„Celkový počet subjektov, podliehajúcich súčasnému zákonu o kybernetickej bezpečnosti je teraz vo vyšších stovkách. S nástupom smernice NIS2 očakávame asi pätnásťnásobný nárast tohto čísla. Penetračné testy sú jedným zo základných nástrojov, ako overiť, že máte správne nastavenú kyberbezpečnosť, a že sú systémy, aplikácie, dáta i zariadenia chránené tak, ako majú byť. Predstavitelia verejnej správy majú zodpovednosť nielen za bezpečnosť vlastnej organizácie, ale zodpovedajú aj za zriaďované organizácie – na úrovni obce, kraja i celého štátu. Predpokladám, že dopyt po penetračných testoch sa zvýši zhruba desaťnásobne,“ hovorí Michal Sekula, odborník spoločnosti Eviden na kybernetickú bezpečnosť.
Hodnotenie odolnosti pomocou penetračného testovania
Cieľom penetračného testovania je preniknúť do systému, identifikovať a posúdiť slabé miesta v infraštruktúre a systémoch. Zraniteľnosti, ktoré môžu viesť k rôznym kybernetickým útokom, sú kritické. S týmito zraniteľnosťami sa môže na dark webe obchodovať za značné čiastky, od tisícov až po státisíce dolárov.
„Penetračné testovanie nie je len službou, ale proaktívnym obranným mechanizmom, ktorý umožňuje organizáciám identifikovať a riešiť zraniteľnosti skôr, než ich môžu zneužiť záškodníci. Vďaka špecializovanému tímu odborníkov spoločnosti Eviden môžu organizácie udržať náskok pred kybernetickými hrozbami a pokračovať v inováciách v digitálnom veku,“ hovorí Michal Sekula, ktorý je držiteľom bezpečnostných certifikátov CISM a CISA.
Pentesteri vždy dodržiavajú definovanú oblasť pôsobenia
Spoločnosť Eviden vykonáva penetračné testovanie s medzinárodným tímom odborníkov. Vzhľadom na dynamické digitálne prostredie je tento proces kľúčový pre ochranu citlivých dát a digitálnych aktív organizácií. Etickí hackeri, alebo pentesteri, poskytujú cenné informácie o pripravenosti organizácie v oblasti kybernetickej bezpečnosti.
Penetrační testeri musia dodržiavať etické zásady a rozsah pôsobnosti organizácie. Ak objavia potenciálnu zraniteľnosť mimo pôvodného rozsahu, musia o tom okamžite informovať klienta, aby bolo zaistené etické a legálne testovanie. Pentester vykonáva viacvektorové „útoky“ a využíva rôzne techniky na narušenie obrany organizácie, napodobňuje metódy používané útočníkmi v reálnom svete. Medzi techniky patria phishingové útoky, sociálne inžinierstvo, útoky hrubou silou (brute force), rôzne útoky typu odoprenia služby (DoS) a nasadenie zraniteľností nultého dňa (zero-day attack), ak sú objavené.
Špecializovaný tím je vzácnosť, odborníkov je nedostatok
Mnoho IT dodávateľov nemá vlastný tím na penetračné testovanie z dôvodu vysokých nákladov na jeho udržiavanie. Eviden tento problém rieši tak, že má tím viac ako 300 odborníkov na Slovensku, v Česku, Poľsku, Rumunsku, Rakúsku a Nemecku. Táto sieť umožňuje efektívne rozdeľovať zdroje na riešenie rôznych problémov kybernetickej bezpečnosti v celej Európe.
Michal Sekula zo spoločnosti Eviden zdôrazňuje, že udržiavanie malého tímu a jeho sporadické využitie je prakticky nemožné. Existencia rozsiahleho a rôznorodého tímu zabezpečuje flexibilitu a prispôsobivosť pri reakcii na dynamické potreby.
