Már a szoftverfejlesztés kezdetén gondolni kellene a biztonságra

Egy egykori fejlesztő szeretné, ha a programok már a tervezésükkor biztonságosabbak lennének.

Tanya Janca kanadai IT-biztonsági tanácsadó alapította a We Hack Purple nevű céget, amely internetes tanfolyamokat, élő hackelési bemutatókat, tanácsadásokat, podcastokat és előadásokat kínál. A szakember kiemelte, hogy elvileg az alkalmazásoknak egyszerűen kellene működniük és biztonságosnak lenniük, hasonlóan a hardverekhez. De a szoftverek esetében mégsem ilyen egyszerű ez a dolog és ennek számos oka van. Az egyik az, hogy az iskolákban senki sem tanul a programozás során a biztonságról, míg a másik, hogy mindegyik alkalmazás egyedi és az alapoktól építik fel.

Janca 17 éven át volt programozó és minden hibát elkövetett, amelyet el lehetett. Ezután lett biztonsági tanácsadó, majd alapította meg a vállalkozását azért, hogy növelni tudja a tudatosságot a szoftverbiztonsági területen. A szakértő rámutatott, hogy a nem biztonságos termékek az első számú okai az adatszivárgásoknak, amelyeknél e-mail-címeket, jelszavakat, hitelkártyák adatait és más személyes információkat lopják el bűnözők, majd adnak el a feketepiacon. Mindez komoly következményekkel jár, hiszen az érintettek egyrészt anyagi kárt szenvedhetnek el, másrészt fennáll a személyazonosság-lopás veszélye is.

Az embereknek el kell kezdeniük magukat megvédeniük és ez már a programozásnál indul. A legtöbb fejlesztő biztonságos terméket akar készíteni és mindegyik azt szeretné, ha az általa megalkotott alkalmazás nagyszerű legyen, a nem biztonságos megoldások pedig nem nagyszerűek. De sokan nem tudják, hogy miként készíthetnek biztonságos rendszereket. A képességek hiányos tanítása mellett problémát jelent, hogy gyakran a vállalatok menedzsmentje sem fektet kellő hangsúlyt a biztonságra.

A helyzetet súlyosbítja az adatéhség: a programozókat sokszor arra kényszerítik, hogy olyan termékeket fejlesszenek, amely minél több fogyasztói adatot szereznek meg annak ellenére, hogy az adott szoftver működéséhez azokra nem is lenne szükség. Ezzel párhuzamosan a biztonsági funkciók integrálására akarat vagy idő hiányában nem kerül sor. Janca erre is próbál rávilágítani és ezért tartja fontosnak a vezetők felvilágosítását.

A programozó szerint megoldást jelenthet un. "biztonsági bajnokok" alkalmazása. Ezek olyan szakértők, akik csapatban dolgoznak, különleges képzést kapnak és a megszerzett tudásukat folyamatosan továbbadják. A nagyvállalatokon belül mindenkinek tudnia kell, hogy hozzájuk fordulhatnak a biztonsági kérdésekkel.

Janca dicsérte az Apple biztonsági koncepcióját, de a korlátozásokkal, például, hogy valaki csak az App Store rendszerében kínálhatja a termékét, nem ért egyet. Az alkalmazott gyakorlatot egyértelműen monopolhelyzetnek tartja, és szerinte annak semmi köze nincs a tisztességes gyakorlathoz. Ezzel szemben az Android koncepciójáról csak annyit mondott, hogy "az maga a vadnyugat". A megoldást az jelenthetné, ha mind a két platformra létezne egy alternatív szoftverbolt, amelynél a biztonság lenne az elsődleges szempont. Ez egyaránt nyereség lenne a fejlesztők és a felhasználók számára.