מחקר: שני שלישים מהארגונים שמפתחים אפליקציות מובייל – לא דואגים לאבטחה
על פי המחקר, שערך מכון פונמון בשיתוף יבמ, מרבית הארגונים לא מבצעים את הבדיקות הנחוצות - בגלל המשתמשים או רצון להגיע מהר לשוק
ארגונים רבים מעמידים את אפליקציות המובייל אותן הם מפתחים בסכנה, בגלל הלקוחות או הרצון להוציא אותן כמה שיותר מהר – כך עולה ממחקר חדש שערך מכון פונמון (Ponemon Institute) בשיתוף יבמ (IBM).
על פי הנתונים, רמת האבטחה באפליקציות המובייל של 65% מהארגונים עומדת לעתים קרובות בסכנה, בגלל דרישות או צרכים המועלים מכיוון המשתמשים. 77% מהארגונים מציינים כי "הדחף להפיץ" את האפליקציה מהווה סיבה מרכזית לקיום קוד פגיע באפליקציות מובייל.
המחקר מעלה כי כ-40% מהחברות הגדולות, ובכללן רבות מהחברות הכלולות ברשימת פורצ'ן 500 (Fortune 500), לא נוקטות בצעדי הזהירות המתחייבים על מנת לאבטח את היישומים הללו. עוד גילו החוקרים כי ארגונים נכשלים בהגנה על הרשתות הפנימיות שלהם מפני סכנות שנולדות בעידן בו משתמשים עובדים במכשיר המובייל הפרטי שלהם. כך, בשל מימוש מגמת ה-BYOD, ארגונים נחשפים למתקפות סייבר שמנצלות את "הדלת הפתוחה" של המכשירים הפרטיים, שאינם מאובטחים כראוי.
החוקרים בחנו את נהלי האבטחה ב-400 ארגונים גדולים בכל העולם ומצאו כי הארגון הממוצע בודק פחות ממחצית מאפליקציות המובייל שלו בניסיון לאתר סיכוני אבטחה. 33% מהארגונים כלל לא עושים זאת ומאפשרים בכך היווצרות מאגר רחב היקף של נקודות פריצה אפשרויות אל הרשת הארגונית. יתירה מזאת, חצי מהארגונים כלל לא מקצים תקציבים לאבטחת מובייל.
היקף ההוצאה הממוצעת על פיתוח אפליקציות מובייל בארגונים עומד על 34 מיליון דולר. עם זאת, רק 5.5% מהכספים האלה מופנים על מנת לוודא שיישומי המובייל מוגנים מפני מתקפות סייבר, עוד לפני שהם ניתנים להורדה.
סריקות אבטחה – בשלב מאוחר מדי
הדו"ח מגלה כי ארגונים נוטים להעדיף על פני שיקולי האבטחה את מהירות היציאה לשוק של האפליקציות ואת שיקולי חוויית המשתמש. רבים מהם מבצעים סריקות לאיתור כשלי אבטחה רק בשלב מאוחר מדי של תהליך הפיתוח, אם בכלל. פרצות האבטחה הנותרות פתוחות לרווחה מאפשרות גניבה של מידע סודי ונתונים פרטיים. על פי דו"ח של צוות X-Force, שפועל במסגרת יבמ לניטור סיכוני אבטחה, במהלך 2014 נחשפו כתוצאה ממתקפות סייבר יותר ממיליארד פרטי מידע אישי ונתוני זיהוי משתמשים.
יצוין כי גם החברות שמבצעות בדיקות אבטחה של יישומי המובייל שלהן לפני פריסתם והפעלתם המלאה לא עושות זאת במידה מספקת: רק 15% מהן מבצעות את הבדיקות בתכיפות הנדרשת.
על פי הענק הכחול, אתגר ה-BYOD חמור במיוחד, לנוכח ממצאי המחקר הנוכחי, שמראים שאפליקציות שנוצרו על ידי ארגונים אמינים וזמינות במסגרת חנויות האפליקציות המסורתיות עלולות לכלול איומי אבטחה חמורים.
הנתונים מעלים כי רוב העובדים מדווחים אמנם על עצמם כ-"משתמשים כבדים באפליקציות", אך למרות זאת, 55% מהם מדווחים כי אין לארגוניהם מדיניות שמגדירה כללי שימוש מקובלים לאפליקציות מובייל במסגרת העבודה. 67% מהחברות מתירות לעובדיהן להוריד אפליקציות לא בדוקות למכשיר הפרטי שלהם, שמשמש גם לצרכי עבודה, ו-55% מהם מתירים לעובדים להוריד אפליקציות עבודה למכשירם הפרטי.
אם זה נכון - זה עצוב מאוד. זה אומר שאנשים מזלזלים מאוד בצרכנים שלהם וזה משהו שצריך להדאיג כל אחד. חבל שאין דירוג אבטחה לאפליקציות ואולי כדאי ליזום אחד כזה לרווחת הציבור.