פרשנות
אם אבטחת סייבר לא תתחיל ב-DevOps, לא ננצח את ההאקרים
בדיקה שערכה קומסק גילתה שעל אף הצמיחה במודעות לסיכוני אבטחת מידע, כבר 10 שנים ששיעור פרצות האבטחה נשאר כשהיה. אם מפתחים לא ילמדו לבנות מוצרים מכווני-אבטחה מראשיתם, ההאקרים ימשיכו לנצח
ריבוי מקרי מתקפות הסייבר וחומרתן בשנים האחרונות העלו את המודעות לסכנה שבפרצות אבטחה, אך בדיקה שערכה חברת קומסק מראה כי למרות המאמצים, שיעורי הפרצות נותרים פחות או יותר זהים.
- ייזהר הגולש: אפליקציית ווטסאפ נגועה ומזויפת זכתה למיליון הורדות
- חוקר סייבר ישראלי חשף פרצת אבטחה מסוכנת בפייסבוק
- האקר סורי השיג אלפי מספרי אשראי פעילים של ישראלים
"בדיקה שעשינו העלתה שגם היום 70%-80% מהמערכות שאנחנו בודקים - מערכות אינטרנט, רשתות ותשתיות שונות - מכילות פרצות משמעותיות ברמת חומרה גבוהה ומעלה", אמר גיל כהן, סמנכ"ל טכנולוגיות בחברת ייעוץ אבטחת המידע הוותיקה.
לדבריו, מדובר בשיעורים זהים לאלה שנמצאו בבדיקות קודמות שערכה החברה בקרב לקוחותיה מאז 2010: "היינו מצפים שמספר זה יירד עם הזמן והמודעות שהולכת וגוברת, אך המספרים דומים מאוד לשנים קודמות ואין שינוי משמעותי בנושא".
איך ייתכן שבתקופה שבה מתקפות הסייבר הולכות וגוברות שיעורי הפרצות כמעט ולא משתנים? הסברה שמעלה כהן, ושזוכה להסכמה בקרב רבים בענף הסייבר, היא שמדובר בבעיה בסיסית בהכשרת מפתחי תוכנה. "המודעות לסייבר ולבעיות אבטחת מידע עולה, אך עם זאת באופן אבסורדי ברוב רובם של מוסדות ההשכלה הגבוהה לא מלמדים סטודנטים למדעי המחשב, תוכניתנים לעתיד, דבר על אבטחת מידע ופיתוח מאובטח", אמר.
בעבר השתמשו ארגונים ועסקים במוצרי תוכנה שהותקנו על המחשבים במשרדים, אך עם חדירת האינטרנט ומחשוב הענן רבות מהתוכנות העסקיות המורכבות הוחלפו בכלי תוכנה ייעודיים שמשמשים למטרות ספציפיות. גישה זו לפיתוח תוכנה, שמכונה DevOps, מעניקה גמישות בהתאמת כלי התוכנה לצרכים המיידיים של העסק, ומאפשרת להשיק תכונות חדשות ולהטמיע אותן במוצרים שלו במהירות. למשל, להוסיף תכונת זיהוי צ'קים במצלמת הסמארטפון באפליקציה של בנק.
הבעיה היא שמפתחי אותן תכונות לא יודעים להטמיע בהן דרישות אבטחת מידע, בגלל שההכשרה שלהם לא כללה את המיומנויות האלו. מוסדות ההשכלה הגבוהה מפרידים בין מקצועות הסייבר למקצועות פיתוח התוכנה. התוצאה היא פרצות אבטחה שהאקרים מיומנים מאתרים ורותמים לצורכיהם. על פניו מדובר בבעיה שקל לפתור: כל שנדרש הוא להביא בחשבון את דרישות הסייבר כבר בשלבי הפיתוח הראשוניים. רק צריך ללמד את המפתחים לעשות זאת.