Чотири з п’яти шведських банків і фінансових установ використовують компоненти веб-технологій із відомими вразливими місцями. Фінансовій індустрії настав час зосередитися на контролі компонентів, які використовуються в критично важливих для бізнесу рішеннях.
Слова Даніеля Парменвіка, генерального директора та відповідального за продукт безпеки ІТ Bytesafe. Компанія перевірила використання компонентів з відкритим кодом із відомими вразливими місцями серед членів Шведської банківської асоціації.
– Результат був невтішним і недостатньо хорошим. Приблизно 78 відсотків перевірених веб-сайтів використовували принаймні один компонент із недоліками безпеки», — каже Даніель Парменвік.
Технологія в центрі уваги: компоненти JavaScript, які часто є застарілими та нехтованими. Частково через неадекватні процеси автоматичного та постійного перегляду компонентів.
А також відсутність прозорості, коли зацікавлені сторони бізнесу, які несуть відповідальність, не знають про ризики.
– «У багатьох випадках розробники добре розуміють, які компоненти зараз використовуються, але організаціям бракує загальних інструментів для керування програмами з часом.
У той же час бізнес часто більше зацікавлений у прогресуючих проектах, а не витрачає час на деталі ІТ-безпеки», – говорить Даніель Парменвік.
Значна частина сучасних програм складається з готових компонентів, розроблених людьми за межами організації, найчастіше у формі компонентів з відкритим кодом.
Переваги повторного використання коду очевидні: зниження витрат і прискорення темпів розробки. У той же час це створює ризик при повторному використанні зовнішнього коду з ресурсів поза прямим контролем організації.
– «Загалом організаціям бракує належного контролю над тим, які компоненти та версії використовуються в їхніх програмах і скільки їм років. У нашому дослідженні, наприклад, ми виявили компоненти, яким було понад 12 років, що збільшувало ризик проблем із безпекою», — каже Даніель Парменвік.
За його словами, шлях вперед полягає у впровадженні кращих систем, які постійно відстежують, які компоненти програмного забезпечення використовуються, і попереджають про появу нових вразливостей.
– «Уразливості виявляються з часом, і організації повинні впроваджувати процеси та інструменти, які постійно перевіряють компоненти, щоб зменшити ІТ-ризики.
Використання компонентів безпосередньо з загальнодоступних бібліотек коду без будь-якого контролю може бути дуже шкідливим», – каже Даніель Парменвік.
Джерело: https://coinpedia.org/banking-finance/banks-inefficiency-into-technology/
- 7
- реклама
- серед
- застосування
- Banking
- Банки
- бізнес
- випадків
- Генеральний директор
- код
- компанія
- компонент
- витрати
- DEV
- розробників
- розробка
- відкритий
- фінансовий
- Фінансові установи
- Сфокусувати
- форма
- Вперед
- Загальне
- добре
- Як
- HTTPS
- промисловість
- установи
- інвестування
- IT
- JavaScript
- великий
- члени
- моніторинг
- відкрити
- з відкритим вихідним кодом
- організація
- організації
- Люди
- Product
- проектів
- громадськість
- зменшити
- ресурси
- Risk
- безпеку
- Софтвер
- Рішення
- Вивчення
- Systems
- Технологія
- час
- прозорість
- Уразливості
- Web
- веб-сайти
- ВООЗ
- слова
- років