Na trhu budú chýbať odborníci.
Autor OTS
Bratislava 6. decembra (OTS) - S nástupom novej smernice NIS2, ktorá nadobudne účinnosť 17. októbra 2024, sa očakáva významný posun v oblasti kybernetickej bezpečnosti. V reakcii na požiadavky pripravenosti organizácií na kybernetické hrozby, ktoré nová smernica nariaďuje, sa podľa odborníkov zvýši dopyt po službách penetračného testovania až desaťnásobne. Penetračné testovanie sa stane nevyhnutnou súčasťou hodnotenia odolnosti organizácie proti týmto hrozbám a bude veľmi žiadanou službou. S rastúcim dopytom a nedostatkom odborníkov na trhu sa však môžu tieto služby stať náročnými na dostupnosť i financie.
„Celkový počet subjektov, podliehajúcich súčasnému zákonu o kybernetickej bezpečnosti je teraz vo vyšších stovkách. S nástupom smernice NIS2 očakávame asi pätnásťnásobný nárast tohto čísla. Penetračné testy sú jedným zo základných nástrojov, ako overiť, že máte správne nastavenú kyberbezpečnosť, a že sú systémy, aplikácie, dáta i zariadenia chránené tak, ako majú byť. Predstavitelia verejnej správy majú zodpovednosť nielen za bezpečnosť vlastnej organizácie, ale zodpovedajú aj za zriaďované organizácie – na úrovni obce, kraja i celého štátu. Predpokladám, že dopyt po penetračných testoch sa zvýši zhruba desaťnásobne,“ hovorí Michal Sekula, odborník spoločnosti Eviden na kybernetickú bezpečnosť.
Hodnotenie odolnosti pomocou penetračného testovania
Cieľom penetračného testovania je preniknúť do systému, identifikovať a posúdiť slabé miesta v infraštruktúre a systémoch. Zraniteľnosti, ktoré môžu viesť k rôznym kybernetickým útokom, sú kritické. S týmito zraniteľnosťami sa môže na dark webe obchodovať za značné čiastky, od tisícov až po státisíce dolárov.
„Penetračné testovanie nie je len službou, ale proaktívnym obranným mechanizmom, ktorý umožňuje organizáciám identifikovať a riešiť zraniteľnosti skôr, než ich môžu zneužiť záškodníci. Vďaka špecializovanému tímu odborníkov spoločnosti Eviden môžu organizácie udržať náskok pred kybernetickými hrozbami a pokračovať v inováciách v digitálnom veku,“ hovorí Michal Sekula, ktorý je držiteľom bezpečnostných certifikátov CISM a CISA.
Pentesteri vždy dodržiavajú definovanú oblasť pôsobenia
Spoločnosť Eviden vykonáva penetračné testovanie s medzinárodným tímom odborníkov. Vzhľadom na dynamické digitálne prostredie je tento proces kľúčový pre ochranu citlivých dát a digitálnych aktív organizácií. Etickí hackeri, alebo pentesteri, poskytujú cenné informácie o pripravenosti organizácie v oblasti kybernetickej bezpečnosti.
Penetrační testeri musia dodržiavať etické zásady a rozsah pôsobnosti organizácie. Ak objavia potenciálnu zraniteľnosť mimo pôvodného rozsahu, musia o tom okamžite informovať klienta, aby bolo zaistené etické a legálne testovanie. Pentester vykonáva viacvektorové „útoky“ a využíva rôzne techniky na narušenie obrany organizácie, napodobňuje metódy používané útočníkmi v reálnom svete. Medzi techniky patria phishingové útoky, sociálne inžinierstvo, útoky hrubou silou (brute force), rôzne útoky typu odoprenia služby (DoS) a nasadenie zraniteľností nultého dňa (zero-day attack), ak sú objavené.
Špecializovaný tím je vzácnosť, odborníkov je nedostatok
Mnoho IT dodávateľov nemá vlastný tím na penetračné testovanie z dôvodu vysokých nákladov na jeho udržiavanie. Eviden tento problém rieši tak, že má tím viac ako 300 odborníkov na Slovensku, v Česku, Poľsku, Rumunsku, Rakúsku a Nemecku. Táto sieť umožňuje efektívne rozdeľovať zdroje na riešenie rôznych problémov kybernetickej bezpečnosti v celej Európe.
Michal Sekula zo spoločnosti Eviden zdôrazňuje, že udržiavanie malého tímu a jeho sporadické využitie je prakticky nemožné. Existencia rozsiahleho a rôznorodého tímu zabezpečuje flexibilitu a prispôsobivosť pri reakcii na dynamické potreby.
Pozor na ponuky najnižšej ceny – poriadne testy sú nákladné
„Kvalitných poskytovateľov penetračných testov je nedostatok. Niektoré spoločnosti síce ponúkajú lacné služby, ale skutočná odbornosť si vyžaduje väčší tím s kvalifikáciou a skúsenosťami, čo je na Slovensku a v Českej republike vzácne,“ uvádza Sekula.
Kvalita penetračných testov závisí od ich rozsahu a môže byť drahšia. Cena testovania webových aplikácií sa zvyčajne pohybuje okolo 500 eur za manday. Testovanie zamerané na zabezpečenie internej infraštruktúry organizácie, e-mailového systému, dát alebo konkrétnych aplikácií je zvyčajne drahšie z dôvodu vyššej potreby odborných znalostí.
