Penetrační testy – nedílná součást bezpečnostní analýzy

19. 11. 2021

Bezpečnost především. To platí i při vývoji a používání jakéhokoli chytrého zařízení či softwaru. Představte si, že by bankovní aplikace, kterou máte nainstalovanou v telefonu, byla snadným cílem pro kybernetické útočníky. Jistě by vás nepotěšil fakt, že nejsou vaše úspory v bezpečí. Právě proto jsou tu penetrační testy. V tomto článku se budeme věnovat tomu, co je penetrační testování, jak a kde probíhá a proč je důležité.

Pen-test, hledání slabin

Penetrační testy jsou nedílnou součástí bezpečnostní analýzy, která se provádí testováním, tedy simulací potenciálních útoků, pokusů proniknout do různých částí systému jak zevnitř, tak zvenčí. Jsou něco jako crashtest při výrobě automobilů, který odhalí, do jaké míry je vůz bezpečný, zda bezpečnostní opatření fungují dle předpokladu a auto je tedy možné uvést na trh. Výstupní hodnotou penetračních testů je odhalení slabých míst v ochraně systému a jejich následné odstranění.

Právní regulace

Za poslední rok vzrostlo množství kybernetických útoků o 600 %. Podle statistik je v každé společnosti adekvátně chráněno jenom 5 % citlivých dat. To může mít fatální následky, a to nejen v podobě samotného zneužití citlivých dat. Při ověřování bezpečnosti webových aplikací je totiž nutné brát na zřetel také právní stránku věci, hrozí totiž sankce ze strany EU za porušení nařízení GDPR či porušení jakékoli části zákona č. 40/2009 Sb. trestního zákoníku.

Jak a kde to všechno probíhá?

Testování bezpečnosti je důležité hlavně pro organizace, které zpracovávají citlivá data a u nichž by případné porušení bezpečnosti zpracovávaných dat mělo nejen dopad v podobě sankce, ale také významné ekonomické, politické či společenské následky.

Kde jsou penetrační testy na místě?

Mezi organizace, které mohou těmto následkům čelit, patří:

státní správa a samospráva;

zdravotnická zařízení s nemocničními, laboratorními, radiologickými a jinými informačními systémy a zdravotnickou technikou;

správa nemovitostí a developeři;

producenti léčiv a jejich výrobní systémy (validované i nevalidované);

provozovatelé dohledových center a dopravních systémů;

výrobní podniky s vysokou mírou automatizace (potravinářské, petrochemické, strojírenské, automotive);

energetické výrobní i distribuční společnosti;

banky a finanční instituce;

a mnohé další.

Před samotným testováním je třeba stanovit cíle testu, jeho rozsah a definovat části systému, které testování organizace podrobit nechce. Výsledkem je kompletní zhodnocení bezpečnostní situace organizace, seznam všech zranitelných míst a údajů, které se díky nim podařilo testerům získat, vše seřazené dle závažnosti bezpečnostního rizika společně s doporučením na zlepšení. Samotní testeři potom pracují formou manuálního testování v kombinaci s použitím specializovaných nástrojů.

Tip: Podívejte se na naše bezpečnostní doporučení.

Data jako v bavlnce díky péči profesionálů

Některé organizace zaměstnávají své vlastní penetrační testery, nebo se těmto bezpečnostním opatřením věnují přímo vývojáři. Některé zase tyto služby řeší formou outsourcingu. Výhodou simulací reálného hackerského útoku je to, že firma či zaměstnanec, kteří testy provádí, žádná data a informace organizaci neodcizí. Navíc získá podrobnou zprávu o stavu svých bezpečnostních systémů a doporučení, na čem je třeba zapracovat.

Informace jsou v dnešní době velmi cennou komoditou, proto je na místě se starat o jejich bezpečí, pen-testy jsou proto nezbytné.

Chcete mít jistotu, že jsou vaše firemní data v bezpečí? Pozvěte si profesionály, kteří u vás provedou testy a doporučí vám, jak dále postupovat.