Kibernetičke prijetnje sve više zadiru u svijet mobilnih aplikacija. Krađe identiteta te gubitak financijskih sredstava i osobnih podataka sve su učestaliji. Ove vrste napada rastu čak 30% godišnje. Kako sigurnosni mehanizmi zaštite postaju sve snažniji, hakerske skupine ciljaju čovjeka kao najslabiju kariku u sustavu. Upravo zato, kompanija ASEE formirala je tim mobile-security stručnjaka koji se bave isključivo sigurnošću mobilnih aplikacija. ASEE jedan je od najvećih dobavljača sigurnosnih rješenja u jugoistočnom dijelu Europe, pa i šire, a rješenja kompanije implementirana su u najveće banke u regiji, ali i diljem svijeta.
Pametne telefone koristi 80% ukupne svjetske populacije. Sedam milijuna aplikacija dostupno je na Google Play Storeu i Apple Storeu, a 25% aplikacija s Google Play Storea ima bar jednu sigurnosnu ranjivost. Isto vrijedi i za 80% aplikacija za plaćanja. Prateći statistike na globalnoj razini; ASEE je odlučio, u suradnji s agencijom IPSOS, napraviti istraživanje o razumijevanju problematike sigurnosti mobilnih aplikacija na teritoriju Republike Hrvatske, među korisnicima smartphonea, u dobi između 18 i 55 godina.
Istraživanje o sigurnosti
Istraživanje je pokazalo kako je prosječan korisnik svjestan rizika kod korištenja mobilnih aplikacija, no ne vjeruje da može biti žrtva napada. Gotovo 90% ispitanika potvrdilo je da je svjesno rizika, ali njih 35% sumnja da će se neželjeni događaj dogoditi upravo njima. Statistički, te dvije kategorije trebale bi biti barem podjednake, a u praksi je jedna veća od druge više od dva puta. Neinformiranost stvara osjećaj lažne sigurnosti, iako statistike pokazuju upravo suprotno, da su opasnosti sve veće. Tri četvrtine ispitanika ističu sigurnost kao najvažniju komponentu. Gotovo 90% ispitanika instalira aplikacije samo s ovlaštenih lokacija; više od 80% ispitanika provjerava komentare i ocjene mobilnih aplikacija prilikom instaliranja. Više od 70% ispitanika ne provodi nikakve financijske transakcije putem mobilnih uređaja kad su spojeni na javnu WiFi mrežu. Ovi podaci ističu da je svijest o riziku pri korištenju mobilnih aplikacija ipak snažno prisutna.
Prijetnje koje su ispitanici prepoznali uglavnom su očekivane. Primarno se odnose na gubitak osobnih podataka, digitalnog identiteta ili financijskih sredstava, jer su ovakvim informacijama prilično izloženi putem mainstream medija.
Ono što zabrinjava jest to da tek četvrtina ispitanika navodi da je svjesna kako je jedna od prijetnji gubitak poslovno važnih podataka. Tu nije riječ primjerice o internim financijskim izvještajima koji su tretirani kao poslovna tajna. To može biti i korisničko ime pohranjeno u mobilnoj aplikaciji koja nema veze s poslodavcem, a koje je identično s korisničkim imenom koje se koristi i u nekoj od poslovnih aplikacija. Realnost je takva da se korisničko ime i lozinka ne kreiraju za svaku pojedinu aplikaciju ili uslugu, već korisnici često koriste iste pristupne podatke za velik broj aplikacija, usluga i servisa. To stvara veliki sigurnosni rizik jer curenje ovih podataka može predstavljati sigurnosni problem za sve one aplikacije i servise koje korisnik konzumira s identičnim korisničkim imenom i lozinkom.
Gotovo polovini ispitanika lozinka i PIN i dalje su idealan način zaštite podataka i mobilnih uređaja. Korištenje samo statičkog PIN-a ili lozinke već se neko vrijeme ne smatra dovoljnim sigurnosnim elementom kojim bi se krajnji korisnici trebali prijavljivati u bilo kakvu aplikaciju ili uslugu. Statički PIN ili lozinka mogu se “provaliti” i konvencionalnim metodama - od sistema pokušaja i pogrešaka ručno pa do automatiziranih metoda koje vrlo brzo, unutar nekoliko sekundi, mogu probiti one najjednostavnije PIN-ove ili lozinke.
Otisci prsta ili faceID sigurnosne su komponente koje je puno zahtjevnije rekreirati. Kada se takvi sigurnosni elementi ukomponiraju u dio sigurnosnog sustava mobilne aplikacije, koristeći principe multifaktorske autentikacije (posjedovanje barem 2 od 3 faktora autentikacije: nešto što imaš, npr. mobilni token; nešto što znaš, npr. PIN; nešto što jesi, npr. biometrija), razina sigurnosti mobilne aplikacije dignuta je na jednu sasvim drugu razinu.
Nažalost, ispitivanje je pokazalo da postoje i ispitanici koji bez ikakvih sigurnosnih elemenata pristupaju određenim aplikacijama i uslugama; te bi isti način rada željeli zadržati i u budućnosti, čak i u idealnom scenariju kad ne bi postojala i neka trenutačno prisutna tehnička ograničenja, poput zastarjelosti uređaja.
Podizanje svijest o cyber sigurnosti
Već desetljećima smo organizacija kojoj je sigurnost primarna vodilja u razvoju bilo kojeg proizvoda ili rješenja. Taj stav vrijedi i danas, kad je moto organizacije “Mi vjerujemo u visoke standarde”. Sigurnosna rješenja moraju se razvijati po principu: nadaj se najboljem, spremi se na najgore, ne očekuj ništa; jer u ovoj industriji nema prostora za grešku.
Ipak, i krajnje korisnike nužno je dodatno informirati i educirati; o rizicima, prijetnjama, željenom ponašanju te najnovijim vrstama napada. Stoga je potrebno sustavno i planski podizati razinu svijesti o rizicima i prijetnjama prilikom konzumacije bilo kakvih digitalnih sadržaja, uključivo s mobilnim aplikacijama. Samo tako će sigurnosni sustavi postati još otporniji, jer će se time i najslabija karika u lancu znatno ojačati.