Technológia

56_szabo_peter_silent_signal.jpg
Forrás: ITB

Betörési tesztek megfelelő ütemezése

A Silent Signal Kft. piaci tapasztalata szerint a behatolási vizsgálat (penetration test) rengeteget változott az elmúlt tíz évben. A legnagyobb hozadéka a fejlődésnek az, hogy immár elismert mérnöki munkáról beszélhetünk, amely a teljes körű biztonsági audit egyik fontos eleme.

Leginkább talán a hazai és a nemzetközi szabályozásoknak (mint például a PCI-DSS vagy az MNB előírásai) köszönhető, hogy ma leginkább a pénzügyi szektorban tartozik a kötelező vizsgálatok közé a sérülékenységek vizsgálata, az információ-biztonsági intézkedések teljes jogú, szerves részeként. Azonban van még hova fejlődni, főleg, ha más szektorok gyakorlatait vizsgáljuk.

Szabó Péter, a Silent Signal ügyvezetője a legnagyobb problémának az ilyen típusú vizsgálatokkal kapcsolatban az alacsony gyakoriságot és a tervezettség hiányát látja. A hazai gyakorlat kicsit hasonló ahhoz, ahogy a szervezetek a munkatársak foglalkozás egészségügyi vizsgálatához is viszonyulnak: legjobb esetben évente kipipálják, de sokszor megelégednek egyetlen magányos vizsgálattal. A külföldi példák azonban azt mutatják, hogy van ennél feljebb is. Az IT-biztonsági vizsgálatok valódi értéke akkor mutatkozik meg igazán, ha folyamatként integrálódik a vállalatoknál zajló állandósult architekturális átalakulásba. A modern etikus hackelés mérnökök által szisztematikusan végzett technológiai vizsgálatok sora, melyek folyamatosan fejlesztik a vizsgált rendszerek biztonságát. „Azon ügyfeleinknél, ahol évek alatt tudatos és periodikus tervezéssel hajtottunk végre biztonsági vizsgálatokat jelentősen csökkent a biztonsági kockázat szintje” – állapította meg az ügyvezető.

A témának egy hosszabb írást szenteltünk a Silent Signal LinkedIn oldalán.