Problemy polskich przedsiębiorstw. raport z badania
Kluczowe problemy z bezpieczeństwem aplikacji
2. Światło dziennie ujrzał raport wstępnie
podsumowujący badania dotyczące postrzegania
problemów bezpieczeństwa aplikacji przez polskich
managerów IT.
Jak istotne są to kwestie? W jaki sposób radzą sobie
w sytuacjach kryzysowych?
Oto krótkie zestawienie najważniejszych danych.
3. Kto stoi za atakami?
Badania OWASP (Open Web Application Security
Project) pokazują, że osobami stojącymi za cyber
atakami na strony firmowe są najczęściej hakerzy
amatorzy. Dopiero na drugim miejscu wymieniane są
grupy przestępcze i zawodowi oszuści. Co ciekawe,
na trzecim miejscu wśród atakujących znaleźli się
pracownicy firmy.
4. Źródło: OWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
http://www.slideshare.net/wojdwo/owasp-ciso-survey-2014-wstpne-wyniki-badania-
w-polsce
5. Jakie są źródła zagrożeń?
Kolejną część badań poświęcono na zdiagnozowanie
najczęstszych przyczyn występowania kryzysów
bezpieczeństwa aplikacji. Okazało się, że kluczową rolę
odgrywa brak świadomości i wiedzy w tym zakresie
wśród pracowników firmy. Drugim, równie istotnym,
źródłem ryzyka jest niebezpieczny kod źródłowy
strony. Jako kolejne wymieniane są brak kompetencji
w zespole oraz brak funduszy na inicjatywy, które
mogłyby te kompetencje podnieść.
6. Źródło: OWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
http://www.slideshare.net/wojdwo/owasp-ciso-survey-2014-wstpne-
wyniki-badania-w-polsce
7. Jakie są najczęstsze skutki ataków?
Rodzaj szkód poniesionych w wyniku cyber ataku to
kolejna z przebadanych kwestii. Wyniki jednoznacznie
wskazują, że najczęstszym problemem,
z jakim przyszło się zmagać zaatakowanym, była
przerwa w działaniu aplikacji. Bolesne są również
utrata danych i reputacji oraz odczuwalne straty
finansowe. Wymienione wyżej straty są często bardzo
trudne do zrekompensowania, a koszt naprawy
wyrządzonych szkód jest zazwyczaj dość wysoki.
8. Źródło: OWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
http://www.slideshare.net/wojdwo/owasp-ciso-survey-2014-wstpne-
wyniki-badania-w-polsce
9. Jak firmy podchodzą do kwestii bezpieczeństwa?
W obliczu ww. danych zaskakujący jest fakt, że aż 50%
ankietowanych przyznaje, że nie zamierza wprowadzać
żadnych zmian w dotychczasowych działaniach
związanych z bezpieczeństwem stron firmowych.
Jedynie 43% deklaruje zwiększenie budżetów
przeznaczanych na te cele.
10. Biorąc pod uwagę, że niebezpieczny kod źródłowy
strony jest wskazywany jako jedno z głównych źródeł
zagrożenia, zaskakujący jest fakt, że jedynie sześć na
dziesięć firm decyduje się na korzystanie ze skanerów
podatności. A jest to narzędzie skutecznie
wspomagające pracę nad bezpieczeństwem strony
www.
11. Źródło: OWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
http://www.slideshare.net/wojdwo/owasp-ciso-survey-2014-wstpne-
wyniki-badania-w-polsce
12. Jak przeciwdziałać cyber atakom?
Krokiem koniecznym do wykonania jest po prostu
wprowadzenie odpowiednich dla danej strony www
zabezpieczeń. Jest to jednak niemożliwe w sytuacji
kiedy nie mamy świadomości na temat czyhającego
zagrożenia i nikt w zespole nie dysponuje
wystarczającą wiedzą, aby podjąć działania naprawcze
np. w kodzie strony.
13. Nasze działania muszą zmierzać w jednym kierunku -
odcięcia hakerom drogi dostępu do przechowywanych
danych. Punktem wyjścia powinna być analiza
podatności na ataki zewnętrzne. Bez tych danych nie
jesteśmy w stanie opracować odpowiedniego planu
naprawczego. Dopiero taka wiedza pozwoli nam
zaplanować wprowadzenie odpowiednich
zabezpieczeń.
14. DZIĘKUJEMY ZA UWAGĘ
Opracowanie Breachcomber by Hostersi na podstawie
wstępnych wyników polskiego badania OWASP CISO Survey 2014:
http://www.slideshare.net/wojdwo/owasp-ciso-survey-2014-
wstpne-wyniki-badania-w-polsce