Az alkalmazásbiztonságra hívja fel a figyelmet a hazai OWASP
Se a beszállítók, se a megrendelők nem helyeznek jelenleg megfelelő hangsúlyt a biztonságos alkalmazásfejlesztésre. Ezen változtatna a hazai OWASP-tagozat, a piac edukációjával és a szakemberek képzésével, összefogásával.
Megalakult az OWASP (Open Web Application Security Project) hazai tagozata, köszönhetően néhány merész önkéntesnek. A magyar tagozat alapítói az alkalmazások biztonságossá tételére, biztonságos fejlesztésére hívnák fel a fejlesztők és a megrendelők figyelmét egyaránt. A felmérések szerint jelenleg a biztonsági költségvetések elsöprő arányát költik a cégek határvédelemre, miközben a támadásoknak már 80 százaléka az alkalmazásokat, a szoftverekben hagyott réseket célozza és nem a hagyományos hálózati infrastruktúrán keresztül érkezik.
Biztonságos fejlesztés - jó befektetés
Nemzetközi szinten már a biztonsági büdzsék 20 százalékát fordítják a cégek alkalmazásbiztonságra, elsősorban etikus hackingre, de egyre nagyobb részt kap a preventív, a fejlesztési folyamatok, eszközök, képzés oldalán történő befektetés is. Az alkalmazásbiztonság Magyarországon ma nem éri el a biztonsági költségvetések 5 százalékát sem, amivel messze elmarad az ideálistól, de a fejlettebb országoktól is. Ezen változtatna a hazai OWASP-kezdeményezés, amely két fő célt tűzött ki maga elé.
A hazai tagozat rövid távon a piac edukációjára, a figyelem felhívására helyezné a hangsúlyt. Ennek keretében egyik első lépésként IT-döntéshozók megkérdezésével szeretnének hazai adatokon alapuló felmérést végezni, amely azt vizsgálná, hogy milyen költségvonzatai lehetnek az alkalmazásbiztonság elhanyagolásának és mennyibe kerül ezzel szemben a kezdetektől biztonságos fejlesztés, így fontos, helyi relevanciájú érvhez jutna a mozgalom. A második cél létrehozni egy hazai tudásközpontot, ahol az érdeklődők és tagok elsajátíthatják a biztonságos programozáshoz szükséges ismereteket, kicserélhetik egymással tapasztalataikat, kidolgozhaznak "best practice"-eket. Ennek megfelelően magyar OWASP rendszeres képzéseket, konferenciákat szervez majd a témában és fontos szakmai fórummá nőné ki magát.
A biztonságnak ára van
Az OWASP által hirdetett biztonságos alkalmazásfejlesztés minőségibb, így drágább szoftvereket is jelent. A beszállítók számára az új fejlesztési folyamatok implementálása, az alkalmazottak képzése, esetenként új fejlesztői eszközök beszerzése jelentős költségeket okozhat, a biztonságos fejlesztés által megkövetelt további tesztelés miatt pedig az ilyen szoftverek költségei hosszabb távon is magasabbak maradnak. A különbséget a hazai OWASP-alapítók mintegy 10-15 százalékra teszik, ahogy azonban sok más minőségi különbség, a biztonságosabb szoftver megkövetelése (és megfizetése) is hasznos befektetés, hosszú távon pedig megtérülés lehet a megrendelő oldalán.
Machine recruiting: nem biztos, hogy szeretni fogod Az AI visszafordíthatatlanul beépült a toborzás folyamatába.
A cél tehát elsősorban a megrendelők figyelmének felhívása erre a tényezőre, ettől az alapítók azt remélik, hogy lassan kialakul a hazai piacon is a kereslet a biztonságosabb szoftverek iránt. Ha a kereslet megvan, a kínálat is gyorsan hozzáalakul, ez pedig a biztonsági szakemberek elemi érdeke - többek között az OWASP hazai tagozatának berúgását magukra vállaló Cloudbreaker biztonságtechnikai startup tagjaié is.
Megérett a magyar piac
A cloudbreakeres srácok nem az elsők, akik hazai OWASP-tagozatot szerettek volna alapítani, a nemzetközi szervezettel való kapcsolatfelvétel után derült ki, hogy az elmúlt években több hullámban már mások is próbálkoztak ezzel, sikertelenül. A kudarc oka az lehetett, hogy a hazai IT-biztonság egyszerűen nem volt elég érett az újabb nézőpont befogadására, a fórum körül nem alakult ki megfelelő nagyságú közösség. Az idei próbálkozás azonban már jól indult, a tegnapi első, még inkább informális találkozón a hazai biztonsági szakma jelentős része képviseltette magát, a nagyobb konferenciák szervezőitől a kisebb-nagyobb biztonsági cégekig.
A kezdeményezés egyelőre a közösség kialakításán fáradozik, emiatt egyelőre a magyar OWASP-nak bejegyzett jogi személyisége sincs, ahogy formális csatlakozásra, tagságra sincs lehetőség. A nagy érdeklődés és a pozitív visszajelzések nyomán azonban heteken-hónapokon beindulhat a közösségi munka és kialakulhat egy sikeres specializált IT-fórum Magyarországon.