דו"ח של יבמ: רוב החברות המפתחות יישומי מובייל אינן דואגות להיבטי אבטחה

יבמ ומכון Ponemon Institute חושפיםתוצאות מדאיגות של מחקר רחב היקף לגבי רמת האבטחה של יישומי מובייל. על פי המחקר, כ- 40% מהחברות הגדולות, ובכללן רבות מהחברות הכלולות ברשימת פורצ'ן 500, אינן נוקטות בצעדי זהירות המתחייבים על מנת לאבטח אפליקציות מובייל אותן הם בונות לשימוש לקוחותיהן. המחקר מגלה גם כי ארגונים נכשלים בהגנה על הרשתות הפנימיות שלהם מפני סכנות הנולדות בעידן בו משתמשים עובדים במכשיר המובייל הפרטי שלהם ליישומי עבודה, BYOD – וחושפים את הארגון להתקפות סייבר המנצלות את הדלת הפתוחה של המכשירים הפרטיים, שאינם מאובטחים כראוי.

המחקר של Ponemon Institute ויבמ, בחן את נהלי האבטחה ב- 400 ארגונים גדולים בכל העולם, ומצא כי הארגון הממוצע בודק פחות ממחצית מאפליקציות המובייל שלהם, בניסיון לאתר סיכוני אבטחה. 33% מהארגונים כלל אינם בודקים היבטי אבטחה באפליקציות המובייל שלהם ומאפשרים בכך היווצרות מאגר רחב היקף של נקודות פריצה אפשרויות אל הרשת הארגונית. 50% מהארגונים שנדגמו במחקר כלל אינם מקצים תקציבים לאבטחת מובייל.

היקף ההוצאה הממוצעת על פיתוח יישומי מובייל בארגונים שהשתתפו בסקר עמד על 34 מיליון דולר. עם זאת, רק 5.5% מכלל כספים אלה מופנים על מנת לוודא כי יישומי המובייל מוגנים מפני התקפות סייבר, עוד לפני שהיישומים מוצעים לשירות משתמשי הקצה.

הדו"ח מגלה כי ארגונים נוטים להעדיף את מהירות ההצגה לשוק של יישומים חדשים ואת שיקולי חוויית המשתמש – על פני שיקולים הנוגעים לאבטחה. רבים מהארגונים מבצעים סריקות לאיתור כשלי אבטחה רק בשלב מאוחר מדי של תהליך הפיתוח, אם בכלל. פרצות האבטחה הנותרות פתוחות לרווחה מאפשרות גניבה של מידע סודי ונתונים פרטיים. על פי דו"ח של צוות X-Force הפועל במסגרת יבמ לניטור סיכוני אבטחה, נחשפו במהלך 2014 בלבד יותר ממיליארד פרטי מידע אישי ונתוני זיהוי משתמשים, שנפלו קרבן למתקפות סייבר.

65% מהארגונים שהשתתפו בסקר דיווחו כי רמת האבטחה באפליקציות המובייל שלהם עומדת לעתים קרובות בסכנה בשל דרישות או צרכים המועלים מכיוון המשתמשים, ו- 77% מציינים כי "הדחף להפיץ" את האפליקציה מהווה סיבה מרכזית לקיום קוד פגיע  ביישומי מובייל.

גם בקרב אותן חברות המבצעות בפועל בדיקות אבטחה של יישומי המובייל שלהם לפני פריסתם והפעלתם המלאה, נמצא כי רק 15% מהחברות האלה מבצעות בדיקות אבטחה בתכיפות הנדרשת.

אתגר ה- BYOD  חמור במיוחד, לנוכח ממצאי המחקר הנוכחי, לפיהם גם אפליקציות המגיעות מארגונים אמינים וזמינות במסגרת חנויות האפליקציות המסורתיות, עלולות להציג לעתים איומי אבטחה חמורים.

על פי המחקר, למרות שרוב העובדים מדווחים על עצמם כ"משתמשים כבדים באפליקציות", 55% מהם מדווחים גם כי ארגוניהם אינם מציגים מדיניות המגדירה כללי שימוש מקובלים לאפליקציות מובייל במסגרת העבודה. 67% מהחברות מתירות לעובדיהן להוריד אפליקציות בלתי בדוקות אל המכשיר הפרטי שלהם, המשמש גם לצורכי עבודה. 55% מתירים לעובדים להוריד אפליקציות עבודה אל המכשיר הפרטי שלהם.

על מנת להתמודד עם פשיעת הסייבר המאיימת על עסקים באמצעות יישומי מובייל, הציגה יבמ טכנולוגיה חדשה לניהול כולל של איומי מובייל (MTM), המשולבת במסגרת חבילת כלי MobileFirst Protect. הכלי של יבמ מזהה אוומטית פעילות חשודה במכשירי הקצה, ובולם את הקוד הזדוני ברגע בו מזוהה מכשיר פרוץ. האבטחה מסופקת כשירות ענן מתעדכן בהתמדה – ומאפשרת להתמודד עם מכלול האיומים בעידן ה- BYOD.

דילוג לתוכן