מחקר האבטחה של HP: כמחצית מהאפליקציות לא מאובטחות או לא מאובטחות כיאות

המספר הכולל של נקודות תורפה חדשות שהתגלו בשנה שעד נובמבר 2013 עמד על 4,704 – נתון המשקף ירידה של 6% לעומת השנה הקודמת. כמות נקודות התורפה החמורות ירדה אף היא לעומת השנה שעברה ב-9% – כך על פי דו"ח האבטחה השנתי של HP.

למרות זאת, בחטיבת האבטחה של ענקית ה-IT מסבירים כי אין שום סיבה לאופטימיות. לדברי ג'ייקוב ווסט, סמנכ"ל טכנולוגיות בחטיבת מוצרי האבטחה של HP, "אנחנו בונים ומשתמשים ביותר ויותר מערכות IT, והן משתנות במהירות. יש טכנולוגיות חדשות, דוגמת העולם הנייד. המרחב בהן יש מתקפות גדול יותר, וזו הסיבה לכך שיימצאו פחות נוזקות ויתגלו פחות נקודות תורפה בתוכנות ובאפליקציות". ווסט הוסיף כי "הרבה יותר הגיוני להניח כי במקום לדווח על אותן פגיעויות, פושעים מקוונים עושים מהן כסף, ומוכרים אותן בשוק השחור. זאת, על מנת שרק מי שישלם עליהן יקבל דיווח אודותיהן – ושאר המשתמשים, הארגוניים והפרטיים – יינזקו".

בתוך עולם ה-IT, עולה מהמחקר של HP, עולם המיחשוב והסלולר הוא הכי לא מאובטח. חוקרי HP בדקו 180 אפליקציות המוטמעות בטלפונים מבוססי אנדרואיד (Android) של גוגל (Google) ו-iOS של אפל (Apple). הבדיקה העלתה כי כמעט מחצית, 46% מהם, נכשלו באופן מוחלט בשימוש בהצפנה או השתמשו בו בצורה לא נכונה. בכל אחד משני המקרים, המשמעות היא כי דרך האפליקציות הלא מאובטחות ניתן היה להגיע ולחשוף נתונים רגישים.

אזור אחר החשוף למתקפות הוא מערכות של תשתיות לאומיות קריטיות לאומיות, או תעשיות חיוניות, שנשלטות באמצעות מערכות בקרה תעשייתיות, בהן פרוטוקול ה-SCADA שולט. אלה, על פי HP, חשופים לפגיעה שעלולה להשבית את השירות החיוני ואף לגרום לנזק פיזי. בעבר, נכתב, מערכות אלה נטו לפעול על גבי רשתות פרטיות , סגורות, ואילו כיום הן מקושרות יותר ויותר לרשתות ארגוניות ולאינטרנט הציבורי, "מה שהופך אותן למטרה מפתה עבור האקרים", אמר ווסט.

המחקר העלה כי עולם האפליקציות בכללו בעייתי ביותר בהיבט אבטחת המידע. המחקר העלה כי 80% מהאפליקציות אינן מאובטחות – כיוון שהן הוטמעו בצורה לא נכונה, או שיש בהן שגיאות, או שמשהו בהגדרה שלהן בעייתי, או שיש להן כמה גרסאות מיושנות, או שיש להןבעיות תצורה. יותר ממחצית מהאפליקציות שנבדקו הציגו חולשות לחשיפת מידע אודות היישום, אופן הטמעתו, או מידע אודות המשתמשים בו.

"הרעים למיניהם מיומנים יותר מאי פעם ומשתפים פעולה בצורה יעילה יותר כדי לנצל את נקודות התורפה על פני שטח תקיפה ההולך ומתרחב", סיכם ווסט, "התעשייה חייבת להתאחד ולשתף פעולה, כדי לשתף באופן יזום מידע אודות טקטיקות של היריב, כיווני פעולה להגנה וכל מה שנדרש כדי לשבש פעילות זדונית. נדרש ליצור הגנה פרואקטיבית".