Penetrační testy pro odhalení zranitelností dosud nikdy nevyužila víc než třetina firemních IT expertů, vyplývá z průzkumu pro bezpečnostní společnost APPSEC.
Aktivnímu vyhledávání slabých míst ve své interní síti a na zařízeních, která se do ní připojují, se v České republice věnuje stále méně firem. Zatímco v loňském roce se k využívání tzv. penetračních testů přihlásilo 22 % firemních IT expertů, letos to je jen 18 %. Vyplývá to z nové vlny průzkumu agentury Ipsos pro bezpečnostní společnost APPSEC, do které se zapojilo1050 respondentů s rozhodujícími pravomocemi nebo alespoň poradním hlasem v oblasti IT. Postoj firem k prevenci kybernetických útoků APPSEC zjišťuje kontinuálně již čtvrtým rokem.
Čekali jsme opačný trend, připouští Adam Paclt
„Upřímně řečeno jsme v souvislosti s účinností nového zákona o kybernetické bezpečnosti, který uvádí do praxe evropskou bezpečnostní směrnici NIS 2, očekávali opačný trend. Ale je možné, že náběhová křivka zájmu o penetrační testy bude pozvolnější,“ říká Adam Paclt, generální ředitel společnosti APPSEC, která se etickým hackingem zabývá poslední dekádu. Mezi její klienty patří kromě soukromých firem i celá řada veřejných institucí jako Policejní prezidium České republiky, Justiční akademie, Národní muzeum, Čepro, či radnice měst Liberec, Karviná a Chrudim. APPSEC je také dodavatelem moderních bezpečnostních řešení založených na kontinuálním monitoringu chování interních sítí a koncových stanic.
Penetrační testy simulují skutečný útok hackera za plného provozu testované firmy nebo instituce. Spolehlivě tak odhalí jakékoli slabiny systému a realizátor testu klientovi o průběhu testování, zjištěných chybách a navrhovaném řešení podá podrobnou zprávu. Testovaná organizace se tak může zaměřit na posílení bezpečnosti konkrétních částí své infrastruktury místo univerzálnějšího a nákladnějšího řešení, které nemusí být tak efektivní. I když povědomí o etickém hackingu roste, řada především starších IT expertů firem a institucí se ho obává využít. Z průzkumu agentury Ipsos pro APPSEC vyplynulo, že penetrační test využila jen desetina IT manažerů ve věku 54 až 65 let, zatímco u nejmladších ve věku 18 až 26 let šlo téměř o třetinu (30,6 %).
Penetračním testům věří mladí a firmy z větších měst
S etickým hackingem ve vlastní organizaci má zkušenosti skoro čtvrtina mužských IT expertů (23,9 %) oproti osmině žen (11,7 %) na stejných pozicích. Využívání penetračních testů roste s dosaženým vzděláním IT manažerů. Nejčastěji s nimi mají zkušenosti vysokoškolsky vzdělaní experti (26,2 %) a středoškoláci (16,4 %), nejméně ti s dokončeným základním vzděláním (12,2 %). Testování odolnosti vlastní IT infrastruktury nejvíce využívají organizace z velkých měst nad 100 tisíc obyvatel (24 %), nejméně z obcí od jednoho do pěti tisíc obyvatel (12,7 %). Z hlediska regionů jasně vede Praha, kde penetrační testy využilo 26 % oslovených firemních IT manažerů, dále Karlovarský kraj (22,9 %) a Plzeňský kraj (21,1 %). Naopak nejmenší zkušenost s penetračními testy mají organizace v Jihomoravském kraji (12,1 %) a Ústeckém kraji (14,1 %).
Penetrační testy se dají využít pro prověření zranitelností nejen u interních sítí, ale také webových stránek nebo Wi-Fi sítí. Společnost APPSEC je provádí standardizovaně podle metodik OWASP, PTES a OSSTMM. Pro rychlé a levné zjištění potenciálních slabých míst lze využít i skeny zranitelností, pro které APPSEC využívá svoje vlastní nástroje. Velkým firmám a organizacím pak nabízí komplexní BlackHat test, kterým během tří až čtyř pracovních dní zjistí ty nejvýznamnější nedostatky v bezpečnosti, a to jak po stránce organizační, tak i technické, a navrhne jejich řešení.
