Осведомлен — значит вооружен

Представим такую ситуацию. Вы — гендиректор компании. В ваш кабинет входит незнакомый человек и кладет на стол бумагу с написанным на ней паролем от вашего персонального компьютера. Какие чувства вы бы испытали? Удивление? Непонимание? Тревогу?

В смоделированной ситуации незнакомый человек таким образом успешно продал бы вам услугу проведения теста на проникновение. Такая модель продажи — более чем эффективна, но является незаконной и не входит в правила компаний — поставщиков технологий.

В реальной жизни доступ к устройствам с личной информацией может быть получен любым кибер-преступником при условии ненадежной защиты информационной системы. В масштабах компании это может привести к непоправимым последствиям. Директор по ІТ, построивший защиту корпоративных информационных систем, верит, что все под контролем. Его руководитель также убежден в неприступности этого форта перед любыми кибератаками. На самом деле хакеры могут вредить системе незаметно — так, что и знать никто не будет, пока не случится катастрофа.

Приведу всего несколько цифр, на мой взгляд, впечатляющих:

• средний ущерб от реализации кибератаки для компании составляет $ 200 тыс.;
• средняя стоимость превентивных мер — $ 40 тыс.;
• длительность кибератаки до ее обнаружения может составлять 5‑7 месяцев;
• Украина занимает 4‑е место в мире по количеству кибератак (560 тыс. атак — Q1 2013).

Для того чтобы эффективно защитить ІТ-систему предприятия, необходимо в первую очередь выявить все риски, которым могут подвергаться информационные активы. И комплексное тестирование на проникновение — это оптимальный вариант наглядной демонстрации всех угроз и их последствий. К тому же такой пен-тест — хорошая проверка реакции ІТ-специалистов. Из нашего опыта проведения комплексных тестов на проникновение — в 80 % случаев удалось получить доступ к информационным системам клиента, причем в 25 % случаев был получен полный контроль над ІТ-инфраструктурой компании. Преимущество такого тестирования — поиск и анализ информации из различных источников, проведение атак методами социальной инженерии (исследование реакции пользователей и персонала на организационные методы проникновения), глубокое сканирование сети и сайтов компании различными методами и инструментами. В результате вам показывают уязвимые места и определяют весь спектр потенциальных угроз для информационной безопасности.

Такое мероприятие рекомендуется и является необходимым для многих организаций, но особенно для банков (процессинговые системы) и предприятий торговли (сайт для интернет-магазина).
А вы уже воспользовались этой услугой?