Niestety wiele firm, mimo że stara się poważnie podchodzić do bezpieczeństwa przetwarzanych informacji, odpowiedzialnością za to zadanie obarcza często jedną osobę – administratora systemów informatycznych – lub, w najlepszym razie, grupę administratorów systemów informatycznych.
Przy obecnym postępie technologicznym i pojawiających się w związku z tym coraz nowszych rozwiązaniach nie możemy liczyć na to, że działający w pojedynkę administrator systemów nie popełni błędu, np. nie przeoczy ważnego elementu konfiguracji. Nawet jeśli podczas wdrożenia nowego narzędzia korzystaliśmy z profesjonalnej pomocy jego dostawcy, nie wolno zapominać, że raz wdrożone zabezpieczenie nie będzie skuteczne na zawsze.
Takich długowiecznych rozwiązań niestety nie ma, chociażby z tego powodu, że nie jesteśmy w stanie przewidzieć nowych zagrożeń i podatności, które często wymagają innego podejścia. Zapewnienie bezpieczeństwa danych to proces ciągły, który wymaga od osób zaangażowanych nie tylko szerokiej wiedzy, lecz także czasu.
Dla chcących zapewnić przetwarzanym danym najwyższe bezpieczeństwo idealnym rozwiązaniem są tzw. testy penetracyjne.
Czym jest test penetracyjny?
Test penetracyjny polega na przeprowadzeniu kontrolowanego ataku na system informatyczny. Taki test może zostać wykonany zarówno przez wyspecjalizowaną firmę zewnętrzną, jak i przy pomocy własnych zasobów ludzkich. Jego głównym celem jest identyfikacja największych podatności występujących w weryfikowanym obszarze, a w efekcie – odnalezienie rozwiązania, które skutecznie wyeliminuje daną podatność lub zminimalizuje ryzyko jej wykorzystania przez potencjalnego intruza.
Często okazuje się, że takie podatności nie pojawiają się tylko i wyłącznie z powodu błędnej konfiguracji systemu, luk w oprogramowaniu czy sprzęcie, lecz z powodu niewłaściwych procedur lub braku świadomości personelu. Dlatego oprócz testów penetracyjnych warto uwzględnić również testy bezpieczeństwa fizycznego lub testy socjotechniczne. Okresowe weryfikowanie i dokumentowanie podjętych czynności z pewnością należy uznać za należyte realizowanie wymogu art. 32 ust. 1 lit. d RODO, stanowiącego o konieczności regularnego testowania, mierzenia i oceniania skuteczności zastosowanych zabezpieczeń.
Co wziąć pod uwagę przed wykonaniem testów penetracyjnych?
Przed zdecydowaniem się na wsparcie firmy zewnętrznej, która wykona testy penetracyjne, warto określić, jaką dokładnie usługą nasza organizacja jest zainteresowana. Testy mogą bowiem zostać wykonane:
- na zewnętrz organizacji – wówczas usługa zazwyczaj jest realizowana z poziomu sieci globalnej, która najlepiej odzwierciedli możliwy atak przez użytkownika Internetu, np. hakera lub konkurencyjną firmę,
- wewnątrz organizacji – wówczas usługa jest realizowana z wykorzystaniem dostępu do sieci lokalnej organizacji, ponieważ najlepiej odzwierciedli to bezpieczeństwo jej danych z poziomu pracownika lub osoby, która uzyskała już dostęp do sieci firmowej.
Ponadto można zastanowić się nad dniami i porą wykonywanych testów. W skrajnych przypadkach czynności wykonywane przez osoby zajmujące się testami bezpieczeństwa mogą spowodować przerwy w działaniu usługi kluczowej z punktu widzenia biznesu. Dodatkowo w zależności od pory lub wybranego dnia możemy zweryfikować czujność i sposób reakcji pracowników na wykryte zagrożenie. w związku z tym należy rozważyć, czy test powinien być wykonany w godzinach pracy, w godzinach popołudniowych lub nocnych, czy może w dni wolne od pracy. Dodatkowo zadbajmy o wykonanie pełnej kopii bezpieczeństwa wykorzystywanych systemów, ponieważ mogą pojawić się nieprzewidziane sytuacje.
