Klíčové systémy potřebují proaktivní přístup

DORA: Klíčové systémy potřebují proaktivní přístup

Bleskurychlý vývoj a nebezpečí číhající na každém roku. Kyberprostor je místem, kde dnes mohou společnosti lusknutím prstu ztratit – v tom možná ještě lepším případě – dobrou pověst. V tom horším prakticky vše. Tato rizika nezůstávají bez povšimnutí na odpovědných místech, evolucí proto už delší dobu prochází také regulace kybernetické bezpečnosti. Na půdě Evropské unie tak už jen pár měsíců dělí aktéry finančního trhu od povinného splnění požadavků nařízení DORA. A v tomto případě rozhodně není na místě spoléhat na povinné minimum. 

Nařízení DORA (Digitální operační odolnost) vstoupilo v platnost 25. listopadu 2022 s cílem posílit kybernetickou odolnost finančního sektoru Evropské unie. V dnešním digitálním světě závislém na online prostředí se ochrana dat a činností organizace (procesů, služeb) stává životně důležitou pro chod celého finančního sektoru.

Kybernetické hrozby nabývají na síle a sofistikovanosti, a proto je nezbytné, aby finanční instituce posílily svou kybernetickou odolnost. Toto nařízení představuje ambiciózní snahu o posílení zmíněné odolnosti finančních institucí v Evropské unii a zavádí komplexní rámec pro řízení digitálních operačních rizik. Organizace, pro které je toto nařízení relevantní (zejména banky a pojišťovny) musí splnit požadavky DORA už do 17. ledna 2025.

Zatímco nařízení cílí na provozní a infrastrukturní odolnost, je nezbytné zdůraznit, že bezpečnost aplikací hraje klíčovou roli v celkové odolnosti organizace. V tomto článku se budeme zabývat propojením DORA a bezpečného vývoje softwaru a zdůrazníme, proč je nutné integrovat oba přístupy pro dosažení trvalé kybernetické odolnosti.

DORA se zaměřuje na odolnost infrastruktury, která zahrnuje systémy, sítě a hardware kritické pro finanční služby. Nicméně pro dosažení trvalé a komplexní kybernetické odolnosti je nezbytné, aby organizace myslely i na oblast vývoje softwaru a řízení kybernetických rizik. Naše studie z roku 2023 ukazuje, že organizace se potýkají v průměru se 44 významnými kybernetickými incidenty ročně, přičemž 62 % incidentů vniknutí do systému v roce 2021 bylo způsobeno dodavatelskými řetězci.  

V této souvislosti vyvstává otázka: Nakolik si finanční instituce uvědomují, že aplikace, často vyvíjené v oddělených dceřiných společnostech nebo externími firmami, bývají nejčastějším vstupním bodem pro útočníky?  

Vždyť moderní aplikace se spoléhají na externí komponenty a knihovny, jejichž zabezpečení nemusí být vždy dostatečné. Existuje hned několik faktorů, které přispívají k vysokému počtu kybernetických incidentů začínajících narušením aplikace:

1. Komplexnost aplikací: Moderní aplikace jsou složité systémy skládající se z mnoha komponent, knihoven a rozhraní API. Tato komplexnost otevírá dveře pro chyby a zranitelnosti, které mohou útočníci zneužít k získání přístupu k datům a systémům.

2. Rychlý vývoj aplikací: V dnešním dynamickém prostředí se aplikace vyvíjejí a nasazují rychleji než kdy dříve. To může vést k zanedbání bezpečnostních aspektů, a do produkčního prostředí se tak dostanou aplikace s neznámými zranitelnostmi.

3. Nedostatečná standardizace: V oblasti vývoje softwaru existuje mnoho různých programovacích jazyků, platforem a rámců. Tato absence standardizace ztěžuje implementaci konzistentních bezpečnostních opatření a zvyšuje riziko zranitelností.

4. Nedostatečné testování: Neúplné nebo nedostatečné testování aplikací může vést k tomu, že se zranitelnosti neodhalí a zůstanou skryté až do doby, kdy je zneužije útočník.

5. Nedostatečné povědomí o bezpečnosti: Mnoho vývojářů a IT profesionálů nemá dostatečné znalosti o kybernetických hrozbách a nejlepších bezpečnostních postupech. To může vést k chybám v kódu a implementaci bezpečnostních opatření, která nejsou dostatečně robustní.

7. Cílení útočníků: Aplikace představují pro útočníky atraktivní cíl, protože často obsahují citlivá data, jako jsou osobní údaje, finanční informace nebo obchodní tajemství. Útočníci investují značné úsilí do vývoje nástrojů a technik pro zneužití zranitelností v aplikacích.

Nesoustřeďte se jen na povinné minimum

Nařízení DORA zdůrazňuje rizikově orientovaný přístup ke kybernetické bezpečnosti, a to i v oblasti aplikací. Společnosti musí aktivně vyhledávat a analyzovat vlastní zranitelnosti a potenciální kybernetické hrozby. Kritické aplikace musejí procházet „threat-led penetration“ testy. Tyto testy zahrnují definování scénářů hrozeb, které by mohly ohrozit aplikaci a následné testování definovaných scénářů hrozeb simulovanými útoky. Testy se provádí dle předepsané metodiky a slouží k odhalení reálných zranitelností, které by mohl útočník zneužít. 

