IT-managers weten dat jouw app brak is

Maar er is toch geen budget voor security, dus ach...

Dat security bij mobiele applicaties behandeld wordt als een extraatje als er tijd over is, weten we inmiddels. Dat is geen onwetendheid van producenten. Bijna de helft van IT-beslissers verwacht dat de app die ze zélf produceren binnen een half jaar gehackt wordt.

Een interessant onderzoek (PDF) onder IT-beslissers die met applicatieonderzoek bezig zijn laat zien dat IT'ers erin berusten dat de applicaties onbeveiligd worden gebouwd. Niet alleen blijken belangrijke mobiele gezondheids-apps in groten getale bekende fouten uit de OWASP Top 10 te bevatten, ook weet iedereen die ermee bezig is dat het zo is en lijkt er een stevige dosis apathie in de IT-sector te zijn.

Niemand vertrouwt apps...

Diezelfde apathie zien we ook terug bij gebruikers van apps als Fitness-trackers en sport-apps. Van deze gebruikers verwacht meer dan de helft dat er zo slecht zorg wordt gedragen voor gegevens dat ze binnen een half jaar worden gestolen. Toch staat dat het gebruik van de apps blijkbaar niet in de weg.

Bij de hogere IT-lagen ligt dat pessimisme iets lager, maar nog steeds denkt 48 procent van de IT-beslissers die bezig zijn met mobiele ontwikkeling van deze apps dat de deze binnen 6 maanden worden gehackt. Ook is de oorzaak vrij duidelijk, want precies de helft geeft ook eerlijk aan dat het budget voor beveiliging nul is.

... Behalve hackers

Ook interessant in deze context: IBM schreef vorig jaar (PDF) dat de meeste aanvallen plaatsvinden op de applicatielaag, terwijl bedrijfssecurity zich vooral op de onderste lagen (data en netwerk) richten. Kortom, iedereen (inclusief aanvallers) weet dat applicaties dé zwakke plek zijn en toch is security by design geen prioriteit bij producenten van apps.