Компании с высокими требованиями к информационной безопасности периодически заказывают проверку на устойчивость своих систем к хакерским атакам – Pentest. Это довольно сложная в исполнении процедура, и проводить ее должны внешние специалисты, так называемые «белые хакеры», задача которых – не навредить, а помочь выявить и устранить неисправности в компьютерных системах заказчика. Проведение независимой атаки силами внешних специалистов делает ее более объективной и в результате дает больше практической значимости, чем проверка собственными силами.
Зачем компании добровольно заказывают тестирование на проникновение?
1. Опередить хакеров. «Пентестеры» имитируют действия злоумышленников, чтобы найти уязвимости в компьютерных системах компании раньше, чем это сделают хакеры. Есть разные варианты проведения проверки:
- вслепую или методом «черного ящика», когда при взломе специалисту изначально неизвестен вектор атаки, и он рассчитывает только на имеющуюся в открытом доступе информацию.
- 50/50 или по методу «серого ящика» – целенаправленная инсценировка проникновения с использованием некоторых вводных о компьютерных системах заказчика: доменные адреса, пул используемых ip-адресов, почтовые адреса работников и другая информация. Этот метод экономит время и более приближен к реальности.
- с максимальным погружением или по методу «белого ящика» – специалист располагает всей необходимой информацией об объекте взлома: начиная от учетной записи рядового пользователя и заканчивая исходным кодом, а также существующими гипотезами об уязвимостях. По данному методу проверяется корректность настройки доменной политики, сетевых маршрутов и доступов.
2. Регулярно прокачивать информационную безопасность. Тестирование на проникновение помогает обнаружить проседающие с точки зрения безопасности системы и определить метод построения их защиты. По результатам тестирования готовится подробный отчет с конкретными предложениями – от рекомендаций по профилактике до перечисления моделей оборудования и их настроек.
3. Всегда быть в контексте закона. В России для финансовой отрасли тестирование систем на устойчивость к взломам является обязательной процедурой. Ее игнорирование может обернуться для представителя сегмента штрафными санкциями.
В соответствии с 152-ФЗ штрафы также грозят за утечки персональных данных. Последние изменения от 27 марта 2021 года увеличили суммы наказания за нарушения в части обработки персональных данных в два и более раза. В европейских странах в соответствии с их законодательством размер штрафа зависит от дохода материнской компании. Проведя тестирование, можно вовремя обнаружить потенциальные риски утечки важных коммерческих и(или) персональных данных и обезопасить компанию от них до того, как регуляторы придут с проверкой.
4. Сохранить лицо бренда в будущем. Pentest – это инвестиция в бизнес, считают руководители компаний. Обнаруженная вовремя брешь в критичной для бизнеса системе поможет сохранить шестизначные суммы и имя на рынке. И действительно, если крупная компания сталкивается с утечкой, избежать огласки инцидента прессой становится практически невозможно, партнеры и клиенты начинают с осторожностью относиться к контрагенту. Такой инцидент может отразиться и на стоимости акций пострадавшей компании, если они размещены на фондовой бирже.
Но и это еще не все: произошла крупная утечка, бизнесу и так несладко, однако регуляторы еще и штрафуют за нарушение законодательства в части хранения и обработки данных. После такого “урока” проведение Pentest должно стать для руководителя традиционной процедурой.
Резюмируя все вышесказанное, контролируемая попытка взлома компьютерных систем должна проводиться на регулярной основе в формате тестирования на проникновение (Pentest) для поддержания безопасности ИТ-систем ответственного бизнеса в актуальном состоянии.