Laut Pieter Danhieux, führender Experte für sichere Software und Mitbegründer des australischen Start-ups Secure Code Warrior, sind australische Banken weltweit führend bei der Entwicklung eines starken Sicherheitsbewusstseins unter ihren Softwareentwicklern.
Danhieux sagte, dass fünf der sechs größten australischen Banken ihre Entwickler nun aktiv einbinden, um sichere Coding-Fähigkeiten durch Secure Code Warrior's online, selbstgesteuerte, gamifizierte Lernumgebung aufzubauen, sowie Echtzeit-Metriken und Berichte zu überprüfen, um die Stärken und Schwächen ihrer Entwickler und Teams zu verifizieren. Der erste Vertrag war AUDM mit einer großen Bank im August 2016, gefolgt von Verträgen mit vier weiteren Banken seither.
"Traditionelle Banken stehen unter starkem Druck von nicht-traditionellen Wettbewerbern, ihre Markteinführungsgeschwindigkeit zu beschleunigen, die Qualität zu verbessern und die Flexibilität zu erhöhen. Dies hat sie dazu veranlasst, agilere Entwicklungsframeworks einzuführen, die sich auf die schnelle Entwicklung von Features und Funktionen auf Kosten der Sicherheit konzentrieren", so Danhieux.
"Die durchschnittlichen Kosten einer Datenpanne belaufen sich mittlerweile auf USD 6 Mio. und die Wahrscheinlichkeit, dass ein Unternehmen betroffen ist, liegt bei eins zu vier. Die meisten größeren Sicherheitsverletzungen weltweit gehen auf Codierungsfehler zurück, die es Hackern ermöglichen, mehr Privilegien in Computernetzwerken zu erlangen, wodurch sie Zugang zum Abgreifen kritischer Daten erhalten", fügte er hinzu.
Danhieux nannte als Beispiele für Sicherheitsverletzungen der letzten Jahre die Qatar National Bank, VTech, Mossack-Fonseca (Panama Papers) und TalkTalk, bei denen Hacker schlechte Software-Sicherheitspraktiken ausnutzten.
Danhieux, langjähriger ethischer Hacker, Principal Instructor für das SANS Institute und AISA's 2016 Cyber Security Professional of the Year, unterstützt nachdrücklich agile Entwicklungsmethoden, die Sicherheit von Anfang an integrieren - Praktiken, die von vielen Tech-Unternehmen und einer wachsenden Zahl von Finanzdienstleistern eingesetzt werden.
"Die Umstellung auf agile Entwicklung hat einige große Geschwindigkeitsvorteile für Unternehmen und Kunden, aber sie hat erhebliche neue Herausforderungen in Bezug auf die Vermeidung von Sicherheitslücken geschaffen. Jeder Entwickler muss jetzt Sicherheit in seine DNA einbauen, um die Geschwindigkeit beizubehalten, aber Sicherheitslücken zu vermeiden, deren Behebung in der Regel teuer ist."
Secure Code Warrior wurde 2015 in Sydney und London gegründet, als Danhieux, sein Geschäftspartner John Fitzgerald und drei weitere australische Cybersicherheitsexperten beschlossen, Softwareentwicklern dabei zu helfen, Sicherheit als Kernaufgabe ihrer Arbeit zu begreifen.
"Aktuelle Tools für die Anwendungssicherheit konzentrieren sich darauf, sich im Software Development Life Cycle (SDLC) von rechts nach links zu bewegen, ein Ansatz, der Erkennung und Reaktion unterstützt - die Schwachstellen im geschriebenen Code erkennen und reagieren, um sie zu beheben. Wir konzentrieren uns auf die äußerste linke Seite des SDLC, indem wir den Entwickler zur ersten Verteidigungslinie in seinem Unternehmen machen und dazu beitragen, dass Schwachstellen gar nicht erst entstehen", so Danhieux.
Das schnell wachsende Start-up hat jetzt Niederlassungen in Sydney, London, Belgien und Boston und führende Finanzdienstleistungs-, Telekommunikations- und Technologiekunden in neun Ländern. Das Unternehmen hat jetzt 10.000 aktive Nutzer und konnte in den letzten sechs Monaten seine Kunden verdoppeln und seinen Umsatz verdreifachen.
Craig Davies, CEO des australischen Cyber Security Growth Network (AustCyber), prognostiziert, dass diese Art von praktischem, evidenzbasiertem Training zu einer grundlegenden Aktivität für Organisationen werden wird, die Anwendungen entwickeln.
"Unternehmen, die von Anfang an sicher kodieren, reduzieren nicht nur ihr Risiko erheblich, sondern sparen auch enorme Kosten und Verzögerungen bei ihren Produktinnovationen aus", sagt Davies.
Danhieux ist beeindruckt von den australischen Banken, die, wie er sagt, erkannt haben, dass das Risiko real ist, und die schnell gehandelt haben, um ihr Risiko zu reduzieren. "Das Tempo, mit dem weltweit neue Kunden auf Secure Code Warrior onboardet werden, macht deutlich, dass Finanzdienstleister überall erkennen, wie wichtig es ist, in jeder Zeile des Codes exzellente Sicherheit einzubauen, und dass Secure Code Warrior eine einfache Lösung ist, um die Herausforderung schnell und nachhaltig anzugehen."
