Sono spesso le app l’anello debole della sicurezza informatica degli smartphone: per questo, IMQ ha elaborato IMQ MOBSEC, una nuova attestazione di terza parte, da rilasciare solo alle app che abbiano dimostrato di essere state progettate rispettando i requisiti di “security by design” e “defense in depth” e che siano dunque in grado di ridurre il rischio di esposizione a intercettazione o modifica, da parte di malintenzionati, dei dati raccolti e scambiati in Rete.
“La diffusione dello smartphone è ormai universale, non più solo come strumento di lavoro o di svago, ma come principale, se non unico, dispositivo di accesso alla Rete e ai servizi digitali. La centralità di questi, come degli altri dispositivi smart che indossiamo costantemente, unita alla grande quantità di sensori di cui sono dotati, fa sì che attraverso di essi non siano più a rischio soltanto file personali e aziendali, ma anche informazioni sensibili come localizzazione, ambiente acustico e fisico circostante e dati sulla nostra salute” osserva Claudia Piccolo, ICT Security Area Manager della B.U. Management Systems di IMQ S.p.A.
Sebbene i sistemi operativi “mobile” siano considerati da alcuni più sicuri dei sistemi desktop nella difesa contro l’installazione di malware scaricati dalla Rete, l’approccio adottato durante lo sviluppo delle app potrebbe non impedire in modo efficace l’esposizione dei dati al furto da parte di malintenzionati o dei nuovi “grandi predatori” di dati personali a scopo di marketing e profilazione. “Gli attacchi più comuni sono condotti sui backend delle app non sufficientemente protetti e portano al furto di dati personali dai server” osserva l’esperta di IMQ. “In seconda battuta, troviamo il furto degli account grazie all’uso di fattori di autenticazione non sicuri e il furto di dati tramite l’installazione di app malware ma anche il furto fisico del dispositivo”.
Le app che riceveranno l’attestazione IMQ MOBSEC offriranno la garanzia di aver superato verifiche di conformità a specifici requisiti di sicurezza selezionati a partire da documenti internazionali elaborati dall’Open Web Application Security Project e dall’European Union Agency for Cybersecurity e che mirano a raggiungere un livello di sicurezza superiore a quello ottenibile limitandosi nello sviluppo alle misure minime di sicurezza imposte dai sistemi operativi.
Su richiesta delle aziende sviluppatrici potrà essere avviato un piano di monitoraggio periodico della sicurezza delle app tramite test condotti da un laboratorio al di sopra delle parti, al fine di individuare eventuali vulnerabilità che dovessero subentrare a fronte di rilasci di nuove versioni dell’applicazione.
“Quest’ultimo è un elemento più che mai fondamentale dato che le tecniche di attacco informatico sono in continua evoluzione e verificare il livello di sicurezza solo al momento della pubblicazione della app può rivelarsi un approccio debole in termini di garanzie offerte agli utilizzatori finali” sottolinea Claudia Piccolo.
Se da un lato lo schema IMQ MOBSEC permette ai consumatori di riconoscere le app più sicure, dall’altro consente anche le aziende che sviluppano app di valorizzare le contromisure implementate per migliorare la sicurezza delle proprie applicazioni nel loro ciclo di vita seguendo un processo di attenta valutazione e verifica di requisiti puntuali di sicurezza eseguite direttamente sull’applicazione pubblicata sugli store ufficiali di riferimento.
IMQ MOBSEC potrà essere rilasciato a tutte le applicazioni sviluppate per i sistemi Android e iOS, sia che dialoghino con uno o più sistemi di backend sia che lavorino in modalità autonoma. Il superamento positivo dei test porta al rilascio di un’attestazione che dà evidenza dell’esecuzione di un penetration test sull’app e sui suoi servizi remoti, della risoluzione delle vulnerabilità eventualmente emerse, del rispetto dei principi e delle best-practice di design e implementazione sicuri espressi da requisiti che appartengono alle seguenti aree: Supply Chain Security, Data Protection, Cryptography, Authentication and Session Management, Network Security, Operating System and Application Platform Interaction e Code Quality and Integrity.