðurkenndum öryggissviðum, t.a.m. OWASP Top-10 göllunum, er því miður undantekningarlítið grunn. Of fá hugbún- aðarhús sækjast enn fremur eftir að fá óháðan þriðja aðila til þess að framkvæma öryggisprófanir á sínum lausnum og fyrirtækjum, Sú þróun er þó að aukast í takt við auknar kröfur þeirra sem kaupa inn lausnir. Leiða má líkur að því, eins og kemur fram í net- og upplýsinga öryggis stefnu ríkisstjórnarinnar , að skortur á þekkingu sé m.a. vegna þess að upplýsingaöryggi er ekki enn orðinn fastur hluti af námi á borð við tölvunarfræði. Til hliðsjónar við erlend fyrirtæki langar mig að benda á nokkra áhugaverða punkta úr skýrslu sem Ponemon stofnunin gaf út eftir að hafa framkvæmt rannsóknir á stöðu öryggis í hugbúnaðarþróun. Úrtakið var rúmlega 800 manns sem höfðu að meðaltali 8 ára starfsreynslu hjá stórum þróunaraðilum. Punktarnir eru eftirfarandi. • 71% þróunaraðila telja að ekki sé lögð nægilega mikil áhersla á öryggi í þróunarferli hugbúnaðar. • 51% þróunaraðila telja að einungis sé lögð áhersla á öryggi á útgáfustigi eða eftir að búið er að gefa hugbúnaðinn út. • 51% þróunaraðila staðhæfa að þeir fái hvorki þjálfun né fræðslu um öryggi í hugbúnaðargerð. • 65% þróunaraðila staðhæfa að þeir öryggisprófa ekki hug- búnaðinn, hvorki í þróunar-, framleiðslu-, né í prófunarferli. • Einungis 16% þróunaraðila telja að hugsað sé út í öryggi á hönnunar og þróunarstigi. Þessi tölfræði sýnir fram á stórt vandamál. Ef áhersla er yfirhöfuð lögð á upplýsingaöryggi í þróunarferlinu, þá er það yfirleitt gert á síðustu metrunum þegar kostnaðurinn til þess að lagfæra veikleika er orðinn mun hærri. Það er þörf á hugarfarsbreytingu. Til lengri tíma er hagkvæmara fyrir fyrirtæki að fjárfesta í öryggisþekkingu þróunaraðila og stuðla þannig að auknu öryggi hugbúnaðar. Við tryggjum ekki eftir á. HVERT ÞURFUM VIÐ AÐ FARA? Ísland er nokkrum skrefum á eftir því sem gengur og gerist í nágrannalöndum okkar, þar sem upplýsingaöryggi er nýtt sem viðskiptalegt tækifæri og lagt upp sem einn mikilvægasta þátturinn í hugbúnaðarþróun. Með heildrænni innleiðingu öryggis inn í þróunarferlið með áherslu á hag viðskiptavina, samkeppnishæfi lausnarinnar og rekstrarhagræðingu er hægt að auka virði vörunnar og ná leiðandi stöðu á markaðnum. Það er því kjörið tækifæri fyrir þróunaraðila að grípa gæsina meðan hún gefst og taka skrefið í átt að auknu öryggi. Eftirfarandi eru nokkur skref sem við hjá Syndis mælum með að aðilar í hugbúnaðarþróun ígrundi vel á næstu misserum. • Innleiðing öryggis í þróunarferlið frá byrjun. • Þjálfun þróunaraðila í öruggri hugbúnaðarþróun. • Fá óháðan þriðja aðila til þess að framkvæma öryggisúttektir á hugbúnaði. • Að bjóða upp á verðlaunafé (Bug Bounty ) ef utanaðkomandi aðilar finna og tilkynna veikleika í hugbúnaðinum. • Vera með vel skilgreint ferli við meðhöndlun öryggisveikleika sem koma upp og tilkynna viðskiptavinum á skýran hátt og hvernig megi bregðast við. 1 https://www.owasp.org/index.php/Main_Page 2 http://www.innanrikisraduneyti.is/media/frettir-2015/ Netoryggisstefna_2015_april.pdf 3 Ponemon Institute LLC, 2012 Application Security Gap Study: A Survey of IT Security & Developers, PDF 4 https://en.wikipedia.org/wiki/Bug_bounty_program MIKILVÆGI ÖRYGGIS Í ÞRÓUNARFERLINU Hörður E. Ólafsson, Markaðs- og viðskiptaþróun hjá Syndis

Blaðsíða 1
Blaðsíða 2
Blaðsíða 3
Blaðsíða 4
Blaðsíða 5
Blaðsíða 6
Blaðsíða 7
Blaðsíða 8
Blaðsíða 9
Blaðsíða 10
Blaðsíða 11
Blaðsíða 12
Blaðsíða 13
Blaðsíða 14
Blaðsíða 15
Blaðsíða 16
Blaðsíða 17
Blaðsíða 18
Blaðsíða 19
Blaðsíða 20
Blaðsíða 21
Blaðsíða 22
Blaðsíða 23
Blaðsíða 24
Blaðsíða 25
Blaðsíða 26
Blaðsíða 27
Blaðsíða 28
Blaðsíða 29
Blaðsíða 30
Blaðsíða 31
Blaðsíða 32
Blaðsíða 33
Blaðsíða 34
Blaðsíða 35
Blaðsíða 36
Blaðsíða 37
Blaðsíða 38
Blaðsíða 39
Blaðsíða 40
Blaðsíða 41
Blaðsíða 42
Blaðsíða 43
Blaðsíða 44