Dopyt po penetračných testoch na Slovensku sa zvyšuje pomaly, ale kontinuálne. Súvisí to najmä s novelizáciou kyberzákona, ale stále sa tu pohybujeme „na tenkom ľade“, keďže mnohé organizácie podceňujú kyberodolnosť.  

„Profesionálny pentest odhaľuje zraniteľnosti a overuje, či bezpečnostné opatrenia skutočne fungujú v praxi,“ stručne a často vysvetľuje Matúš Mihok, pentester spoločnosti Remediata. A pre tých, ktorí o penetračnom teste iba uvažujú, pridáva argument o zmenách, ktoré prináša do kyberhrozieb umelá inteligencia a nástup kvantových počítačov.

Matúš Mihok pôsobil trinásť rokov v Spojenom kráľovstve a pracoval na medzinárodných projektoch pre klientov z bankového a technologického sektora, z energetiky aj z obrany. Je jediným Slovákom akreditovaným britským Národným centrom kybernetickej bezpečnosti (NCSC) na výkon a riadenie komplexných projektov ofenzívnej bezpečnosti na kritickej infraštruktúre Spojeného kráľovstva. Vrátil sa na Slovensko a hodnotí našu realitu v širších súvislostiach.

Začalo sa to už dávno, teraz to vidieť

Požiadavky na pentesty pribúdajú z finančného sektora, IT služieb a vývoja, hlásia sa firmy, ktoré spolupracujú alebo majú majiteľov na medzinárodnej úrovni. V regulovaných odvetviach sa praktiky ofenzívnej bezpečnosti na Slovensku uplatňujú dlhodobo a sú vysoko cenené. A pritom najviac ohrozeným sektorom sú stredné a malé firmy, ktoré v kyberbezpečnosti technologický aj personálny dlh.

Bankovníctvo, telekomunikácie, energetika a verejná správa vo vyspelých štátoch nekompromisne vyžadujú od dodávateľov akreditáciu CREST. Potrebujú mať istotu, že ofenzívne bezpečnostné testovanie vykonávajú overení odborníci podľa prísnych technických, procesných a etických štandardov. Vráťme sa však k firmám, ktoré zvažujú uskutočniť penetračný test a potrebujú poradiť.

Takýchto dodávateľov sa vyvarujte!

Varovným signálom je, ak potenciálny dodávateľ pentestov nevie predstaviť profily testerov, popísať metodiku, zodpovedať procesné otázky alebo presúva realizáciu na subdodávateľa bez vedomia klienta.

V praxi sa môže stať, že po takomto teste ostanú ľahko odhaliteľné a zneužiteľné zraniteľnosti nepovšimnuté a problémy nastanú neskôr. Riziko pritom nesie najmä klient.

V ideálnom svete by mala firma k auditom kybernetickej bezpečnosti pridať aj pravidelné pentesty, raz až dvakrát ročne, prípadne po veľkých zmenách aplikácií, systému, alebo infraštruktúry.

Ako si byť istý, že dostávate hodnotu za svoje peniaze

Overiť si všetko. Overiť si jednotlivcov, ich certifikácie, referencie, pýtať sa na metodiku pentestov, dať si vysvetliť výstupy, pýtať sa prečo a koľko budú trvať aktivity. Vyžiadať si anonymizovanú správu z pentestu. „Overte si aj to, kto bude vykonávať pentest. Nie kto vám ho predáva, ale kto ho reálne vykoná. Outsourcing testov do krajín tretieho sveta je bohužiaľ problém aj u nás.

Ak si porovnáte cenové ponuky, treba sa pýtať a zamyslieť prečo je jedna z nich v polovičnej cene. Penetračné testovanie je voľná živnosť a rozdiely v kvalite môžu byť veľké. Rovnako sa môže stať, že klient dostane výstup, ktorý je automatizovaný sken než na skutočné penetračné testovanie.

Tento rozdiel je zásadný: pentest alebo sken?

Veľmi zjednodušene povedané, sken zraniteľností je automatizovaný proces, ktorý identifikuje známe bezpečnostné slabiny v systémoch, ale neoveruje ich reálnu zneužiteľnosť. Penetračný test je riadená simulácia útoku, pri ktorej odborník tieto slabiny manuálne overuje a skúša ich reálne zneužiť. V skratke - sken ukáže, kde sú chyby, pentest ukáže, čo sa cez ne dá naozaj spraviť. 

Klienti, ktorí majú s ofenzívnou bezpečnosťou dostatok skúseností, sa rovno pýtajú na osobné a firemné akreditácie.

 „V západnom svete nepotrebujeme detailne vysvetľovať, čo a ako robíme. Skúsení zadávatelia vedia, že akreditovaná spoločnosť musí spĺňať určité štandardy,“ hovorí Matúš Mihok a preto investovali veľa úsilia do akreditačného procesu.

Remediata sa stala prvou spoločnosťou na Slovensku s CREST akreditáciou v oblasti penetračného testovania.

Nie je "pay to play", ale stojí to za to

Konsolidácia podkladov, procesov, technického zázemia, zber referencií a rozhovory, ktorým CREST podrobil celý tím Remediaty a dodatočné dokladovanie trvalo niekoľko mesiacov. Akreditácia nie je ani ľahký a ani rýchly proces.

Organizácia CREST (Council of Registered Ethical Security Testers) patrí medzi najrešpektovanejšie autority v ofenzívnej bezpečnosti. Certifikuje jednotlivcov  - pentesterov a členov red teamov, akredituje firmy a nastavuje metodiky a etické štandardy. CREST akreditácia predstavuje niečo ako „zlatý štandard“ pre penetračné testovanie, čiže definuje parametre kvalitného a  dôveryhodného pentestu.

Akreditačný proces sa začne až vtedy, ak CREST už na začiatku vyhodnotí organizáciu ako pripravenú. CREST hodnotí celú organizáciu posudzuje technické schopnosti a znalostné predpoklady tímu, dokumentovanú metodiku testovania, riadenie kvality, interné kontrolné mechanizmy, bezpečné nakladanie s citlivými informáciami a etické štandardy.

„Akreditácia je potvrdením vyspelosti organizácie a tímu, nie priestorom na improvizované dobiehanie základov a preto sme na tento úspech takí hrdí,“ uzatvára Matúš Mihok. Verí, že presne takéto kroky posunú slovenské kyberbezpečnostné prostredie na vyššiu profesionálnu úroveň.

Spoločnosť Remediata tvorí medzinárodný sedemčlenný tím, prevažne seniorní odborníci a každý tester má viacero všeobecne akceptovaných certifikácií z ofenzívnej bezpečnosti. Vznikla v roku 2023, zakladateľom a riaditeľom je Matúš Mihok a pôsobí v Európe v rôznych segmentoch.