Temat na topie

Coraz większa ilość osób korzysta z aplikacji na swoich smartfonach – z tzw. apps. Większość dostawców korzysta z możliwości oferowania swoich usług poprzez aplikacje na smartfony. Ostatnimi czasy 25 miliardów aplikacji zostało ściągniętych z app store jednego z dużych dostawców.

Jednakże, częstokroć z obaw o bezpieczeństwo tychże aplikacji, jako że podległe platformy – np. systemy operacyjne smartfonów – są tak samo niezabezpieczone jak systemy operacyjne na komputerach osobistych, usługodawcy zwlekają, czy też nie są zdecydowani implementować procesy biznesowe w takich aplikacjach (app).

Regularnie publikowane są tak zwane „exploity”, które ugruntowują ten pogląd na bezpieczeństwo aplikacji na smartfonach. Z tego też powodu użytkownicy zachowują szczególna ostrożność, zwłaszcza jeżeli usługa jest bezpośrednio lub pośrednio związana z transakcjami finansowymi.

Dla dostawców, którzy chcą dostarczać swoje usługi poprzez chmurę apps, istnieją jednak sposoby radzenia sobie z zagadnieniami dotyczącymi bezpieczeństwa. Z jednej strony usługodawca może ustanowić bezpieczną infrastrukturę w tle, jak np. obsługa aplikacji i regularna ich aktualizacja lub ograniczyć oferowanie aplikacji jedynie do wybranych rynków.

Z drugiej strony dostawca może poprosić o przeprowadzenie kontroli bezpieczeństwa. Nie jest powszechnie znane, że twórcy platform przygotowali przewodniki dla bezpiecznej implementacji aplikacji. Jeżeli zalecenia zawarte w przewodnikach są przestrzegane, istnieje możliwość skutecznego zabezpieczenia aplikacji przed skutkami exploita. Dodatkowo, istnieją również publikacje zawierające wskazówki, jak bezpiecznie zaimplementować daną aplikację.

Wszystkie te przewodniki bezpieczeństwa pozwalają na przeprowadzenie kwalifikowanej oceny bezpieczeństwa przez niezależną trzecią stronę. Inny, profesjonalny aspekt uzupełnia weryfikującą ocenę aplikacji, pozwalając stwierdzić, czy procesy, mające znaczenie dla jej bezpieczeństwa, zostały wdrożone zgodnie ze specyfikacją.

Wynikiem takiej ewaluacji nie jest otrzymanie zapewnienia o stuprocentowym bezpieczeństwie, lecz umożliwienie usługodawcy i użytkownikowi znacznie bardziej dokładnego oszacowania pozostałych (zredukowanych) ryzyk.

Czy są Państwo zainteresowani niezależną oceną swoich aplikacji? Chcą się Państwa dowiedzieć, w jaki sposób SRC może Państwa wesprzeć w tym procesie? Jakie profity daje taka ocena? Jak jest ona przeprowadzana i co musi być przygotowane? Zapraszamy do kontaktu z nami (app-security[at]src-gmbh.de).