Proč se zabývat bezpečností?

Znáte odpověď na otázky: "Proč se mám zabývat bezpečností?", "Co mi to vůbec přinese?", "Nejsou to jen vyhozené peníze?"

Pokud provozujete systémy, které pracují s Vašimi daty nebo s daty o Vašich klientech - CRM, e-shop apod. a otázku bezpečnosti jste dosud neřešili, existují v principu 2 možnosti.

  1. Vyřešil to za Vás již někdo jiný (např. dodavatel služeb)
  2. Nikdo bezpečnost neřešil

V prvním případě můžete být relativně v klidu. Vaše webová aplikace funguje tak, jak má a navíc je již postaráno minimálně o základní bezpečnostní prvky. Neznamená to však, že ve Vaší aplikaci nejsou žádné chyby, které mohou způsobit únik dat nebo pozměnění obsahu Vašich stránek, instalaci malware apod.

Ve druhém případě je vhodné nechat si udělat alespoň základní penetrační test Vašeho serveru a aplikace a dle jeho výsledku se rozhodnout, jak dále postupovat.

Řešili jste již otázku zabezpečení Vaší webové aplikace, ale měníte provozovatele služeb?

V tomto případě byste měli zbystřit Vaši pozornost. Otázku zabezpečení Vašeho systému, či aplikace lze rozdělit na 2 části:

  1. Zabezpečení samotné webové aplikace
  2. Zabezpečení infrastruktury, ve které je Váš systém nebo aplikace provozována.

Otázku bezpečnosti Vašich systémů a aplikací je třeba vždy řešit se dvěma subjekty.

  1. Vývojářem / Návrhářem aplikace
  2. Provozovatelem Vaší aplikace

Nestačí mít pouze dobře navrženou a naprogramovanou aplikaci, rovněž je důležité ji provozovat v bezpečném prostředí. Můžete si to představit na příkladu automobilu, se kterým vždy a řádně jezdíte do servisu a pravidelně se o něj staráte, ale na druhou stranu do něj tankujete nekvalitní palivo, které způsobuje, že Váš automobil ztrácí výkon, palivová soustava se díky nekvalitnímu palivu zanáší a Vy máte s autem problémy, i když si myslíte, že se o něj vzorně staráte. Stejně tak je to i se službami Vašeho provozovatele hostingových služeb. Sebelépe naprogramovaná a bezpečná aplikace Vám bezpečnost Vašich a dat uživatelů nezajistí, pokud ji budete provozovat v prostředí, kde se na bezpečnost nedbá a útočník se k Vaším datům dostane tak, že pronikne do špatně zabezpečné infrastruktury provozovatele služeb. Tím obejde zabezpečení Vaší aplikace.

Vždy je nutné se dívat na hledisko bezpečnosti v globálním měřítku a s vhodným odstupem.

Kdy řešit bezpečnost?

SDLCNěkdo může mít mylnou představu, že bezpečnost aplikací stačí řešit až na úplném konci, tedy ve stavu, kdy je již aplikace hotová a stačí definovat patřičné „zámky“, které zamezí neoprávněnému vniknutí. To je však omyl. Pravda je taková, že čím dříve začnete řešit bezpečnost aplikace, tím lépe. Ve většině případech míra bezpečnosti aplikace přímo závisí na její architektuře a provozním prostředí.

Nejlepší způsob, jak předcházet bezpečnostním chybám v aplikaci je začlenit otázky bezpečnosti přímo do životního cyklu vývoje aplikace, tzv. Software Development Life Cycle (SDLC).