Penetrační testování se tak stane nezbytnou součástí hodnocení odolnosti organizace vůči těmto hrozbám a bude velmi žádanou službou. Avšak s rostoucí poptávkou a nedostatkem odborníků na trhu se mohou tyto služby stát náročnými na dostupnost i finance.
„Celkový počet subjektů podléhajících stávajícímu zákonu o kybernetické bezpečnosti je nyní ve vyšších stovkách. S nástupem směrnice NIS2 očekáváme asi patnáctinásobný nárůst tohoto čísla. Penetrační testy jsou jedním ze základních nástrojů, jak ověřit, že máte správně nastavenou kyberbezpečnost a že jsou systémy, aplikace, data i zařízení chráněna tak, jak mají být. Představitelé veřejné správy mají zodpovědnost nejen za bezpečnost vlastní organizace, ale zodpovídají také za zřizované organizace – na úrovni obce, kraje i celého státu. Předpokládám, že poptávka po penetračních testech se zvýší zhruba desetkrát,“ říká Tomáš Hlavsa, bezpečnostní ředitel společnosti Eviden.
Hodnocení odolnosti pomocí penetračního testování
Cílem penetračního testování je proniknout do systému, identifikovat a posoudit slabá místa v infrastruktuře a systémech. Zranitelnosti, které mohou vést k různým kybernetickým útokům, jsou kritické. S těmito zranitelnostmi je na dark webu možné obchodovat za značné částky, od tisíce až po statisíce dolarů.
„Penetrační testování není pouhou službou, ale proaktivním obranným mechanismem, který umožňuje organizacím identifikovat a řešit zranitelnosti dříve, než je mohou zneužít záškodníci. Díky specializovanému týmu odborníků společnosti Eviden mohou organizace udržet náskok před kybernetickými hrozbami a pokračovat v inovacích v digitálním věku,“ doplňuje Hlavsa.
Pentesteři vždy dodržují definovanou oblast působnosti
Například společnost Eviden provádí penetrační testování s mezinárodním týmem odborníků. Vzhledem k dynamickému digitálnímu prostředí je tento proces klíčový pro ochranu citlivých dat a digitálních aktiv organizací. Etičtí hackeři neboli pentesteři, poskytují cenné informace o připravenosti organizace v oblasti kybernetické bezpečnosti.
Penetrační testeři musí dodržovat etické zásady a rozsah působnosti organizace. Pokud objeví potenciální zranitelnost mimo původní rozsah, musí o tom okamžitě informovat klienta, aby bylo zajištěno etické a legální testování. Pentester provádí vícevektorové „útoky“ a využívá různé techniky k narušení obrany organizace, napodobuje metody používané útočníky v reálném světě. Techniky zahrnují phishingové útoky, sociální inženýrství, útoky hrubou silou (brute-force), různé útoky typu odepření služby (DoS) a nasazení zranitelností nultého dne (zero-day attack), pokud jsou objeveny.
Specializovaný tým je vzácností, odborníků je nedostatek
Mnoho IT dodavatelů nemá vlastní tým pro penetrační testování kvůli vysokým nákladům na jeho udržování. Eviden tento problém řeší tím, že má tým více než 300 odborníků rozprostřený v Polsku, Rumunsku, České republice, Rakousku a Německu. Tato síť umožňuje efektivně rozdělovat zdroje na řešení různých problémů kybernetické bezpečnosti v celé Evropě.
Tomáš Hlavsa zdůrazňuje, že udržování malého týmu a jeho sporadické využití je prakticky nemožné. Existence rozsáhlého a různorodého týmu zajišťuje flexibilitu a přizpůsobivost při reakci na dynamické potřeby.
Pozor na nabídky nejnižší ceny – řádné testy jsou nákladné!
„Kvalitních poskytovatelů penetračních testů je nedostatek. Některé společnosti sice nabízejí levné služby, ale opravdová odbornost vyžaduje větší tým s kvalifikací a zkušenostmi, což je v České republice vzácné,“ informuje Hlavsa.
Kvalita penetračních testů závisí na jejich rozsahu a může být dražší. Cena testování webových aplikací se obvykle pohybuje kolem 12 000 Kč za manday. Testování zaměřené na zabezpečení interní infrastruktury organizace, e-mailového systému, dat nebo konkrétních aplikací je obvykle dražší kvůli vyšší potřebě odborných znalostí.
„Při vyhledávání služeb penetračního testování či etického hackingu je nezbytné jasně definovat cíle a specifikovat zadání. Kvalitní testování začíná dobře definovanými cíli v rámci organizace. A rozhodně by se člověk neměl zaměřovat na nejnižší nabídku jako na primární kritérium,“ uzavírá Hlavsa.