همیشه این سوال در بین اهالی شبکه و کارشناسان امنیت اطلاعات مطرح است که اپلیکیشن Application های سازمانها آسیب پذیر ترند یا سیستم ها و تجهیزات شبکه کامپیوتر؟ طبق آمارهای رسمی بالای 90 درصد نفوذها و حملات به داخل سازمان از طریق برنامه های کاربردی مثل CRM و اتوماسیونهای اداری و صنعتی بوده نه ضعف های زیرساخت شبکه کامپیوتر!
طبق آمارها اپلیکیشن های سازمان از شبکه کامپیوتر آسیب پذیر ترند!
موسسه NIST آمریکا در گزارشی اعلام کرده است که 92 درصد آسیب پذیری های گزارش شده در اپلیکیشن Application های سازمان و سیستم های نرم افزاری و اداری کشف شده اند و نه در شبکه سازمان. گارتنر اما در گزارش مشابهی اعلام کرده بود که 70 درصد آسیب پذیریها در لایه Application هستند و نه در لایه شبکه. موسسه معتبر گارتنر در گزارش دیگری اعلام کرده که 75 درصد نشتی اطلاعات سازمانها بواسطه ضعف در Applicationهای سازمانی بوده است و نه ضعف در شبکه.
غرض از نگارش این مطلب این بود که سازمانها اغلب تمام تمرکز خودشان را روی آسیب پذیریهای شبکه می گذارند درحالیکه از ناحیه دیگری در بخش نرم افزار، گل به خودی می خورند!
برخی از کارشناسان امنیت اطلاعات و متخصصان شبکه در داخل کشور با همکاری یکدیگر در یک هفته اخیر در تیرماه 98 به آسیب پذیریهای وحشتناک و تقریبا بی سابقه ای در چند سازمان بزرگ دولتی و غیر دولتی در کشور پی برده اند که علت اصلی آن قطعا ضعف تیم نرم افزاری سازمان است. در تلاش هستیم با همکاری مرکز ماهر، آگاهی رسانی های لازم انجام شده و نسبت به رفع آنها اقدام شود. یقینا پس از رفع این آسیب پذیریها جزئیات بیشتری از این اتفاقات در همین وب سایت منتشر خواهد شد.
عدم امنیت برنامه های سازمانی معضلی بزرگ برای آینده کسب و کار
بدون شک همه برنامه های سازمانی تولید داخل اعم از CRM های مختلف، اتوماسیون های اداری و صنعتی، سیستم های نرم افزاری مالی و حسابداری چه تحت وب و چه تحت پلتفرم ویندوزی از معضل بزرگی به نام عدم امنیت کافی برخوردارند. نشت اطلاعات حیاتی یک شرکت یا سازمان می تواند مرگ آن کسب و کار را در آینده رقم بزند. ضعفهای تیم برنامه نویسی در حوزه امن سازی سیستم نرم افزاری باعث می شود نفوذ کننده گان به راحتی به کل دیتابیس شرکت و سایر اطلاعات مالی و حسابداری افراد و اشخاص و همه کسب و کار دسترسی داشته باشند و با درز این اطلاعات و فروش این داده های مهم و حیاتی به سایر رقبا ضربات مهلکی که جبرانش گاها غیرممکن است، زده شود.
البته امنیت شبکه و زیرساخت و تجهیزات سخت افزاری و نرم افزاری در این حوزه نیز به نوبه خود مهم و حیاتی هتند تا به طرز صحیحی تنظیم شده باشند و به طور مرتب بازبینی و چک شوند ولی «چه اهمیت دارد شما اگر چندین سامانه دفاعی و امنیتی بر سر راه درخواست ها به اپایکیشن ها و سزویس های داخل سازمان خود بگذارید هم ممکن است به فرض به خاطر یک باگ کوچک در کد PHP فلان برنامه، همه اندیشه ها و داشته هایتان را برباد دهد!