Každá aplikácia – či už ponúka preklady, zdieľané kalendáre alebo platformu na výmenu správ, by mala byť pred inštaláciou a následným používaním vo firme podrobená bezpečnostnej kontrole. Ako sa uistiť, že je aplikácia bezpečná? Daniel Chromek, riaditeľ informačnej bezpečnosti spoločnosti ESET, sa podelil o najdôležitejšie otázky, ktoré by si mal položiť každý IT špecialista pri zisťovaní úrovne zabezpečenia aplikácie.
1. Máme pripravený kontrolný zoznam?
„Keď sa snažíme zistiť, či je aplikácia alebo služba bezpečná, zvyčajne postupujeme podľa pripraveného kontrolného zoznamu,“ vysvetľuje Daniel Chromek. To je aj jeho prvá rada – pripravte si dva kontrolné zoznamy:
- jeden zahŕňajúci body, na ktoré by ste sa mali zamerať pri čítaní licenčnej dohody k aplikácii alebo zmluvy o poskytovaní služieb/podmienok služby,
- a druhý týkajúci sa samotnej aplikácie a jej používania.
Pri tvorbe prvého kontrolného zoznamu môžete vychádzať z normy ISO 27002 a v prípade druhého zoznamu zo štandardu overovania bezpečnosti (mobilných) aplikácií OWASP, ako aj zo svojich predchádzajúcich skúseností. Čo by teda mali zahŕňať? Nasledujúce otázky vám napovedia.
2. Je súčasťou zmluvy dohoda o mlčanlivosti?
Pri každej aplikácii by sa IT špecialisti mali uistiť, že zmluva zahŕňa dohodu o mlčanlivosti. „V prípade služieb býva dohoda o mlčanlivosti definovaná len vágne. Zvyčajne môžeme nájsť v zmluve všeobecnú frázu o ochrane údajov, ale ak sa chceme uistiť, že je aplikácia bezpečná, budeme potrebovať viac informácií. Ďalšie údaje možno nájsť napríklad v popise zabezpečenia aplikácie alebo v správach o bezpečnostnom audite (napríklad správa SOC2). Tie môžu IT špecialistom napovedať, čo sa deje s údajmi v aplikácii, či sú alebo nie sú šifrované a podobne,“ hovorí Chromek.
Ďalším aspektom, ktorý je potrebné vziať do úvahy v súvislosti s dohodou o mlčanlivosti, je to, čo sa stane s údajmi po ukončení používania aplikácie. „Budú aj naďalej chránené? Budú odstránené? Získa ich firma späť? To sú dôležité otázky, ktoré je potrebné zodpovedať ešte pred zisťovaním úrovne bezpečnosti aplikácie,“ dodáva riaditeľ informačnej bezpečnosti spoločnosti ESET.
Podmienky používania služby: neprečítané
Táto webová stránka (a súvisiaci plugin prehliadača) ponúka prehľad podmienok rôznych aplikácií a hodnotí ich známkami od A po F – rovnako ako v škole. Táto stránka môže byť užitočná pre používateľov aj IT správcov, a hoci by sa nemala považovať za hlavný zdroj informácií, môže čitateľom poskytnúť lepšiu predstavu o bezpečnosti aplikácie.
3. Čo sa stane, keď aplikácia zlyhá alebo dôjde k výpadku?
„Musíme si uvedomiť, že niektoré aplikácie využívajú služby, ktoré môžu zlyhať. Preto je dôležité položiť sú túto otázku: Čo sa deje s našimi údajmi, keď služba nefunguje?“ vysvetľuje Chromek. IT špecialista by mal preveriť, ako sú v zmluve riešené prípadné výpadky služby, a vyhľadať všetky správy alebo stavové stránky, ktoré by poskytovali štatistiky ukazujúce, ako často dochádza k výpadkom aplikácie a ako dlho zvyčajne trvajú.
V zmluve o poskytovaní služby by malo byť takisto uvedené, aký druh kompenzácie môžu zákazníci očakávať v prípade zlyhania služby alebo ak sa pomer funkčnosti a poruchovosti odchýli od očakávaných hodnôt. Existujú rôzne typy chýb, ktoré sa môžu v aplikácii vyskytnúť – od malých interných problémov až po veľké poruchy v oblasti kontinuity prevádzky (napríklad požiar dátového centra OVHcloud), a dokonca aj „poruchy spôsobené vyššou mocou“ (napríklad v dôsledku vojny alebo prírodných katastrof).
Určené náhrady sa v každom z týchto prípadov zvyčajne líšia a na niektoré z uvedených scenárov sa môžu vzťahovať samostatné odseky zmluvy o obmedzení zodpovednosti alebo pôsobení vyššej moci.
Výpadok služieb Atlassian v roku 2022
V apríli 2022 zaznamenala austrálska softvérová spoločnosť Atlassian výpadok, v dôsledku ktorého zákazníci nemali niekoľko týždňov prístup k jej službám. Zákazníci ju v tejto súvislosti kontaktovali, ale spoločnosť niekoľko dní poskytovala len veľmi nejasné informácie o probléme alebo možnej oprave. Nakoniec viacerí zákazníci spoločnosti Atlassian utrpeli veľké straty, ktoré im môžu byť kompenzované len vo forme kreditov/zliav na služby tejto spoločnosti. V tomto prípade je otázne, či je kompenzácia pre zákazníkov vhodná alebo dokonca žiaduca.
