Zprávy

České firmy neznají penetrační testování

Nezávislým bezpečnostním auditem IT systémů prochází pouze 16 % tuzemských společností, vyplývá z průzkumu agentury Ipsos pro společnost APPSEC.

redakce8.8.2023

Většina českých firem zanedbává prevenci před kybernetickými útoky. Pravidelným bezpečnostním auditem, ať již od vlastního IT oddělení nebo externě najatých společností, prochází pouze 45 % z nich. Téměř každá třetí (29 %) firma spoléhá na pravidelný interní audit a čtvrtina prověřuje bezpečnost svých systémů buď nahodile (15 %) nebo vůbec (10 %). Třetina dotazovaných IT expertů českých firem (33 %) dokonce ani netuší, co to je penetrační test a reálně takové testy využívá jen 16 % dotázaných společností, vyplynulo z průzkumu agentury Ipsos pro společnost APPSEC, kterého se ve dnech 27. až 31. července 2023 zúčastnilo 1050 zaměstnanců IT oddělení firem v České republice.

Penetrační test jako hloubkový bezpečnostní audit od nezávislé společnosti dokáže odhalit slabá místa v systému, která mohou být zneužita ke kybernetickým útokům, krádežím dat a podvodům. Ačkoli jde o metodu, která je v IT využívaná již mnoho let a v poslední době prožívá doslova boom, tuzemské společnosti ji stále příliš nepoptávají. Podle průzkumu Ipsos pro společnost APPSEC téměř 60 % oslovených firemních IT expertů netuší, zda jejich společnost penetračním testem někdy prošla a 24 % si je jisto, že nikoli. Poměr firem, které penetrační testy podstoupily, odpovídá podílu těch, které si podle průzkumu pravidelně objednávají na bezpečnostní audit externí firmu.

Simulovaný útok odhalí slabé stránky firemních systémů

„Firmy si většinou představují kybernetickou bezpečnost tak, že nakoupí nějaké antivirové nebo EDR řešení, firewall a jako celek pak průběžně aktualizují. Penetrační test představuje pohled z druhé strany. Je to vlastně pokus o útok, který si firma objedná sama na sebe. Tímto simulovaným útokem na organizaci mapuje její bezpečností slabiny, a to nejen na infrastrukturní, ale i aplikační úrovni. Klient pak může další investice do informační bezpečnosti zacílit na svoje skutečně slabé stránky a nemusí utrácet za zbytečně robustní a obecněji zaměřené řešení,“ řekl Adam Paclt, spoluzakladatel společnosti APPSEC, jež provádí penetrační testy unikátní metodou založenou na algoritmickém testování a strojovém učení. Jde buď o kompletní Blackhat test firemního systému, klasické penetrační testy webů, sítí nebo Wi-Fi či skeny zranitelností.

Že nejde o metodu všeobecně známou ani mezi zaměstnanci IT oddělení firem, dokazují jejich rozdílné představy, co to vlastně penetrační test znamená. Desetina respondentů průzkumu uvedla, že to je „trochu lepší antivirus“, který prověří firemní síť a odhalí případný útok. Více než 5 % dotazovaných si dokonce plete penetrační test s penetračním nátěrem. Správnou definici penetračního testu znalo jen 37 % respondentů průzkumu. Penetrační testy jsou přitom velmi důležité i kvůli stále přísnějším nárokům na zabezpečení firem ze strany Evropské unie. Řady firem se dotkne bezpečnostní směrnice NIS2, která klade zvýšené nároky na kybernetickou bezpečnost klíčových firem i jejich dodavatelského řetězce.

Zdroj: Appsec