„Celkový počet subjektů podléhajících stávajícímu zákonu o kybernetické bezpečnosti je nyní ve vyšších stovkách. S nástupem směrnice NIS2 očekáváme asi patnáctinásobný nárůst tohoto čísla. Penetrační testy jsou jedním ze základních nástrojů, jak ověřit, že máte správně nastavenou kyberbezpečnost a že jsou systémy, aplikace, data i zařízení chráněna tak, jak mají být. Představitelé veřejné správy mají zodpovědnost nejen za bezpečnost vlastní organizace, ale zodpovídají také za zřizované organizace – na úrovni obce, kraje i celého státu. Předpokládám, že poptávka po penetračních testech se zvýší zhruba desetkrát,“ říká Tomáš Hlavsa, bezpečnostní ředitel společnosti Eviden.

Hodnocení odolnosti pomocí penetračního testování

Cílem penetračního testování je proniknout do systému, identifikovat a posoudit slabá místa v infrastruktuře a systémech. Zranitelnosti mohou vést k různým kybernetickým útokům a navíc jsou předmětem obchodování mezi hackery, čímž se riziko jejich zneužití zvyšuje. Se zranitelnostmi je na dark webu možné obchodovat za značné částky, od tisíce až po statisíce dolarů.

„Penetrační testování není pouhou službou, ale proaktivním obran­ným mecha­nis­mem, který umožňuje organizacím identifikovat a řešit zranitelnosti dříve, než je mohou zneužít záškodníci,“ říká Tomáš Hlavsa.

Testeři jsou vlastně hackeři, ale hrají podle pravidel

Penetrační testeři musí dodržovat etické zásady a rozsah působnosti organizace. Pokud objeví potenciální zranitelnost mimo původní rozsah, musí o tom okamžitě informovat klienta, aby bylo zajištěno etické a legální testování. Pentester provádí vícevektorové „útoky“ a využívá různé techniky k narušení obrany organizace, napodobuje metody používané útočníky v reálném světě. Techniky zahrnují phishingové útoky, sociální inženýrství, útoky hrubou silou (brute-force), různé útoky typu odepření služby (DoS) a nasazení zranitelností nultého dne (zero-day attack), pokud jsou objeveny.

Specializovaný tým je vzácností, odborníků je nedostatek

Naprostá většina firem a dokonce ani většina dodavatelů IT nemá vlastní tým pro penetrační testování kvůli vysokým nákladům na jeho udržování. Udržování malého týmu a jeho sporadické využití je prakticky nemožné a udržovat v provozu větší týmy si mohou dovolit pouze silné firmy, které se specializují na služby kybernetické bezpečnosti.

„Kvalitních poskytovatelů penetračních testů je nedostatek. Některé společnosti sice nabízejí levné služby, ale opravdová odbornost vyžaduje větší tým s kvalifikací a zkušenostmi, což je v České republice vzácné,“ uvádí Hlavsa.

Kvalitní testy nejsou levné

Kvalita penetračních testů závisí na jejich rozsahu a může být dražší. Cena testování webových aplikací se obvykle pohybuje kolem 12 000 Kč za manday. Testování zaměřené na zabezpečení interní infrastruktury organizace, e-mailového systému, dat nebo konkrét­ních aplikací je obvykle dražší kvůli vyšší potřebě odborných znalostí.

„Při vyhledávání služeb penetračního testování či etického hackingu je nezbytné jasně definovat cíle a specifikovat zadání. Kvalitní testování začíná dobře definovanými cíli v rámci organizace. A rozhodně by se člověk neměl zaměřovat na nejnižší nabídku jako na primární kritérium,“ uzavírá Tomáš Hlavsa.

Foto: Eviden a Ingimage.com