Барьеры внедрения ИБ-стандартов в мобильных приложениях
CISOclub опубликовал материал с заявленной темой о том, почему компании не внедряют ИБ-стандарты и редко проверяют защиту.
Пользователи стали активнее пользоваться приложениями, но доверяют им не полностью
По данным исследования edna, за последние два-три года у 80% россиян увеличилось количество мобильных приложений на смартфоне. При этом пользователи не просто устанавливают больше сервисов, а заметно внимательнее относятся к цифровой нагрузке: в публикации говорится, что многие стараются не перегружать устройство лишними приложениями.
У каждого третьего пользователя установлено от 10 до 20 приложений, у каждого четвертого — от 20 до 40. Наиболее массовым инструментом цифрового общения остаются мессенджеры: ими, согласно приведенным данным, пользуются все опрошенные. Также широко распространены маркетплейсы и банковские приложения — 93% и 90% соответственно. Приложения государственных сервисов, включая госуслуги и налоговые сервисы, установлены у 65% респондентов.
Для бизнеса это означает, что мобильное приложение конкурирует не только за внимание, но и за доверие. Если сервис запрашивает много разрешений, использует непрозрачную авторизацию или не объясняет, зачем ему доступ к данным, пользователь может воспринимать это как дополнительный риск.
Дополнительные практические материалы — советы: цифровые сервисы.
Безопасность данных стала одним из ключевых барьеров
В опубликованной информации говорится, что 75% респондентов опасаются утечки или кражи персональных данных. Еще 45% переживают из-за чрезмерного сбора данных приложениями, а 40% — из-за потери доступа к аккаунтам из-за забытых паролей.
Отдельный практический сигнал — отношение к разрешениям. Только 5% пользователей предоставляют приложениям все доступы без ограничений. При этом 63% дают доступ к геолокации, 53% — к фото и камере, 48% — к микрофону и контактам. Более половины соглашаются на push-уведомления. Реже всего пользователи предоставляют доступ к банковским данным или системе быстрых платежей — 18%; столько же сознательно ограничивают отслеживание своей активности.
На фоне заголовка CISOclub о компаниях, которые не внедряют ИБ-стандарты и редко проверяют защиту, эти данные выглядят как напоминание: пользовательские опасения уже сформированы. Даже если в доступном фрагменте не раскрываются причины отказа компаний от стандартов и проверок, сам контекст показывает, что безопасность перестала быть внутренней технической темой. Она влияет на установку приложения, выдачу разрешений и готовность пользоваться сервисом для повседневных задач.
Что важно отслеживать разработчикам и владельцам сервисов
В тексте CISOclub отдельно описаны способы входа в приложения. Самый распространенный вариант — авторизация по номеру телефона и коду из СМС: его используют 55% опрошенных. Биометрию — Face ID или отпечаток пальца — выбирают 43%, пароль используют 40%. Вход через аккаунты Google, Apple или VK применяют 23%, а менеджерами паролей пользуются около 10%.
В публикации также приводится комментарий о том, что СМС-код и вход по номеру телефона остаются массовыми, потому что не требуют от пользователя дополнительных действий, но по уровню защиты это базовый вариант. Для сервисов, где хранятся деньги или чувствительные данные, более надежным вариантом названа многофакторная аутентификация — например, сочетание пароля и одноразового кода из приложения-генератора или push-подтверждения.
Еще один смежный сигнал пришел из публикации zakon.ru: там заявлена тема защиты баз данных и утверждается, что robots.txt не спасает сайт от ИИ-парсеров. Подробностей в доступном фрагменте нет, поэтому делать выводы о конкретных мерах защиты нельзя. Но для владельцев цифровых сервисов это направление стоит держать в поле зрения наряду с мобильной авторизацией и управлением доступами: защита пользовательских данных, контента и баз данных все чаще становится не отдельной задачей ИБ-отдела, а частью доверия к продукту.
Пока из доступных источников неизвестно, какие именно компании не внедряют ИБ-стандарты, как часто они проверяют защиту и какие причины называют. Поэтому дальше стоит следить за публикациями, где будут раскрыты методика, участники и конкретные выводы по корпоративной стороне вопроса. Для практического выбора уже сейчас полезно оценивать не только функциональность сервиса, но и то, какие данные он запрашивает, как устроен вход и насколько понятно объясняет пользователю свои требования к доступам.
Проверка первоисточников
Где сверить правила и документы
Ссылки помогают быстро перейти от советов в статье к официальным реестрам, правилам или справочным сервисам. Перед оплатой или претензией сохраняйте дату проверки.
