Джерело: Financial Club

В сучасних умовах бурхливого розвитку цифрової економіки бізнес і його споживачі мають бути захищеними від кібератак і нових комп’ютерних вірусів. Як збільшити рівень свого захисту від кіберзагроз, знає старший консультант відділу консультування з управління ризиками компанії KPMG в Україні Артем Кобець. Він відповідає FinClub на найбільш актуальні питання penetration testing.

Навіщо компаніям робити тестування на проникнення?

Після кейсів масштабних кібератак, таких як вірус Petya, український бізнес почав замислюватися над необхідністю підготовки до них. Один з ефективних заходів – проведення penetration testing, яке полягає в оцінюванні захищеності комп’ютерної системи через моделювання ситуації проникнення в неї зловмисників із залученням так званих білих хакерів. Проте навіть сьогодні більшість компаній все ще не впевнені у важливості проведення таких тестувань.

Чи потрібне таке тестування, якщо бізнес невеликий?

Існує міф, що фокусом кібератак є переважно державні компанії, банки та великий бізнес. Однак статистика каже про інше: частка компаній малого та середнього бізнесу, які потрапляють під приціл кіберзлочинців, постійно збільшується. Сумно відомий вірус Petya свого часу паралізував тисячі компаній як в Україні, так і в інших країнах – від «диванних» стартапів до міжнародних корпорацій.

За умов збільшення кількості кіберзлочинів у світі втрати компаній внаслідок них також неухильно зростають. Згідно зі звітом Центру стратегічних та міжнародних досліджень, сума збитків від кібератак лише у 2018 році сягнула показника 500 млрд євро.

Варто розуміти, що будь-яка компанія, яка стала жертвою кіберзловмисників, може не бути метою хакерів сама по собі. Наприклад, відомі випадки, коли фірми були лише початковим етапом у певному ланцюзі дій для здійснення масштабних атак на інші компанії. Зокрема той самий Petya розповсюджувався за допомогою інфікованої версії програмного забезпечення M.E.Doc, що стало можливим завдяки несанкціонованому втручанню у роботу серверів розробника. Якби компанія – розробник цього програмного забезпечення завчасно виявила вразливості у своїй мережі (наприклад, виконавши заздалегідь тестування на проникнення), наслідків можна було уникнути.

Чому ще питання кіберзахисту стоїть так гостро на порядку денному?

Будь-яка компанія зберігає інформацію, яку вона зобов’язана захищати на законодавчому рівні. Прикладом такої інформації є персональні дані. Це дані співробітників, клієнтів, контрагентів, які у той чи інший спосіб обробляються за допомогою інформаційних систем.

Законодавчі ініціативи останніх років у всьому світі лише посилюють відповідальність компаній за порушення вимог у сфері обробки та зберігання персональних даних. Реальні штрафи за порушення вимог GDPR впродовж першого року дії регламенту становили від десятків тисяч до мільйонів євро. Серед українських компаній відомих фактів скарг, пов’язаних з GPDR, наразі не зафіксовано. Але ніхто не хоче бути «першопроходцем». У цьому сенсі тестування на проникнення є одним із способів переконатися, що дані у системах компанії надійно захищені.

Суттєвою перешкодою для невеликих компаній щодо проведення пентестів є міф про високу вартість такої послуги. Насправді ж вона залежить від конкретного об’єму робіт, який можна зменшити, виявивши зони максимального ризику та сфокусувавшись на них. Це означає, що тестування на проникнення можна проводити навіть із незначними бюджетами – від декількох тисяч доларів.

Чи може тестування на проникнення спричинити збій у бізнес-процесах?

Хоча пентестери у своїй роботі використовують фактично ті ж самі техніки та методи, що й кіберзлочинці, дії професійних тестувальників не є деструктивними. Ризик впливу тестування на критичні операції компанії є мінімальним, адже ще на етапі перемовин між замовником та виконавцем сторони з’ясовують перелік систем та їхню роль у функціонуванні тих чи інших бізнес-процесів, узгоджують перелік дозволених та заборонених дій під час виконання тестування. Також встановлюється період проведення тестування (у багатьох випадках – це неробочий час) та створюються резервні копії.

Одним із ризиків, які враховують компанії, приймаючи рішення про тестування, є загроза витоку конфіденційних даних: паролів користувачів, персональних даних співробітників та клієнтів, таємниці компаній залежно від напрямку їх діяльності (комерційна, банківська, лікарська, державна тощо). Зазвичай цих ризиків можна уникнути, якщо обрати для проведення тестування компанію, яка має досвід та репутацію на ринку. Не менш важливими є укладення угоди про нерозголошення та наявність у компанії-виконавця ефективних політик інформаційної безпеки.

Чи достатньою є впевненість компанії у кібербезпеці?

Якщо керівництво компанії вважає, що гарний антивірус є вирішенням проблем, то така безпека є хибною. Ви можете витратити значний бюджет на придбання програмних ліцензій та дорогого обладнання і при цьому залишатися не менш вразливими до кібератак.

Нові віруси розробляються щодня. Майстерність та витонченість дій зловмисників постійно вдосконалюються. Одна з аксіом надійного захисту полягає у тому, що безпека – це не стан, а процес.

Проведення регулярних тестувань на проникнення є важливою частиною цього процесу і допомагає компанії отримати відповідь на запитання, чи достатньо впроваджених контролів, а також дати оцінку ефективності заходів, що вживаються співробітниками безпеки інформаційних систем.

Варто зазначити, що тестування на проникнення є безсумнівно важливим, але не достатнім інструментом контролю дотримання вимог інформаційної безпеки у компанії. Будь-які міри втрачають свою ефективність, якщо вони не є частиною комплексного підходу.