Ötből négy svéd bank és pénzintézet használ ismert sebezhetőségű webtechnológiai összetevőket. Itt az ideje, hogy a pénzügyi szektor javítsa az üzleti szempontból kritikus megoldásokban használt komponensek fókuszát és felügyeletét.
Daniel Parmenvik, az IT biztonsági termékért felelős vezérigazgató szavai Bytesafe. A cég az ismert sebezhetőségű nyílt forráskódú komponensek használatát vizsgálta a Svéd Bankszövetség tagjai körében.
– „Az eredmény kiábrándító volt, és nem elég jó. Az ellenőrzött webhelyek 78 százaléka legalább egy biztonsági hibával rendelkező összetevőt használt” – mondja Daniel Parmenvik.
A fókuszban lévő technológia: JavaScript-komponensek, amelyek gyakran elavultak és elhanyagoltak. Részben a komponensek automatikus és folyamatos felülvizsgálatára vonatkozó nem megfelelő folyamatok miatt.
Valamint az átláthatóság hiánya, ahol a felelős üzleti érdekelt felek nincsenek tisztában a kockázatokkal.
– „Sok esetben a fejlesztők jó rálátással rendelkeznek arra, hogy milyen összetevőket használnak jelenleg, de a szervezetek nem rendelkeznek átfogó eszközökkel az alkalmazások időbeli kezeléséhez.
Ugyanakkor az üzleti oldalt gyakran jobban érdeklik a folyamatban lévő projektek, ahelyett, hogy időt fektetnének az IT-biztonság részleteibe” – mondja Daniel Parmenvik.
A modern alkalmazások nagy része kész komponensekből áll, amelyeket a szervezeten kívüli emberek fejlesztettek ki, leggyakrabban nyílt forráskódú komponensek formájában.
A kód újrafelhasználásának előnyei nyilvánvalóak: a költségek csökkentése és a fejlesztés ütemének felgyorsítása. Ugyanakkor kockázatot jelent a szervezet közvetlen irányításán kívül eső erőforrásokból származó külső kód újrafelhasználásakor.
– Általánosságban elmondható, hogy a szervezetek nem tudják megfelelően ellenőrizni, hogy mely komponenseket és verziókat használják alkalmazásaikban, és ezek milyen régiek. Tanulmányunkban például 12 évnél régebbi alkatrészeket találtunk, ami növeli a biztonsági problémák kockázatát” – mondja Daniel Parmenvik.
Szerinte a továbblépés a jobb rendszerek bevezetése, amelyek folyamatosan figyelik, hogy mely szoftverelemeket használnak, és figyelmeztetnek, ha új sérülékenységek jelennek meg.
– „A sebezhetőségeket idővel fedezik fel, és a szervezeteknek olyan folyamatokat és eszközöket kell bevezetniük, amelyek folyamatosan vizsgálják a komponenseket az IT-kockázatok csökkentése érdekében.
A nyilvános kódkönyvtárakból származó komponensek közvetlen használata mindenféle felügyelet nélkül nagyon káros lehet” – mondja Daniel Parmenvik.
Forrás: https://coinpedia.org/banking-finance/banks-inefficiency-into-technology/
- 7
- Hirdetés
- között
- alkalmazások
- Banking
- Banks
- üzleti
- esetek
- vezérigazgató
- kód
- vállalat
- összetevő
- kiadások
- Dev
- fejlesztők
- Fejlesztés
- felfedezett
- pénzügyi
- Pénzintézetek
- Összpontosít
- forma
- Előre
- általános
- jó
- Hogyan
- HTTPS
- ipar
- intézmények
- befektetés
- IT
- JavaScript
- nagy
- Partnerek
- ellenőrzés
- nyitva
- nyílt forráskódú
- szervezet
- szervezetek
- Emberek (People)
- Termékek
- projektek
- nyilvános
- csökkenteni
- Tudástár
- Kockázat
- biztonság
- szoftver
- Megoldások
- Tanulmány
- Systems
- Technológia
- idő
- Átláthatóság
- sérülékenységek
- háló
- honlapok
- WHO
- szavak
- év