Безопасен ли low-code?
Сейчас крупнейшие компании пытаются снизить нагрузку на IT-подразделения, поэтому осознают ценность low-code. Но часто опасения по поводу безопасности low-code-платформ становятся препятствием для их внедрения. Мы собрали пять самых популярных мифов на тему небезопасности low-code и обсудили их с экспертами Bercut.
Миф 1. Если допустить к разработке рядовых пользователей, то информационная безопасность будет под угрозой.
Это частое опасение, особенно среди крупных компаний с большими объемами уникальных данных. Правда в том, что крупные компании работают не с массовыми лоукодинговыми продуктами, а с корпоративными платформами, отвечающими строгим стандартам безопасности. В них у «гражданских» разработчиков есть доступ только к тестовой базе данных, а не к основной («продуктивной»).
Если пользователь по недосмотру или злому умыслу попробует настроить в low-code-интерфейсе процесс так, чтобы получить несанкционированный доступ к большому объему данных, например, выгружая их через готовые API, то это просто не получится сделать.
Во-первых, коннекторы и API созданы таким образом, чтобы предоставлять не все данные, а только ограниченное количество, минимально необходимое для конкретного бизнес-процесса.
Во-вторых, предоставление чувствительных данных может происходить в автономном режиме. Одна система может передавать команды и определенные данные другой без участия каких-либо сотрудников вообще, будь то «гражданских» или профессиональных разработчиков, работников внутреннего IT-отдела или службы техподдержки поставщика.
Платформы с бесплатным доступом и работающие на массовую аудиторию не имеют данных преимуществ, но, как правило, и цена ошибки там ниже. В их поддержку можно сказать, что и эти платформы развивают свои инструменты безопасности и гарантируют базовую защиту: используют многофакторную аутентификацию, предлагают различные настройки для коллективного доступа.
Миф 2. С лоукод-интерфейсов часто происходят утечки данных.
По данным экспертно-аналитического центра InfoWatch, в 2021 году в России была зарегистрирована 331 утечка из коммерческих и государственных компаний; в 2020 был всплеск, связанный с пандемией, – 464; в 2019 количество утечек достигло 360. В подавляющем большинстве случаев (89,8%) злоумышленники охотились за персональными данными.
Дополнительно можно отметить, что в Enterprise-платформах low-code происходит разграничение систем и потоков данных как внутри компании-заказчика, так и между заказчиком и вендором.
Размещение всех чувствительных данных на изолированных серверах под контролем заказчика лишает возможности добыть данные через атаку на вендора. Даже внутренние сотрудники заказчика не могут их получить без необходимого уровня доступа. А действия этого ограниченного круга пользователей будут мониториться.
Подключение к платформе со стороны вендора, например, для технической поддержки, не отличается от подключения любого другого пользователя. Действия сотрудников вендора платформы также проходят проверку и мониторятся со стороны информационной безопасности на стороне заказчика.
Миф 3. Заказчик никак не контролирует безопасность лоукод-платформы. Остается только полагаться на вендора.
Это верно для массовых лоукод-платформ. У них безопасность целиком обеспечивается поставщиком и предоставляемыми им встроенными механизмами. Пользователь полагается только на них.
Что касается Enterprise-платформ, то здесь решение вопросов безопасности является важной частью внедрения платформы. Есть требования со стороны заказчика, которые, как правило, отличаются от отрасли к отрасли. Опытный разработчик платформы умеет обеспечивать требования для каждой индустрии, с которой он работает.
Со стороны разработчика платформы есть стандартные механизмы, которые были описаны выше. Если суммировать, то платформа обеспечивает:
- изолированные среды, отсутствие поверхности атаки, использование серверов заказчика;
- точки контроля доступа, основной из которых является API Gateway;
- встроенные инструменты безопасности, такие как логирование, контроль, аудит, отчетность, а также разграничение прав доступа;
- рекомендуемые правила разработки коннекторов.
Миф 4. Лоукод-интерфейсы небезопасны, потому что их нужно подключать к внешним системам при помощи коннекторов.
Это популярный вопрос, так как неправильно написанный коннектор в теории может стать «пробоиной в корпусе корабля». Но на практике есть два механизма защиты, которые предотвращают утечку данных через коннектор от одной системы к другой.
Главным механизмом, который препятствует этому, является упомянутая выше изолированность сред. В теории коннектор может содержать т.н. «закладку», которая будет передавать данные, но эти данные в итоге окажутся не у злоумышленника, а просто будут передаваться от одной закрытой от атак системы к другой во внутреннем контуре. Извлечь их никак не получится. Так работают Enterprise-платформы low-code.
Дополнительным уровнем защиты является проверка кода каждого коннектора на этапе его написания. Enterprise-платформы разрабатывают коннекторы в соответствии с SSDLC (Secure Software Development Life Cycle), ГОСТами («Разработка безопасного программного обеспечения», 2019), методикой BSIMM 2021 (Building Security In Maturity Model) и другими отраслевыми стандартами. Если компания-заказчик планирует разрабатывать коннекторы самостоятельно, то ей также стоит придерживаться этих стандартов.
Что касается массовых платформ, то для них, как правило, используются готовые коннекторы к самым популярным внешним системам. Интеграция двух систем проводится через API, по рекомендованной поставщиком платформы схеме. Сами внешние системы – это как правило надежные компании с необходимым уровнем защиты данных пользователей.
Квалифицированные вендоры отслеживают необходимые изменения в области защиты данных и готовы оказывать своим заказчикам поддержку в меняющихся внешних условиях.
Про безопасную разработку ПО в Bercut мы писали здесь.