Первое российское исследование скрытых угроз

Компания Appercut Security, портал SecurityLab.ru и журнал «Информационная безопасность» представляют результаты первого российского исследования «Скрытая угроза: недекларированные возможности бизнес-ПО», посвященного вопросам безопасности при создании и доработке бизнес-приложений в корпоративной среде.  

Исследование подтвердило высокую степень риска появления «закладок» при модификации программного обеспечения. Только 11% специалистов не признают подобных рисков. Внушительно выглядит и статистика инцидентов. Лишь 21% респондентов уверены, что в их компаниях не было инцидентов информационной безопасности вследствие несанкционированного изменения ПО.  

Для минимизации рисков компании чаще всего (74% случаев) прибегают к организационным мерам (заключение NDA, тренинги и т.д.). Сертификация и независимая внешняя экспертиза используется в 18% организаций. Технические средства контроля программного кода применяют 9% компаний. Согласно мнению респондентов, основными препятствиями к их использованию являются несовершенство имеющихся на рынке продуктов (22% ответов), отсутствие необходимости (19%) и нехватка средств на внедрение (15%).  

«Исследование выявило определенный дисбаланс в отрасли, - комментирует Рустэм Хайретдинов, генеральный директор Appercut Security. – С одной стороны, специалисты серьезно озабочены возможностью появления недекларированных возможностей в бизнес-ПО. В то же время, лишь незначительная доля компаний идет дальше организационных мер защиты. Это обстоятельство подчеркивает высокий потенциал рынка технических средств для обнаружения программных закладок».  

Всего доработкой типовых и созданием новых бизнес-приложений занимается 82% российских компаний. Обычно (72% компаний) для этого привлекаются собственные сотрудники. К услугам разработчиков оригинального ПО обращается 22% организаций. Чаще других переделкам подвергаются бухгалтерские продукты (45% компаний), внутренние и внешние web-порталы (25%), СЭД или электронные архивы (21%).  

Несмотря на очевидную тенденцию к унификации и стандартизации ПО, используемого в бизнес-среде, специфика работы отдельных компаний не позволяет сегодня разработать действительно универсальные бизнес-приложения, которые полностью отвечают требованиям всех пользователей. В этих условиях доработка типового и создание собственного ПО выглядит логичным шагом. Таким образом, нет предпосылок к тому, чтобы риски появления НДВ утратили свою актуальность.  

Полная версия исследования доступна по ссылке: http://appercut-security.com/app/download/4774671704/Appercut_Security_Backdoors_In_Business_Applications_Research_2011.pdf