אתר זה עושה שימוש בעוגיות על מנת להבטיח לך את חוויית הגלישה הטובה ביותר.
אם אבטחת סייבר לא תתחיל ב-DevOps, לא ננצח את ההאקרים

פרשנות

אם אבטחת סייבר לא תתחיל ב-DevOps, לא ננצח את ההאקרים

בדיקה שערכה קומסק גילתה שעל אף הצמיחה במודעות לסיכוני אבטחת מידע, כבר 10 שנים ששיעור פרצות האבטחה נשאר כשהיה. אם מפתחים לא ילמדו לבנות מוצרים מכווני-אבטחה מראשיתם, ההאקרים ימשיכו לנצח

12.11.2017, 17:11 | רפאל קאהאן

ריבוי מקרי מתקפות הסייבר וחומרתן בשנים האחרונות העלו את המודעות לסכנה שבפרצות אבטחה, אך בדיקה שערכה חברת קומסק מראה כי למרות המאמצים, שיעורי הפרצות נותרים פחות או יותר זהים.

קראו עוד בכלכליסט

"בדיקה שעשינו העלתה שגם היום 70%-80% מהמערכות שאנחנו בודקים - מערכות אינטרנט, רשתות ותשתיות שונות - מכילות פרצות משמעותיות ברמת חומרה גבוהה ומעלה", אמר גיל כהן, סמנכ"ל טכנולוגיות בחברת ייעוץ אבטחת המידע הוותיקה.

לדבריו, מדובר בשיעורים זהים לאלה שנמצאו בבדיקות קודמות שערכה החברה בקרב לקוחותיה מאז 2010: "היינו מצפים שמספר זה יירד עם הזמן והמודעות שהולכת וגוברת, אך המספרים דומים מאוד לשנים קודמות ואין שינוי משמעותי בנושא".

איך ייתכן שבתקופה שבה מתקפות הסייבר הולכות וגוברות שיעורי הפרצות כמעט ולא משתנים? הסברה שמעלה כהן, ושזוכה להסכמה בקרב רבים בענף הסייבר, היא שמדובר בבעיה בסיסית בהכשרת מפתחי תוכנה. "המודעות לסייבר ולבעיות אבטחת מידע עולה, אך עם זאת באופן אבסורדי ברוב רובם של מוסדות ההשכלה הגבוהה לא מלמדים סטודנטים למדעי המחשב, תוכניתנים לעתיד, דבר על אבטחת מידע ופיתוח מאובטח", אמר.

לאבטח את השרתים, עוד ברמת קוד המקור, צילום: Commvault לאבטח את השרתים, עוד ברמת קוד המקור | צילום: Commvault לאבטח את השרתים, עוד ברמת קוד המקור, צילום: Commvault

בעבר השתמשו ארגונים ועסקים במוצרי תוכנה שהותקנו על המחשבים במשרדים, אך עם חדירת האינטרנט ומחשוב הענן רבות מהתוכנות העסקיות המורכבות הוחלפו בכלי תוכנה ייעודיים שמשמשים למטרות ספציפיות. גישה זו לפיתוח תוכנה, שמכונה DevOps, מעניקה גמישות בהתאמת כלי התוכנה לצרכים המיידיים של העסק, ומאפשרת להשיק תכונות חדשות ולהטמיע אותן במוצרים שלו במהירות. למשל, להוסיף תכונת זיהוי צ'קים במצלמת הסמארטפון באפליקציה של בנק.

הבעיה היא שמפתחי אותן תכונות לא יודעים להטמיע בהן דרישות אבטחת מידע, בגלל שההכשרה שלהם לא כללה את המיומנויות האלו. מוסדות ההשכלה הגבוהה מפרידים בין מקצועות הסייבר למקצועות פיתוח התוכנה. התוצאה היא פרצות אבטחה שהאקרים מיומנים מאתרים ורותמים לצורכיהם. על פניו מדובר בבעיה שקל לפתור: כל שנדרש הוא להביא בחשבון את דרישות הסייבר כבר בשלבי הפיתוח הראשוניים. רק צריך ללמד את המפתחים לעשות זאת.

תגיות