Před instalací by každá aplikace používaná zaměstnanci měla projít bezpečnostní kontrolou – ať už se jedná o překladatelské aplikace, sdílené kalendáře nebo platformy pro zasílání zpráv. Jak se ujistit, že je aplikace bezpečná? Daniel Chromek, Chief Information Security Officer společnosti ESET, se podělil o nejdůležitější otázky, které by si měl každý IT specialista položit při určování zabezpečení aplikace.
1) Máme připravený checklist?
„Když se snažíme zjistit, zda je aplikace nebo služba bezpečná, obvykle postupujeme podle připraveného checklistu,“ vysvětluje Chromek. To je také jeho první rada – připravte si dva checklisty:
- jeden zaměřený na to, co je třeba hledat v licenčním ujednání aplikace nebo ve smlouvě/podmínkách služby;
- a druhý týkající se samotné aplikace a jejího používání.
První seznam může vycházet z normy ISO 27002 a druhý ze standardu OWASP pro ověřování bezpečnosti (mobilních) aplikací a také z vlastních předchozích zkušeností. Co by měly obsahovat? Napovědět vám mohou následující otázky.
2) Je ve smlouvě obsažena dohoda o mlčenlivosti?
U každé aplikace by se IT specialisté měli ujistit, že smlouva obsahuje dohodu o mlčenlivosti (NDA). „Z hlediska služeb je NDA často definována jen vágně. Obvykle najdeme obecnou frázi o ochraně údajů, ale pokud chceme mít jistotu, že je aplikace bezpečná, možná budeme muset vyhledat více informací. Více informací může být uvedeno například v popisu zabezpečení aplikace nebo v reportech z auditu bezpečnosti (např. SOC2 report). Ty mohou IT specialistům napovědět, co se s daty v aplikaci děje, zda jsou šifrovaná či nikoliv a podobně,“ říká Chromek.
Dalším aspektem, který je třeba vzít v úvahu, pokud jde o NDA, je co se stane s daty po ukončení používání aplikace. „Budou i nadále chráněna? Budou smazána? Získá je společnost zpět? To jsou důležité otázky, které je třeba zodpovědět před určením bezpečnosti aplikace,“ dodává Chromek.
Podmínky služby: Nečetl jsem
Webová stránka Terms of Service Didn’t read (a související doplněk prohlížeče) nabízí přehled podmínek různých aplikací a hodnotí je od jedničky do pětky – stejně jako ve škole. Stránka může být užitečná jak pro uživatele, tak pro IT správce, a i když by neměla být považována za hlavní zdroj, může čtenářům poskytnout lepší představu o bezpečnosti aplikace. |
3) Co se stane, když aplikace selže nebo má výpadek?
„Musíme si uvědomit, že aplikace může záviset na službě, která může selhat. Musíme se tedy ptát: Co se stane s našimi daty, když služba nefunguje?“ vysvětluje Chromek. IT specialista by měl zkontrolovat, jak smlouva řeší případné výpadky služby, a vyhledat případné reporty nebo status pages, které by poskytovaly statistiky ukazující, jak často dochází k výpadkům aplikace a jak dlouho obvykle trvají.
Smlouva o poskytování služeb by také měla uvádět, jaký typ kompenzace by měli její zákazníci očekávat v případě selhání služby nebo v případě, že se poměr funkčnosti a výpadků odchyluje od očekávaných čísel. Existují různé typy selhání, které může aplikace zažít – od drobného interního problému přes velké výpadky v rámci zachování kontinuity provozu (např. požár datového centra OVHcloud) až po výpadky způsobené „vyšší mocí“ (například v důsledku války nebo přírodních katastrof).
Určené náhrady se budou v každém z těchto případů obvykle lišit a některé z výše uvedených scénářů mohou být zahrnuty v odstavcích o omezení odpovědnosti nebo vyšší moci.
2022 Výpadek společnosti Atlassian
V dubnu 2022 došlo u australské softwarové společnosti Atlassian k výpadku, po kterém její zákazníci zůstali několik týdnů bez přístupu ke službám. Společnost dostávala od svých zákazníků zprávy upozorňující na problém, ale po několik dní nabízela jen velmi vágní informace o výpadku nebo možné nápravě. Řada zákazníků nakonec utrpěla velké ztráty a jedinou kompenzací pro ně bylo odškodnění v kreditech/slevách na služby Atlassian. Je tedy diskutabilní, zda je taková kompenzace pro zákazníky vhodná nebo dokonce žádoucí.
