Obserwowane zwiększone zapotrzebowanie na przeprowadzanie audytów bezpieczeństwa informacji to nie tylko chwilowa moda związana ze wzrastającą świadomością zagrożeń w obszarze cybersecurity, i ich potencjału medialnego. Nie jest to też skutek wymuszenia na administracji publicznej działań wymaganych przez Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych.
Niemniej jednak ze względu na wymienione powyżej czynniki, okresowe audyty bezpieczeństwa wpisały się jako stały element w krajobraz usług, jakich poszukują różne organizacje, w tym administracja publiczna. Bardzo często częścią szerokiego audytu bezpieczeństwa są testy penetracyjne, mające na celu sprawdzenie odporności komponentów infrastruktury teleinformatycznej, systemów i procesów na próby przełamania zabezpieczeń, w sposób naśladujący potencjalnych atakujących (crackerów i hackerów). Dzięki temu, testy penetracyjne, o ile są przeprowadzone rzetelnie i przez doświadczonego wykonawcę, stanowią rzeczywistą ocenę stanu bezpieczeństwa informacji i identyfikację punktów wymagających pilnej interwencji.
Jakość, a nie jakoś
Wskutek dostępności narzędzi do wykonywania tzw. automatycznych testów penetracyjnych, a nawet istnienia zintegrowanych środowisk narzędziowych (np. dedykowanej dystrybucji systemu Linux), możliwe jest ich przeprowadzenie przez osoby nieposiadające wystarczającej wiedzy w obszarze bezpieczeństwa systemów teleinformatycznych (tzw. script kiddies).
Tego typu pentesty są najczęściej niskiej jakości, m.in.:
-
-
- Ze względu na wykorzystanie jedynie niewielkiej części istniejących narzędzi (najczęściej tych, które mają graficzny interfejs użytkownika i oferują standardową, nieskomplikowaną konfigurację).
- Brak faktycznej weryfikacji istnienia podatności raportowanej przez narzędzie. Co więcej, niewłaściwie wykonane testy penetracyjne mogą stanowić poważne zagrożenie dla Klienta, ze względu na możliwe zakłócenia pracy systemów i urządzeń lub wręcz ich awarię.
-
Dodatkowo, samo korzystanie z gotowych narzędzi (w sposób mało efektywny), nawet tych najlepszych, nie pozwoli na znalezienie błędów w logice biznesowej aplikacji, które zostałyby zidentyfikowane przez doświadczonego audytora.