Regularne audyty IT powinny być standardem w biznesie, ponieważ zagrożenie cyberatakiem wciąż rośnie – liczba ataków np. ransomware wzrosła 10-krotnie. Często popełnianymi błędami, które wpływają na skuteczność pentestów, są: wąski zakres audytu, ograniczanie dostępu testerom oraz brak realizacji zaleceń pokontrolnych. Audyt powinien sprawdzać zarówno kwestie techniczne, procedury, jak i testować zachowania pracowników.
Z miesiąca na miesiąc ryzyko cyberataku rośnie, ponieważ hakerzy nie zmniejszają tempa – to zdanie (lub podobne) powtarzają eksperci od IT jak mantrę. I mają rację. Mimo że wielu przedsiębiorców może być już zmęczonych ciągłym przypominaniem o cyberbezpieczeństwie, to fakty „nie kłamią”. Wystarczy spojrzeć na cykliczny (wydawany co pół roku) Global Threat Landscape Report przygotowywany przez Fortinet, jednego z czołowych dostawców zabezpieczeń IT.
Oto jak wygląda sytuacja w połowie 2021 r.:
- Liczba ataków typu ransomware wzrosła ponad 10-krotnie rok do roku (konkretnie o 10,7x) i mają coraz poważniejsze skutki, np. atak na Colonial Pipeline w Stanach, który zaburzył dystrybucję paliw w części kraju.
- Nikt nie jest bezpieczny – np. ryzyko ransomware dotyczy wszystkich sektorów gospodarki, nawet w tych najmniej zagrożonych tego typu ataki stanowią ok. 20% zdarzeń. Najbardziej zagrożone są telekomy (39,2% ataków to ransomware), administracja (35,6%), MŚP (34,2%), motoryzacja (33,6%) i przemysł (32,5%).
- Na celowniku przestępców są nie tylko komputery osobiste, serwery czy bazy danych, ale też urządzenia zarządzające i kontrolujące procesy technologiczne.
– Rodzaj, styl, cel, a przede wszystkim częstotliwość ataków nieustannie się zmieniają. Dlatego systemy IT, a także infrastruktura sieciowa w każdej firmie powinny być regularnie testowane i ulepszane. Zauważyłem, że coraz więcej firm decyduje się na ten krok. W ciągu roku zainteresowanie audytami cyberbezpieczeństwa wzrosło o 45%. Jednak, żeby testy były skuteczne, trzeba do nich podchodzić z rozwagą, a przede wszystkim wystrzegać się rutyny, żeby nie stały się one jedynie „pozycją do odhaczenia w planie”, które nie skłaniają do zmian. Na szczęście większość przedsiębiorców o tym, pamięta, choć są i tacy, którzy wpadają w tę pułapkę – zauważa Michał Bukontt, Dyrektor Sprzedaży w Sprint S.A.
Te błędy przedsiębiorcy popełniają najczęściej
Audyt bezpieczeństwa IT to złożony proces, składający się z kilku etapów i niestety na każdym z nich można popełnić błąd, który wpłynie na skuteczność testów. Oto, czego należy się wystrzegać w kolejnych fazach.
Złe planowanie audytu – jak przy większości przedsięwzięć, także do pentestów trzeba się dobrze przygotować. Przedsiębiorcy muszą przede wszystkim odpowiedzieć na pytanie, po co firmie audyt? Co powinien sprawdzić i jakiego efektu oczekuję? Z reguły zakres testów powinien obejmować wszystkie „punkty styku” firmy z Internetem, więc zarówno systemy, jak i infrastrukturę sieciową oraz narzędzia pracy (pamiętajmy, że strona internetowa też do nich należy). Wybieranie zbyt wąskiego zakresu audytu to pierwszy z popularnych błędów. Jest on często ściśle związany z drugim – sugerowaniem się ceną audytu. To często prowadzi właśnie do ograniczenia liczby, rodzaju i jakości testów, co zawsze wpływa na ostateczną skuteczność audytu.
Utrudnianie pracy pentesterów – w tym obszarze firmy mogą również popełnić kilka ważnych błędów. Często wynikają one z chęci zablokowania dostępu do poufnych danych osobom spoza firmy – ale jak w takim razie sprawdzić, czy są one odpowiednio chronione przed hakerami? Czasem przyjmuje to formę tunelowania VPN (chociaż niestety nie zawsze to połączenie jest odpowiednio skonfigurowane, np. blokowane są niektóre porty itd.), nieprzekazywaniem dostępów do baz danych ani poszczególnych systemów. Owszem, można symulować ataki bez tej wiedzy, ale bez analizy „wnętrza” tester może nie wykryć wszystkich luk. Z dodatkowymi wyzwaniami wiążą się też testy w instytucjach zobowiązanych prawnie do zachowania większych restrykcji, np. agencjach rządowych. W trakcie audytowania większości z nich pentesterzy nie mogą korzystać ze swojego sprzętu, tylko urządzeń zapewnionych przez zamawiającego. A co jak nie dostarczy on specjalistom odpowiednich narzędzi pracy? Odpowiedź jest oczywista – testy nie będą efektywne.
Odkładanie raportu po audycie „na półkę” – żadne, nawet najlepiej przeprowadzone symulacje i testy, nie przyniosą skutku, jeśli firma zignoruje zalecenia pokontrolne. Niechęć do wprowadzania ich w życie wynika często z faktu, że wiążą się one z koniecznością zakupu dodatkowych urządzeń, oprogramowania lub co najmniej aktualizacją posiadanych. Zazwyczaj testerzy zalecają też zmianę procedur organizacyjnych, co też często jest pomijane. To poważny błąd, ponieważ skutki finansowe ataku czy wycieku danych to zazwyczaj co najmniej setki tysięcy złotych, częściej są to jednak kwoty milionowe. W końcu składają się na to zarówno koszty bezpośrednie likwidacji zagrożenia, jak i pośrednie w postaci odszkodowań, kar administracyjnych, wydatków na ratowanie wizerunku czy akcji powstrzymujących odpływ klientów.
– Dobrze przeprowadzony audyt powinien sprawdzać jednak nie tylko część techniczną, ale też brać pod uwagę czynnik ludzki, czyli zachowania pracowników, ich reakcje na zagrożenia. Niestety, cały czas to my, nasze błędy jak kliknięcie w nieznany link, odpowiadają za skuteczność ok. 70% ataków. Ponadto, warto też „audytować” audyt, czyli sprawdzać, czy zalecenia są realizowane oraz, czy nie pojawiły się nowe luki w naszym systemie ochrony