Penetrační testování má zásadní vliv na bezpečnost systémů a infrastrukturu každého podniku. Etický hacker pomůže předejít škodám, které můžou dosáhnout i desítek milionů korun. Cena za pentest přitom představuje sotva půldruhého procenta ročních investic do IT technologií a kyberbezpečnosti.
Trend digitalizace firemních operací a procesů má sklon podceňovat nová technologická rizika, kterým jsme vystavení.
„Ve větším výrobním podniku může vzniknout ekonomická ztráta přes padesát milionů korun za jediný den,“ varuje David Pícha, manažer v oblasti kybernetické bezpečnosti společnosti Integra Czech Republic. „Setkal jsem se s podniky, které investovaly do kybernetické bezpečnosti velké prostředky, ale bohužel zcela nesprávně. Z pohledu vedení společnosti to vypadá, že jejich zabezpečení je na vysoké úrovni, ale opak byl pravdou. Do bezpečnosti se musí investovat rozvážně a strategicky tak, aby se vyloučila veškerá slabá místa,“ dodává.
Pro příklad: firma s obratem okolo 2,5 miliardy korun investuje zhruba deset milionů do nákupu IT technologií a služeb a dalších 3,5 milionů do kyberbezpečnosti. Do penetračních testů často vůbec neinvestuje, ačkoli náklady na ně by vyšly zhruba na dvě stě tisíc, tedy 1,48 % z celkových investic do informačních technologií a služeb. Penetrační testování stojí od padesáti do víc než tří set tisíc korun ‒ v závislosti na velikosti IT infrastruktury firmy, a tedy potřebného času samotného etického hackera.
Penetrační testování, nazývané také etické hackování, je forma hodnocení IT bezpečnosti, která testuje počítačový systém, síť nebo softwarovou aplikaci, aby zjistila bezpečnostní chyby, které by útočník mohl zneužít.
Šest důvodů, proč by firma měla provést penetrační test
1. Výsledek ukáže sílu aktuálního zabezpečení
Pentest ukazuje vektory kybernetických útoků, které by mohly ovlivnit aktiva IT podniku, data, lidi nebo fyzické zabezpečení ‒ odhaluje tak, jak odolné je vaše IT zabezpečení proti hackerským útokům.
2. Předcházení kybernetickému útoku
Firma by měla vědět, jak důležitý je plynulý provoz IT infrastruktury ‒ kolik by ji stál hodinový, denní nebo týdenní výpadek. Pokud nezná odpovědi na tyto otázky, měla by najmout odborníka, který analyzuje současný stav kybernetické bezpečnosti. Výsledek analýzy poskytne nejen seznam prioritních cílů, kterých je třeba dosáhnout k zabezpečení podnikání, ale i případné finanční ztráty způsobené výpadkem.
3. Testování nových technologií
Nové produkty nebo technologie jsou jedním z hlavních cílů penetračních testů. Implementace do podniků provádějí většinou partnerské firmy, které se zaměřují na včasné a úspěšné provedení implementace. Druhý případ je například při koupi společnosti a migraci jejich IT, zde se otevírá spousta neznámých, které je potřeba otestovat.
4. Zkouška bezpečnostního týmu
Po provedení penetračních testů odhalíte, jak rychle a zda vůbec váš bezpečnostní tým takovou činnost zaznamená a jak se zachová. Může to být obzvlášť užitečné k vypracování plánu reakce na mimořádné situace, jako jsou hackerské útoky.
5. Reputace
Pokud jste správci jakýchkoliv citlivých dat externích firem nebo zákazníků, tak vám penetrační testy pomůžou předejít úniku informací a následnému poškození pověsti firmy. Ztráta důvěry často vede k poklesu příjmů i zisku.
6. Regulace a compliance
Společnosti jako jsou například úvěrové instituce a poskytovatelé platebních služeb jsou povinni penetrační testování provádět. Porušení takové povinnosti může znamenat pokutu, trestní odpovědnost, nebo i ztrátu oprávnění podnikat.