Een interessant onderzoek (PDF) onder IT-beslissers die met applicatieonderzoek bezig zijn laat zien dat IT'ers erin berusten dat de applicaties onbeveiligd worden gebouwd. Niet alleen blijken belangrijke mobiele gezondheids-apps in groten getale bekende fouten uit de OWASP Top 10 te bevatten, ook weet iedereen die ermee bezig is dat het zo is en lijkt er een stevige dosis apathie in de IT-sector te zijn.

Niemand vertrouwt apps...

Diezelfde apathie zien we ook terug bij gebruikers van apps als Fitness-trackers en sport-apps. Van deze gebruikers verwacht meer dan de helft dat er zo slecht zorg wordt gedragen voor gegevens dat ze binnen een half jaar worden gestolen. Toch staat dat het gebruik van de apps blijkbaar niet in de weg.

Bij de hogere IT-lagen ligt dat pessimisme iets lager, maar nog steeds denkt 48 procent van de IT-beslissers die bezig zijn met mobiele ontwikkeling van deze apps dat de deze binnen 6 maanden worden gehackt. Ook is de oorzaak vrij duidelijk, want precies de helft geeft ook eerlijk aan dat het budget voor beveiliging nul is.

... Behalve hackers

Ook interessant in deze context: IBM schreef vorig jaar (PDF) dat de meeste aanvallen plaatsvinden op de applicatielaag, terwijl bedrijfssecurity zich vooral op de onderste lagen (data en netwerk) richten. Kortom, iedereen (inclusief aanvallers) weet dat applicaties dé zwakke plek zijn en toch is security by design geen prioriteit bij producenten van apps.