Undgå overforsikring: Indstil sikkerheden i din app efter trusselsniveauet

Sæt sikkerheden der, hvor det giver mening, så du ikke spilder penge på overforsikring, lyder anbefalingerne fra udviklerne bag Danske Banks app til smartphones.
30. april 2012 kl. 15:04
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Mange virksomheder har i dag behov for at udvikle mobile applikationer, som enten deres medarbejdere eller kunder kan bruge til at tilgå virksomhedens data og services fra deres smartphones.

Men uanset hvilken type applikation der er tale om, så giver de teknologiske muligheder udfordringer for både udviklere og virksomheder, når det kommer til kvalitet og sikkerhed. Og det bør man gøre sig klart, længe før den første linje kode er skrevet.

Softwarehuset Trifork står bag flere applikationer og mobile tjenester, der i dag benyttes af mange tusinde danskere. Et af deres mest kendte produkter er Danske Bank-applikationen, der giver bankens kunder mulighed for at tilgå netbanken fra deres smartphone
eller tablet via CPR-nummer og pin-kode samt NemID.

Men selv om sikkerhed er en nødvendighed, så understreger Stig Efsen, Vice President i Trifork, at man er nødt til at forholde sig fornuftigt til niveauet af sikkerhed, der ellers kan blive en unødvendigt dyr investering.

Artiklen fortsætter efter annoncen

»Man skal sørge for at definere omfanget af sikkerheden. Hvis noget ikke er nødvendigt, så skal man selvfølgelig heller ikke gøre det. Man risikerer nemt at fortsætte i det uendelige, da man altid kan gøre sin løsning en smule mere sikker,« siger Stig Efsen.

Sæt niveauet

For at undgå det skal virksomheden ifølge Stig Efsen gøre sig klart, hvad det helt præcist er for et trusselsbillede, man vil sikre sig imod, og hvilke overvejelser der ligger bag ønsket om at sikre applikationen.

»Hvis applikationen eksempelvis skal håndtere noget personfølsomt, så skal man indarbejde nogle procedurer, så man altid kan være sikker på, hvem brugeren er. Det kunne eksempelvis være med NemID eller andre lignende løsninger,« siger Stig Efsen og fortsætter:

»Dernæst er man nødt til at sørge for, at kommunikationen mellem server og app er sikker, og at data på smartphonen også bliver sikkert lagret.«

Særligt når det kommer til at beskytte sine data, bør man som virksomhed være ekstra opmærksom, når man ønsker at give sine eksterne brugere adgang til data, der også kan være i den følsomme ende.

»Vi ser en tendens til, at der kommer mere og mere viden ud i apps. De bliver stadigt større og mere komplekse,« siger Mads Jensen.

Stig Efsen fortsætter:

»I dag er brugernes tilgang til internettet stadig domineret af pc’en, men man regner med, at den bliver overhalet af mobile enheder allerede inden for to-tre år. Det betyder, at trusselsbilledet ændrer sig. Telefonen er ikke bare en telefon. Det er en mobil enhed, der kan det samme som vores computere, og hvis det er dem, der er flest af på nettet, så er det også der, man vil have sit fokus som hacker,« advarer han.

Ud over at fokusere på sikkerheden i selve app’en er man også nødt til at forholde sig til den virkelighed, som applikationen og dens data bliver tilgået i. Man skal eksempelvis gøre sig klart, hvad det vil betyde for sikkerheden, hvis en medarbejder får stjålet sin telefon. Her skal man være sikker på, at tyven ikke får mulighed for at tilgå følsomme data på telefonen eller ligefrem kan få adgang til virksomhedens servere.

Mobile platforme giver panderynker

De nye mobile platforme, der støt har indtaget det brede marked gennem de seneste fem år, giver virksomheder og privatpersoner nye muligheder for at tage stadigt flere funktioner, og ikke mindst data fra det klassiske pc-setup med sig i lommen. Men det giver samtidig nogle nye udfordringer til udviklerne af de mobile applikationer. Særligt når det kommer til it-sikkerhed.

»Når det kommer til mobiludvikling, er vi som udviklere kun lige begyndt. Man kan diskutere, om nogle platforme er mere sikre end andre, men generelt er der forskellige udfordringer ved dem alle. Med nye platforme gælder det, at der er en læringskurve, når det kommer til sikkerhed,« siger Stig Efsen.

Ifølge udviklerne fra Trifork har det været en udfordring at skulle udvikle til Apples iOS-platform. Objective-C, som Apples applikationer skrives i, skulle læres samtidig med, at man skulle blive familiær med udviklingsværktøjet Xcode og de mange nye biblioteker i iOS-API’et.

»Her var det nogle sikkerhedsting, som vi skulle lære. Det er ganske vist nemt at lave en iOS-app, men det er ikke nemt at lave den sikker, fordi der ikke findes så mange eksempler på, hvordan man koder sikkert på den platform,« siger Stig Efsen og fortsætter:

»Omvendt er fordelen ved Android, at Java-sproget er meget udbredt og velkendt blandt udviklere. Men udfordringen i forhold til sikkerheden her er antallet af devices og de mange forskellige versioner af operativsystemet. Sat lidt på spidsen kan du i mange tilfælde være sikker på at få et gammelt styresystem med, når du køber en Android-telefon. Og du kan måske ikke være sikker på, om producenten giver dig mulighed for at opdatere telefonen med et nyere styresystem med sikkerhedsopdateringer,« siger Stig Efsen.

Sikkerhed i koden

Men også folkene på udviklersiden skal have styr på deres kodestrategier, før de går i gang med at kode. Hvis fremgangsmåden er i orden, mindsker man nemlig risikoen for senere at skulle bruge uforudsete ressourcer på at omkode store dele af projektet, hvis det viser sig, at applikationen ikke er sikker nok.

»Det handler om at tænke sikkerhed ind i den kodestil, man har. Det er ikke nok at tænke i, at applikationen skal have sikre netværksforbindelser til virksomhedens servere. Man skal have i baghovedet, at koden også kan misbruges,« siger Mads Jensen, softwareudvikler hos Trifork.

Ingen kommentarer endnu.  Start debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger