Technologie: Testowanie aplikacji

BANK 2013/01

Systemy informatyczne i oprogramowanie są nieodłącznym elementem prowadzenia działalności biznesowej. Ich skomplikowanie, dołączanie kolejnych usług, tworzenie coraz bardziej złożonych produktów bankowych utrudnia eliminowanie pojawiających się błędów i luk związanych z logiką biznesową, ale i bezpieczeństwem.

Systemy informatyczne i oprogramowanie są nieodłącznym elementem prowadzenia działalności biznesowej. Ich skomplikowanie, dołączanie kolejnych usług, tworzenie coraz bardziej złożonych produktów bankowych utrudnia eliminowanie pojawiających się błędów i luk związanych z logiką biznesową, ale i bezpieczeństwem.

Adam Wieczorek

Obecnie coraz więcej usług oferowanych przez banki jest dostępnych przez internet, w tym przez różne urządzenia mobilne i aplikacje. Rynek oczekuje na szybkie wprowadzanie nowości, co skraca czas, który można przeznaczyć na dokładniejsze testowanie funkcjonowania aplikacji. Z drugiej strony cyberprzestępczość jest coraz groźniejsza, zwłaszcza dla instytucji finansowych. W opublikowanym w grudniu minionego roku badaniu Deloitte

„2012 GFSI Security Study: Breaking Barriers” podano, że jedna czwarta instytucji finansowych była w 2012 r. obiektem zewnętrznego ataku sieciowego. Z kolei raport IBM „X-Force” wskazuje, że ataki wykorzystujące błędy w przeglądarkach oraz złośliwe oprogramowanie stają się coraz powszechniejsze. Wzrasta też liczba wykorzystywanych luk w skryptach, co umożliwia nieautoryzowany dostęp do baz danych. Powszechnie obserwuje się też szybką profesjonalizację i wyrafinowanie ataków. Dziś przygotowaniem takich szkodliwych działań zajmują się nie pojedyncze osoby, a zorganizowane grupy przestępcze. We wspomnianym już raporcie „X-Force”, odnotowano w pierwszej połowie 2012 r. również sygnały poprawy w zakresie bezpieczeństwa internetowego. Zmiana ta jest związana z zastosowaniem mechanizmu sandbox (piaskownicy). Polega on na wyizolowaniu aplikacji od reszty systemu, co powoduje, że wpisany w program złośliwy kod ma mniejszy zakres działania i ograniczony dostęp do danych. Spadek liczby luk w plikach Adobe PDF ma być wynikiem wprowadzenia tego mechanizmu w programie Adobe Reader X. Pokazuje to, że zaczynamy sobie z częścią zagrożeń coraz lepiej radzić. Jednak, jak mówi Maurycy Prodeus, specjalista bezpieczeństwa IT, Passus, ISEC Security Research, o ile banki dość sprawnie radzą sobie z eliminowaniem typowych zagrożeń i podatności, m.in. dzięki stosowaniu rozwiązań IPS i Web Application Firewall, o tyle zdarza się, że luki bazujące na błędach logiki biznesowej pozostają niezauważone. Zmieniające się powiązania między komponentami systemów i nowe funkcjonalności sprzyjają powstawaniu podatności, które nie dają się zdefiniować jako wzorce i reguły. Według niego jedynym sposobem eliminacji tego typu zagrożeń są regularne testy i przeglądy kodów źródłowych wykorzystywanych aplikacji.

To, że za atakami stoją coraz częściej zorganizowane grupy przestępcze, powoduje zmianę ich charakteru. Są one trudniejsze do wykrycia i zablokowania. Nie można też w ...

Artykuł jest płatny. Aby uzyskać dostęp można:

  • zalogować się na swoje konto, jeśli wcześniej dokonano zakupu (w tym prenumeraty),
  • wykupić dostęp do pojedynczego artykułu: SMS, cena 5 zł netto (6,15 zł brutto) - kup artykuł
  • wykupić dostęp do całego wydania pisma, w którym jest ten artykuł: SMS, cena 19 zł netto (23,37 zł brutto) - kup całe wydanie,
  • zaprenumerować pismo, aby uzyskać dostęp do wydań bieżących i wszystkich archiwalnych: wejdź na aleBank.pl/sklep.

Uwaga:

  • zalogowanym użytkownikom, podczas wpisywania kodu, zakup zostanie przypisany i zapamiętany do wykorzystania w przyszłości,
  • wpisanie kodu bez zalogowania spowoduje przyznanie uprawnień dostępu do artykułu/wydania na 24 godziny (lub krócej w przypadku wyczyszczenia plików Cookies).

Komunikat dla uczestników Programu Wiedza online:

  • bezpłatny dostęp do artykułu wymaga zalogowania się na konto typu BANKOWIEC, STUDENT lub NAUCZYCIEL AKADEMICKI

Udostępnij artykuł: