Пентестер легко отыщет уязвимости, которыми сможет воспользоваться матёрый хакер – Фото: methodshop / Pixabay - Источник
Как бы ни совершенствовались системы информационной безопасности, взломы неизбежны. Иногда они выглядят как сюжеты захватывающих боевиков: хакерская атака, похищение денег или данных, арест и сотрудничество компьютерных гениев с «органами» в обмен на сокращение тюремного срока. Кстати, некоторые хакеры встают на путь истинный, пополняя ряды легальных консультантов, занимающихся пентестами или тестированием на проникновение.
Как компании, потратившей огромные финансовые средства на защиту своих информационных ресурсов, понять, насколько построенная ею система эффективна? Ответ прост: нанять пентестеров, которые так же, как и злоумышленники попытаются взломать систему.
Чем пентестер отличается от хакера? Ничем. И квалификацию он имеет ту же или даже более высокую. Иначе, пентестер просто не сможет обнаружить уязвимости, которые легко отыщет и затем воспользуется ими матёрый хакер.
Для западных компаний нанимать пентестеров - обычная практика. Этого формально требуют не только законодательные акты, но и профессиональные стандарты. У нас регуляторы, как правило, только рекомендуют. Требует проводить тестирование на взлом только Банк России.
В общем, к тестированию обращаются компании, достигшие определенного уровня зрелости. Они понимают, что выполнение формальных требований само по себе не добавляет ощущения защищенности, а вот угрозы - реальны, как от анонимных хакеров, так и от конкурентов, которые могут их нанять. Даже отсутствие на сегодня способа, гарантирующего стопроцентное выявление уязвимостей, не повод отказываться от подобной работы. Во-первых, в индустрии уже выработаны стандарты и методология эффективного тестирования. Во-вторых, новые уязвимости и способы взлома появляются регулярно, поэтому и пентест должен производиться регулярно.
И в заключении, как всегда, совет руководителю:
Пентест, не смотря на сложившийся ореол таинственности, такая же услуга как, например, «тайный покупатель». Если вы нанимаете консультантов, чтобы они проверяли, насколько эффективно работает ваш фронт-офис с клиентами, то проверить эффективность защиты ваших информационных ресурсов вам тем более необходимо. Ведь нарушение в работе корпоративных IT-систем и утрата баз данных могут привести к гораздо более серьёзным последствиям, чем отсутствие улыбок на лицах ваших покупателей.
Выпуск подготовил директор департамента организации работ с заказчиками компании «Газинформсервис» Роман Пустарнаков. Держитесь безопасного курса и берегите себя!
Председатель Комиссии по защите профессиональных прав адвокатов Адвокатской палаты Ленинградской области
Уполномоченный по защите прав предпринимателей в Петербурге
Партнёр юридической компании «Апелляционный центр»
Депутат Госдумы от Санкт-Петербурга