Компании игнорируют риски НДВ в бизнес-приложениях

Компания Appercut Security, портал SecurityLab.ru и журнал «Информационная безопасность» представили результаты первого российского исследования «Скрытая угроза: недекларированные возможности бизнес-ПО», посвященного вопросам безопасности при создании и доработке бизнес-приложений в корпоративной среде.

Исследование подтвердило высокую степень риска появления «закладок» при модификации программного обеспечения. Только 11% специалистов не признают подобных рисков. Внушительно выглядит и статистика инцидентов. Лишь 21% респондентов уверены, что в их компаниях не было инцидентов информационной безопасности вследствие несанкционированного изменения ПО.

Для минимизации рисков компании чаще всего (74% случаев) прибегают к организационным мерам (заключение NDA, тренинги и т.д.). Сертификация и независимая внешняя экспертиза используется в 18% организаций. Технические средства контроля программного кода применяют 9% компаний. Согласно мнению респондентов, основными препятствиями к их использованию являются несовершенство имеющихся на рынке продуктов (22% ответов), отсутствие необходимости (19%) и нехватка средств на внедрение (15%).

«Исследование выявило определенный дисбаланс в отрасли, — комментирует результаты исследования Рустэм Хайретдинов, генеральный директор Appercut Security. — С одной стороны, специалисты серьезно озабочены возможностью появления недекларированных возможностей в бизнес-ПО. В то же время, лишь незначительная доля компаний идет дальше организационных мер защиты. Это обстоятельство подчеркивает высокий потенциал рынка технических средств для обнаружения программных закладок».

Всего доработкой типовых и созданием новых бизнес-приложений занимается 82% российских компаний. Обычно (в 72% компаний) для этого привлекаются собственные сотрудники. К услугам разработчиков оригинального ПО обращается 22% организаций. Чаще других переделкам подвергаются бухгалтерские продукты (в 45% компаний), внутренние и внешние веб-порталы (в 25% компаний), СЭД или электронные архивы (в 21% компаний).

Несмотря на очевидную тенденцию к унификации и стандартизации ПО, используемого в бизнес-среде, специфика работы отдельных компаний не позволяет сегодня разработать действительно универсальные бизнес-приложения, которые полностью отвечают требованиям всех пользователей. В этих условиях доработка типового и создание собственного ПО выглядит логичным шагом. Таким образом, сегодня нет предпосылок к тому, чтобы риски появления НДВ утратили свою актуальность, считают авторы исследования.