Ve všech fázích vývoje aplikací platformy GINIS klademe velký důraz na kybernetickou bezpečnost. I přesto zákazníkům doporučujeme a nabízíme penetrační testování. Pokud vás napadá, že to jde tak trochu proti sobě, rád vás vyvedu z nemalého omylu.

Pořízení nejbezpečnějších vchodových dveří domu také není všespásné, pokud máte nekvalitní okna či bezpečnostní systém, chybně řešené větrací šachty, přístupný zadní vchod nebo „zfušované“ usazení samotných dveří. A i kdybyste tohle všechno bravurně podchytili, může nebezpečí číhat v procesním nastavení – děti mohou půjčit klíč od vchodu pochybnému kamarádovi nebo si je snad kamarád může „půjčit“ sám během hodiny tělocviku. Takhle nějak to funguje i ve světě IT. Kompletní výčet slabých míst informačního systému a bezpečnostních rizik lze získat až testováním v prostředí organizace. A přesně k tomu slouží penetrační testy.

CO JE TO PENETRAČNÍ TEST

Jedná se o podrobnou a komplexní analýzu zabezpečení infrastruktury, systémů i samotných aplikací, využívající zátěžové a další formy testů včetně simulací principů potenciálních útoků zevnitř i z externího prostředí, tedy z internetu. Aplikace jsou v našem pojetí podrobeny jak manuálnímu, tak i automatizovanému testování v režimu „black box“. Výstupem je nejen report hrozeb a nedostatků, ale i soubor návrhů opatření k eliminaci či minimalizaci existujících rizik. zajišťuje takové testování většinou v souvislosti s nasazením či rozvojem platformy GINIS u konkrétních organizací, dovedeme však tento typ služeb zprostředkovat i pro ostatní využívané aplikace jiných dodavatelů. Samozřejmě za předpokladu, že nám organizace a dodavatelé zajistí potřebné přístupy.

TESTOVÁNÍ V PRAXI

U webových aplikací (které jsou jednoznačným trendem současnosti) je po důkladném testování samotné aplikace klíčové ověřit i to, zda je možné ovlivňovat přidělená anonymní oprávnění a narušit tak integritu, dostupnost a samotnou důvěryhodnost aplikace, případně kompromitovat data. Testy probíhají podle metodiky OWASP. Ta je doplněná dalšími postupy, které zkušení testeři vyhodnotí jako vhodné a relevantní pro daný typ aplikace či nastavení systému. Proces tak obvykle zahrnuje i testování sítě a jejího nastavení, ochrany webu (firewall), protokolů, šifrování, ochrany dat i další kroky vycházející z metodických doporučení NÚKIB a legislativních předpisů (zejména zákon a vyhláška o kybernetické bezpečnosti).

NEDOKONALÝ VÝSLEDEK NENÍ OSTUDA

Viry a IT hrozby se neustále vyvíjí, infrastruktura zastarává, dodržování procesů mnohdy v čase slábne. I pro nás tvoří výsledky penetračních testů cenný podklad pro ladění námi vyvíjených aplikací, které tak lépe dovedou čelit aktuálním hrozbám. Poslední takovou optimalizaci jsme prováděli u řešení Portálu občana na základě testování v prostředí statutárního města Přerova. Rozhodně by ničemu nepomohlo rizika, ač třeba minimální, bagatelizovat. Řešení máme i pro případ, kdy by vedení organizace mělo obavy z testování firmou, která je zároveň dodavatelem samotného řešení. Umíme zprostředkovat penetrační testování externí firmou, která taktéž disponuje veškerou certifikací, profesionalitou a zkušenostmi v oboru.

DATA A ZNOVU DATA

Úskalím organizací veřejné správy je práce s aktuálně asi nejcennější komoditou – s daty. Bezpečnost se tak stává nutností a liknavý přístup cestou do pekel. Pekel v podobě ztráty či krádeže dat nebo paralýze úřadu a nákladného návratu do normálu. Penetrační testování by proto nemělo chybět v mozaice preventivních bezpečnostních opatření organizace ja- kékoliv velikosti.