אבטחת מידע החל משלב האפיון

למפתחי התוכנה יש מטרה ברורה מול עיניהם – להגיע למוצר מוגמר בפרק הזמן הקצר ביותר. אך רבים מהם נוטים להזניח נושא חשוב ביותר, והוא אבטחת המידע. חברות העוסקות בפיתוח, לרבות SMB, ובמיוחד סטארט-אפים, "דוהרים" קדימה עם המוצר, ומתוך חיפזון מפירות את חוקי אבטחת המידע ואת כללי הפיתוח המאובטח. עם זאת, המציאות הנוכחית מוכיחה, כי תחום אבטחת המידע הוא אחד התחומים המובילים, המתפתחים והחשובים כיום. למעשה, מעטים הפרויקטים שאין לגביהם דרישות אבטחת מידע, ולרוב, כבר בשלבי המכרז יש דרישות מחייבות לגבי אבטחת המידע.

ניהול שרשרת האספקה בצורה יעילה ומוצלחת אמור להתחיל מפיתוח מאובטח, המתייחס לאיומים על הגנת הפרטיות ולסכנות פגיעה בשרשרת האספקה עצמה. במידה ונושא אבטחת המידע לא משולב בתהליך הפיתוח, אנשי אבטחת המידע נתקלים בקושי אמיתי לאבטח את התהליך בדיעבד. אם חברה מפתחת מוצר עבור לקוח מבלי לדאוג שיהיה בטוח וסטרילי, היא בעצם עלולה, בחתימתה ובאחריותה, להעביר את האיומים ללקוחותיה ובכך לסכן אותם ללא ידיעתם. פיתוח בלי שילוב נושא האבטחה עלול לגרום לפגיעות הן בלקוחות והן בקבלני המשנה המשתמשים במוצר, כמו, למשל, דליפה של מידע רגיש.

קיימים בשוק מוצרים רבים שפותחו במיוחד עבור בדיקת קוד, הן סטטי והן דינמי, וסריקת פגיעויות כתוצאה מפיתוח לא מושלם ומשימוש בקוד פתוח זדוני או כזה שלא נבדק, אבל הקושי האמיתי הוא לשלב את המוצרים וטכנולוגיות הבדיקה בתוך תהליך הפיתוח כחלק מהתרבות הארגונית. האתגר הוא, שהארגון יבין את החשיבות של בקרות אבטחת המידע בתהליך הפיתוח. לא מדובר בקושי טכנולוגי או בהיעדר הכשרה, אלא בכך שמחלקות הפיתוח או מחלקות הפרויקטים לא מעוניינות בכך מסיבה כלכלית, משיקולי ה-Time to market שלהן, או מחוסר הבנת החשיבות. עובדה זו גורמת לדחיית השינוי בגישה המתייחסת לאבטחת המידע ובסופו של דבר לעיכוב תהליך הפיתוח, מאחר שבעיות אבטחת המידע מתגלות בסופו של דבר רק במוצר המוגמר, כך שצריך להמשיך ולהוסיף שעות עבודה רבות בתיקון המוצר התקול.

חינוך ארגוני

תהליך ההטמעה של פיתוח מאובטח מתחיל בחינוך ארגוני בהיבטי אבטחת מידע כבר בתחילת תהליך הפיתוח, תוך העלאת המודעות לחשיבות של נושא אבטחת המידע במוצר. פרויקטים ותהליכי פיתוח חדשים אמורים לכלול היבטי אבטחת מידע מראש ולא בדיעבד. אבטחת המידע צריכה להיכנס בשלב התכנון, כשמגדירים מטרות, דרך ועלויות.

"הכרחי, שחברות וארגונים יכירו בחשיבות אבטחת המידע בשלבי הפיתוח ויכניסו את הנושא כתהליך מובנה בתוך הפיתוח כבר משלב תכנון המוצר – ורק כך לא יתעכב תהליך מסירת המוצר וייחסך לחברה כסף רב וזמן יקר"

חשוב להכשיר את המפתחים בנושאי אבטחת המידע הרלוונטיים וליצור שכבה נוספת בתהליך הפיתוח, בדומה ל-DevOps הקיים ומקובל כיום – DevSecOps. בניית תהליך פיתוח על ידי אנשי פיתוח שהוכשרו לכך יקדם בצורה משמעותית את רמת האבטחה של המוצר. התהליך חייב להכיל את כל הבקרות בכל סוגי הפיתוח, כולל בקרות על QA, טסטינג וכו' בכל שלבי הפיתוח, ללא אבחנה באם מדובר במתודולוגיית פיתוח חדישה ופורצת דרך או מסורתית.

אין ספק שהכנסת מרכיב אבטחת המידע מייקרת את הפיתוח, ולכן יש לקחת זאת בחשבון כבר בשלבי העיצוב. כיום, עדיין לא חלחלה ההבנה שעיצוב המוצר חייב לשלב היבטי אבטחת מידע כבר בשלב האפיון (Security by Design). ישנם אף עסקים המכחישים איומי אבטחת מידע בתוך הפרויקט. מנגד, ישנם לקוחות שלא מודעים לבעיה ומשלמים על מוצר לקוי. לכן הכרחי, שחברות וארגונים יכירו בחשיבות אבטחת המידע בשלבי הפיתוח ויכניסו את הנושא כתהליך מובנה בתוך הפיתוח כבר משלב תכנון המוצר – ורק כך לא יתעכב תהליך מסירת המוצר וייחסך לחברה כסף רב וזמן יקר.

הכותב הוא מנהל אבטחת מידע והגנת הסייבר בקבוצת מלם תים.