Журнал "Information Security/ Информационная безопасность" #5, 2019

• 41 ТЕХНОЛОГИИ www.itsec.ru В среднем на одно при- ложение может приходиться более 30 уязвимостей, шесть из которых критиче- ски опасны. Самое опасное следствие уязвимостей – утечка данных. Стремительно возрастающая конкуренция требует быстрых решений, поэтому скорость раз- работки приложений увеличи- вается из года в год. Каждый хочет реализовать новый функ- ционал первым, в связи с чем сокращаются производствен- ные циклы, а релизы могут выпускаться чуть ли не каждый день. Тем не менее быстрее не значит лучше. Катализация раз- работки, безусловно, оказывает побочные эффекты на весь про- дукт, в том числе и на его ито- говую безопасность. Многие компании уже научены горьким опытом и понимают, что зазор в безопасности рано или поздно может превратиться в пятно на репутации, и не всегда от этого пятна можно избавиться. Шаг 1. Определить возможные виды уязвимостей На практике соблюдение информационной безопасно- сти – это своевременная реак- ция на возможные недочеты. В среднем на одно приложение может приходиться более 30 уязвимостей, шесть из кото- рых критически опасны. Самое опасное следствие уязвимо- стей – утечка данных. Ее причины обычно кроются в недостатках администриро- вания и разграничения доступа к различным устройствам. Чув- ствительные данные не должны храниться в открытом доступе. Для их защиты следует исполь- зовать надежные криптографи- ческие алгоритмы. Отсутствие обязательной аутентификации и некорректное управление сессиями также могут способствовать краже конфиденциальной информа- ции. Чтобы этого избежать, нужно применять исключитель- но многофакторную аутентифи- кацию, проверять пользователь- ские сессии и хранить автори- зационные токены в наиболее безопасных областях ОС. Безопасная и корректная работа с данными особенно важна, когда речь идет о при- ложениях, использующих боль- шой объем персональной информации. Еще одна серьезная уязви- мость – небезопасная передача данных, которая характеризу- ется недостаточным подтвер- Техника информационной безопасности в разработке мобильных приложений олько ленивый сегодня не настроил тач-пароль на своем мобильном устройстве и не подключил миллион верификаций, продолжая при этом бесстрашно загружать приложения из неофициальных источников и устанавливать чудо-расширения. Нередко такие истории завершаются взломанными аккаунтами и утечкой персональных данных. Реально оценивая ситуацию, мы все понимаем, что мир интернет-технологий слишком подвижен, чтобы давать пользователям громкие обещания и гарантировать стопроцентную защищенность. Так где же находится та самая золотая середина? В этой статье разберемся, как организовать процесс разработки безопасных мобильных приложений, чтобы завоевать пользовательское доверие. Т Павел Кузнецов, ведущий разработчик DD Planet Приведу пример DD Planet. Сейчас мы занимаемся разработкой и поддержкой мобильного приложения Живу.рф. Сервис представляет собой электронную систему самоуправления граждан, включающую в себя приватную социальную сеть, мессенджер, механизмы подтверждения личности и принадлежности к адресу. Безопасность огромного массива персональных данных пользователей мы обеспечиваем следующим образом: на стороне мобильного клиента авторизация и предоставление личных данных происходит с помощью OAuth2. Профиль пользователя подтверждается посредством сайта "Госуслуги", а право собственности – выпиской ЕГРН из Росреестра, после чего данные передаются в ИСПДн (Информационную систему персональных данных), где хранятся в изолированной виртуальной сети с защищенной ИТ-инфраструктурой.