Appar – säkerheten skall vara inbyggd, inte påbyggd

Publicerad 2021-09-23 | Författare Christoffer Widjeback

IT-säkerhetsrisk är inte längre bara en IT-risk. Det är en affärsrisk. En digital affärsrisk. Skydda era appar mot intrång och dataläckage. Säkerheten skall vara inbyggd och inte påbyggd. I den här artikeln ger vi er bra tips för hur ni utvecklar säkra appar som är hållbara över tid och ger precis den nytta ni vill att den skall ge – på ett säkert sätt.

Vad är en säker app?

Till att börja med behöver vi definiera vad vi vill åstadkomma. I det här fallet – bygga en app som skapar affärsvärde och har rätt nivå av säkerhet för att reducera affärsrisken. Men vad är egentligen en säker app? Den säkraste av alla appar är den som aldrig kommer hantera någon data, inte skicka/lagra/ta emot data, inte heller tillåta användaren att mata in någon typ av data och till sist ej vara ansluten till internet. Men då är frågan om vi behöver ha den appen, för utan möjlighet att kommunicera, hantera och distribuera data är det högst troligt att appen inte är särskilt användbar. Nu raljerar vi såklart genom att göra en poäng av att säkerhet gör direkt avkall på användarbarheten, vilket är fel. Vi behöver kombinera användarbarhet och säkerhet.

Vad är det vi ska tänka på?

För att göra det tydligt så sätter vi in en app i en kontext. Låt oss säga att vi behöver en app som skall kunna samla in, lämna över och hämta information från en annan part, ex. en cloudtjänst. Den information som ska hanteras i appen är känslig, så vem som helst skall inte få tillgång till innehållet. Så vad ska vi tänka på när vi bygger appen?

  • Åtkomstkontroll

Först och främst, se till att det finns en möjlighet att autentisera sig i appen. Se sedan till att det är med en säker metod, exempelvis flerfaktorsautentisering. Verifiera också att det finns ett strukturerat arbetssätt för identitetshantering i backend så att konton hanteras om användarens åtkomsträttighet ändras.

  • Kodkvalitet

Håll koll på var data i appen kan ta vägen. Data som finns i appen ska inte kunna läcka till andra appar eller ytor på enheten, säkerställ därför att eventuella kodbibliotek eller utvecklingsramverk från tredje part verifieras innan de används. Använd inte kodbibliotek eller utvecklingsramverk om ni inte kan verifiera att dessa uppfyller grundläggande säkerhetskrav, nu och över tid. Säkerställ också att data som matas in i appen valideras för att motverka skadlig injektion som kan påverka appen eller cloudtjänsten negativt.

  • Kryptering

Kryptera all känslig information med vedertagna och säkra algoritmer. Privata krypteringsnycklar skall skapas på enheten och inte hårdkodas eller lagras i appen. Spara nycklar i en nyckelring.

  • Lagring

Data lagrad på enheten är inte garanterat säker, så lagra minimalt med data på enheten och kryptera den data som lagras. Ta bort data som inte längre används. Kräv autentisering för tillgång till data och ta bort data efter orimligt antal felaktiga inloggningsförsök.

  • Nätverk

Se till så att kommunikation med backend (ex. cloudtjänst) är säker och krypterad. Säkerställ också att mottagaren validerar informationen som tas emot och att appen inte kan skicka information till andra mottagare än avsedda.

  • Dokumentation och förvaltning

Dokumentera appen för att enkelt kunna kartlägga vilka funktioner som används och vilken information som hanteras. Säkerställ också en förvaltningsprocess där regelbundna säkerhetstester ingår, minst vid varje stor release. En bra utgångspunkt för säkerhetstester är OWASPs ramverk ”Mobile App Security Checklist”.

Vad händer med användarvänligheten?

Det ena utesluter inte det andra och självklart kommer appens komplexitet och användningsområden påverka säkerhetsåtgärderna. Grunderna är dock de samma. Idag finns många smarta lösningar för att bygga appar säkra och användarvänliga. Bygg in säkerheten från början i stället för att bygga på säkerheten i efterhand. Då kommer appen att vara både effektiv, användarvänlig och säker.

 

Läs mer

Lär dig mer hur Promobility kan stötta er i era apputvecklingsprojekt med hjälp av vårt App Center of Excellence

Kontakt
info@promobility.se
Dizparc Secured AB (fd. Promobility AB)
Drottninggatan 21
652 25 Karlstad
Facebook
LinkedIn

Promobility är en IT-partner inom modern infrastruktur, digital säkerhet och applikationsutveckling. Vi arbetar med teknisk och strategisk rådgivning inom modern klienthantering (MDM, EMM, UEM), offensiv, defensiv och strategisk cybersäkerhet samt iOS och Android-utveckling m.m. Vi är baserade i Karlstad men arbetar över hela Sverige och Skandinavien.

Integritetspolicy

© Copyright 2023 Promobility