Mnoho firem se dle našeho očekávání bude soustřeďovat na plnění minimálních požadavků DORA, je ale vhodné neopomíjet základní principy bezpečného vývoje software. Penetrační testování produkční aplikace odhalí chyby, ale nebrání jejich vzniku. Aplikace s inherentními zranitelnostmi bude vždy náchylná k útokům. Oprava chyb po nasazení je mnohem dražší a zdlouhavější než jejich prevence. 

Zaměření se na bezpečný vývoj naproti tomu přináší řadu benefitů. Bezpečnostní principy zabudované do vývojového procesu minimalizují rizika zranitelností a zneužití. Rychlejší a snazší oprava chyb v raných fázích vývoje vede k nižším nákladům. Software vyvinutý s ohledem na bezpečnost je odolnější vůči kybernetickým útokům. Je to jako stavět dům na pevných základech, místo abychom se snažili opravovat trhliny ve zdech až po nastěhování.

Společnosti by se měly zaměřit nejen na testování, ale i na podporu bezpečného vývoje software. To znamená investovat do implementace principů Secure Software Development Lifecycle (SSDLC), nebo požadovat od svých dodavatelů, aby při vývoji software využívali tento přístup. Investice do bezpečného vývoje aplikací je spolu s požadavky DORA klíčovým krokem k dosažení vysoké odolnosti společností vůči kybernetickým hrozbám, a tím minimalizaci kybernetických rizik. Nařízení DORA představuje bezesporu důležitý krok k dosažení odolnosti provozu v digitálním světě, ovšem zaměřením se na prevenci, namísto hašení požárů, si firmy ušetří čas, peníze a zajistí si větší klid v digitálním světě.

Co je to bezpečný vývoj aplikací a jak na něj?

Zjednodušeně řečeno, bezpečný vývoj aplikací (SSDLC – Secure Software Development Lifecycle) znamená, že bezpečnostní opatření jsou integrována do každé fáze vývoje, od plánování a návrhu až po testování a nasazení.

Jak na to

Jak na to

 

1. Integrace bezpečnosti do celého životního cyklu vývoje: Bezpečnost by neměla být dodatečnou úvahou, ale nedílnou součástí vývojového procesu od samého začátku. To znamená zahrnout bezpečnostní požadavky do analýzy, návrhu, implementace, testování i nasazení aplikace.

 

 

2. Dodržování zásad Secure Software Development Lifecycle: SSDLC je soubor osvědčených principů a praxí, které pomáhají omezit rizika a zranitelnosti. Mezi klíčové patří minimalizace útočné plochy, bezpečné výchozí nastavení, princip nejmenšího oprávnění, obrana do hloubky a další.

 

 

3. Využití pokročilých nástrojů a technik: Moderní vývoj softwaru se opírá o širokou škálu nástrojů pro statickou a dynamickou analýzu kódu (SAST, DAST), testování zranitelností (penetrační testování, fuzzing) a automatizaci bezpečnostních kontrol.

 

4.  Neustálé vzdělávání a adaptace na nové hrozby: Kybernetické hrozby se bez přestání vyvíjejí, proto je důležité sledovat nejnovější trendy, vzdělávat vývojáře a implementovat opatření pro zmírnění rizik.

  1. Integrace bezpečnosti do celého životního cyklu vývoje: Bezpečnost by neměla být dodatečnou úvahou, ale nedílnou součástí vývojového procesu od samého začátku. To znamená zahrnout bezpečnostní požadavky do analýzy, návrhu, implementace, testování i nasazení aplikace.

  2. Dodržování zásad Secure Software Development Lifecycle: SSDLC je soubor osvědčených principů a praxí, které pomáhají omezit rizika a zranitelnosti. Mezi klíčové patří minimalizace útočné plochy, bezpečné výchozí nastavení, princip nejmenšího oprávnění, obrana do hloubky a další.

  3. Využití pokročilých nástrojů a technik: Moderní vývoj softwaru se opírá o širokou škálu nástrojů pro statickou a dynamickou analýzu kódu (SAST, DAST), testování zranitelností (penetrační testování, fuzzing) a automatizaci bezpečnostních kontrol.

  4. Neustálé vzdělávání a adaptace na nové hrozby: Kybernetické hrozby se bez přestání vyvíjejí, proto je důležité sledovat nejnovější trendy, vzdělávat vývojáře a implementovat opatření pro zmírnění rizik.

Učení se z chyb

Analýza případových studií kybernetických incidentů nám ukazuje, jak důležité je včas identifikovat a opravit zranitelnosti. Mnoho firem se potýká s propastí mezi vývojem a provozem, což může vést k opakování stejných chyb. Proto je důležité zajistit efektivní komunikaci a spolupráci mezi týmy.

Budoucnost bezpečného vývoje

Svět technologií se neustále vyvíjí a s ním i kybernetické hrozby. Firmy musí být připraveny na nové technologie a trendy a neustále investovat do bezpečnosti svých aplikací.

Shrnutí

Bezpečný vývoj aplikací je komplexní proces, který vyžaduje spolupráci celého týmu a využití vhodných nástrojů a technik. Investice do bezpečnosti se však firmám vyplatí, protože pomáhají předcházet nákladným a reputačně škodlivým kybernetickým incidentům.

O tomto článku

Související zprávy

Nová směrnice společné úrovně kybernetické bezpečnosti v EU NIS2 přichází

Širší okruh institucí, organizací a firem začínápřipravovat náležité kroky tak, aby jimi zajistily svou kybernetickou odolnost.

Jan Pich + 1