במקרים רבים של פריצה לתוכנה התגלה שהפריצה התאפשרה כתוצאה מכך שמראש פיתוח התוכנה לא כלל את שיקולי האבטחה האפשריים. כלומר, האקרים מצאו את נקודות התורפה בקלות, כיוון שבתהליך התכנות לא בהכרח התייחסו לכל האפשרויות לפריצה.
כשפיתוח ואבטחה היו שני עולמות נפרדים
מפתחי תוכנה היו חסרים בעבר את הידע הנדרש לאבטחה ופעמים רבות אף האמינו שהאבטחה היא באחריותה של פונקציה מקצועית אחרת בארגון. במקביל לכך, אנשי QA לא יכלו לפתור את בעיות האבטחה בפיתוח התוכנה, כי הם בעצמם חסרי ידע בתחום והם אפילו לא היו מודעים לפריצות האפשריות בתוכנה.
התוצאה היתה שתוכנות השתחררו לאוויר העולם כשהן חשופות למתקפות סייבר לעיתים מבלי שהחברה שפיתחה את התוכנה ידעה זאת או ידעה שהיא יכולה היתה למנוע זאת כבר בתהליך הפיתוח..
בין התקריות שממחישות כיצד הנתק בין אבטחת מידע לפיתוח תוכנה הוביל לנזקים גדולים: Sony Pictures הותקפה על ידי קבוצת האקרים LulzSec ששחררה מיליון חשבונות משתמש עם פרטיהם האישיים של המשתמשים והסיבה לקלות הפריצה היתה שהמידע לא הוצפן מלכתחילה.
בדרך לפיתוח תוכנה מאובטחת
כיום המצב שונה. האבטחה הפכה לחלק בלתי נפרד מתהליך הפיתוח והמטרה היא ליצור תוכנות מאובטחות בסטנדרט הגבוה ביותר תוך מודעות לכל הסיכונים הפוטנציאליים.
התפיסה החדשה של פיתוח תוכנות מאובטחות השפיע על הענף כולו, כיוון שממפתחי dot.net נדרשת היום מיומנות הכוללת גם עמידה של התוכנה/יישום בדרישות אבטחה גבוהות משלב התכנון ועד הבדיקה וכן שיתוף פעולה הדוק יותר ביניהם למנהלי אבטחת מידע כדי לאפשר זיהוי מהיר ותיקון של נקודות פריצה אפשריות.
אפילו אם לא מדובר בפיתוח תוכנה עם מידע רגיש, הרי שעם המודעות העולה לאבטחה, נעשים היום מאמצים רבים בחברות פיתוח המעסיקות מפתחי dot.net לטפל מראש בכל הסיכונים האפשריים ולא להשאיר פתח לפורצים.
קיימות טכניקות רבות בפיתוח תוכנה המתייחסות מראש לנקודות פגיעה – התחום נקרא SDL והוא למעשה עוסק ביישום של מחזור פיתוח מאובטח וקידוד מאובטח. התהליך נוהר להפחית סיכון ממקורות חיצוניים ופנימיים ושילוב כלי בדיקה לאורך מחזור החיים של פיתוח התוכנה.
איך מגיעים לפיתוח תוכנה?
קורס .net מכשיר את המפתחים של העתיד תוך ראייה עולם שלמה, כולל התייחסות לאבטחת מידע ופרטיות המשתמש. הקורס מקנה כלים בכל הטכנולוגיות המתקדמות מבית מיקרוסופט בצד השרת (Visual Studio ו-NET 4.5.) וכן כלים בצד הלקוח כמו שימוש בטכנולוגיות מבוססות Java Script, Type Script, CSS ו-HTML הבנויים לפי ארכיטקטורת Single Page Application ומבצעות אינטגרציה באמצעות טכנולוגית REST הפופולארית כיום. תוכלו לצאת לעולם פיתוח התוכנה עם המידע הדרוש תוך הבנת רגישויות בשוק כולל אבטחת מידע.