Kybernetické zabezpečení je jen iluze, pokud není potvrzeno penetračním testem, varuje expert společnosti Eviden

V posledních dvou letech masivně narůstá zájem soukromých firem i státních organizací o penetrační testování. Podíl na tom mají nejen legislativní požadavky jako NIS2 nebo DORA, ale i měnící se geopolitická situace ve světě. Organizace intenzivně investují do svého kybernetického zabezpečení, ale teprve testování etickými hackery prověří jeho skutečnou odolnost. Oproti minulosti je penetrační testování důkladnější, ale také rychlejší. Podle expertů společnosti Eviden trvá kvalitní analýza průměrně 5 dnů a měla by vyústit v konkrétní bezpečnostní doporučení.

„Nárůst zájmu o penetrační testování vnímáme jako signál, že soukromý i státní sektor bere kyberbezpečnostní rizika vážně,“ říká Tomáš Hlavsa, ředitel oddělení BDS společnosti Eviden. Test je jedním z nástrojů, jak mohou organizace splnit požadavky dané zákonem, resp. normami jako NIS2 nebo DORA. Ne každý však bere penetrační test jen jako zákonnou povinnost. „Roste počet klientů, kterým nestačí domnělý pocit bezpečí, ale chtějí odborné ověření. Právě těm dá pentest jistotu, jestli je jejich kybernetické zabezpečení skutečně funkční nebo pouze iluzorní.“

Důkladný test je nejlepší prevencí potenciálních problémů

Zvýšený zájem o práci etických hackerů je vidět napříč celým IT sektorem. Jen experti společnosti Eviden pozorují již druhý rok nárůst poptávky o přibližně 80 %. Rozsah penetračních testů se podle Tomáše Hlavsy dá rozdělit na dvě základní skupiny. „Tzv. malý penetrační test klientovi řekne, jak moc a vůči čemu je jeho síť odolná. Naopak větší varianta jde více do hloubky a prozradí, jestli jsme prolomili zabezpečení a jak hluboko do infrastruktury jsme se dostali,“ vysvětluje šéf oddělení kyberbezpečnosti společnosti Eviden.

Zatímco v minulosti znamenalo důkladné penetrační testování týdny intenzivní práce, dnes se bavíme v průměru o pěti pracovních dnech. Po něm následuje vyhodnocení získaných dat a přetavení poznatků do výsledné zprávy. „Rozdíl mezi průměrným a kvalitně provedeným penetračním testem lze poznat i podle úrovně zpracování výsledné zprávy,“ vysvětluje Tomáš Hlavsa. Ta by standardně měla obsahovat popis provedených útoků, použité metody a nástroje, popřípadě jaká data se podařilo získat. „Nejdůležitější a kvalitativně nejhodnotnější částí reportu jsou konkrétní doporučení na zlepšení či nápravu. Na tom se pozná expertíza a know-how toho, kdo testy prováděl.“

Etický hacker (o)chrání stát, firmy, ale i žáky nebo učitele

Společnost Eviden řeší několik desítek penetračních testů ročně, zejména pro státní správu. Jedním z klientů byla také Nadace České spořitelny, která chtěla otestovat bezpečnost vzdělávací platformy Skoala před uvedením do provozu. Tento portál vzdělává učitele, žáky i studenty v otázkách finanční gramotnosti prostřednictvím různých metodických materiálů, videí a her. Penetrační testování trvalo 5 dní a zahrnovalo prověření možné manipulace s obsahem v administračním rozhraní a zkoumání registračního procesu na infrastruktuře AWS.

Během testování experti společnosti Eviden identifikovali několik zranitelností, ať už na úrovni kódu, kontroly nahrávaných souborů nebo řízení přístupu uživatelů k obsahu. Nejzávažnějším nálezem byla kritická chyba ve funkci pro resetování hesla, která mohla být zneužita k phishingovému útoku. „Díky včasnému odhalení těchto problémů mohla Nadace České spořitelny zvýšit bezpečnost platformy Skoala, zabránit potenciálnímu zneužití zranitelností a optimalizovat své bezpečnostní postupy,“ přibližuje praktické přínosy auditu Tomáš Hlavsa.

„Spolupráci se společností Eviden hodnotíme maximálně pozitivně. Vyzdvihli bychom jejich poctivý a svědomitý přístup k práci a skutečně bezchybně vypracovaný finální report,“ hodnotí penetrační testování Matúš Bizoň, IT projektový manažer České spořitelny.