Zdroj: The Pragmatic Engineer, 2022. |
4) Můžeme provést penetrační testování?
I když podmínky služby vypadají dobře, skutečný technický stav zabezpečení služby nemusí být dobrý. Mnoho aplikací a služeb ve svých zprávách neposkytuje žádné informace o testování zabezpečení, a navíc podmínky často striktně zakazují činnosti, které jsou interní součástí testování, jako je například pokus o neoprávněný přístup nebo obcházení autentizace. Penetrační testy však mohou mít zásadní význam pro zjištění, jestli služba účinně chrání data zákazníků, či nikoli.
IT specialisté by se proto měli pokusit komunikovat s vývojáři aplikace a buď získat více informací o všech předchozích výsledcích penetračních testů, kterými aplikace prošla, nebo se pokusit vytvořit samostatnou smlouvu, která by umožnila penetrační testování provádět..
5) Je vývoj a provoz aplikace bezpečný?
Když se vrátíme ke skutečnosti, že pouze instalací aplikace můžete začít využívat jinou službu, měli by IT specialisté nejen zjistit, jestli je aplikace sama o sobě bezpečná, ale také se ujistit, že je bezpečný i její vývoj a provoz. Aby tuto informaci získali, měli by buď vyhledat již existující auditní zprávy, například zprávu SOC2 typu II, nebo nechat provést nový audit dodavatele.
6) Jaký má dodavatel plán reakce na bezpečnostní incidenty?
Kromě občasných výpadků se aplikace může potýkat i s dalšími závažnými incidenty, včetně úniků dat. „Když k tomu dojde, musíme se ujistit, že nás dodavatel bude informovat. Vzhledem k tomu, že podniky mají odpovědnost vůči svým klientům, partnerům a zaměstnancům, musí na případné incidenty rychle reagovat,“ upřesňuje Chromek. Pokud služby zpracovávají osobní údaje, může nutnost oznamovat únik dat vyplývat z předpisů, jako je GDPR.
Inspirujte se standardem OWASP pro ověřování bezpečnosti aplikací
Tento projekt poskytuje základy pro zabezpečení webových aplikací, ale jak vysvětluje Daniel Chromek, je velmi podrobný a některé jeho části lze použít pro „tlustého klienta“. IT specialisté jej mohou použít jako inspirativní návod a vybrat si některé jeho body, které považují za nejvhodnější pro svou firmu. |
7) Jak aplikace nakládá s duševním vlastnictvím?
IT specialisté by měli věnovat velkou pozornost tomu, jak kontrolovaná aplikace nakládá s duševním vlastnictvím. „Ve smlouvě může být často uvedeno, že aplikace není odpovědná za žádný obsah, který je do ní stažen, aby byli poskytovatelé služeb chráněni před žalobami na ochranu autorských práv. Může v ní být také uvedeno, že určitý obsah může aplikace použít ke specifickým účelům, jako je „vylepšení služby“, což může vést k vývoji konkurenčních produktů. Všechny tyto detaily je třeba zvážit,“ uvádí Chromek.
8) Co je aplikace oprávněna dělat?
Pokud jde například o aplikace pro zasílání zpráv, musí umožňovat mnoho různých typů akcí – zasílání zpráv a médií, nahrávání hovorů, dokonce i sdílení polohy atd. Některé aplikace však tolik práv nepotřebují: „Například když máme aplikaci, která se zaměřuje na pořádání online událostí, a vyžaduje vaši polohu, přístup k vašim telefonním hovorům, odesílání SMS apod. Zkuste se zamyslet nad tím, co aplikace dělá, a pak zkontrolujte, zda její požadavky nepřesahují rozumné potřeby,“ uzavírá Chromek.
Čtěte mezi řádky
„Aplikace nebo služba, která udržuje podnik v chodu, nemůže skrývat to, co dělá. Pokud shromažďuje údaje nebo pokud sdílí vaše informace s jinými společnostmi, bude to uvedené v rámci podmínek služby. Aplikace se však někdy může snažit zastínit důležité informace obecnými frázemi, dlouhými výčty nebo dodatky psanými drobným písmem. Vyplatí se důkladně si přečíst smluvní podmínky a vyhledat si i jiné zdroje, například report " Daniel Chromek, manažer informační bezpečnosti společnosti ESET |