Безопасен ли low-code?

Сейчас крупнейшие компании пытаются снизить нагрузку на IT-подразделения, поэтому осознают ценность low-code. Но часто опасения по поводу безопасности low-code-платформ становятся препятствием для их внедрения. Мы собрали пять самых популярных мифов на тему небезопасности low-code и обсудили их с экспертами Bercut.

Миф 1. Если допустить к разработке рядовых пользователей, то информационная безопасность будет под угрозой.

Это частое опасение, особенно среди крупных компаний с большими объемами уникальных данных. Правда в том, что крупные компании работают не с массовыми лоукодинговыми продуктами, а с корпоративными платформами, отвечающими строгим стандартам безопасности. В них у «гражданских» разработчиков есть доступ только к тестовой базе данных, а не к основной («продуктивной»).

Если пользователь по недосмотру или злому умыслу попробует настроить в low-code-интерфейсе процесс так, чтобы получить несанкционированный доступ к большому объему данных, например, выгружая их через готовые API, то это просто не получится сделать.

Во-первых, коннекторы и API созданы таким образом, чтобы предоставлять не все данные, а только ограниченное количество, минимально необходимое для конкретного бизнес-процесса.

Во-вторых, предоставление чувствительных данных может происходить в автономном режиме. Одна система может передавать команды и определенные данные другой без участия каких-либо сотрудников вообще, будь то «гражданских» или профессиональных разработчиков, работников внутреннего IT-отдела или службы техподдержки поставщика.

В-третьих, Enterprise-платформы имеют достаточно точек контроля, что позволяет непрерывно вести мониторинг за событиями и состоянием платформы, а в случае возникновения инцидента оперативно реагировать. Любая незапланированная активность – например, попытка выгрузить большое количество даже обезличенных данных – будет быстро отслежена и пресечена.

Платформы с бесплатным доступом и работающие на массовую аудиторию не имеют данных преимуществ, но, как правило, и цена ошибки там ниже. В их поддержку можно сказать, что и эти платформы развивают свои инструменты безопасности и гарантируют базовую защиту: используют многофакторную аутентификацию, предлагают различные настройки для коллективного доступа.

Миф 2. С лоукод-интерфейсов часто происходят утечки данных.

По данным экспертно-аналитического центра InfoWatch, в 2021 году в России была зарегистрирована 331 утечка из коммерческих и государственных компаний; в 2020 был всплеск, связанный с пандемией, – 464; в 2019 количество утечек достигло 360. В подавляющем большинстве случаев (89,8%) злоумышленники охотились за персональными данными.

Утечки происходят постоянно. Однако лоукод здесь совершенно ни при чем. Персональные данные, за которыми идет охота, хранятся в базах данных. Low-сode-платформы могут работать с базами данных, но не хранят полученную из них информацию внутри себя. 

Дополнительно можно отметить, что в Enterprise-платформах low-code происходит разграничение систем и потоков данных как внутри компании-заказчика, так и между заказчиком и вендором.

Размещение всех чувствительных данных на изолированных серверах под контролем заказчика лишает возможности добыть данные через атаку на вендора. Даже внутренние сотрудники заказчика не могут их получить без необходимого уровня доступа. А действия этого ограниченного круга пользователей будут мониториться.

Подключение к платформе со стороны вендора, например, для технической поддержки, не отличается от подключения любого другого пользователя. Действия сотрудников вендора платформы также проходят проверку и мониторятся со стороны информационной безопасности на стороне заказчика.

Миф 3. Заказчик никак не контролирует безопасность лоукод-платформы. Остается только полагаться на вендора.

Это верно для массовых лоукод-платформ. У них безопасность целиком обеспечивается поставщиком и предоставляемыми им встроенными механизмами. Пользователь полагается только на них.

Что касается Enterprise-платформ, то здесь решение вопросов безопасности является важной частью внедрения платформы. Есть требования со стороны заказчика, которые, как правило, отличаются от отрасли к отрасли. Опытный разработчик платформы умеет обеспечивать требования для каждой индустрии, с которой он работает.

Со стороны разработчика платформы есть стандартные механизмы, которые были описаны выше. Если суммировать, то платформа обеспечивает:

• изолированные среды, отсутствие поверхности атаки, использование серверов заказчика; 
  
• точки контроля доступа, основной из которых является API Gateway; 
  
• встроенные инструменты безопасности, такие как логирование, контроль, аудит, отчетность, а также разграничение прав доступа; 
  
• рекомендуемые правила разработки коннекторов. 
  

Совместная работа вендора и заказчика на этапе внедрения обеспечивает необходимый уровень защиты. В данном случае заказчик имеет возможность существенно влиять на организацию безопасности – начиная от архитектуры платформы, и заканчивая разграничением уровней доступа. Платформа может учитывать дополнительные требования по безопасности от заказчика.

Миф 4. Лоукод-интерфейсы небезопасны, потому что их нужно подключать к внешним системам при помощи коннекторов.

Это популярный вопрос, так как неправильно написанный коннектор в теории может стать «пробоиной в корпусе корабля». Но на практике есть два механизма защиты, которые предотвращают утечку данных через коннектор от одной системы к другой.

Главным механизмом, который препятствует этому, является упомянутая выше изолированность сред. В теории коннектор может содержать т.н. «закладку», которая будет передавать данные, но эти данные в итоге окажутся не у злоумышленника, а просто будут передаваться от одной закрытой от атак системы к другой во внутреннем контуре. Извлечь их никак не получится. Так работают Enterprise-платформы low-code.

Дополнительным уровнем защиты является проверка кода каждого коннектора на этапе его написания. Enterprise-платформы разрабатывают коннекторы в соответствии с SSDLC (Secure Software Development Life Cycle), ГОСТами («Разработка безопасного программного обеспечения», 2019), методикой BSIMM 2021 (Building Security In Maturity Model) и другими отраслевыми стандартами. Если компания-заказчик планирует разрабатывать коннекторы самостоятельно, то ей также стоит придерживаться этих стандартов.

Что касается массовых платформ, то для них, как правило, используются готовые коннекторы к самым популярным внешним системам. Интеграция двух систем проводится через API, по рекомендованной поставщиком платформы схеме. Сами внешние системы – это как правило надежные компании с необходимым уровнем защиты данных пользователей.

Квалифицированные вендоры отслеживают необходимые изменения в области защиты данных и готовы оказывать своим заказчикам поддержку в меняющихся внешних условиях.

Про безопасную разработку ПО в Bercut мы писали здесь.

Миф 5. Переход на low-code-платформу всегда накладывает ограничения на развитие компании.

Как правило, говоря про этот миф, компании имеют в виду vendor lock-in и полную зависимость от развития платформы при переносе своих процессов на нее.

Это верно только для части платформ. Если речь идет о low-code-платформах с широкими возможностями интеграции, например, с возможностью самостоятельной разработки коннекторов к внешним системам, то этот риск снимается. Компания может использовать большое количество поставщиков различных решений, тем самым снижая зависимость от конкретного вендора. А платформа low-code в данном случае будет обеспечивать их интеграцию и совместную работу.

В защиту массовых low-code-платформ можно добавить, что они решают точечные задачи и, с учетом выполнения требований по безопасности, могут использоваться на уровне отдельных команд. Тогда как для критичных процессов на уровне всей компании стоит использовать платформы уровня Enterprise.