Radosław Kuczera: Każdy z nas może być ofiarą cyberprzestępstwa! Dlatego warto zadbać o bezpieczeństwo informatycznych zasobów
Oficjalna strona internetowa CIA, konta klientów wiodącej instytucji finansowej w USA czy konta użytkowników popularnych gier on-line - to ostatnie obiekty ataków hakerskich. Motywy działalności hakerów są różne, ale zazwyczaj to tylko (a może aż?) chęć uzyskania rozgłosu i wywołania zamieszania wokół danej marki. Każdy z nas może być ofiarą cyberprzestępstwa! Dlatego warto zadbać o bezpieczeństwo informatycznych zasobów.
Testy bezpieczeństwa to działania polegające na zorganizowaniu symulowanych ataków na zasoby informatyczne. Ich celem jest ujawnienie błędów implementacyjnych oraz podatności na ataki zewnętrzne i wewnętrzne. Wyróżniamy kilka rodzajów testów bezpieczeństwa: crystal box (gdzie tester posiada pełną wiedzę o testowanych zasobach), grey box (tester posiada tylko pewne informacje o zasobach) i black box (tester dysponuje prawie żadną wiedzą). Jeśli zależy nam na ujawnieniu możliwych scenariuszy ataków hakerskich na nasze zasoby, to najbardziej odpowiednie będą testy typu black box, bo w największym stopniu odzwierciedlają rzeczywistą wiedzę potencjalnego włamywacza.
Testy są skuteczną metodą podnoszenia poziomu bezpieczeństwa zasobów, a ich okresowe przeprowadzenie jest niezbędne w procesach zarządzania ryzykiem. Eksperci IT zwykle stosują autorską metodologię badania, ale najczęściej bazują na metodologii OWASP. Zakłada ona trzy podstawowe etapy testów – rozpoznanie, symulowany atak i raport podsumowujący.
Na rynku znaleźć można wiele ofert firm przeprowadzających testy bezpieczeństwa zasobów informatycznych. Różnią się one zakresem i ceną – testy przeprowadzane za pomocą narzędzi automatycznych są tańsze, nieco więcej kosztują zaś te przeprowadzane przez specjalistów. Warto zwrócić uwagę na ich doświadczenie i kompetencje w zakresie bezpieczeństwa i zarządzania IT.
Radosław Kuczera, dyrektor zarządzający Hostersi sp. z o.o.
