Tarkvaraarendajate töö ja turvariskid


Tarkvaraarendajate töö kui IT-turvariskide allikas

Selles postituses läheb juttu ühest kõige tähtsamatest turvariskidest. Nimelt tarkvaraarendajate ebapiisavast tähelepanust tarkvara turvalisusele ja turvalisele andmekäitlusele / andme säilitamisele tarkvaraarenduse ja projekteerimise käigus.

Kui korraks vaadelda nõrkade paroolide probleemi, oskust mitte sattuda õngitsemise ohvriks jne., siis sellega võib kasutaja ise hakkama saada ja see peaaegu täielikult sõltub temast. Peale seda, kasutaja viga tavaliselt mõjutab ainult teda ise. 

Tarkvaraarendajate poolt tehtavad vead aga võivad mõjutada paljusid inimesi ja väga kehvasti. Selle pärast see tundub minu jaoks üks suurimaid probleeme. Ja ka kasutajast siis juba midagi ei sõltu.

Arvan, et see probleem peamiselt tuleneb sellest, et tarkvaraarendajatel ei ole piisavalt teadmisi sellest, kuidas tarkvara turvaliseks teha. 

See omakorda võib tuleneda järgmistest ja veelgi rohkematest põhjustest:

  • Tänapäeval ei ole niivõrd kriitiline turvalisuse kohta teadmiste omamine. On palju raamistike, mis tegelevad sellega arendaja eest.
  • Tihti arendamine võib olla väga kiire protsess ja arendajatel / arhitektoritel ei jää piisavalt aega, et põhjalikult läbi mõelda riskid, millest jällegi ilmuvad turvaaugud.
  • Tarkvarasüsteemid võivad olla piisvalt suured, et potentsiaalseid turvaauke on raske märgata ka siis, kui arendajatel on piisavalt aega seda läbi mõelda.
  • On võimalikud ka olukorrad, kus arendajad ei tee või ei taha teha oma tööd kvaliteetselt erinevatel põhjustel ja näiteks jätavad mingi töö, mida oleks oluline teha, tegemata.

Probleemi maandamine

Kolm komponenti (Mitnicki valemi järgi) selle probleemi maandamiseks.

Tehnoloogia

Nagu varem olen juba maininud, tänapäeval lahendavad arendaja eest turvalisuse probleemi selle jaoks mõeldud tehnoloogiad. Turvalisuse ja õige andmekäitluse jaoks on olemas nii mõndagi tehnoloogiat / raamistiku jne, mida tarkvaraarendaja kasutavad oma töös. Lisaks aga, et arendaja võiks teada ka tehnoloogiatest mida kasutatakse ründamiseks ja kaitsmiseks ning nende tööpõhimõttest.

Koolitus

Sellel semestril võtsin endale küberturbe aluste aine. Ja mulle meeldis see, et selles aines kasutatakse RangeForce platvormi, mis on mõeldud interaktiivseks küberturbe õpimiseks. Ehk siis saad ise katsetada mis ja kuidas töötab. Olen sellel ainel palju teadmisi ja arusaamu omandanud sellest, kuidas ja mis kohtades tarkvaras turvaaugud võivad tekkida ja ka kuidas neid auke kasutatakse. Tänu sellisele lähenemisele on võimalik omandada selgemat pilti tarkvara turvalisusest. Nii et ma arvan, et tarkvara turvalisusega seotud koolitused peavad just nii välja nägema.

Koolitused võiksid olla regulaarsed, et arendaja omaks kaasaegseid teadmisi turvalisusest.

Reeglid

Esiteks arendajate jaoks turvalisusega seotud koolitused peaksid olema kohustuslikud.
Andmete säilitamise ja nende haldamine võiks ka omada reegleid. Näiteks paroolide hashitud kujul salvestamine tundub elementaarse asjana, kuid ka tänapäeval juhtub andmelekkeid, kus paroolid on otseselt salvestatud.

Muidu arvan, et reegleid on tänapäevaks juba piisavalt palju tehtud, ja suurem probleemi osa võiks kaduda just sobivate koolituste olemasolul.