Zdroj: The Pragmatic Engineer, 2022.
4. Môžeme vykonať penetračné testovanie?
Aj keď podmienky poskytovania služby vyzerajú dobre, skutočný technický stav jej zabezpečenia môže byť iný. Mnohé aplikácie a služby neposkytujú vo svojich správach žiadne informácie o testovaní bezpečnosti, a okrem toho sa v podmienkach často prísne zakazujú činnosti, ktoré sú internou súčasťou testovania, napríklad pokusy o neoprávnený prístup alebo obchádzanie overovania.
Penetračné testy však môžu mať zásadný význam pri určovaní, či služba účinne chráni údaje zákazníkov alebo nie. IT špecialisti by sa preto mali pokúsiť komunikovať s vývojármi aplikácie a buď získať viac informácií o všetkých doterajších výsledkoch penetračného testovania, ktorým aplikácia prešla, alebo sa pokúsiť dospieť k individuálnej dohode, ktorá by umožnila uskutočnenie takéhoto testovania.
5. Je aplikácia vyvinutá a prevádzkovaná bezpečným spôsobom?
Vráťme sa ešte raz k tomu, že niektoré služby môžete využívať len po nainštalovaní aplikácie. IT špecialisti by mali nielen zistiť, či je samotná aplikácia bezpečná, ale sa aj uistiť, že je bezpečne vyvinutá a prevádzkovaná. Ak chcú získať tieto informácie, mali by buď vyhľadať už existujúce správy o audite, ako napríklad správa SOC2 typu II, alebo o takýto audit u nového dodávateľa požiadať.
6. Aký je plán reakcie dodávateľa na bezpečnostné incidenty?
Okrem príležitostných problémov s výpadkami môže aplikácia čeliť aj iným závažným incidentom vrátane únikov údajov. „Keď sa tak stane, musíme sa uistiť, že nás o tom bude dodávateľ informovať. Keďže firmy majú zodpovednosť voči svojim klientom, partnerom a zamestnancom, musia rýchlo reagovať na všetky incidenty,“ vysvetľuje Chromek. Ak poskytovatelia služieb spracúvajú osobné údaje, povinnosť oznámiť ich únik môže vyplývať z nariadení, ako sú GDPR alebo CCPA.
Inšpirujte sa štandardom overovania bezpečnosti aplikácií OWASP
Tento projekt buduje základné povedomie o zabezpečení webových aplikácií, ale ako vysvetľuje Daniel Chromek, je veľmi dôkladný a niektoré jeho časti sa dajú aplikovať aj na „aplikácie pre hrubé klienty“. IT špecialisti ho môžu použiť ako inšpiratívne usmernenie a vybrať si z neho niektoré body, ktoré považujú za najdôležitejšie pre svoju firmu.
7. Ako aplikácia pristupuje k duševnému vlastníctvu?
IT špecialisti by mali venovať veľkú pozornosť tomu, ako preverovaná aplikácia zaobchádza s duševným vlastníctvom. „V zmluve sa často môže uvádzať, že aplikácia nie je zodpovedná za žiadny obsah, ktorý sa do nej stiahne, čím sa poskytovatelia služieb chránia pred žalobami v súvislosti s ochranou autorských práv (napríklad podľa zákona DMCA). Takisto sa v nej môže stanovovať, že určitý obsah môže aplikácia použiť na špecifické účely, ako napríklad na “zlepšenie služieb”, čo môže viesť k vývoju konkurenčných produktov. Všetky tieto detaily je potrebné zohľadniť,“ tvrdí Chromek.
8. Aké má aplikácia oprávnenia?
Pokiaľ ide napríklad o aplikácie na výmenu správ, musia umožňovať mnoho rôznych akcií – odosielanie správ a médií, nahrávanie hovorov, dokonca aj zdieľanie polohy atď. Niektoré aplikácie však nepotrebujú toľko oprávnení: „Keď máme napríklad aplikáciu, ktorá sa zameriava na online podujatia, nemá zmysel, aby poznala vašu polohu, mala prístup k vašim hovorom, odosielaniu SMS a podobne. Skúste sa zamyslieť nad tým, čo aplikácia robí, a potom skontrolujte, či nepožaduje viac oprávnení, ako je potrebné,“ uzatvára Chromek.
Čítanie medzi riadkami
„Aplikácia alebo služba nemôže zakryť, čo robí, a zároveň zachovať kontinuitu prevádzky. Ak zhromažďuje údaje alebo zdieľa vaše informácie s inými spoločnosťami, bude to uvedené v podmienkach poskytovania služby. Aplikácia sa však niekedy môže pokúsiť ukryť dôležité informácie za všeobecné frázy, dlhé výpočty alebo doplňujúce texty napísané malým písmom. Oplatí sa dôkladne si prečítať podmienky a vyhľadať si aj iné zdroje, napríklad správy.“
Daniel Chromek, riaditeľ informačnej bezpečnosti spoločnosti ESET
