Otázky, které ve spoustě firem ještě donedávna ignorovali, teď padají mnohem častěji a zodpovědní manažeři se začínají o problematiku víc zajímat. Jedním z důvodů je i ruská válka proti Ukrajině.
„Management se o penetrační testování začíná víc zajímat, i když sami obětí útoků nejsou,“ potvrzuje Josef Havel, senior security analyst z IT společnosti Integra EMEA. A dodává, že ptát se po smysluplnosti testů je podobné jako péče o vlastní zdraví. „Pokud má člověk dobrou životosprávu ‒ zabezpečení firemní IT infrastruktury, a navíc sportuje ‒ testuje informační technologie, často se nikdy nedozví, jestli na něho nějaký virus nebo bakterie útočili, protože nemoc neměla šanci se projevit,“ uvádí příklad.
Konkrétní cena za penetrační test závisí na potřebách každé firmy. Dají se ale uvést modelové příklady. Typické zadání firmy s 50-250 zaměstnanci vypadá zhruba takto: penetrační test infrastruktury (8 mandays, tj. 100 tis. korun), dvě webové aplikace vyvinuté na míru, přičemž jednou z nich je interní informační systém (10 MD, 125 tis. Kč) a druhá je menší, používaná klienty (5 MD, 62,5 tis. Kč), k tomu dvakrát ročně phishingový test, tedy dvakrát tři mandaye za 75 tis. korun. Celkem jde o 362,5 tisíce korun, přičemž testování by se mělo opakovat každý rok.
„Reálná škoda přitom odpovídá minimálně výši výkupného, což pro firmu znamená jednotky milionů korun a víc,“ odpovídá Josef Havel na otázku, jestli se taková investice vyplatí. A dodává, že další náklady v případě napadení hackery představuje neschopnost firmy poskytovat svoje služby, než bude obnovená funkčnost jejích informačních technologií, a odchod klientů. Celkové škody tak vždycky představují jednotky až desítky milionů korun, o zničené reputaci ani nemluvě.
Ani vysloveně „malá“ firma by neměla pentesty podceňovat. „I taková firma může pracovat s daty, které mají hodnotu stovek milionů korun ‒ jde například o know how, data o klientech nebo hrozbu možných sankcí,“ vyjmenovává expert Integry.
Penetrační testování prověřuje v podstatě tři oblasti firemní zranitelnosti: rozhraní API a webové nebo mobilní aplikace, infrastrukturu a cloud a do třetice slabiny na straně zaměstnanců prověřované metodami sociálního inženýrství.