מתי סימן, צ'קמרקס: "עדיף לאבטח יישומים בתחילת הפיתוח – אחר כך העלויות גדלות באלפי אחוזים"

"חברות רבות כיום אינן מקדישות תשומת לב מספקת להיבטי אבטחת היישומים. רוב החברות משקיעות מאמצים ומשאבים רבים באבטחת תשתיות, כדוגמת פיירוול, כאשר בפועל, האקרים יכולים לנצל פגיעויות תוכנה על מנת לבצע את הפריצה", כך אמר מתי סימן, CTO ומייסד צ'קמרקס (Checkmarx).

סימן התראיין לאנשים ומחשבים בעקבות כנס InfoSec 2014 מבית אנשים ומחשבים. לדבריו, "פעמים רבות מתגלות בעיות אבטחת מידע בתום הפיתוח של היישום וקרוב למועד השקתו. כתוצאה מכך, נוצרת דילמה האם לשחרר יישום בידיעה שהינו פגיע, או לדחות את מועד השקתו עד שיתוקנו הליקויים. דבר זה מוביל לחיכוכים רבים בין צוותי הפיתוח לבין צוותי אבטחת המידע. בשל כך, עלות התיקון בשלב מאוחר זה תהיה גבוהה פי מאות או אלפים לעומת תיקון במהלך הפיתוח".

לדברי סימן, "גם את הפריצה לאי-ביי (eBay) היה ניתן למנוע. חוקר אבטחת מידע בכיר, מארק ליצ'פילד, פרסם לפני כמה שבועות דרך בה ניתן לחדור לאתר הרכישות המקוון. הפירצה הייתה טריביאלית, וכל מי שמבין בתחום העריך כי ניתן יהיה למצוא דרכי פריצות דומות".

לעבור על קוד המקור של היישום
מה שנדרש, אמר סימן, "הוא לעבור על קוד המקור של היישום עוד בשלב פיתוח התוכנה, ולוודא שהמתכנתים מתקנים את כל ליקויי האבטחה שהתגלו מיד לאחר שנוצרו. הדרך האידיאלית לעשות זאת היא על ידי שילוב האבטחה כבר בשלב הפיתוח הראשוני, והכנסת היבטי אבטחת המידע כחלק בלתי נפרד מתהליך פיתוח היישומים, מה שנקרא ה-SDLC (ר"ת Software Development Life Cycle)".

צ'קמרקס קמה ב-2006, ומונה כ-100 עובדים. "אנו מפתחים מוצר שסורק באופן אוטומטי ומדויק את קוד המקור של היישומים, ומוצא בעיות אבטחת מידע, אותן הוא מציג בפני המתכנתים, לצד הנחיות מהי הדרך המיטבית לתקן בעיות אלו", הסביר סימן והוסיף כי "ארגונים כיום מתייחסים לבאגים של אבטחת מידע באופן שונה מבאגים של שימושיות, או ביצועים. חשוב שארגונים ישלבו בתהליכי העבודה את בדיקות אבטחת המידע כחלק מהפיתוח, בדיוק כמו ה-QA. אל לאבטחה להיות מנותקת מכלל התהליכים".

על פי סימן, "אנו מספקים למנהלי הפיתוח כלי המסייע לתקן את הבאגים, והמאפשר למפתחים לכתוב את הקוד באופן מאובטח. אנו לא רק מביאים לתיקון, אלא גם למניעת יצירה של באגים דומים בעתיד. סריקת קוד המקור מביאה למשוב כמעט מיידי למתכנת על הקוד שכתב, כך שהוא יכול לתקן בעיות שנוצרו במהירות. למוצר שלנו יכולת התממשקות לסביבת הפיתוח של המתכנת, כך שביכולתו להריץ סריקות ולקבל את התוצאות מבלי לעזוב את סביבת העבודה המוכרת לו".

בין לקוחות החברה, אמר, נמנים Salesforce, פלייטק, Atlassian, LivePerson, בנקים, חברות ביטוח, מוסדות ביטחוניים בארץ ובעולם ועשרות מ-500 החברות הגדולות בעולם. "זכינו בפרסים רבים בשנים האחרונות", אמר סימן, "פרס ה-Red Herring המונה את מאה החברות הטכנולוגיות המובילות ב-EMEA בשל החזון שהצגנו, וכן גם זכינו במקום ה-8 בתחרות ה- Deloitte Fast 50 הישראלית, של חברות ההיי-טק שצומחות במהירות הגבוהה ביותר, עם גידול של כ-2,200% במכירות בחמש השנים האחרונות".

סימן סיים בצטטו מחקר של מכון פונימון (Ponemon), שפורסם לאחרונה, לפיו עלות הנזק הנגרם מפרצת אבטחה שלא טופלה במהלך הפיתוח, עומדת בממוצע ארגוני על 7.2 מיליון דולר, משך הזיהוי שלה עומד בממוצע על 80 ימים ונדרשים יותר מארבעה חודשים, 123 ימים, על מנת לתקנה. בנוסף ציטט סימן, "אם הבאג מתגלה במהלך הפיתוח, עלות הגילוי שלו היא 80 דולר, אם הבאג מתגלה במהלך ה-Build, הוא עולה 240 דולר, הגילוי במהלך ה-QA עומד על 960 דולר, ואם הבאג התגלה במהלך הייצור, עלות תיקונו עומדת על 7,600 דולר. לכן גילוי פרצות האבטחה בשלבים המוקדמים הוא הכרחי".