Penetration testing как прививка против кибератак

Penetration testing как прививка против кибератак

В современных условиях бурного развития цифровой экономики бизнес и его потребители должны быть защищены от кибератак и новых компьютерных вирусов. Как увеличить уровень своей защиты от киберугроз, знает старший консультант отдела консультирования по управлению рисками компании KPMG в Украине Артем Кобец. Он отвечает FinClub на наиболее актуальные вопросы penetration testing (укр.).

Зачем компаниям делать тестирование на проникновение?

После кейсов масштабных кибератак, таких как вирус Petya, украинский бизнес начал задумываться о необходимости подготовки к ним. Одна из эффективных мер – проведение penetration testing, которое заключается в оценке защищенности компьютерной системы через моделирование ситуации проникновения в нее злоумышленников с привлечением так называемых белых хакеров. Однако даже сегодня большинство компаний все еще не уверены в важности проведения таких тестов.

Нужно ли такое тестирование, если бизнес небольшой?

Существует миф, что фокусом кибератак являются преимущественно государственные компании, банки и крупный бизнес. Но статистика говорит о другом: доля компаний малого и среднего бизнеса, которые попадают под прицел киберпреступников, постоянно увеличивается. Печально известный вирус Petya в свое время парализовал тысячи компаний как в Украине, так и в других странах – от «диванных» стартапов до международных корпораций.

В условиях увеличения количества киберпреступлений в мире потери компаний также неуклонно растут. Согласно отчету Центра стратегических и международных исследований, сумма убытков от кибератак только в 2018 году достигла показателя 500 млрд евро.

Надо понимать, что любая компания, которая стала жертвой киберпреступников, может не быть целью хакеров сама по себе. Например, известны случаи, когда фирмы были лишь начальным этапом в определенной цепи действий для осуществления масштабных атак на другие компании. В частности тот же Petya распространялся при помощи инфицированной версии программного обеспечения M.E.Doc, что стало возможным благодаря несанкционированному вмешательству в работу серверов разработчика. Если бы компания – разработчик данного программного обеспечения заблаговременно обнаружила уязвимости в своей сети (например, выполнив заранее тестирование на проникновение), последствий можно было избежать.

Почему еще вопрос киберзащиты стоит так остро на повестке дня?

Любая компания сохраняет информацию, которую она обязана защищать на законодательном уровне. Примером такой информации являются персональные данные. Это данные сотрудников, клиентов, контрагентов, которые тем или иным образом обрабатываются при помощи информационных систем.

Законодательные инициативы последних лет во всем мире только усиливают ответственность компаний за нарушение требований в сфере обработки и хранения персональных данных. Реальные штрафы за нарушение требований GDPR в течение первого года действия регламента составляли от десятков тысяч до миллионов евро. Среди украинских компаний известных фактов жалоб, связанных с GPDR, пока не зафиксировано. Но никто не хочет быть «первопроходцем». В этом смысле тестирование на проникновение является одним из способов убедиться, что данные в системах компании надежно защищены.

Существенным препятствием для небольших компаний по проведению пентестов является миф о высокой стоимости такой услуги. На самом деле она зависит от конкретного объема работ, который можно уменьшить, обнаружив зоны максимального риска и сфокусировавшись на них. Это значит, что тестирование на проникновение можно проводить даже с незначительными бюджетами – от нескольких тысяч долларов.

Может ли тестирование на проникновение вызвать сбой в бизнес-процессах?

Хотя пентестеры в своей работе используют практически те же техники и методы, что и киберпреступники, действия профессиональных тестировщиков не являются деструктивными. Риск влияния тестирования на критические операции компании минимален, ведь еще на этапе переговоров между заказчиком и исполнителем стороны выясняют перечень систем и их роль в функционировании тех или иных бизнес-процессов, согласовывают перечень разрешенных и запрещенных действий во время выполнения тестирования. Также устанавливается период проведения тестирования (во многих случаях – это нерабочее время) и создаются резервные копии.

Один из рисков, которые учитывают компании, принимая решение о тестировании, – это угроза утечки конфиденциальных данных: паролей пользователей, персональных данных сотрудников и клиентов, тайны компаний в зависимости от направления их деятельности (коммерческая, банковская, врачебная, государственная и т.д.). Обычно этих рисков можно избежать, если выбрать для проведения тестирования компанию, которая имеет опыт и репутацию на рынке. Не менее важно заключение соглашения о неразглашении и наличие у компании-исполнителя эффективных политик информационной безопасности.

Достаточно ли уверенности компании в кибербезопасности?

Если руководство компании считает, что хороший антивирус является решением проблем, то такая безопасность обманчива. Вы можете потратить значительный бюджет на приобретение программных лицензий и дорогостоящего оборудования и при этом оставаться не менее уязвимыми к кибератакам.

Новые вирусы разрабатываются ежедневно. Мастерство и изощренность действий злоумышленников постоянно совершенствуются. Одна из аксиом надежной защиты заключается в том, что безопасность – это не состояние, а процесс.

Проведение регулярных тестов на проникновение является важной частью этого процесса и помогает компании получить ответ на вопрос, достаточно ли внедренных контролей, а также дать оценку эффективности мер, принимаемых сотрудниками безопасности информационных систем.

Стоит отметить, что тестирование на проникновение является несомненно важным, но недостаточным инструментом контроля соблюдения требований информационной безопасности в компании. Любые меры теряют свою эффективность, если они не являются частью комплексного подхода.

Подписывайтесь на новости FinClub в TelegramViberTwitter и Facebook.