Więcej na temat kopii bezpieczeństwa w artykule „Backup polisą ubezpieczeniową XXI w.”.
Testy bezpieczeństwa można podzielić również ze względu na ich „głębokość”. Biorąc pod uwagę wskazane kryterium, najczęściej mamy do czynienia z testami:
- black box – tzw. spojrzenie od zewnątrz. Jego realizacja zakłada brak jakiejkolwiek wcześniejszej wiedzy atakującego o atakowanym obiekcie. Testerzy rozpoczynają swoją pracę od zebrania podstawowych informacji na temat organizacji, a później stopniowo wykorzystują dane, które uda im się pozyskać. Niewątpliwie wadą takiego testu jest jego większa czasochłonność, a co za tym idzie – większe koszty usługi. Nacisk ze strony klienta na zmniejszenie ceny może jednak prowadzić do małej dokładności przeprowadzenia testu. Zaletą tego rozwiązania jest z kolei to, że z wykorzystaniem testu black box symulujemy najbardziej prawdopodobny atak intruza na organizację;
- white box – tzw. spojrzenie od środka. Jest to rodzaj testu, w którym pentesterzy otrzymują przed atakiem zbiór interesujących ich informacji. Test white box jest z reguły dokładniejszy, mniej czasochłonny i kosztowny niż black box, lecz symuluje mniej prawdopodobny scenariusz włamania.
Oprócz wyboru lokalizacji, typu wykonywanego testu i ustalenia terminu organizacja powinna zaplanować jego dokładny cel, np. część infrastruktury składająca się z konkretnych serwerów, usług lub aplikacji. Kolejną ważną kwestią jest decyzja o informowaniu pracowników o przeprowadzaniu symulowanego ataku. w zależności od przyjętych założeń za pomocą testu organizacja może zweryfikować sposób działania przyjętych procedur oraz realną reakcję pracowników i systemów na zagrożenie. Nie zapomnijmy o ustaleniu bezpiecznej drogi przekazania raportu z wykonanej usługi. w związku z wagą zamieszczonych w nim informacji z pewnością nie chcielibyśmy, aby trafił on w niepowołane ręce.
Jak często wykonywać testy penetracyjne?
Warto w tym zakresie ustalić procedurę i wykonywać testy w określonych, regularnych odstępach czasu, przy czym im częściej będą one wykonywane, tym lepiej. Upływ czasu ma bowiem duży wpływ na aktualność wyniku przeprowadzonego testu. Niezależnie od powyższego, decydując o przeprowadzeniu testów, uwzględniajmy również sytuacje, kiedy dochodzi do większych zmian w konfiguracji i wdrażane są nowe rozwiązania, systemy lub narzędzia.
Jak przekonać biznes do wykonania testów?
Największym problemem w przekonaniu organizacji do wykonania testów penetracyjnych jest niska świadomość kadry zarządzającej możliwych zagrożeń i wartości przetwarzanych informacji. Dodatkowo zwykle zniechęcający jest fakt, że profesjonalne usługi tego typu nie należą do najtańszych. Starajmy się jednak uświadomić zarząd, że bezpieczeństwo to proces wymagający regularnej kontroli, a okresowe pentesty to nie zbędny koszt, a inwestycja w przyszłość.
Dodatkowo warto zwrócić uwagę przedsiębiorców, że weryfikacja podatności występujących w ramach organizacji jest kluczowa dla jej niezakłóconego funkcjonowania, w tym:
- minimalizacji ryzyka strat spowodowanych przestojem w działaniu,
- minimalizacji ryzyka kontroli Prezesa UODO w razie incydentu, a co za tym idzie – nałożenia dotkliwych kar finansowych,
- zapewnienia działania zgodnie z prawem, gdyż przepisy RODO stanowią o konieczności okresowego testowania, mierzenia i oceniania skuteczności zastosowanych zabezpieczeń,
- zapewnienia bezpieczeństwa danych klientów, kontrahentów, tajemnicy przedsiębiorstwa, a tym samym zachowania dobrego wizerunku firmy.