Pozor na ponuky najnižšej ceny – poriadne testy sú nákladné
„Kvalitných poskytovateľov penetračných testov je nedostatok. Niektoré spoločnosti síce ponúkajú lacné služby, ale skutočná odbornosť si vyžaduje väčší tím s kvalifikáciou a skúsenosťami, čo je na Slovensku a v Českej republike vzácne,“ uvádza Sekula.
Kvalita penetračných testov závisí od ich rozsahu a môže byť drahšia. Cena testovania webových aplikácií sa zvyčajne pohybuje okolo 500 eur za manday. Testovanie zamerané na zabezpečenie internej infraštruktúry organizácie, e-mailového systému, dát alebo konkrétnych aplikácií je zvyčajne drahšie z dôvodu vyššej potreby odborných znalostí.
„Pri vyhľadávaní služieb penetračného testovania či etického hackingu je nevyhnutné jasne definovať ciele a špecifikovať zadanie. Kvalitné testovanie sa začína dobre definovanými cieľmi v rámci organizácie. A rozhodne by sa človek nemal zameriavať na najnižšiu ponuku ako na primárne kritérium,“ uzatvára Michal Sekula, expert spoločnosti Eviden na kybernetickú bezpečnosť.
***
O spoločnosti Eviden[1]
Spoločnosť Eviden je technologický líder novej generácie v oblasti dátovo orientovanej, dôveryhodnej a udržateľnej digitálnej transformácie so silným portfóliom patentovaných technológií. Vďaka celosvetovým popredným pozíciám v oblastiach pokročilých výpočtových systémov, bezpečnosti, AI, cloudu a digitálnych platforiem spoločnosť poskytuje rozsiahle odborné znalosti pre všetky odvetvia vo viac ako 47 krajinách. Spoločnosť Eviden, ktorá spája 53-tisíc talentov svetovej triedy, rozširuje možnosti dát a technológií naprieč digitálnym kontinuom, teraz i pre ďalšie generácie. Spoločnosť Eviden je súčasťou skupiny Atos s ročným obratom približne 5 miliárd eur.
O spoločnosti Atos
Atos je globálnym lídrom v digitálnej transformácii so 105 000 zamestnancami a s ročným obratom približne 11 miliárd eur. Skupina, ktorá je európskou jednotkou v oblasti kybernetickej bezpečnosti, poskytovania cloudových služieb a výpočtovej techniky s vysokým výkonom, poskytuje end-to-end riešenia na mieru pre všetky odvetvia v 69 krajinách sveta.
Spoločnosť Atos, priekopník v oblasti dekarbonizačných služieb a produktov, sa zaviazala poskytovať svojim zákazníkom bezpečné a dekarbonizované digitálne riešenia.
Atos je európska spoločnosť (SE, Societas Europaea) a je kótovaná na Euronext Paris.
Cieľom spoločnosti Atos je napomáhať pri vytváraní budúcnosti informačných technológií. Svojimi odbornými znalosťami a službami podporuje rozvoj vedomostí, vzdelávania a výskumu multikultúrnym prístupom a prispieva k rozvoju vedecko-technickej excelentnosti. Atos na celom svete umožňuje svojim zákazníkom a zamestnancom, ako aj členom spoločností, aby žili, pracovali a rozvíjali sa udržateľne v bezpečnom informačnom priestore.
Spoločnosť Atos pôsobí v Slovenskej republike od 1. októbra 2011 po akvizícii spoločnosti Siemens IT Solutions and Services, s.r.o.
[1] Spoločnosť Eviden pôsobí na trhu prostredníctvom nasledujúcich značiek: AppCentrica, ATHEA, Cloudamize, Cloudreach, Cryptovision, DataSentics, Edifixio, Energy4U, Engage ESM, Evidian, Forensik, IDEAL GRP, In Fidem, Ipsotek, Maven Wave, Profit4SF, SEC Consult, Visual BI, Worldgrid, X-Perion. Eviden je registrovaná značka. © Eviden SAS, 2023.