Tölvumál - 01.11.2015, Qupperneq 8
8
HVERNIG HAFA MÁLIN VERIÐ?
Lengi vel var ekkert hugsað um upplýsingaöryggi þegar verið var að þróa
hugbúnað, mörg kerfi höfðu ekki einu sinni aðgangsstýringar. Allt frá því
að vefsíða CIA var afskræmd 1996 þá hefur vitund forritara og almennings
fyrir öryggi hægt og rólega aukist. Á þessum tíma voru hakkarar fyrst og
fremst bara áhugasamir fiktarar. Fljótlega eftir fyrstu stóru þjónusturofs
árásirnar (Denial of Service - DoS) voru framkvæmdar á mörgum stærstu
vefsíðum síns tíma árið 2000, meðal annars gegn Yahoo!, eBay, CNN og
Amazon, var Open Web Application Security Project (OWASP ) stofnað
sem hagsmunasamtök með það að markmiði að auka öryggisvitund í
hugbúnaðarþróun. Á þessum tíma verða hakkarar að eins konar popp-
ímynd með reglulegum hlutverkum í bíómyndum og sjónvarpsþáttaröðum,
þar sem um var að ræða spennandi og vaxandi völd. Í kjölfarið vex
ákveðnum hóp hakkara ásmegin og fundu leiðir til þess að græða
peninga á því að brjótast inn í tölvukerfi, og þá fóru glæpasamtök og
ríkisstjórnir að koma inn í myndina.
HVER ER STAÐAN NÚNA?
Ástand tölvuöryggis í dag er slæmt. Daglega fáum við fréttir af því að
hökkurum eða svo ég noti meira viðeigandi orð, tölvuglæpamönnum
hefur tekist að brjótast inn á stofnanir, afskræmt vefsíður, stolið gögnum
eða peningum, lekið gögnum eða álíka. Í dag er alþjóðlegur markaður
fyrir glæpsamlega starfssemi með tölvuinnbrotum orðinn gríðalega stór
og enginn er undanskilin. Tölvuglæpamenn einblína ekki lengur á
fyrirtæki og stofnanir heldur hafa einstaklingar einnig orðið að
skotmörkum. Með þeim tækninýjungum sem hafa komið á markað
með snjallsímum og nettengingum alls kyns tækja eins og fyrir heimilið
eða heilbrigðiskerfið opnast nýjar og nýjar leiðir fyrir árásaraðila til þess
að græða pening.
EN HVAÐ ER Í GANGI Á ÍSLANDI?
Staðan hérlendis er sú að aðeins fáeinir þróunaraðilar leggja áherslu á
öryggi í þróunarferlinu, og þá helst vegna kröfu viðskiptavina. Í þeim
tilfellum þarf jafnframt að vera hægt að sýna fram á að öryggi hafi verið
tekið með í reikninginn. Reynslan segir okkur hins vegar það að þekking
þróunaraðila hér á landi á viðurkenndum öryggissviðum, t.a.m. OWASP
Top-10 göllunum, er því miður undantekningarlítið grunn. Of fá hugbún-
aðarhús sækjast enn fremur eftir að fá óháðan þriðja aðila til þess að
framkvæma öryggisprófanir á sínum lausnum og fyrirtækjum, Sú þróun
er þó að aukast í takt við auknar kröfur þeirra sem kaupa inn lausnir.
Leiða má líkur að því, eins og kemur fram í net- og upplýsinga öryggis
stefnu ríkisstjórnarinnar , að skortur á þekkingu sé m.a. vegna þess að
upplýsingaöryggi er ekki enn orðinn fastur hluti af námi á borð við
tölvunarfræði.
Til hliðsjónar við erlend fyrirtæki langar mig að benda á nokkra
áhugaverða punkta úr skýrslu sem Ponemon stofnunin gaf út eftir að
hafa framkvæmt rannsóknir á stöðu öryggis í hugbúnaðarþróun.
Úrtakið var rúmlega 800 manns sem höfðu að meðaltali 8 ára
starfsreynslu hjá stórum þróunaraðilum. Punktarnir eru eftirfarandi.
• 71% þróunaraðila telja að ekki sé lögð nægilega mikil áhersla á
öryggi í þróunarferli hugbúnaðar.
• 51% þróunaraðila telja að einungis sé lögð áhersla á öryggi á
útgáfustigi eða eftir að búið er að gefa hugbúnaðinn út.
• 51% þróunaraðila staðhæfa að þeir fái hvorki þjálfun né fræðslu
um öryggi í hugbúnaðargerð.
• 65% þróunaraðila staðhæfa að þeir öryggisprófa ekki hug-
búnaðinn, hvorki í þróunar-, framleiðslu-, né í prófunarferli.
• Einungis 16% þróunaraðila telja að hugsað sé út í öryggi á
hönnunar og þróunarstigi.
Þessi tölfræði sýnir fram á stórt vandamál. Ef áhersla er yfirhöfuð lögð á
upplýsingaöryggi í þróunarferlinu, þá er það yfirleitt gert á síðustu
metrunum þegar kostnaðurinn til þess að lagfæra veikleika er orðinn
mun hærri. Það er þörf á hugarfarsbreytingu. Til lengri tíma er
hagkvæmara fyrir fyrirtæki að fjárfesta í öryggisþekkingu þróunaraðila
og stuðla þannig að auknu öryggi hugbúnaðar. Við tryggjum ekki eftir á.
HVERT ÞURFUM VIÐ AÐ FARA?
Ísland er nokkrum skrefum á eftir því sem gengur og gerist í
nágrannalöndum okkar, þar sem upplýsingaöryggi er nýtt sem
viðskiptalegt tækifæri og lagt upp sem einn mikilvægasta þátturinn í
hugbúnaðarþróun. Með heildrænni innleiðingu öryggis inn í þróunarferlið
með áherslu á hag viðskiptavina, samkeppnishæfi lausnarinnar og
rekstrarhagræðingu er hægt að auka virði vörunnar og ná leiðandi
stöðu á markaðnum. Það er því kjörið tækifæri fyrir þróunaraðila að
grípa gæsina meðan hún gefst og taka skrefið í átt að auknu öryggi.
Eftirfarandi eru nokkur skref sem við hjá Syndis mælum með að aðilar í
hugbúnaðarþróun ígrundi vel á næstu misserum.
• Innleiðing öryggis í þróunarferlið frá byrjun.
• Þjálfun þróunaraðila í öruggri hugbúnaðarþróun.
• Fá óháðan þriðja aðila til þess að framkvæma öryggisúttektir á
hugbúnaði.
• Að bjóða upp á verðlaunafé (Bug Bounty ) ef utanaðkomandi
aðilar finna og tilkynna veikleika í hugbúnaðinum.
• Vera með vel skilgreint ferli við meðhöndlun öryggisveikleika sem
koma upp og tilkynna viðskiptavinum á skýran hátt og hvernig
megi bregðast við.
1 https://www.owasp.org/index.php/Main_Page
2 http://www.innanrikisraduneyti.is/media/frettir-2015/
Netoryggisstefna_2015_april.pdf
3 Ponemon Institute LLC, 2012 Application Security Gap Study: A Survey
of IT Security & Developers, PDF
4 https://en.wikipedia.org/wiki/Bug_bounty_program
MIKILVÆGI ÖRYGGIS
Í ÞRÓUNARFERLINU
Hörður E. Ólafsson, Markaðs- og viðskiptaþróun hjá Syndis