Allikad

Kommentaarid

Postita kommentaar

Populaarsed postitused sellest blogist

Kolm põnevat IT-lahendust

Kujutis
3D-printimine – Revolutsiooniline IT lahendus 3D printimine ilmus veel eelmise sajandi lõpus. Minu meelest 3D printimise tehnoloogia on äärmiselt oluline, sest see loob palju uusi võimalusi ja toob endaga paljude olemasolevate probleemide lahendusi. Tänapäeval 3D printimine meditsiinis annab võimalust valmistada patsiendispetsiifilisi organite koopiaid, mille peal saavad kirurgid harjutada keerulisi operatsioone. Ja juba peale seda siis opereerida patsiente. Muidugi saab ka 3D printimise abil luua patsiendile sobivaid proteese. 3D printimine võimaldab seda teha kiiremini ja odavamini, kui teiste tehnoloogiate kasutamise abil. Hetkel areneb aktiivselt ka niinimetatud bioprinting, mis võimaldab päris organite printimist. Kuigi ma rõhutasin rohkem 3D printimise kasutamisest just meditsiinis, on see tehnoloogia kasutatav igal pool. Nokia N-Gage – Niivõrd enda ajast ees, et põrus põhjalikult läbi Nagu me teame, tänapäeval kasutatakse nutitelefone väga aktiivselt ka mängimiseks,
Lisateave

Kaks tehnoloogiat minevikust

Kujutis
  SMTP protokoll – mineviku tehnoloogia, mis on meie jaoks väga tähtis ka tänapäeval. SMTP, mille täisnimeks on Simple Mail Transfer Protocol ehk lihtne postiülekandeprotokoll, oli loodud veel 1982. aastal. SMTP ülesehitus põhines tollel ajal olemasolevale ARPANET-i postisüsteemile. 1990. aastatel interneti kasvu tõttu muutus ka see, kuidas inimesed kasutavad e-kirju. Vaatamata sellele, jäi SMTP laialdaselt kasutusele e-kirjade edastamiseks, ilmselt tänu oma töökindlusele, efektiivsusele ja lihtsusele.   Disketid – mineviku tehnoloogia, mida me tänapäeval näeme ainult sümbolina. Disketid ilmusid 1971. aastal ja olid muutunud nii füüsilise suuruse kui ka mahu poolest. Kõige kasutatavamad disketid võimaldasid salvestada kuni 1,44 MB andmeid, millest võivad tänapäeva tarkvaras kasutatavad salvestusikoonid irooniliselt ka rohkem kaaluda. Disketid olid aktiivselt kasutusel umbes 1990. lõpuni. Tänu sellele, et disketti kasutatakse salvestusikoonina, ei saa ka kindlalt öelda, et ole
Lisateave

Kaks väljaannet mis said erinevalt hakkama uue meediaga

Kujutis
The New York Times – ajaleht, mis kasutab uut meediat endale kasuks. The New York Times on ajakiri, mis ilmus 1851. aastal. Kuigi ajalehe vanus tundub muljetav ja ekslikult võib oletada, et nii vana ajakiri võiks jääda konservatiivselt enamasti paberi peale, ent tegelikult sai see ajaleht niinimetatud uue meediaga vägagi hästi hakkama ja tänapäevalgi kasvatab oma lugejate arvu. The New York Times ilmus veebis minu arvates piisavalt varakult ja muidugi see tingimatult peaks olema osa nende edukusest ka tänapäeval. 2023. aasta lõpuks kasvatasid nad oma e-lugejate arvu 300 000 võrra ning ootavad 2027. aastaks 15. miljoni lugejate piiri ületamist. Hetkel aga nende lugejate arv on 10. miljoni kandis. Küll aga paberkandjal nad kaotavad lugejaid (730 000 2022. aastal ja 660 000 lugejat 2023. aastal), kuid tervet pilti vaadates nii lugejate arv kui ka kasum ikka kasvavad. Vaatamata sellele, et varajane ilmumine veebis peaks olema suureks eeliseks, võib kindlalt öelda, et see kõik oleks
Lisateave