„Pri vyhľadávaní služieb penetračného testovania či etického hackingu je nevyhnutné jasne definovať ciele a špecifikovať zadanie. Kvalitné testovanie sa začína dobre definovanými cieľmi v rámci organizácie. A rozhodne by sa človek nemal zameriavať na najnižšiu ponuku ako na primárne kritérium,“ uzatvára Michal Sekula, expert spoločnosti Eviden na kybernetickú bezpečnosť.
„Celkový počet subjektov, podliehajúcich súčasnému zákonu o kybernetickej bezpečnosti je teraz vo vyšších stovkách. S nástupom smernice NIS2 očakávame asi pätnásťnásobný nárast tohto čísla. Penetračné testy sú jedným zo základných nástrojov, ako overiť, že máte správne nastavenú kyberbezpečnosť, a že sú systémy, aplikácie, dáta i zariadenia chránené tak, ako majú byť. Predstavitelia verejnej správy majú zodpovednosť nielen za bezpečnosť vlastnej organizácie, ale zodpovedajú aj za zriaďované organizácie – na úrovni obce, kraja i celého štátu. Predpokladám, že dopyt po penetračných testoch sa zvýši zhruba desaťnásobne,“ hovorí Michal Sekula, odborník spoločnosti Eviden na kybernetickú bezpečnosť.
Hodnotenie odolnosti pomocou penetračného testovania
Cieľom penetračného testovania je preniknúť do systému, identifikovať a posúdiť slabé miesta v infraštruktúre a systémoch. Zraniteľnosti, ktoré môžu viesť k rôznym kybernetickým útokom, sú kritické. S týmito zraniteľnosťami sa môže na dark webe obchodovať za značné čiastky, od tisícov až po státisíce dolárov.
„Penetračné testovanie nie je len službou, ale proaktívnym obranným mechanizmom, ktorý umožňuje organizáciám identifikovať a riešiť zraniteľnosti skôr, než ich môžu zneužiť záškodníci. Vďaka špecializovanému tímu odborníkov spoločnosti Eviden môžu organizácie udržať náskok pred kybernetickými hrozbami a pokračovať v inováciách v digitálnom veku,“ hovorí Michal Sekula, ktorý je držiteľom bezpečnostných certifikátov CISM a CISA.
Pentesteri vždy dodržiavajú definovanú oblasť pôsobenia
Spoločnosť Eviden vykonáva penetračné testovanie s medzinárodným tímom odborníkov. Vzhľadom na dynamické digitálne prostredie je tento proces kľúčový pre ochranu citlivých dát a digitálnych aktív organizácií. Etickí hackeri, alebo pentesteri, poskytujú cenné informácie o pripravenosti organizácie v oblasti kybernetickej bezpečnosti.
Penetrační testeri musia dodržiavať etické zásady a rozsah pôsobnosti organizácie. Ak objavia potenciálnu zraniteľnosť mimo pôvodného rozsahu, musia o tom okamžite informovať klienta, aby bolo zaistené etické a legálne testovanie. Pentester vykonáva viacvektorové „útoky“ a využíva rôzne techniky na narušenie obrany organizácie, napodobňuje metódy používané útočníkmi v reálnom svete. Medzi techniky patria phishingové útoky, sociálne inžinierstvo, útoky hrubou silou (brute force), rôzne útoky typu odoprenia služby (DoS) a nasadenie zraniteľností nultého dňa (zero-day attack), ak sú objavené.
Špecializovaný tím je vzácnosť, odborníkov je nedostatok
Mnoho IT dodávateľov nemá vlastný tím na penetračné testovanie z dôvodu vysokých nákladov na jeho udržiavanie. Eviden tento problém rieši tak, že má tím viac ako 300 odborníkov na Slovensku, v Česku, Poľsku, Rumunsku, Rakúsku a Nemecku. Táto sieť umožňuje efektívne rozdeľovať zdroje na riešenie rôznych problémov kybernetickej bezpečnosti v celej Európe.
Michal Sekula zo spoločnosti Eviden zdôrazňuje, že udržiavanie malého tímu a jeho sporadické využitie je prakticky nemožné. Existencia rozsiahleho a rôznorodého tímu zabezpečuje flexibilitu a prispôsobivosť pri reakcii na dynamické potreby.
Pozor na ponuky najnižšej ceny – poriadne testy sú nákladné
„Kvalitných poskytovateľov penetračných testov je nedostatok. Niektoré spoločnosti síce ponúkajú lacné služby, ale skutočná odbornosť si vyžaduje väčší tím s kvalifikáciou a skúsenosťami, čo je na Slovensku a v Českej republike vzácne,“ uvádza Sekula.
Kvalita penetračných testov závisí od ich rozsahu a môže byť drahšia. Cena testovania webových aplikácií sa zvyčajne pohybuje okolo 500 eur za manday. Testovanie zamerané na zabezpečenie internej infraštruktúry organizácie, e-mailového systému, dát alebo konkrétnych aplikácií je zvyčajne drahšie z dôvodu vyššej potreby odborných znalostí.
„Pri vyhľadávaní služieb penetračného testovania či etického hackingu je nevyhnutné jasne definovať ciele a špecifikovať zadanie. Kvalitné testovanie sa začína dobre definovanými cieľmi v rámci organizácie. A rozhodne by sa človek nemal zameriavať na najnižšiu ponuku ako na primárne kritérium,“ uzatvára Michal Sekula, expert spoločnosti Eviden na kybernetickú bezpečnosť.