Devlet kurumlarının web uygulamaları hakikaten inançlı mi?

Positive Tecnologies tarafından gerçekleştirilen Web Uygulaması Güvenlik Açıkları ve Tehditleri raporu dikkat alımlı sonuçlara odaklanıyor. Raporda web uygulamalarının %39’unda yetkisiz erişimin mümkün olduğuna dikkat çekilirken, hackerlerin her 10 web uygulamasından 9’unda kullanıcılara saldırabilecek alanları bulabildiğini belirtiyor. Güvenlik açıklarının %82’sinde uygulama kodundaki yanılgılardan kaynaklandığını da belirten uzmanlar, zayıf güvenliğe sahip olan devlet kurumlarının uygulamaları karşısında da kullanıcıları uyarıyor. Uygulamalardaki güvenlik zafiyetlerinden kaynaklanabilecek ziyanları gözden kaçırmamak gerektiğinin altını çizen uzmanlar, web uygulamalarının bir risk oluşturmasını engellenmesi için tekliflerde bulunuyor.

1. Zafiyet taraması ve güvenlik testlerinin yapılması gerekiyor. Bir uygulamanın tasarlama, çalıştırma, geliştirme ve güncelleme evrelerinin hepsinde uygulama bilgi tabanının taranarak test edilmesi, zafiyetlerin nerelerde bulunduğuna ve ne kadar tehlikeli olduklarına dair epey yararlı sonuçlara ulaştırıyor. Şirketler bu datalar ile web uygulamaları aracılığıyla yapılacak akınları nasıl önleyebileceğinize, gerçekçi bir perspektif ile karar verebiliyor. Şirketlerin fark ettiği güvenlik zafiyetlerinin kaç adedini onarmaya çalışacağı şirketin risk almaya ne kadar istekli olduğuyla ilgili olabiliyorken, geride bırakılan zafiyetlerin data kaybına ve başka türlü ziyanlara uğrama ihtimalini de bir o kadar artıracağını unutmamak gerekiyor.

2. Güvenlik duvarlarının kullanılması gerekiyor. Web uygulamaları için kullanılan güvenlik duvarları, hassas bilgilerin ve şirkette en çok kullanılan uygulamaların güvenliği için çok hakikat bir savunma tekniğini kapsıyor. Güvenlik duvarları, uygulamalardaki web trafiğini, kuşkulu hareketleri ve güvenlik için konulan kuralları denetliyorken, yeni olmayan özellikleri de tespit etmesiyle gündemde olan hücum tekniklerinden kaynaklanan bir zararın zafiyetleri ortaya çıkarıyor.

3. Güvenlik eğitimlerinin verilmesi gerekiyor. Şirket grubundaki uygulama geliştiricilerine, uygulamaları test edenlere, proje yöneticilerine ve bilgi süreç uzmanlarına yazılımların güvenlik düzeyini artırmaya dair eğitimler verilmesi ve en son siber taarruzlar hakkında bilgilendirilmeleri gerekiyor.