По словам заместителя руководителя Центра предотвращения киберугроз CyberART Максима Акимова, отсутствие культуры безопасной разработки IT-решений ведёт к утечке данных.
Безопасное программирование не имеет должного распространения среди разработчиков IT-решений. В связи с чем выявляются уязвимости, которыми в том числе и пользуются злоумышленники, охотящиеся за данными клиентов компаний, конфиденциальными документами, логинами и паролями для доступа к внутренним сервисам.
«О проблеме отсутствия безопасной разработки мы говорим уже давно. Однако в текущей ситуации слабое внимание к качеству продукта и безопасности кода нам обходится особенно дорого. Сейчас идет смена формаций, и чтобы в дальнейшем утечки данных не приобрели эффект снежного кома, разработчикам еще на этапе создания IT-решений нужно внедрять DevSecOps, SDLS, системы защиты информации», – рассказал Акимов.
Как отметил эксперт, существуют общие международные принципы и стандарты безопасного программирования SDLC (Software development lifecycle), разрабатываются российские стандарты (ГОСТ Р 56939-2016 и др.). На замену классическому процессу DevOps («инфраструктура как код») приходит DevSecOps («безопасностью как код») - когда вопросы информационной безопасности рассматриваются на каждой стадии разработки программного обеспечения.
Впрочем, недостаточная практика безопасной разработки – это лишь одна из причин, по которым российские компании в 2022 году стали допускать больше утечек. Слабые настройки безопасности в инфраструктуре или их полное отсутствие ввиду низкой квалификации локальных ИБ-специалистов, а также опрометчивые поступки других сотрудников тоже являются частыми причинами сливов.
"Инфраструктура организаций довольно часто защищена не полностью. Виной этому может быть отсутствие прозрачного взаимодействия, тесного общения и сотрудничества между разработчиками, администраторами и специалистами по информационной безопасности. Среди других возможных причин – игнорирование анализа кода систем и слабый уровень подготовки ИБ-специалистов», – добавил Акимов.
Впрочем, главной причиной большого количества утечек за последнее время, по словам эксперта, стало более пристальное внимание злоумышленников к отечественному бизнесу и к электронным сервисам (количество которых выросло многократно) в виду сложной политической обстановки. По данным Innostage, в феврале-июне 2022 года количество таких инцидентов выросло почти в 10 раз по сравнению с аналогичным периодом 2021 года.
