Přesvědčila se o tom i Nadace České spořitelny
Praha, 4. března 2025 – V posledních dvou letech masivně narůstá zájem soukromých firem i státních organizací o penetrační testování. Podíl na tom mají nejen legislativní požadavky jako NIS2 nebo DORA, ale i měnící se geopolitická situace ve světě. Organizace intenzivně investují do svého kybernetického zabezpečení, ale teprve testování etickými hackery prověří jeho skutečnou odolnost. Oproti minulosti je penetrační testování důkladnější, ale také rychlejší. Podle expertů společnosti Eviden trvá kvalitní analýza průměrně 5 dnů a měla by vyústit v konkrétní bezpečnostní doporučení.
„Nárůst zájmu o penetrační testování vnímáme jako signál, že soukromý i státní sektor bere kyberbezpečnostní rizika vážně,“ říká Tomáš Hlavsa, ředitel oddělení BDS společnosti Eviden. Test je jedním z nástrojů, jak mohou organizace splnit požadavky dané zákonem, resp. normami jako NIS2 nebo DORA. Ne každý však bere penetrační test jen jako zákonnou povinnost. „Roste počet klientů, kterým nestačí domnělý pocit bezpečí, ale chtějí odborné ověření. Právě těm dá pentest jistotu, jestli je jejich kybernetické zabezpečení skutečně funkční nebo pouze iluzorní.“
Důkladný test je nejlepší prevencí potenciálních problémů
Zvýšený zájem o práci etických hackerů je vidět napříč celým IT sektorem. Jen experti společnosti Eviden pozorují již druhý rok nárůst poptávky o přibližně 80 %. Rozsah penetračních testů se podle Tomáše Hlavsy dá rozdělit na dvě základní skupiny. „Tzv. malý penetrační test klientovi řekne, jak moc a vůči čemu je jeho síť odolná. Naopak větší varianta jde více do hloubky a prozradí, jestli jsme prolomili zabezpečení a jak hluboko do infrastruktury jsme se dostali,“ vysvětluje šéf oddělení kyberbezpečnosti společnosti Eviden.
Zatímco v minulosti znamenalo důkladné penetrační testování týdny intenzivní práce, dnes se bavíme v průměru o pěti pracovních dnech. Po něm následuje vyhodnocení získaných dat a přetavení poznatků do výsledné zprávy. „Rozdíl mezi průměrným a kvalitně provedeným penetračním testem lze poznat i podle úrovně zpracování výsledné zprávy,“ vysvětluje Tomáš Hlavsa. Ta by standardně měla obsahovat popis provedených útoků, použité metody a nástroje, popřípadě jaká data se podařilo získat. „Nejdůležitější a kvalitativně nejhodnotnější částí reportu jsou konkrétní doporučení na zlepšení či nápravu. Na tom se pozná expertíza a know-how toho, kdo testy prováděl.“
Etický hacker (o)chrání stát, firmy, ale i žáky nebo učitele
Společnost Eviden řeší několik desítek penetračních testů ročně, zejména pro státní správu. Jedním z klientů byla také Nadace České spořitelny, která chtěla otestovat bezpečnost vzdělávací platformy Skoala před uvedením do provozu. Tento portál vzdělává učitele, žáky i studenty v otázkách finanční gramotnosti prostřednictvím různých metodických materiálů, videí a her. Penetrační testování trvalo 5 dní a zahrnovalo prověření možné manipulace s obsahem v administračním rozhraní a zkoumání registračního procesu na infrastruktuře AWS.
Během testování experti společnosti Eviden identifikovali několik zranitelností, ať už na úrovni kódu, kontroly nahrávaných souborů nebo řízení přístupu uživatelů k obsahu. Nejzávažnějším nálezem byla kritická chyba ve funkci pro resetování hesla, která mohla být zneužita k phishingovému útoku. „Díky včasnému odhalení těchto problémů mohla Nadace České spořitelny zvýšit bezpečnost platformy Skoala, zabránit potenciálnímu zneužití zranitelností a optimalizovat své bezpečnostní postupy,“ přibližuje praktické přínosy auditu Tomáš Hlavsa.
„Spolupráci se společností Eviden hodnotíme maximálně pozitivně. Vyzdvihli bychom jejich poctivý a svědomitý přístup k práci a skutečně bezchybně vypracovaný finální report,“ hodnotí penetrační testování Matúš Bizoň, IT projektový manažer České spořitelny.
O společnosti Eviden
Společnost Eviden je technologickým lídrem nové generace v oblasti důvěryhodné a udržitelné digitální transformace založené na datech. S robustním portfoliem patentovaných technologií patří mezi celosvětově nejsilnější hráče na poli pokročilé výpočetní techniky, bezpečnosti, umělé inteligence, cloudu a digitálních platforem. Ve více než 47 zemích poskytuje hluboké odborné znalosti pro všechna odvětví. Díky propojení 47 000 odborníků světové úrovně dokáže společnost Eviden rozšiřovat možnosti dat a technologií v celém digitálním kontinuu, a to nejen pro současné, ale i příští generace. Eviden je společností skupiny Atos s ročním obratem cca 5 miliard eur.